home *** CD-ROM | disk | FTP | other *** search

---

/ OS/2 Shareware BBS: Security / Security.zip / tbos707.zip / TBAV.FAQ

< prev

next >

Wrap

Text File  |  1997-01-10  |  13KB  |  248 lines

---

1.  
2. This is a list with Frequently Asked Questions.
3.  
4. If you have a question about our product, or want to know why our product
5. differs from some competitive products, please check out the questions
6. below.
7.  
8. Design philosophy
9. -----------------
10.  
11. Why does TbSetup create an Anti-Vir.Dat file in every directory,
12. instead of generating just ONE reference file for the entire system?
13.  
14.         1) It is more intuitive. For a user it is much easier to see
15.         whether a directory is already processed by the checksummer or
16.         not. You can see in one glance what the last time was you
17.         modified the Anti-Vir.Dat file, and whether this matches with
18.         the most recent timestamp of the executable files.
19.  
20.         2) Maintenance. If you delete an entire directory, the checksum
21.         base will be gone too. Automatically! With a single file
22.         approach, you will have to run an update utility or to accept
23.         that the database file will continue to grow for ever. The same
24.         applies if you move a directory to another disk or
25.         subdirectory: don't worry about the checksum files. They will
26.         travel automatically wherever the executable files go!
27.  
28.         3) Security. If a company decides to introduce a new software
29.         product, they can make a backup of the diskette, scan it for
30.         viruses, and put the checksum file on the diskette, and
31.         multiply it and distribute it within the company. Now, whoever
32.         gets this diskette, the checksum file will already be there.
33.         The user won't have to bother with it himself. The new checksum
34.         file with not interfere with the already existing ones.
35.  
36.         4) Networks. In a LAN, different users may have access to a
37.         directory via another path. One user may see the directory
38.         F:\JOHN, while someone with more access rights may refer to the
39.         same directory as G:\USERS\JOHN. With a single database
40.         approach, you will have to create a separate database for every
41.         user. With the checksum-file-per-directory approach, the
42.         supervisor just creates ONE checksum base per directory, and no
43.         matter the access rights or mappings of a specific user, if he
44.         has access to that directory, he automatically has access to
45.         the checksum file. So, if the supervisor updates a product on
46.         the network, he just creates a new checksum file for that
47.         directory, and EVERY user on the network immediately has the
48.         correct checksum information.
49.  
50.  
51. Why does TbScanX not scan a file if I rename it, or when I move it to
52. another directory?
53.  
54.         If you rename an executable file to another executable file, you
55.         actually do not introduce a new file on your system. The file
56.         was originally already there, and should have been checked by
57.         TbScanX already when the file was introduced on your system.
58.  
59.         If you rename a non-executable file to an executable file, you
60.         actually introduce a new executable file on the system. This
61.         quite unusual way to introduce a new executable file on the
62.         system is detected by TbFile (attempt to rename a non-executable
63.         file to an executable file).
64.  
65.         If you move a file to another directory, using the 'move'
66.         command, the file doesn't get actually copied when the
67.         destination drive is the same as the original drive. What
68.         happens is that the file gets 'renamed' to a different
69.         directory, i.e. the file remains physically where it is, but
70.         just the name reference is moved from one directory to the
71.         other. TbScanX does not scan the file in this case, because the
72.         file was already there, and has been checked when it got
73.         introduced to your system, and doesn't need to be checked again
74.         just because it is moved to another directory.
75.  
76.  
77. Why does TbScanX, unlike some other products, not scan a bootsector if
78. you press Ctrl-Alt-Del?
79.  
80.         First of all, TbScanX scans a bootsector immediately if you try
81.         to access a diskette. Most people insert a diskette because
82.         they need a file from it, or want to copy something on it, or
83.         just look into the directory. TbScanX will then check the
84.         bootsector, long time before you press Ctrl-Alt-Del. So there
85.         is not much need for TbScanX to check it when you reboot, the
86.         job has already been done.
87.  
88.         A second reason is that it can be dangerous to scan a diskette
89.         while trying to reboot. You usually don't reboot just for fun!
90.         In many cases, you reboot because the system became instable,
91.         or because a program instructed you to reboot the system, after
92.         it changed some vital information on the harddisk. If the
93.         system became instable, you can damage data by accessing a
94.         disk, and it is quite questionable anyway whether an instable
95.         system is still able to perform a reliable disk scan. If a
96.         program asks you to reboot, the reboot is often necessary
97.         because the system is not aware of some changes in the
98.         configuration, and it is dangerous to continue accessing the
99.         disks, without - for example - the appropriate drivers.
100.  
101.         A third reason is that it could cause people to believe that
102.         rebooting with a diskette inserted into the drive is OK,
103.         because the diskette will be scanned anyway. Unfortunately,
104.         checking a diskette can only be done before a SOFT boot, and
105.         not when you hit the reset button. It is only a partial
106.         solution. For many people, the difference between a hard and a
107.         soft boot is not clear, and they will just assume that rebooting
108.         with a diskette inserted is now always safe.
109.  
110.         So, it is dangerous, unreliable, confusing, and unnecessary in
111.         most cases. Therefor we decided not to scan a diskette after
112.         pressing Ctrl-Alt-Del.
113.  
114.  
115. Why does TbClean not clean ALL files at once?
116.  
117.         Let's look what happens if your system is infected by a virus,
118.         and you run an 'automatic' cleaner on it. With one and the same
119.         virus, every executable file will be in one of the following
120.         states after the cleaning is terminated:
121.  
122.         1) Files that have not been affected by the virus at all.
123.         2) Files which were infected but have been successfully cleaned.
