home *** CD-ROM | disk | FTP | other *** search
/ Cream of the Crop 20 / Cream of the Crop 20 (Terry Blount) (1996).iso / virus / fwin311e.zip / FWIN.TXT < prev    next >
Text File  |  1996-06-16  |  119KB  |  2,681 lines

  1.  
  2.  
  3.                  F  /   W   I   N        3   .   1   1
  4.                  =====================================
  5.  
  6.  
  7.  
  8.  
  9.     HEURISTIC DETECTION OF WINDOWS, WINDOWS 95 AND MACRO VIRUSES
  10.  
  11.  
  12.  
  13.  
  14.         Author of F/WIN
  15.         ---------------
  16.         Stefan Kurtzhals
  17.         Dörrenberg 42
  18.         42899 Remscheid
  19.         Germany
  20.         E-Mail: kurtzhal@wrcs3.urz.uni-wuppertal.de
  21.         Fido:   2:2480/8849.2
  22.  
  23.  
  24.  
  25.         United States Authorized Agent
  26.         ------------------------------
  27.         Computer Virus Solutions
  28.         C/O Gary Martin
  29.         P.O. Box. 30802
  30.         Gahanna, Ohio  43230
  31.         Voice:  (614) 337-0995
  32.         E-mail: FWIN_SUP@ix.netcom.com
  33.         WWW:    http://www.gen.com/fwin
  34.  
  35.  
  36.  
  37.  
  38.                              TABLE OF CONTENTS
  39.                              =================
  40.  
  41. 1.0  OVERVIEW OF F/WIN
  42.  
  43.      1.1    Tips for using this documentation
  44.      1.2    What "Heuristic" detection is
  45.      1.3    What F/WIN can detect - for Non-technical users
  46.      1.4    What F/WIN can detect - for Technical users
  47.      1.5    What F/WIN can clean  - for Non-Technical users
  48.      1.6    What F/WIN can clean  - For Technical users
  49.      1.7    False alarms
  50.  
  51.  
  52. 2.0  HOW TO USE F/WIN
  53.  
  54.      2.1    From a DOS prompt
  55.      2.2    From Windows 3.x
  56.      2.3    From Windows '95
  57.      2.4    From OS/2 Warp
  58.      2.5    Choices F/WIN provides when a suspected virus is
  59.             found
  60.      2.6    Situations in which F/WIN should  N-O-T be run
  61.  
  62.  
  63. 3.0  HOW TO ORDER A REGISTERED VERSION OF F/WIN
  64.  
  65.      3.1  Extras in the registered version
  66.      3.2  In Germany
  67.      3.3  In the United States
  68.      3.4  In other countries
  69.      3.5  Stefan Kurtzhals PGP public key (Germany)
  70.      3.6  Gary Martin's PGP public key (USA)
  71.  
  72.  
  73. 4.0  WINDOWS EXE VIRUSES
  74.  
  75.      4.1  For NON-technical readers
  76.      4.1.1  F/WIN's detection of
  77.      4.2  For Technical readers
  78.      4.2.1  F/WIN's detection of
  79.  
  80.  
  81. 5.0  MACRO VIRUSES
  82.  
  83.      5.1  What they are
  84.      5.2  History of
  85.      5.3  Why they pose such a threat to your data
  86.      5.4  F/WIN's detection of
  87.      5.5  How the viruses are removed
  88.  
  89.  
  90. 6.0  F/WIN MESSAGES FOR WINDOWS VIRUSES
  91.  
  92.      6.1  Possible 16-bit virus (NE-EXE)
  93.      6.2  Possible 32-bit virus (PE-EXE)
  94.  
  95.  
  96. 7.0  F/WIN MESSAGES FOR MACRO VIRUSES
  97.  
  98.      7.1  - A backup has been created:
  99.      7.2  - Attempt to backup file before cleaning failed!
  100.      7.3  - Changes DOS attributes of other files
  101.      7.4  - Contains # macros (# bytes)
  102.      7.5  - Contains macros but is not named .DOC
  103.      7.6  - Contains execute-only macros (encrypted macros)
  104.      7.7  - Contains macro shortcuts
  105.      7.8  - Contains macros
  106.      7.9  - Copy macros into the global template ('CopyMacro')
  107.      7.10 - Deletes other files! (Kill)
  108.      7.11 - Disables NORMAL.DOT write access warnings
  109.      7.12 - Enables the quick save option
  110.      7.13 - Execute other DOS or Windows programs! (Shell)
  111.      7.14 - F/WIN can not check Microsoft Word 2.0 documents!
  112.      7.15 - F/WIN can not clean this file safely!
  113.      7.16 - has been moved to:
  114.      7.17 - Might contain suspicious macros
  115.      7.18 - Might contain an antivirus-macro (please verify!)
  116.      7.19 - Reenables auto macro processing
  117.      7.20 - Seems to be infected with a macro virus!
  118.      7.21 - Seems to contain a trojan macro!
  119.      7.22 - System macros:
  120.      7.22.1    AUTOCLOSE
  121.      7.22.2    AUTOEXEC
  122.      7.22.3    AUTONEW
  123.      7.22.4    AUTOOPEN
  124.      7.22.5    FILEEXIT
  125.      7.22.6    FILENEW
  126.      7.22.7    FILESAVE
  127.      7.22.8    FILESAVEAS
  128.      7.22.9    TOOLSMACRO
  129.      7.23 - The file has been moved to:
  130.      7.24 - The macros within this file are disabled!
  131.      7.25 - This document is internally fragmented. The repair
  132.             could have failed!
  133.      7.26 - Uses macro 'FileSaveAs'
  134.      7.27 - Uses 'Organize .Copy' to copy macros'
  135.      7.28 - Writes into other files directly (Write)
  136.  
  137.  
  138. 8.0  COPYRIGHT, LICENSE TERMS AND DISCLAIMER
  139.  
  140.  
  141. 9.0  GLOSSARY OF TERMS USED IN THIS DOCUMENTATION
  142.  
  143.  
  144.  
  145.  
  146.  
  147.  
  148.  
  149.  
  150.  
  151.  
  152.  
  153. 1.0      OVERVIEW OF F/WIN
  154. =================================================================
  155.  
  156.  
  157. 1.1    Tips for using this documentation
  158. -----------------------------------------------------------------
  159.  
  160.        a. Do a character string search for what you're looking
  161.           for.  This may be the fastest way to locate the
  162.           needed information.
  163.  
  164.        b. Check the Table of Contents, then do a character
  165.           string search on the section number.
  166.  
  167.        c. In several sections, there are two versions of the
  168.           documentation.  One is for novice users, the other
  169.           for people who are fairly familiar with virus and
  170.           other technical terminology.  We thought about
  171.           splitting these two types of documentation up into
  172.           different files, but decided against doing it.  We
  173.           suspect that many less experienced users will want to
  174.           take a crack at trying to understand the technical
  175.           explanations, and keeping them grouped together by
  176.           topic will make that easier to do.
  177.  
  178.        d. In the novice sections, there are key words and
  179.           phrases that appear in all uppercase, and are
  180.           enclosed in brackets {}.  These terms are defined in
  181.           the Glossary.
  182.  
  183.  
  184. 1.2    What "Heuristic" detection is
  185. -----------------------------------------------------------------
  186.  
  187.        F/WIN doesn't use {scan strings} to detect viruses. This
  188.        method is fast but won't detect {unknown viruses}.
  189.        Instead, it uses heuristic scanning techniques.  Scan
  190.        strings searches look for strings (combinations) of
  191.        characters that are unique to a particular virus.
  192.        Heuristic analysis look for any kind of dangerous code or
  193.        virus like code, regardless of what particular virus it
  194.        may belong to, or what the macro name is.  For instance,
  195.        the <Winword.Concept> virus is typically located by
  196.        searching for the macro names that it uses.  Those macro
  197.        names are:
  198.  
  199.        AAAZAO
  200.        AAAZFS
  201.        AutoOpen
  202.        Payload
  203.  
  204.        When scan string scanners find these macro names, they
  205.        correctly flag the document as being infected with this
  206.        virus.  However, what if someone were to copy these
  207.        macros into another document and slightly modify them?
  208.        Well, we did just that and the resulting 'new' virus was
  209.        completely undetectable by a lot of the common virus
  210.        scanners on the market that we tested.  Only F/WIN was
  211.        able to detect it, because it searches for macro viruses
  212.        in a completely different way.
  213.  
  214.        In this example, F/WIN would look for potentially
  215.        dangerous commands within each macro and flag them.  It
  216.        also notifies the user of any macros that could be run
  217.        automatically, such as those that are run when files are
  218.        opened, closed, saved, etc.  Macro viruses often use
  219.        these automatic or "system" macros to spread themselves,
  220.        or to carry out destructive activities.  These are the
  221.        messages you would see when F/WIN's heuristic scanner
  222.        finds the <Winword.Concept> virus:
  223.  
  224.        -  Contains macros
  225.        -  System macros:  AUTOOPEN
  226.        -  Copy macros into the global template 'CopyMacro'
  227.        -  Uses macro 'FileSaveAs'
  228.           Seems to be infected with a macro virus
  229.  
  230.        ANY macro that contained the kind of coding flagged above
  231.        would be flagged as being possibly virus infected, not
  232.        just <Winword.Concept>.  So even though we changed the
  233.        virus internally, F/WIN was still able to locate the virus
  234.        using these heuristic scanning techniques.  These
  235.        messages are explained in more detail in sections 6.0 and
  236.        7.0.
  237.  
  238.  
  239. 1.3    What F/WIN can detect - for Non-Technical users
  240. -----------------------------------------------------------------
  241.  
  242.        F/WIN uses heuristic scanning techniques to detect:
  243.  
  244.        a. Macro viruses in Microsoft Word release 6.0 and 7.0
  245.           documents. The current release will not detect viruses
  246.           or trojans in Word 2.0 files, but that's a feature
  247.           we'll be adding later.  It doesn't matter what the file
  248.           is called.  F/WIN will scan all files that appear in
  249.           the selected directory and all of its sub-directories
  250.           looking for viruses.  So if you have a virus in a Word
  251.           document you've called "PAYROLL.WK1", F/WIN will find
  252.           it just as easily as if you had named it "PAYROLL.DOC"
  253.           or "PAYROLL".
  254.  
  255.           F/WIN CAN N-O-T DETECT THE PRESENCE OF MACRO VIRUSES
  256.           IN MICROSOFT WORD DOCUMENTS THAT ARE ENCRYPTED WITH
  257.           A PASSWORD.
  258.  
  259.           If you suspect that a password protected document is
  260.           infected, copy the document onto a PC where it won't
  261.           matter if a virus destroys data and open and scan it
  262.           there.  Or send it to your regular anti-virus company,
  263.           or to the author of F/WIN to check and clean it.
  264.  
  265.        b. A special kind of virus that infects EXE files for
  266.           Windows or Windows '95.  "EXE" files are executable
  267.           files and usually have the file extension ".EXE" or
  268.           ".DLL".  The ".EXE" file extension (last three
  269.           characters of the file name) is reserved by DOS and
  270.           Windows for executable files only.  DOS EXE files are
  271.           structured differently than Windows EXE files.  F/WIN
  272.           locates viruses that have infected Windows executable
  273.           files only.  (Exception: the DOS executables infected
  274.           by <NE.Ph33r> will also be detected, but not with
  275.           heuristics.)
  276.  
  277.  
  278. 1.4    What F/WIN can detect - for Technical users
  279. -----------------------------------------------------------------
  280.  
  281.        Windows executables are quite different from the normal
  282.        DOS EXE files. Windows 3.x uses the NE-EXE format (New
  283.        Executable) and Windows 95 uses PE-EXE (Portable
  284.        Executable) which is also used by Windows NT.  Because the
  285.        new file structures are so different from the standard DOS
  286.        EXE format, most virus coders never manage to write real
  287.        Windows viruses. However, some virus coders from Australia
  288.        finally managed to write a fully functional Windows 3.x
  289.        virus, namely <NE.Winsurfer> and later <NE.Ph33r>. The
  290.        used infection scheme is much more "advanced" in some ways
  291.        so that it's likely that other virus coders will copy it.
  292.  
  293.        NE-EXE viruses are detected by analyzing the program
  294.        header of any NE-EXE file found. The NE-EXE viruses
  295.        modify the programs in a special way which allows a
  296.        reliable detection of this virus type.  It doesn't matter
  297.        if the virus is polymorphic, F/WIN doesn't check any
  298.        program code at all!  In other words, it can detect, in a
  299.        general or generic way, that a virus is likely present.
  300.        But F/WIN can't tell you exactly which virus it is.
  301.        Still, this feature of F/WIN is quite valuable because of
  302.        it's ability to detect unknown viruses, and let you know
  303.        that you have a problem sooner, rather than later.
  304.  
  305.        It detects specifically the infection scheme that
  306.        <NE.Winsurfer> and <NE.Ph33r> use. These were the first
  307.        really "functional" Windows executables viruses, and their
  308.        techniques will most likely be copied by other virus
  309.        authors.  F/WIN also detects the only known PE-EXE virus
  310.        for Windows 95 using a similar approach.  Because only one
  311.        PE-EXE virus exist so far, it really can't be said how
  312.        good the heuristic detection is, but F/WIN will of course
  313.        be updated in order to catch newer variants if they are
  314.        undetectable by the current heuristic approach.  All three
  315.        known <Boza> variants are detected by F/WIN.
  316.  
  317.        F/WIN detected all the known NE-EXE and PE-EXE viruses
  318.        which use the described infection mechanism.  If however
  319.        you should happen to come across one that is not detected
  320.        by F/WIN, please e-mail a copy of it to the author of
  321.        F/WIN for analysis.  See SENDVIR.TXT for more information.
  322.  
  323.        The macro virus detection is more complicated.  Because we
  324.        weren't able to get a technical description of the DOC
  325.        format used by Microsoft Word (how macros are stored
  326.        within each document or template), F/WIN has to scan the
  327.        whole DOC file to find the macro list and definitions.
  328.        F/WIN checks for the existence of auto macros (such as
  329.        AutoExec, AutoOpen, AutoClose, FileExit), encrypted
  330.        macros, renamed templates (templates are normally named
  331.        ".DOT"), standard virus commands (like MacroCopy or
  332.        FileSaveAs) and dangerous commands (like Shell, Kill or
  333.        Write).  Any macro that is found to contain one or more
  334.        of these commands will be flagged as being possibly virus
  335.        infected.  F/WIN checks unencrypted macros as well as
  336.        encrypted (execute-only) ones.
  337.  
  338.        F/WIN CAN N-O-T DETECT THE PRESENCE OF MACRO VIRUSES IN
  339.        MICROSOFT WORD DOCUMENTS THAT ARE ENCRYPTED WITH A
  340.        PASSWORD (the whole document is encrypted, not just the
  341.        macros).
  342.  
  343.  
  344.  
  345. 1.5    What F/WIN can clean - for Non-Technical users
  346. -----------------------------------------------------------------
  347.  
  348.  
  349.                Macro viruses in Microsoft Word documents
  350.  
  351.        F/WIN doesn't remove suspected viruses without asking the
  352.        user or taking some precautions.  First it makes a backup
  353.        copy of the file before disinfecting it.  The backup file
  354.        will have the same file name, except that it will have a
  355.        file extension (end with) .VIR.  So an infected file named
  356.        PAYROLL.WK1 would have a backup file called PAYROLL.VIR.
  357.        If there are more files with the same name, F/WIN will use
  358.        file extensions like ".VI1", ".VI2" etc.. Next F/WIN
  359.        overwrites the virus's macro code with harmless code and
  360.        wipes the offending macro names from the macro list if
  361.        you choose the 'Clean' option.  Because the DOC format is
  362.        so complex, the cleaning process may fail.  In this case,
  363.        you can then try a different approach by restoring the
  364.        backup copy and using the 'Wipe macro names' option.
  365.  
  366.        DON'T FORGET TO REMOVE ALL THE .Vnn FILES WHEN YOU'RE
  367.        FINISHED WITH THEM.  We suggest also using a product like
  368.        Norton Utilities WIPEINFO.EXE to wipe the FREE SPACE
  369.        (not the whole drive) on the entire hard drive after all
  370.        macro virus files are cleaned and removed.  If the files
  371.        are just deleted, in many cases, they can simply be
  372.        undeleted and reused by someone with bad intentions.
  373.        Wiping all the free space on the entire hard drive will
  374.        prevent someone from recovering a virus infected file by
  375.        undeleting it, or by using a disk editor.
  376.  
  377.                             Windows EXE files
  378.                             -----------------
  379.  
  380.        F/WIN can clean most of the known Windows 3.x (NE-EXE)
  381.        and Windows 95 (PE-EXE) viruses like Boza, Ph33r, Winlame,
  382.        Wintiny and Tentacle. The cleaning is generic which means
  383.        that F/WIN will also clean most of the future viruses which
  384.        use the same infection scheme.
  385.        
  386.  
  387. 1.6    What F/WIN can clean  - for Technical users
  388. -----------------------------------------------------------------
  389.  
  390.                Macro viruses in Microsoft Word documents
  391.                -----------------------------------------
  392.  
  393.        F/WIN doesn't remove suspected viruses without asking the
  394.        user or taking some precautions.  First it makes a backup
  395.        copy of the file before disinfecting it.  Actually, F/WIN
  396.        won't start the cleaning process if it can't create the
  397.        backup file! The backup file will have the same file name,
  398.        except that it will have a file extension (end with)
  399.        ".VIR" (if there are duplicate file names, F/WIN will use
  400.        ".VI1", ".VI2" etc.).
  401.  
  402.        So an infected file named PAYROLL.WK1 would have a backup
  403.        file called PAYROLL.VIR. Next F/WIN overwrites the virus's
  404.        macro code with harmless code that does nothing and wipes
  405.        the offending macro names from the macro list. If on the
  406.        outside chance the cleaning process leaves it unreadable,
  407.        you can then try a different approach using the backup
  408.        copy and selecting 'Wipe macro names'.
  409.  
  410.        DON'T FORGET TO REMOVE ALL THE BACKUP FILES WHEN YOU'RE
  411.        FINISHED WITH THEM.
  412.  
  413.        Also note that DOC files are OLE2 objects. An OLE2 object
  414.        could be internally split up in several parts. Like hard
  415.        disk clusters, these parts can be fragmented and worst of
  416.        all, they have a slack area like real clusters. This is
  417.        quite a security hole, and Microsoft already offers an
  418.        update for OLE2 for Windows 95 which correctly handle this
  419.        'slack areas'.
  420.  
  421.                             Windows .EXE files
  422.                             ------------------
  423.  
  424.        F/WIN can detect and clean the only known PE-NE (Windows
  425.        95 virus), and any future ones that use similar infection
  426.        schemes.  It can also detect and clean several of the
  427.        newer NE-EXE (Windows 3.x) viruses, which use the same
  428.        infection scheme as Ph33r.  These viruses add a relocation
  429.        entry add the end of the file which is used by F/WIN to
  430.        locate the original entry point of the program.
  431.  
  432.        The cleaning method used by F/WIN is generic and will
  433.        even clean certain encrypted or polymorphic NE-EXE
  434.        viruses as the  relocation entry can't get encrypted by
  435.        the virus.  Some of the known NE-EXE viruses use other
  436.        ways to store this information and can't be cleaned by
  437.        the current cleaning approach of F/WIN.
  438.  
  439.        Please note the shareware version of F/WIN is restricted
  440.        and will not clean viruses but only detects them.
  441.  
  442.  
  443. 1.7    False alarms
  444. -----------------------------------------------------------------
  445.  
  446.        Every heuristic analysis will cause either false positives
  447.        or {false negatives}.  Of course this is also true for
  448.        F/WIN.  This means that F/WIN may flag some harmless files
  449.        as infected and on the other hand will miss some of the
  450.        more unusual viruses.  We tried everything to keep the
  451.        amount of both the false positives and negatives as low
  452.        as possible, but we can't completely avoid them.
  453.  
  454.  
  455.                         Windows .EXE files
  456.                         ------------------
  457.  
  458.        F/WIN may on rare occasions trigger a false alarm on
  459.        Windows EXE files.  Should you experience one, please
  460.        send a copy of the file that was flagged in error to the
  461.        author of F/WIN for evaluation. F/WIN will either be
  462.        modified to stop triggering the false alarm, or a new file
  463.        will be created listing known false alarms.  So far, the
  464.        most false positives were caused by device drivers or
  465.        special DLLs.
  466.  
  467.  
  468.                     Microsoft Word Macro Viruses
  469.                     ----------------------------
  470.  
  471.        After the first macro viruses appeared, the AV companies
  472.        and others released some Microsoft Word .DOT and .DOC
  473.        files that contained anti-virus macros which can detect
  474.        and clean some of the viruses.  F/WIN will flag some of
  475.        the antivirus macros we tested as being possibly infected.
  476.        We tested SCAN831.DOC, SCANPROT.DOT, WVFIX.DOT,
  477.        AVPW10n.DOT (also AVPW10nG.DOT) and CHEKWORD.DOC. The
  478.        reason F/WIN flags them is because they contain almost
  479.        all of the same potentially dangerous macro commands which
  480.        are sometimes found in macro viruses.