124.         3) Files that have been damaged (not infected!) by the virus and
125.         can not be 'cleaned' because they have been deleted or are
126.         overwritten.
127.         4) Files from which the cleaner says that they have been
128.         successfully cleaned but still don't work anymore (because of
129.         copy protections or various other reasons).
130.         5) Files from which the cleaner says that it failed to clean and
131.         thus are still infected and need replacement.
132.  
133.         Now, are you going to sort things out after the cleaner is done?
134.         A much better approach is to work through the files on a one by
135.         one approach. Clean one file, judge the result, test the file,
136.         and proceed with the next one. Tedious? Yes, an even better
137.         approach is to take that backup tape, and restore all executable
138.         files.
139.  
140.         Remember, viruses are not written to be bug free, and to be
141.         compatible with all the complex configurations we are using
142.         these days. No cleaner can repair the files incorrectly infected
143.         by a buggy virus. Automatic cleaning is an illusion. If you
144.         really insist on using a cleaner, you have the best chances if
145.         you work through your files one by one.
146.  
147.         Remember also that even viruses that are known not to damage
148.         data still very often damage data because of interference with
149.         disk caches, Windows, or other system software for which the
150.         virus was not written for or properly tested against.
151.  
152.  
153. I have seen on Internet some information how to fool TbScan. What are you
154. going to do about it?
155.  
156.         This is nothing to worry about. We know that it is possible to
157.         fool heuristics. We know that it is possible to design a virus
158.         that TbScan can not yet detect. We have seen many examples of
159.         this in the past.
160.         Encrypted viruses have been invented to make signature scanning
161.         useless, until the AV industry invented signature wildcards and
162.         entry point tracers. Polymorphic viruses have been invented to
163.         make signature scanning completely impossible, until the
164.         anti-virus industry invented generic decryption.
165.         It is an endless battle. Some strategics are involved as well.
166.         Sometimes it is better to leave an easy to close door open,
167.         and let a virus writer spend weeks to write something
168.         that exploits this 'loophole' and then just slam this door
169.         without any trouble and any damage, than to attempt to foresee all
170.         possible future virus-writing-developments and to close all
171.         doors in advance, and let someone discover something that is much
172.         more difficult to solve. Someone who wants to attac a specific
173.         anti-virus product will finally discover something that can be
174.         used. This applies to all anti-virus products, no matter how
175.         clever they are. That's why all serious anti-virus products have
176.         to be frequently updated.
177.  
178.         If a virus is able to escape heuristic detection, we will find it
179.         with a signature. If some information leads to a virus that indeed
180.         succeeds to remain unspotted, we will do something about it. We have
181.         been doing so dozens of times in the past, and we will keep doing so.
182.         So far, there is no reason to believe that virus writers will
183.         finally come up with something that we can't handle.
184.  
185.  
186. Why is your scanner not scanning .DLL files?
187.  
188.         So far, we have been following the approach that we don't scan
189.         something if there are no viruses yet to infect it. We could have
190.         scanned for macro viruses for years, but it didn't make sense
191.         until someone actually created a macro virus. Technically, it is
192.         possible to infect a .DLL file, but there are no viruses which
193.         are doing this. As soon as there is a virus that infects .DLL
194.         files, we will have to create a signature for that virus anyway,
195.         and this is the right time to include the .DLL extension in the
196.         default scan list as well.
197.  
198.         Granted, there are a few viruses which think a .DLL file is a DOS
199.         executable, since it contains an EXE header. They might add their
200.         virus code to the .DLL file. But since you are never going to
201.         execute the .DLL file from the DOS command prompt, you are not
202.         going to introduce a virus on your system this way. The virus
203.         won't get activated when you use the .DLL file in a Windows
204.         environment. Of course, if you have a standard executable file
205.         (.EXE or .COM) which is infected by a virus, this virus may
206.         'infect' the .DLL file, so once you have a virus, it is a good
207.         idea to include the /allfiles option.
208.  
209.  
210. Network related questions
211. -------------------------
212.  
213. We have TBAV installed on a server, and we use TbScan with option 'once'.
214. However, if we turn on the machines in the morning, TbScan only scans
215. one workstation, and skips on the other workstations.
216.  
217.         If TbScan uses the 'once' option, information will be written to
218.         TbScan.Exe. The first PC scans, and updates the information in
219.         TbScan.Exe. The next PC's will conclude that TbScan has already
220.         been used this day, and proceed without scanning.
221.  
222.         To avoid this problem, you can specify a filename behind option
223.         'once'. Instead of putting the information in the TbScan.Exe
224.         program, TbScan now records the information in the specified file.
225.         Use, for instance, 'TbScan once=c:\config.sys' to make sure that
226.         every PC maintains its own 'last time scanned' record. Note:
227.         TbScan does not alter the contents of the specified file, but
228.         records the information in a different way. Therefor you can
229.         specify any existing file.
230.  
231.  
232. We have TBAV installed on a server, and we use TbScan with option
233. 'once'. However, if we boot the machines multiple times a day, TbScan
234. always scan the workstations, instead of only once.
235.  
236.         The users probably don't have write access rights to the
237.         directory where TbScan.Exe resides. Excellent! Use the method
238.         as described in the previous question.
239.  
240.  
241. Is it possible for the supervisor to receive messages about viral
242. activities anywhere within the network?
243.  
244.         Not with the standard TBAV utilities. There is a special network
245.         version available which features centralized anti-virus control.
246.         Contact your local vendor for more information.
247.  
248.