  481.  
  482.        It's impossible to distinguish between such an antivirus
  483.        macro and a real macro virus without creating a severe
  484.        security hole in F/WIN!  SCANPROT.DOC, CHEKWORD.DOC and
  485.        AVPW10n.DOT were all flagged as being possibly infected by
  486.        a virus.  However, F/WIN will produce a message that
  487.        flashes in the color green alerting the user to the
  488.        possibility that the document being flagged may be a
  489.        legitimate anti-virus template.  The text of the message
  490.        is:
  491.  
  492.        "Might contain an antivirus-macro (please verify!)"
  493.  
  494.        See section 7.14 for more about this.
  495.  
  496.        As an example we will show here the messages that F/WIN
  497.        produces when it analyzes SCANPROT.DOT:
  498.  
  499.        C:\MSOFFICE\WINWORD\TEMPLATE\SCANPROT.DOT
  500.           - Contains macros
  501.           - System macros: AUTOOPEN, AUTOCLOSE, AUTONEW
  502.           - Copy macros into the global template (CopyMacro)
  503.           - Uses macro 'FileSaveAs'
  504.           - Execute other DOS or Windows programs! (Shell)
  505.           - Writes into other files directly (Write)
  506.           - Deletes other files! (Kill)
  507.           - Changes DOS attributes of other files
  508.           Seems to be infected with a macro virus!
  509.           Might contain an antivirus-macro (please verify!)
  510.  
  511.        There is a small percentage of Microsoft Word users
  512.        who write legitimate, useful macros that may use some of
  513.        the commands that F/WIN detects.  Especially the
  514.        experienced user quite often uses macros to speed up the
  515.        work with Winword.  In general, if you know that you have
  516.        not written any macros and that you've not received any
  517.        documents with known macros in them, then it's highly
  518.        likely that you do have a virus if F/WIN detects the
  519.        presence of suspicious macro code in your Microsoft Word
  520.        documents or templates.  This is especially true if
  521.        possible infections are detected in multiple documents.
  522.  
  523.        If legitimate macros are present in your environment that
  524.        trigger warnings from F/WIN, make a note of what commands
  525.        F/WIN is finding and flagging and make sure your macros
  526.        are supposed to contain those commands.
  527.  
  528.  
  529.  
  530. 2.0      HOW TO USE F/WIN
  531. =================================================================
  532.  
  533.        In general, it's important that you don't run Microsoft
  534.        Word itself at the same time as F/WIN.  F/WIN is able to
  535.        check already opened files, but it can't clean them
  536.        because it will not get write access to such files.  So,
  537.        if your NORMAL.DOT or other document is infected with a
  538.        macro virus, you must exit Word before running F/WIN.
  539.  
  540.  
  541. 2.1    From a DOS prompt
  542. -----------------------------------------------------------------
  543.  
  544.        If you run F/WIN without parameters, you will be prompted
  545.        to enter a drive letter which will be scanned then.
  546.  
  547.        There are three levels of scanning that F/WIN does for
  548.        Macro viruses and trojans.  It is important to understand
  549.        which is right for your needs before choosing the one you
  550.        want.
  551.  
  552.        LEVEL 0:  F/WIN detects and produces warning messages for
  553.                  obvious virus and trojan files.  However, no
  554.                  trojans are detected with the shareware version.
  555.                  All currently known Word 6.0 and 7.0 viruses are
  556.                  detected at this level.  This is the default
  557.                  level of scanning when the /MODE, /PARANOID and
  558.                  /EXTENDED parameters are not used.  This level
  559.                  detects viruses and trojans that are fully
  560.                  functional. "Fully functional" means that they
  561.                  contain all the components that would normally
  562.                  be present in a virus or trojan.  The four most
  563.                  important criteria F/WIN uses to make this
  564.                  determination are:
  565.  
  566.                  a)  How likely is it that the macro code will be
  567.                      executed without the users knowledge or
  568.                      consent?  If the macro code is placed into
  569.                      a macro called "ABC", it is quite unlikely
  570.                      that any user would run such a
  571.                      macro by accident.  But if it were placed in
  572.                      one of the system macros like "AutoOpen" or
  573.                      "FileSaveAs", then it would be very easy for
  574.                      most users to execute the macro code without
  575.                      knowing they were doing it.
  576.  
  577.                  b)  Does the macro code contain any potentially
  578.                      destructive code?  This would also include
  579.                      any linking to programs other than Word
  580.                      (i.e. running a DOS "ERASE" command).
  581.  
  582.                  c)  Can the macro(s) that are present in the
  583.                      document spread themselves to other files?
  584.  
  585.                  d)  Does the pattern of code in the macro(s)
  586.                      fit the pattern of known anti-virus macros?
  587.  
  588.                  If 'a', 'b' and 'c' are all true, then F/WIN
  589.                  considers the document to be infected by
  590.                  "virus", because viruses by their nature spread
  591.                  to other files.  If only 'a' and 'b' are true,
  592.                  then F/WIN flags the file as being possibly
  593.                  infected by a "trojan", because trojans don't
  594.                  spread.
  595.  
  596.                  If 'd' is true, then F/WIN produces an extra
  597.                  message informing the user that the current file
  598.                  that F/WIN is producing messages for may be an
  599.                  anti-virus template.  If it is, then they don't
  600.                  need to be concerned.  Users are encouraged to
  601.                  verify for sure that such templates are being
  602.                  used in their environment.  Don't assume that
  603.                  it's harmless when this extra message is
  604.                  produced.  It could be a clever virus designed
  605.                  specifically to trigger this message in F/WIN
  606.                  for the purpose of deceiving the user.
  607.  
  608.  
  609.        LEVEL 1:  Level 1 detection does everything Level 0 does,
  610.                  and MORE.  To use extended mode, specify either
  611.                  /MODE=1 or /EXTENDED.  This is called "Extended
  612.                  Mode"  Level 1 will produce warning messages
  613.                  even if all the conditions specified in level 0
  614.                  are not met.  To use LEVEL 1 scanning, use the
  615.                  /MODE=1 parameter.
  616.  
  617.                  For instance, if F/WIN finds a WordBasic "Kill"
  618.                  command (deletes files) in an execute-only macro
  619.                  called "AutoOpen", at this level of scanning, it
  620.                  will produce a warning message that says:
  621.  
  622.                  "Might contain suspicious macros"
  623.  
  624.                  This message will appear only in level 1 or 2
  625.                  scanning. The "Extended Mode" might cause more
  626.                  false positives than the standard scanning mode.
  627.  
  628.  
  629.        LEVEL 2:  Level 2 detection does everything Level 1 does,
  630.                  and MORE.  Use the /MODE=2 or /PARANOID
  631.                  parameter to get the most comprehensive scanning
  632.                  F/WIN can deliver.
  633.  
  634.                  For example, a template called "VIRUS.DOC" with
  635.                  a macro "Harmless" which contains a single
  636.                  KILL will be flagged by F/WIN if you use the
  637.                  Paranoid mode.  In general, F/WIN needs much
  638.                  less criteria to flag a document as being
  639.                  suspicious.  Especially very simple macro
  640.                  trojans can only be detected in this mode but it
  641.                  will also cause much more false positives than
  642.                  the Normal or Standard scanning.
  643.  
  644.        If you're not sure which level to use, start with the
  645.        highest level, and work your way backwards if you get a
  646.        lot of false alarms.  For instance:
  647.  
  648.        1.  Start by using /PARANOID or /MODE=2.  If you get too
  649.            many false alarms, then:
  650.  
  651.        2.  Use /MODE=1 or /EXTENDED.  If you still get too many
  652.            false alarms, then:
  653.  
  654.        3.  Run F/WIN without specifying either the /MODE=n,
  655.            /EXTENDED or /PARANOID commands.
  656.  
  657.  
  658.  
  659.        The syntax for F/WIN is as follows.  Parameters enclosed
  660.        in [ ]'s are optional:
  661.  
  662.        FWIN path [/?] [/H]     [/DOC]        [/REPORT=Name]
  663.  
  664.                  [/EXTENDED]   [/PARANOID]   [/MODE=n]
  665.  
  666.                  [/RENAMEALL]  [/WIPEALL]    [/CLEANALL]
  667.  
  668.                  [/IGNOREALL]  [/MOVE=directory]  [/TROJAN]
  669.  
  670.  
  671.           path        The directory and all of its
  672.                       sub-directories to be scanned.  Specify
  673.                       just the drive name if the entire drive is
  674.                       to be scanned.  Wild-cards in the dataset
  675.                       name are not allowed.  You may specify
  676.                       only one drive or path name at a time.
  677.                       CD-ROM drives names may also be specified.
  678.                       F/WIN accepts Windows 95 long file name
  679.                       paths, but keep in mind that the DOS
  680.                       command-line only can handle 128 chars.
  681.                       Path names with spaces must be enclosed in
  682.                       quotation marks.
  683.  
  684.           /? or /H    Will display a short help screen.
  685.  
  686.           /DOC        F/WIN scans only .DOC and .DOT files.  The
  687.                       default is to scan ALL files. This will
  688.                       increase the scan speed, but F/WIN will
  689.                       only detect macro viruses with this option
  690.                       enabled.
  691.  
  692.           /REPORT=... The path and file name for a text file
  693.                       that contains a report of the files that
  694.                       F/WIN checked. The report option is only
  695.                       available in the registered version.
  696.                       For instance:  /REPORT=C:\FWINCDRV.RPT.
  697.  
  698.           /MODE=n     Enables the advanced scanning modes.
  699.                       n = 1 : Extended mode.  This is the same as
  700.                               using the /EXTENDED parameter.
  701.                       n = 2 : Paranoid.  This is the same as
  702.                               using the /PARANOID parameter.
  703.  
  704.           /EXTENDED   By default, F/WIN checks macros carefully
  705.                       and will try to minimize the chance of
  706.                       false positives.  However, this keeps F/WIN
  707.                       from detecting some trojan macros.  If you
  708.                       enable the extended mode, F/WIN will also
  709.                       report documents which contain suspicious
  710.                       macros but doesn't seem to contain a
  711.                       complete macro virus or trojan.  /EXTENDED
  712.                       is equal to /MODE=1 and only available in
  713.                       the registered version.
  714.  
  715.  
  716.           /PARANOID   By default, F/WIN checks macros carefully
  717.                       and will try to minimize the chance of
  718.                       false positives.  However, this keeps F/WIN
  719.                       from detecting some trojan macros.  If you
  720.                       enable the paranoid mode, F/WIN will also
  721.                       report macros which are only partially
  722.                       suspicious but will also report more false
  723.                       positives.  /PARANOID and /MODE=2 perform
  724.                       exactly the same functions.  The /PARANOID
  725.                       parameter was included because it might be
  726.                       easier for some users to remember than
  727.                       /MODE=2.  If you don't use Word macros at
  728.                       all, /PARANOID or /MODE=2 is a very good
  729.                       choice.
  730.  
  731.           /RENAMEALL  F/WIN renames all suspicious files it
  732.                       detects without prompting for user input.
  733.  
  734.           /CLEANALL   By default, F/WIN prompts for what action
  735.                       to take on an infected file as it
  736.                       encounters each one.  This switch tells
  737.                       F/WIN to not prompt for action on each
  738.                       file, but instead, to go ahead and remove
  739.                       the virus from all infected files using the
  740.                       "CLEAN" method.  "Clean" is a deep
  741.                       cleaning.  In additional to writing over
  742.                       the macro definition list, it also writes
  743.                       over the virus code itself.  Because of
  744.                       internal fragmentation in Word templates,
  745.                       clean will sometimes not clean the document
  746.                       properly leaving it unreadable, or locking
  747.                       your PC up when trying to access the
  748.                       document after the clean.  However, a
  749.                       backup of all cleaned files are made, so
  750.                       you can try the WIPE disinfect method
  751.                       instead if the CLEAN method fails (after
  752.                       restoring the document from the backup).
  753.                       Most likely, F/WIN by itself will detect
  754.                       that a file can't be cleaned with the
  755.                       "CLEAN" option and will report the message
  756.                       "This file can not be cleaned safely!".
  757.  
  758.                       If this option is used, you MUST also use
  759.                       the /REPORT= option.  /CLEANALL Can't be
  760.                       used with /RENAMEALL or /WIPEALL.
  761.  
  762.           /WIPEALL    By default, F/WIN prompts for what action
  763.                       to take on an infected file as it
  764.                       encounters each one.  This switch tells
  765.                       F/WIN to not prompt for action on each
  766.                       file, but instead, to go ahead and remove
  767.                       the virus from all infected files using the
  768.                       "WIPE" method.  "Wipe" is a shallow
  769.                       cleaning.  In simply writes over the
  770.                       the macro name and offset list.  It does
  771.                       not write over the virus code itself like
  772.                       CLEAN does.  However, Word will never
  773.                       be able to access the virus code again
  774.                       using this cleaning method, so it is quite
  775.                       effective.  Since /WIPEALL only wipes the
  776.                       macro name and offset list, it is far less
  777.                       susceptible to damaging documents it
  778.                       disinfects.  As a result, it is only on
  779.                       very rare occasions that F/WIN damages
  780.                       templates it cleans this way.  /WIPEALL
  781.                       makes a backup copy of all modified files.
  782.  
  783.                       If this option is used, you MUST also use
  784.                       the /REPORT= option.  /WIPEALL Can't be
  785.                       used with /RENAMEALL or /CLEANALL.
  786.  
  787.           /IGNOREALL  Like /RENAMEALL, /WIPEALL and /CLEANALL,
  788.                       F/WIN will not stop and prompt for user
  789.                       input if it detects suspicious files. When
  790.                       you use /IGNOREALL, the suspicious files
  791.                       will stay untouched. /IGNOREALL can only
  792.                       be used with /REPORT and can be
  793.                       used in DOS batch files.  Using /IGNOREALL
  794.                       has the same affect as choosing the (Skip
  795.                       all) feature.
  796.  
  797.           /MOVE=      When F/WIN removes any virus or trojan
  798.                       it first makes a backup copy of the
  799.                       infected file.  By default, F/WIN makes the
  800.                       backup copy in the same directory as the
  801.                       file from which the virus/trojan was
  802.                       removed.  For instance, if F/WIN cleaned a
  803.                       file in C:\WINWORD\INFECTED.DOC, it would,
  804.                       by default, make a backup file called
  805.                       C:\WINWORD\INFECTED.VIR.  Also, if a file
  806.                       is too fragmented for F/WIN to clean it
  807.                       safely, F/WIN just leaves the file right
  808.                       where it is (it produces a message saying
  809.                       it can't clean the file).
  810.  
  811.                       When the /MOVE= parameter is used, it
  812.                       allows the user to specify what directory
  813.                       backup files, and files that couldn't be
  814.                       cleaned appear in.  F/WIN creates two sub-
  815.                       directories under the directory specified
  816.                       in the /MOVE= parameter.  For instance,
  817.                       assume that the user wants to put all
  818.                       backup files into a directory called
  819.                       C:\FWINBKUP.  Here's how the parameter
  820.                       would be coded:
  821.  
  822.                       /MOVE=C:\FWINBKUP
  823.  
  824.                       F/WIN would then create to additional
  825.                       sub-directories under that one.  One would
  826.                       be called \BACKUP and the other \DAMAGE.
  827.                       Using this same example, this is what F/WIN
  828.                       would create:
  829.  
  830.                       C:\FWINBKUP\BACKUP  (backups of files that
  831.                                            F/WIN was able to
  832.                                            clean)
  833.  
  834.                       C:\FWINBKUP\DAMAGE  (original files that
  835.                                            F/WIN was NOT able to
  836.                                            clean.  They literally
  837.                                            were moved to this
  838.                                            directory, not just
  839.                                            copied).
  840.  
  841.  
  842.           /TROJAN=    By default, F/WIN will NOT check for
  843.                       trojans, only viruses.  This is to help
  844.                       reduce the possibility of false positives.
  845.                       When /TROJAN is specified, F/WIN will
  846.                       notify users of possible harmful trojans as
  847.                       well as viruses.  How sensitive F/WIN is to
  848.                       detecting trojans depends on which
  849.                       additional parameters are used.
  850.                       Currently, there are no macro trojans
  851.                       reported in the wild.
  852.  
  853.                       Level 0 sensitivity (lowest):  /EXTENDED,
  854.                           /MODE and /PARANOID NOT used.
  855.  
  856.                       Level 1 sensitivity (medium):   /EXTENDED
  857.                            or /MODE=1 also specified.
  858.  
  859.                       Level 2 sensitivity (maximum):  /PARANOID
  860.                            or /MODE=2 also specified.
  861.  
  862.  
  863.  
  864.     When using F/WIN in a DOS Batch file, it will return the
  865.     following error levels that can be checked in a DOS batch
  866.     file:
  867.  
  868.  
  869.             0   -   F/WIN finished the scan without finding
  870.                     suspicious files.
  871.             1   -   F/WIN detected suspicious files during the
  872.                     scan process.
  873.           252   -   The evaluation version has expired.  This
  874.                     message is referring to the fully-functional
  875.                     evaluation copy, not the partially functional
  876.                     shareware version.
  877.           253   -   A wrong scan drive or path specified.
  878.           254   -   An wrong command-line parameter was specified
  879.           255   -   F/WIN found a companion virus which has
  880.                     infected F/WIN.EXE.
  881.  
  882.  
  883.        Here are some examples of how to execute F/WIN:
  884.  
  885.           FWIN D:
  886.  
  887.             (scans the entire D: drive)
  888.  
  889.  
  890.           FWIN "C:\MSOffice\WinWord\Template\My templates"
  891.  
  892.             (Scan the "My templates" subdirectory and all
  893.              directories below it.  Note that the parameters
  894.              passed to FWIN had to be enclosed in quotes
  895.              in this case because of the space that appears
  896.              between "My" and "templates")
  897.  
  898.  
  899.           FWIN A:\ /REPORT=C:\FWIN.RPT
  900.  
  901.             (scans the entire A: drive, and puts a report of
  902.              what it found into the file C:/FWIN.RPT)
  903.  
  904.  
  905.           FWIN D:\ /REPORT=A:\FWIN.RPT /PARANOID /DOC
  906.  
  907.             (scans the entire D: drive, and puts a report of
  908.              what it found in A:/FWIN.RPT, and checks ONLY
  909.              macros in files that end in .DOC or .DOT)
  910.  
  911.  
  912.           FWIN C:\ /REPORT=A:\FWIN.RPT /MODE=2 /CLEANALL
  913.  
  914.             (scans the entire C: drive in the Paranoid mode and
  915.              puts a report of what it found in A:/FWIN.RPT, and
  916.              cleans all files infected with Word macro viruses
  917.              or trojans.)
  918.  
  919.  
  920.           FWIN C:\ /REPORT=C:\FWIN.RPT /MODE=1 /WIPEALL
  921.  
  922.             (scans the entire C: drive, and puts a report of
  923.              what it found in C:/FWIN.RPT, and wipes the macro
  924.              definition list from all files infected with Word
  925.              macro viruses or trojans that satisfy the /MODE=1
  926.              search criteria.  Also makes a backup copy of all
  927.              disinfected files.)
  928.  
  929.  
  930.           FWIN
  931.  
  932.             (F/WIN will prompt for which drive to scan.  Just
  933.              enter the letter of the drive (don't add a ':'
  934.              after it).  It also produces the same help
  935.              information that's listed when the /H or /?
  936.              parameters are used.
  937.  
  938.  
  939.           FWIN  /?
  940.  
  941.             (F/WIN displays help information)
  942.  
  943.  
  944.           FWIN C:\*.DOC
  945.  
  946.             (will NOT work; wildcards are not valid)
  947.  
  948.  
  949.  
  950.           FWIN C: /REPORT=C:\FWIN_C.RPT /IGNOREALL
  951.  
  952.             (Scan the C: drive, and put the results of the scan
  953.             in a file called FWIN_C.RPT on the C: drive root
  954.             directory.  F/WIN doesn't stop scanning for any
  955.             viruses found (/IGNOREALL), just keeps scanning and
  956.             only reports what is found.
  957.  
  958.  
  959.  
  960.  
  961. 2.2    From Windows 3.x
  962. -----------------------------------------------------------------
  963.  
  964.        Option #1:   Click on the "MS-DOS PROMPT" icon in the
  965.                     "MAIN" window and follow the previous
  966.                     instructions for running from a DOS prompt.
  967.  
  968.        Option #2:   On the PROGRAM MANAGER screen, click on
  969.                     "FILE", then on "RUN".  Point to where FWIN
  970.                     is stored, then add the appropriate parms to
  971.                     run it the way you want it to.  For instance,
  972.                     in the box that says "COMMAND LINE", you
  973.                     would enter:  "C:\FWIN C:" to scan the C:
  974.                     drive, assuming that FWIN was being stored
  975.                     in the root directory of the C: drive.
  976.  
  977.  
  978.        In either of the above two options, F/WIN will prompt you
  979.        for the path to scan if it isn't specified.
  980.  
  981.  
  982.  
  983. 2.3    From Windows '95
  984. -----------------------------------------------------------------
  985.  
  986.        Option #1:   Run it from DOS.  There are three ways to get
  987.                     to it.
  988.  
  989.        First way:   Click on "START"
  990.                     Click on "RUN"
  991.                     Key in the appropriate FWIN command.  Use
  992.                     the previous instructions for running F-
  993.                     WIN in DOS.  For instance, enter:
  994.                     C:\FWIN A:   to scan the A: drive.
  995.                     Click on "OK"
  996.  
  997.        Second way:  Click on "START"
  998.                     Click on "PROGRAMS"
  999.                     Click on "MS-DOS PROMPT"
  1000.                     Key in the appropriate FWIN command.  Use
  1001.                     the previous instructions for running F-
  1002.                     WIN in DOS.  For instance, enter:
  1003.                     C:\FWIN A:   to scan the A: drive.
  1004.  
  1005.        Third way:   Click on "START"
  1006.                     Click on "PROGRAMS"
  1007.                     Click on "MAIN"
  1008.                     Click on "MS-DOS PROMPT"
  1009.                     Key in the appropriate FWIN command.  Use
  1010.                     the previous instructions for running F-
  1011.                     WIN in DOS.  For instance, enter:
  1012.                     C:\FWIN A:   to scan the A: drive.
  1013.  
  1014.  
  1015.        You may also set up icons to run FWIN with from the
  1016.        Windows 95 Menu.  In these example below, FWIN will scan
  1017.        the A: drive:
  1018.  
  1019.        Copy FWIN.EXE into whatever directory you want to run it
  1020.             from.  In this example, it is run from the C:\
  1021.             directory.
  1022.        Click on "START"
  1023.        Click on "SETTINGS"
  1024.        Click on "TASKBAR"
  1025.        Click on "START MENU PROGRAMS"
  1026.        Click on "ADD"
  1027.        Key in "C:\FWIN.EXE A:" in the box labeled "Command
  1028.             Line", then press ENTER
  1029.        Click on "NEXT"
  1030.        Key in "FWIN (scan A drive)" in the box labeled "Select
  1031.             a name for the shortcut", then press ENTER
  1032.        Click on the icon of your choice, or use the FWIN.ICO
  1033.            file that came with F/WIN.
  1034.        Click on "FINISH", then "OK"
  1035.  
  1036.        To run what you just set up:
  1037.  
  1038.        Click on "START"
  1039.        Click on "PROGRAMS"
  1040.        Click on "FWIN (scan A drive)"
  1041.  
  1042.  
  1043. 2.4    From OS/2 Warp
  1044. -----------------------------------------------------------------
  1045.  
  1046.        Open an OS/2 DOS window.  Then execute F/WIN exactly the
  1047.        same way you would as if you were running it in DOS.
  1048.  
  1049.  
  1050.  
  1051. 2.5    Choices F/WIN provides when a suspected virus is
  1052.        found
  1053. -----------------------------------------------------------------
  1054.  
  1055.        If F/WIN detected a suspicious files, it will stop
  1056.        scanning and display some messages.  At the bottom of this
  1057.        text you will get a display similar to the examples below:
  1058.  
  1059.        This file has suspicious structures! (32 bit virus?)
  1060.        Rename file? [Y]es, [N]o, [A]ll, [S]kip all :
  1061.  
  1062.        This document has suspicious structures or contents:
  1063.        Rename file? [Y]es, [N]o, Rename [A]ll, [C]lean file,
  1064.                     [W]ipe macro names, [S]kip all :
  1065.  
  1066.        You choose options by pressing the letter enclosed in
  1067.        brackets (F/WIN will display this chars in another color).
  1068.  
  1069.        The options explained in detail:
  1070.  
  1071.        - (Rename file) [Y]es:
  1072.          F/WIN will rename this document to another file
  1073.          extension (.VIR, VI1, etc.) and will continue the
  1074.          search.  The contents of the reported file are not
  1075.          changed.
  1076.  
  1077.        - (Rename file) [N]o:
  1078.          F/WIN will do nothing with the reported file and will
  1079.          continue the search normally.
  1080.  
  1081.        - (Rename) [A]ll:
  1082.          This and all further suspicious files will be renamed
  1083.          to a .VIR extension.  F/WIN will not stop and prompt if
  1084.          it detects further files with suspicious contents.
  1085.          (F/WIN will rename both macro and Windows EXE viruses)
  1086.  
  1087.        - [S]kip all:
  1088.          The search will be continued and F/WIN will not
  1089.          interrupt again if it finds suspicious files.  All
  1090.          suspicious files will remain unchanged.  This feature
  1091.          may not be very helpful unless you also use the
  1092.          /REPORT option.
  1093.  
  1094.        - [C]lean:
  1095.  
  1096.          Macro viruses:
  1097.  
  1098.          F/WIN will try to clean the reported file with the
  1099.          full cleaning method.  Before starting the cleaning
  1100.          process, it will create a backup of the target file.
  1101.          The cleaning process will get aborted if F/WIN can't
  1102.          create the backup file.  All macros are removed from
  1103.          the template, not just the virus macros!
  1104.  
  1105.          Windows 3.x (NE-EXE) viruses:
  1106.          F/WIN will try to clean the reported file by searching
  1107.          the original entry point in the virus code. The virus
  1108.          code will be removed completely by F/WIN. If the virus
  1109.          can't be cleaned, F/WIN will report "This file can not
  1110.          be cleaned safely".
  1111.  
  1112.        - [W]ipe macro names:
  1113.          Like the full cleaning option, F/WIN will create a
  1114.          backup before trying to modify a file.  Removing
  1115.          just the macro name and offset list from a document is
  1116.          much safer than CLEAN and you should use this option if
  1117.          you encounter problems with the full cleaning.  All
  1118.          macros are removed from the template, not only the
  1119.          virus macros.  This option is not available for
  1120.          Windows EXE viruses.
  1121.  
  1122.  
  1123.  
  1124. 2.6    Situations in which FWIN should  N-O-T be run
  1125. -----------------------------------------------------------------
  1126.  
  1127.        If you suspect that a DOS, Windows 95 or OS/2 virus is
  1128.        memory resident, do N-O-T run F/WIN until you are
  1129.        confident that the virus is no longer memory resident.
  1130.        If a virus is memory resident, and it's a "fast infector",
  1131.        running F/WIN can cause it to infect every executable file
  1132.        it's capable of infecting during F/WIN's scan.  F/WIN is
  1133.        not a full-blown scanner that can check to see if DOS and
  1134.        Windows viruses are resident in memory.  It is a
  1135.        specialized scanner that supplements the regular scanner
  1136.        you already have.  Use your regular scanner to make sure
  1137.        there are no memory resident viruses before running F/WIN
  1138.        or better yet, boot from a clean system disk.
  1139.  
  1140.        These precautions are only necessary against resident DOS,
  1141.        Windows 95 or OS/2 file or boot sector viruses.  Macro
  1142.        viruses are 'resident' too, but don't directly interfere
  1143.        with a running of those three operating systems programs.
  1144.  
  1145.  
  1146.  
  1147. 3.0      HOW TO ORDER A REGISTERED VERSION OF FWIN
  1148. =================================================================
  1149.  
  1150.  
  1151. 3.1  Extras in the registered version
  1152.  
  1153.        The following extra features will appear in the registered
  1154.        version that aren't active in the shareware version.
  1155.  
  1156.         a)  Cleaning of all files will be activated (not just
  1157.             NORMAL.DOT).
  1158.         b)  /REPORT switch will be activated
  1159.         c)  /MODE and /PARANOID switches will be activated
  1160.         d)  /CLEANALL and /WIPEALL will be activated
  1161.  
  1162.  
  1163. 3.2  In Germany
  1164.  
  1165.        Orders can be submitted using e-mail or normal way. Please
  1166.        fill in the file REGISTER.TXT and send it to:
  1167.  
  1168.        Stefan Kurtzhals
  1169.        Dörrenberg 42
  1170.        42899 Remscheid
  1171.        Germany
  1172.        E-Mail: kurtzhal@wrcs3.urz.uni-wuppertal.de
  1173.  
  1174.        The registered version will be sent either on a 3,5" disk
  1175.        or by PGP encrypted E-Mail.  Please don't forget to add
  1176.        your public PGP key if you want to receive the registered
  1177.        version by E-Mail!  You will receive a PKZIP archive which
  1178.        will contain the latest version of F/WIN and a personal
  1179.        key file.
  1180.  
  1181.        The latest German shareware version of F/WIN can be
  1182.        downloaded from:
  1183.  
  1184.        - HTTP://WWW.GEN.COM/FWIN
  1185.        - HTTP://WWW.CYBERBOX.NORTH.DE
  1186.        - CYBERBOX BBS (V32b: 0441-3990032, V34: 0441-3990033,
  1187.          ISDN: 0441-9396977)
  1188.        - VHM II BBS (V34/ISDN: 08638-881108)
  1189.  
  1190.  
  1191. 3.3  In the United States
  1192.  
  1193.  
  1194.                     PAYING FOR THE REGISTERED VERSION
  1195.                     ---------------------------------
  1196.  
  1197.        Print and fill out the file ORDER.TXT, then mail to:
  1198.  
  1199.            Computer Virus Solutions
  1200.            Order Processing
  1201.            P.O. Box 30802
  1202.            Gahanna, Ohio  43230
  1203.            United States of America
  1204.  
  1205.            Please include a check or money-order payable to:
  1206.  
  1207.            "COMPUTER VIRUS SOLUTIONS"
  1208.  
  1209.            At this time, we are not yet set up to accept credit
  1210.            card orders, but we should be in the future.
  1211.  
  1212.            When we are able to accept credit card orders, there
  1213.            will also be a dedicated fax line to place your orders
  1214.            by fax.  We are hoping to have that available in the
  1215.            middle to end of March, 1996.  Watch our WWW site for
  1216.            news about this.
  1217.  
  1218.  
  1219.                  HOW TO RECEIVE THE SOFTWARE AND KEY FILE
  1220.                  ----------------------------------------
  1221.  
  1222.                               Option #1
  1223.                               ---------
  1224.  
  1225.       Download the shareware version from an FTP site.
  1226.       After receiving your payment by mail, we'll send you
  1227.       your unique key file which turns the shareware version
  1228.       into the registered version.  You may receive your key
  1229.       file in any of the following ways:
  1230.  
  1231.            a.  By mail on a floppy diskette.
  1232.            b.  By e-mail as a PGP encrypted binary file
  1233.                attachment (make sure you're e-mail system allows
  1234.                this)
  1235.            c.  A UUENCODE'd e-mail message (must be PGP
  1236.                encrypted, though)
  1237.            d.  A PGP ASCII file sent in an e-mail message
  1238.            e.  PKZIP password protected file that's been
  1239.                UUENCODED.
  1240.  
  1241.       If you wish to receive your key file by e-mail, you
  1242.       must make sure to send us your PGP public key.  We
  1243.       will not send an unencrypted key file through the
  1244.       internet.
  1245.  
  1246.       With the exception of the diskette option, the file
  1247.       you'll receive will a self-extracting PKZIP compressed
  1248.       file.
  1249.  
  1250.  
  1251.                              Option #2
  1252.                              ---------
  1253.  
  1254.        2.  All software sent on a diskette.
  1255.  
  1256.  
  1257.  
  1258.                           Getting Updates
  1259.                           ---------------
  1260.  
  1261.       Updates (which is the shareware version) can be downloaded
  1262.       from the following web sites (see below).  As long as you
  1263.       have a valid, legal FWIN.KEY file, you can download the
  1264.       "shareware" versions from these sites to upgrade your copy
  1265.       of F/WIN.
  1266.  
  1267.       The FWIN.EXE file by itself is the "shareware" version.
  1268.       When FWIN.EXE and FWIN.KEY are used together, collectively
  1269.       they make up the fully-functional "registered" version.
  1270.       Here's how this works.  When you run F/WIN Anti-Virus, the
  1271.       FWIN.EXE program looks to see if a valid FWIN.KEY file
  1272.       exists where it expects it to be.  If FWIN.KEY is missing,
  1273.       FWIN.EXE is programmed to avoid activating some features.
  1274.       If a valid FWIN.KEY is found, then FWIN.EXE will activate
  1275.       all of its features.  So you can keep downloading updated
  1276.       shareware versions, and have the most up-to-date
  1277.       registered version as well because of your FWIN.KEY file.
  1278.  
  1279.       See the price list in the ordering files for what it costs
  1280.       to receive update diskettes by mail 4 times a year.
  1281.  
  1282.       We also have an auto-responder set up that will allow you
  1283.       to send an e-mail message (with nothing in the subject or
  1284.       message; a completely blank message) to our WWW site, and
  1285.       have it automatically send you back through e-mail a
  1286.       UUENCODE'd version of the latest shareware release.  This
  1287.       will allow anyone with internet e-mail access to get their
  1288.       updates (and the original shareware version) by e-mail, so
  1289.       long as they have UUDECODE software to decode it.  To get
  1290.       the latest version of F/WIN Anti-Virus by e-mail, send a
  1291.       message (with nothing in the Subject line or body of the
  1292.       message) to:
  1293.  
  1294.       EVALUATE@FWIN.GEN.COM
  1295.  
  1296.       If you don't currently have UUDECODE, it is available at
  1297.       many FTP sites on the Internet.  Our web page also contains
  1298.       the DOS and Windows version of UUENCODE/UUDECODE for you to
  1299.       download.  Here's how to get to our web page:
  1300.  
  1301.        HTTP://WWW.GEN.COM/FWIN
  1302.  
  1303.        The shareware version may also be downloaded from:
  1304.  
  1305.        http://www.valleynet.com/~joe
  1306.  
  1307.        F/WIN may also be downloaded from any of the various
  1308.        SimTel FTP sites around the world.
  1309.  
  1310.  
  1311. 3.4  In other countries
  1312.  
  1313.      For ordering the German version, contact Stefan Kurtzhals
  1314.      for purchasing instructions.  All others please contact Gary
  1315.      Martin.  Both can be contacted by e-mail through our web
  1316.      page specified above.
  1317.  
  1318.  
  1319.  
  1320. 4.0      WINDOWS EXE VIRUSES
  1321. =================================================================
  1322.  
  1323.  
  1324. 4.1.   For NON-Technical readers
  1325. -----------------------------------------------------------------
  1326.  
  1327.        Until recently, {windows viruses} were very rare and
  1328.        primitive. In most cases they just converted the Windows
  1329.        executable format {NE-EXE} into normal {DOS-EXE} or used
  1330.        {companion style infection} and didn't change the programs
  1331.        at all.  Furthermore, they all were {non-resident}
  1332.        {direct action} infectors which never spread very far.
  1333.        Viruses like {WinVir14} were to clumsy to escape into the
  1334.        {wild} and remained pure research viruses.
  1335.  
  1336.        But the situation changed after an underground virus
  1337.        magazine published the source code for a virus called
  1338.        {Winsurfer}. <Winsurfer> used a new {infection scheme} for
  1339.        infecting NE-EXE files. It was the first virus which was
  1340.        able to infect NE-EXE in a proper way without converting
  1341.        the program in DOS-EXE or by just creating companions.
  1342.        The new infection scheme is much less noticeable than the
  1343.        previous ones because it only changes a very small part
  1344.        of the {program header} and leaves the program still
  1345.        executable.
  1346.  
  1347.        Also, <Winsurfer> (and especially <Ph33r>) stay {resident}
  1348.        using the {DPMI API}. This gives them a much higher
  1349.        infection rate than the older direct action viruses.
  1350.        (<Ph33r> is a partial {fast infector})
  1351.  
  1352.        Because this infection scheme is so clearly superior and
  1353.        additionally being published widely, it's very likely that
  1354.        more viruses will appear which copy this special method
  1355.        of infecting files.
  1356.  
  1357.        Windows 95 programs (32 bit EXE) have a new format,
  1358.        PE-EXE. The viruses that use the NE-EXE infection scheme
  1359.        don't infect this format, but as there are still some
  1360.        NE-EXE (16 bit EXE) left in Windows 95 or the user still
  1361.        uses old Windows programs, the viruses will still spread
  1362.        under Windows 95. Also, <Ph33r> infects DOS programs such
  1363.        as COMMAND.COM or WIN.COM beside infecting Windows EXE.
  1364.  
  1365.        The same underground virus writer group which created
  1366.        <Winsurfer> and <Ph33r> also managed to write a PE-EXE
  1367.        virus for Windows 95 executables. This virus is still
  1368.        quite clumsy (it's again just a direct action virus), but
  1369.        surely there will soon follow more complex viruses as the
  1370.        virus source was again published by the authors.
  1371.  
  1372.  
  1373. 4.1.1  F/WIN's detection of Windows EXE viruses
  1374. -----------------------------------------------------------------
  1375.  
  1376.        F/WIN detects Windows EXE viruses by analyzing the NE-EXE
  1377.        and PE-EXE header of a file. The known Windows EXE viruses
  1378.        modify this header to an very unusual structure which can
  1379.        be detected by F/WIN. F/WIN does not check the program
  1380.        code which seems suspicious, and it will detect normal or
  1381.        variable encrypted {polymorphic} viruses because of this.
  1382.  
  1383.  
  1384. 4.2.   For Technical readers
  1385. -----------------------------------------------------------------
  1386.  
  1387.        Until recently, windows viruses were very rare and
  1388.        primitive. In most cases they just converted the Windows
  1389.        executable format NE-EXE into normal DOS-EXE or use
  1390.        companion style infection and didn't change the programs
  1391.        at all.  Furthermore, they all were non-resident direct
  1392.        action infectors which never spread very far.  Viruses
  1393.        like WinVir14 were to clumsy to escape into the wild and
  1394.        remained pure research viruses.
  1395.  
  1396.        But the situation changed after an underground virus
  1397.        magazine published the source code for a virus called
  1398.        <Winsurfer>. <Winsurfer> used a new infection scheme for
  1399.        infecting NE-EXE files. It was the first virus which
  1400.        was able to infect NE-EXE in a proper way without
  1401.        converting the program in DOS-EXE or by just creating
  1402.        companions. The new infection scheme is much less
  1403.        noticeable than the previous ones because it only
  1404.        changes a very small part of the program header and
  1405.        leaves the program still executable.
  1406.  
  1407.        In detail, the virus moves the NE header 8 bytes in order
  1408.        to get a free slot for a new segment entry which now
  1409.        points to the virus code. The virus code will then be
  1410.        added to the end of the file, storing the original entry
  1411.        point in a relocator entry behind the virus code.
  1412.  
  1413.        Also, <Winsurfer> (and especially <Ph33r>) stay resident
  1414.        using the DPMI API. This gives them a much higher
  1415.        infection rate than the older direct action viruses.
  1416.        (<Ph33r> is a partial fast infector)
  1417.  
  1418.        Because this infection scheme is so clearly superior and
  1419.        additionally being published widely it's very likely that
  1420.        more viruses will appear which copy this special method
  1421.        of infecting files.
  1422.  
  1423.        Windows 95 programs (32 bit EXE) have a new format,
  1424.        PE-EXE. The viruses that use the NE-EXE infection scheme
  1425.        don't infect this format, but as there are still some
  1426.        NE-EXE (16 bit EXE) left in Windows 95 or the user still
  1427.        uses old Windows programs, the viruses will still spread
  1428.        under Windows 95. Also, <Ph33r> infects DOS programs such
  1429.        as COMMAND.COM or WIN.COM beside infecting Windows EXE.
  1430.  
  1431.        The same underground virus writer group which created
  1432.        <Winsurfer> and <Ph33r> now also managed to write a PE-EXE
  1433.        virus for Windows 95 executables. This virus is still
  1434.        quite clumsy (it's again just a direct action virus), but
  1435.        surely there will soon follow more complex viruses as the
  1436.        virus source was again published by the authors.
  1437.        Actually, the virus is written for operating systems which
  1438.        support the Win32 API. At the moment, Win32 is supported
  1439.        by Windows (Win32s), Windows 95 and Windows NT.
  1440.  
  1441.        <PE.Boza> increases the amount of segments, changes the
  1442.        IP RVA to the new virus entry point, adds a new segment
  1443.        to the segment list (the new segment is named .vlad) and
  1444.        add the virus code at the end of the file.
  1445.  
  1446.  
  1447. 4.1.1  F/WIN's detection of Windows EXE viruses
  1448. -----------------------------------------------------------------
  1449.  
  1450.        F/WIN detects Windows EXE viruses by analyzing the NE-EXE
  1451.        and PE-EXE header of a file. The known Windows EXE viruses
  1452.        modify this header to an very unusual structure which can
  1453.        be detected by F/WIN. Usually, they add strange segments
  1454.        which have no valid code segment flags set. F/WIN does not
  1455.        scan into these suspicious code segments, because there
  1456.        are yet too few Windows EXE viruses to derive a good code
  1457.        heuristic from them. Because F/WIN doesn't check the code
  1458.        of the virus, it is able to detect any unencrypted or
  1459.        polymorphic virus which use the <Winsurfer> or <Boza>
  1460.        infection schemes.
  1461.  
  1462.  
  1463.  
  1464. 5.0    MACRO VIRUSES
  1465. =================================================================
  1466.  
  1467. 5.1  What they are
  1468. -----------------------------------------------------------------
  1469.  
  1470.      Macro viruses which infects documents are fairly new. In the
  1471.      case of Microsoft Word templates, they use the built-in
  1472.      macro language called WordBasic.  Other products like Excel,
  1473.      Word Perfect, etc. have their own built-in macro languages
  1474.      similar in function to WordBasic.
  1475.  
  1476.      Winword Macro viruses copy themselves into the global macro
  1477.      template and convert user documents into macro templates
  1478.      when the document is saved and infected.  Also, the viruses
  1479.      use auto macros that are executed by WinWord automatically
  1480.      when for example a file is opened, saved or closed.
  1481.      Microsoft Word also allows execute-only macros which means
  1482.      that the user can't read the macro definition anymore, a
  1483.      feature which is used by most of the macro viruses.
  1484.  
  1485.  
  1486. 5.2  History of
  1487. -----------------------------------------------------------------
  1488.  
  1489.      The idea of macro viruses by itself isn't new at all.
  1490.      In 1994 an example macro virus (<Winword.DMV>) was
  1491.      done to show the dangers of macro languages.  This virus
  1492.      is a pure demonstration virus and was never spread.
  1493.      The first macro virus that escaped into the wild was
  1494.      <Winword.Concept>, which was released in 1995.  Shortly
  1495.      after <Concept> other macro viruses where done, such as
  1496.      <Nuclear> and <Colors>.  For more information about the
  1497.      known macro viruses to-date, use your web browser to link
  1498.      to:
  1499.  
  1500.      http://www.bocklabs.wisc.edu/~janda/macro_faq.html
  1501.  
  1502.  
  1503. 5.3  Why they pose such a great threat to your data
  1504. -----------------------------------------------------------------
  1505.  
  1506.      There are two major reasons why macro viruses in general
  1507.      pose such a great potential threat to your data.
  1508.  
  1509.      First, macro languages like WordBasic (the macro language of
  1510.      Microsoft Word) are easy to learn.  What keeps most people
  1511.      with bad intentions from writing DOS viruses is that DOS
  1512.      viruses are usually written in Assembler which is quite
  1513.      difficult to learn.  But macro languages like WordBasic are
  1514.      significantly easier to learn and write viruses with than
  1515.      Assembler is.  Coding examples for writing macro viruses can
  1516.      be found on the Internet.
  1517.  
  1518.      If your business uses one of the Microsoft Word templates
  1519.      that have been designed to intercept and remove viruses,
  1520.      then you have provided an excellent coding example to your
  1521.      employees for coding a WordBasic virus.  Parts of those
  1522.      templates can be easily copied and modified to become
  1523.      destructive virus code.  And the help screens that are
  1524.      available for WordBasic are plentiful.  It would probably
  1525.      take the average programmer less than 10 hours to start with
  1526.      one of these anti-virus templates, and make a fully
  1527.      functional virus with highly destructive capabilities from
  1528.      it.  The potential for data loss from a disgruntled employee
  1529.      is high if someone made a decision to attack your company in
  1530.      this manner.
  1531.  
  1532.      The second reason the risk is so high is that most virus
  1533.      scanners to-date only check for known macro viruses.  They
  1534.      are not capable of detecting unknown ones, or if they do,
  1535.      they can misidentify what they've found.  So if someone
  1536.      did plant a new virus that they just wrote in your business,
  1537.      you may not find it until it's too late.  And it is very
  1538.      easy to create a 'new' undetectable virus by just inserting
  1539.      spaces and carriage returns into the macro code of a known
  1540.      virus.
  1541.  
  1542.      F/WIN's strength is that it finds both known and UNKNOWN
  1543.      WordBasic viruses and trojan's.  F/WIN uses heuristic
  1544.      analysis instead of signature scans to find the viruses.
  1545.      F/WIN can also REMOVE most viruses it finds.  And if it
  1546.      would happen to remove a virus in such a way where the
  1547.      document is no longer accessible, it makes a backup copy of
  1548.      the file before attempting to remove the virus.  So F/WIN is
  1549.      both effective, and safe.
  1550.  
  1551.      Keep in mind that WordBasic is a powerful language. Beside
  1552.      the possibility of modifying almost every parameter and
  1553.      option of Winword, you can easily rename, change or delete
  1554.      other files (like WIN.INI, SYSTEM.INI, CONFIG.SYS etc.) and
  1555.      you can call other Windows or DOS programs, i.e. FORMAT or
  1556.      DELTREE. It's also possible to execute Win API calls or
  1557.      other embedded OLE objects.
  1558.  
  1559.  
  1560. 5.4  F/WIN's detection of WordBasic macro viruses/trojans
  1561. -----------------------------------------------------------------
  1562.  
  1563.      When F/WIN analyses a document, it scans the whole file.
  1564.      This is necessary because of the complex internal format
  1565.      of document files (which are OLE objects).  F/WIN tries
  1566.      to locate macro definition and macro list areas and then
  1567.      scans the target areas for suspicious commands or texts.
  1568.      Execute-only macros will get decrypted in memory while
  1569.      checked (it uses a technique similar to the 'x-ray'
  1570.      scanning method).  F/WIN will analyze all the WordBasic
  1571.      tokens for virus like commands as FileSaveAs, CopyMacro
  1572.      and others.  The macro name lists will be scanned for the
  1573.      presence of auto and system macros like AutoOpen or
  1574.      FileExit.  After the end of the scanning process, F/WIN
  1575.      analyses the temporary results and tries to figure out
  1576.      if the macros are normal, or if they could represent
  1577.      a trojan or even a macro virus.
  1578.  
  1579.      Because of the complexity of OLE objects, F/WIN might
  1580.      fail to properly locate all macro areas in a file.  This
  1581.      is not a real problem for virus detection, but it may
  1582.      cause problems while trying to clean the document.
  1583.      If the complete repair method fails (option 'C'), try the
  1584.      safer macro name wiping method (option 'W') which will
  1585.      work in almost every case.
  1586.  
  1587.  
  1588.  
  1589. 5.5  How the viruses are removed
  1590. -----------------------------------------------------------------
  1591.  
  1592.      At this time, F/WIN only can remove macros from documents.
  1593.      It's not able to remove Windows EXE viruses.  F/WIN
  1594.      offers two possible ways for removing macros.
  1595.  
  1596.  
  1597.                   The Clean option (choose 'C')
  1598.                   -----------------------------
  1599.  
  1600.      For a Winword macro virus to work, two things must be
  1601.      present inside the Word template that's infected.  First,
  1602.      there must be a macro name list area.  It's similar to a
  1603.      Table of Contents in a book that point the reader to the
  1604.      page numbers of each chapter.  It's how Word determines
  1605.      which macro's are present and where exactly they are
  1606.      placed.  Then there's the macro definitions area.  This is
  1607.      where the macro code itself is stored.  The "Clean" function
  1608.      erases both areas.  In our testing, the "Clean" function
  1609.      safely removed the viruses and trojans in the overwhelming
  1610.      majority of the cases.  But there were some occasional
  1611.      incidents when the clean left the document unreadable.
  1612.      If this happens, just restore the document from the backup
  1613.      that F/WIN made and use the "Wipe" option to remove the
  1614.      virus instead.   If the full cleaning method fails, F/WIN
  1615.      will produce the error message ('F/WIN can not clean this
  1616.      file safely!').  You should then try the macro name wiping
  1617.      instead.
  1618.  
  1619.  
  1620.                      The Wipe option (choose 'W')
  1621.                      ----------------------------
  1622.  
  1623.      Because of the complexity of the internal template
  1624.      structures, the Clean option may fail.  You can avoid this
  1625.      problem most of the time by using the Wipe option instead
  1626.      (option 'W').
  1627.  
  1628.      "Wipe" overwrites (wipes) only the macro name list.  It
  1629.      does not overwrite the virus code itself (the macro
  1630.      "definitions").  The virus/trojan code is only accessible
  1631.      with a disk editor after this kind of disinfection.  But
  1632.      even a disk editor is quite useless in almost every case
  1633.      because the macros are usually encrypted and most people
  1634.      could not even find them, let alone decrypt and reuse them.
  1635.      There currently are no tools available to decrypt them, at
  1636.      least not ones available to the general public.  It is quite
  1637.      unlikely that most people could do this, even skilled PC
  1638.      programmers.  Once the macro definitions list has been
  1639.      erased, it is VIRTUALLY IMPOSSIBLE FOR WORD TO EVER FIND THE
  1640.      VIRUS CODE AGAIN.  Your documents will be safe to use again.
  1641.  
  1642.      We have on very rare occasions, experienced situations in
  1643.      which even Wipe could not safely disinfect a template.  In
  1644.      most of those cases, F/WIN clearly tells you that it could
  1645.      not safely remove the virus/trojan.  You may then send it to
  1646.      your regular anti-virus company, or to F/WIN Support to have
  1647.      it removed.
  1648.  
  1649.      When comparing F/WIN with other macro anti-virus products,
  1650.      keep in mind than some virus scanners still don't include
  1651.      any kind of a cleaning facility at all or just clean the
  1652.      macro name list.
  1653.  
  1654.  
  1655.      REGARDLESS OF WHETHER YOU CHOOSE "CLEAN" OR "WIPE" F/WIN
  1656.      WILL REMOVE -ALL- MACROS FROM A DOCUMENT, NOT JUST THE ONES
  1657.      WHICH SEEMS TO CONTAIN SUSPICIOUS CODE.   SO IF YOU
  1658.      DISINFECT YOUR NORMAL.DOT AND HAVE USEFUL MACROS INSTALLED,
  1659.      THEY WILL BE REMOVED TOO.
  1660.  
  1661.      Before starting the actual cleaning process, F/WIN will try
  1662.      to backup the target file by creating a copy of the file
  1663.      with ".Vnn" file extension.  The file will not get modified
  1664.      if F/WIN fails to create a backup!  Here's an example of how
  1665.      this naming scheme works.  Assuming that you have eleven
  1666.      Word documents containing  payroll information, and all are
  1667.      infected, here's how F/WIN would name the backup copies.
  1668.  
  1669.      Infected file      Backup file
  1670.      -------------      -----------
  1671.  
  1672.      PAYROLL.WK1        PAYROLL.VIR
  1673.      PAYROLL.WK2        PAYROLL.VI1
  1674.      PAYROLL.WK3        PAYROLL.VI2
  1675.      PAYROLL.WK4        PAYROLL.VI3
  1676.      PAYROLL.WK5        PAYROLL.VI4
  1677.      PAYROLL.WK6        PAYROLL.VI5
  1678.      PAYROLL.WK7        PAYROLL.VI6
  1679.      PAYROLL.WK8        PAYROLL.VI7
  1680.      PAYROLL.WK9        PAYROLL.VI8
  1681.      PAYROLL.WK10       PAYROLL.VI9
  1682.      PAYROLL.WK11       PAYROLL.V10   (notice that the 'I' is now
  1683.                                        replaced by a '1')
  1684.  
  1685.  
  1686.  
  1687. 6.0    F/WIN MESSAGES FOR WINDOWS VIRUSES
  1688. =================================================================
  1689.  
  1690. 6.1  Possible 16-bit virus (NE-EXE)
  1691. -----------------------------------------------------------------
  1692.  
  1693.      F/WIN will display this message when it finds a Windows
  1694.      executable with a suspicious internal file structure.
  1695.      This will most likely indicate a Windows 3.x EXE virus
  1696.      infection.  Please send such files to the F/WIN Support
  1697.      for analysis!  It would be easy to ignore this message
  1698.      because of the use of the word "possible".  We encourage
  1699.      you to take this message very seriously if you see it.
  1700.      We have had no instances in our testing where it has
  1701.      produced a false alarm but still the NE-EXE and PE-EXE
  1702.      heuristic analysis is quite 'weak'.
  1703.  
  1704.  
  1705. 6.2  Possible 32-bit virus (PE-EXE)
  1706. -----------------------------------------------------------------
  1707.  
  1708.      Like NE-EXE viruses, F/WIN will detect this virus type by
  1709.      analyzing the internal file structures. At the moment,
  1710.      only one PE-EXE virus is known, <PE.Boza>. If you encounter
  1711.      a possible 32-bit virus infected file, please send us a
  1712.      sample for analysis!  It would be easy to ignore this
  1713.      message because of the use of the word "possible".  We
  1714.      encourage you to take this message very seriously if you
  1715.      see it.  We have had no instances in our testing where it
  1716.      has produced a false alarm using the latest release of
  1717.      F/WIN.
  1718.  
  1719.  
  1720.  
  1721. 7.0    F/WIN MESSAGES FOR MACRO VIRUSES
  1722. =================================================================
  1723.  
  1724. 7.1  "A backup has been created"
  1725.  
  1726.      Before F/WIN removes a virus or trojan from a Word template,
  1727.      it first tries to make a backup copy of it.  The backup copy
  1728.      will be unaltered, and will still contain the virus.  F/WIN
  1729.      does this for two reasons.  First, if the file is highly
  1730.      fragmented F/WIN may not be able to clean it properly.
  1731.      Since a backup is available, you can try a different
  1732.      approach.  For instance, if the Clean function leaves it
  1733.      damaged, try the Wipe function instead on the backup copy.
  1734.  
  1735.      The second reason a backup is made is to allow recovery of
  1736.      macros that F/WIN flagged as dangerous, but that weren't.
  1737.      For instance, if someone wrote a macro to automatically
  1738.      delete all the *.TMP files that Word creates every time Word
  1739.      is opened, they would most likely us a 'Kill' command to do
  1740.      it.  Since F/WIN would find this 'Kill' command, and see
  1741.      that it executes automatically, it would consider such a
  1742.      macro to be dangerous and it would remove it during the
  1743.      cleaning process.  Having a backup copy allows the person
  1744.      using that macro to have it restored from a backup copy.
  1745.  
  1746.      This message tells the user that F/WIN was successfully
  1747.      able to make the backup copy.
  1748.  
  1749.  
  1750. 7.2  "Attempt to backup file before cleaning failed!!"
  1751.  
  1752.      Before F/WIN removes a virus or trojan from a Word template,
  1753.      it first tries to make a backup copy of it.  The backup copy
  1754.      will be unaltered, and will still contain the virus.  See
  1755.      description of the "A backup has been created" message above
  1756.      for more information about why the backup is done.
  1757.  
  1758.      This message means that F/WIN could NOT create the backup
  1759.      file.  F/WIN will NOT remove the virus from the original
  1760.      infected file if it can't successfully make a backup copy.
  1761.      There are a few possible causes.
  1762.  
  1763.      -    the disk drive is out of space
  1764.      -    the original file was damaged before F/WIN scanned it.
  1765.           An example of this would be a cross-linked file.  A
  1766.           cross-linked file is a file whose disk space is
  1767.           partially shared by another file.
  1768.  
  1769.      When F/WIN can't clean it, it reacts one of two ways.  If
  1770.      the /MOVE= parameter was specified, it literally moves the
  1771.      infected document to whatever directory was specified by the
  1772.      user in the /MOVE= command, except that F/WIN creates a
  1773.      directory below that one to actually place the file in.  The
  1774.      sub-directory F/WIN creates for such instances is \BACKUP.
  1775.      So if /MOVE=C:\FWINBKUP was specified, F/WIN would actually
  1776.      move the file to C:\FWINBKUP\BACKUP\filename.  Also, F/WIN
  1777.      renames the file extension.  The old and new file names
  1778.      appear in F/WIN's report to make the file easy to locate
  1779.      after the scan is finished.
  1780.  
  1781.      If /MOVE= was NOT used, then F/WIN just leaves the file
  1782.      where it currently is, but still renames it.
  1783.  
  1784.  
  1785. 7.3  "Changes DOS attributes of other files"
  1786.  
  1787.      The "attributes" of a file can be modified to change the way
  1788.      DOS views and stores a file. While there are legitimate
  1789.      reasons for changing the attributes of a file, viruses often
  1790.      remove the attributes before modifying files. READ-ONLY file
  1791.      attributes prevent a program from modifying a file while
  1792.      this attribute is enabled. SYSTEM or HIDDEN attributes are
  1793.      used by DOS and Windows to hide it's critical system files.
  1794.      Files with these attributes don't get listed with DIR or in
  1795.      the Explorer unless you configure them to do so. Some of
  1796.      the known macro viruses remove the system attributes of the
  1797.      IO.SYS and MSDOS.SYS files and then delete them. A regular
  1798.      macro does not contain such commands.
  1799.  
  1800.      This would probably be a good place to point out that the
  1801.      READ-ONLY attributes are no protection against viruses.
  1802.      These attributes can be removed and set without any problems
  1803.      by a virus. In fact, some resident file viruses (DOS) infect
  1804.      on setting the file attributes.
  1805.  
  1806. 7.4  "Contains # macros (# bytes)"
  1807.  
  1808.      The '#' is replaced by an actual number in the message F/WIN
  1809.      produces.  As a diagnostic aid, F/WIN will report how many
  1810.      macros it found, and the total number of bytes they utilize
  1811.      collectively.  This can be helpful in determining if a new
  1812.      macro virus or trojan has been found.  Here are the numbers
  1813.      that F/WIN produces for some common viruses and trojans:
  1814.  
  1815.      Winword.Trojan.FormatC   - Contains 1 macro (81 bytes)
  1816.  
  1817.      Winword.KillDLL          - Contains 1 macro (284 bytes)
  1818.      Winword.Wazzu            - Contains 1 macro (644 bytes)
  1819.      Winword.Date             - Contains 1 macro (1042 bytes)
  1820.      Winword.Guess            - Contains 1 macro (1126 bytes)
  1821.      Winword.Devina           - Contains 1 macro (2357 bytes)
  1822.      Winword.Imposter         - Contains 2 macros (907 bytes)
  1823.      Winword.Doggie           - Contains 3 macros (610 bytes)
  1824.      Winword.Atom             - Contains 4 macros (1029 bytes)
  1825.      Winword.Concept          - Contains 4 macros (1968 bytes)
  1826.      Winword.Boom             - Contains 4 macros (2863 bytes)
  1827.      Winword.Hot              - Contains 4 macros (5515 bytes)
  1828.      Winword.Colors           - Contains 9 macros (6470 bytes)
  1829.      Winword.Nuclear          - Contains 9 macros (10556 bytes)
  1830.      Winword.Xenios           - Contains 11 macros (31342 bytes)
  1831.  
  1832.      If the infected Word template contained macros in it before
  1833.      it was infected, then some of those original harmless macros
  1834.      could still be present.  In that case, the counts above
  1835.      would not match the counts you'd normally see for each
  1836.      particular virus.  For instance, if a template contained 2
  1837.      macros totaling 1000 bytes before being infected with the
  1838.      Concept virus, F/WIN's count would include those original
  1839.      macros plus those that were copied into the file by the
  1840.      Concept virus.  So in this example, F/WIN might produce the
  1841.      following line for Concept:
  1842.  
  1843.      - Contains 6 macros (2968 bytes)
  1844.  
  1845.  
  1846. 7.5  "Contains macro shortcuts"
  1847.  
  1848.      Normally, macro viruses must hook certain critical macros to
  1849.      get activated when you open an infected document. For
  1850.      instance, they create an "AUTOOPEN" macro to perform some
  1851.      function when the user "opens" a file.  A lot of antivirus
  1852.      programs now intercept or detect these types of macros, but
  1853.      there's another method that is more difficult to detect.
  1854.      Instead of using system macros like AutoOpen or FileClose,
  1855.      macro viruses can assign shortcuts to macros. For example,
  1856.      you can assign a macro to the 'PgDn' (page down) key. Each
  1857.      time you press the key, the macro will get executed. So far,
  1858.      no virus is know to use this method, but this it will be
  1859.      just a matter of time before they do. And when they do,
  1860.      F/WIN will detect the key assignment and will allow the user
  1861.      to clean both the macro and the shortcut.
  1862.  
  1863.  
  1864. 7.6  "Contains macros but is named .DOC"
  1865.  
  1866.      Templates which normally contain macros are usually named
  1867.      ".DOT". Winword, however doesn't need this special file
  1868.      extension to recognize macro templates. Macro viruses use
  1869.      this and keep the old ".DOC" extension after infecting a
  1870.      document, even if it's now a template rather than a
  1871.      document. By concealing the true file extension, the virus
  1872.      attempts to hide it's presence in infected files.
  1873.  
  1874.      Regular macro templates are named ".DOT", so if you find
  1875.      macros in a ".DOC" file it's quite suspicious, especially
  1876.      if they are auto macros or execute-only macros.
  1877.  
  1878.  
  1879. 7.7  "Contains execute-only macros (encrypted macros)"
  1880.  
  1881.      There are two ways of storing macros in Word templates. The
  1882.      non-encrypting method allows Word users to look inside the
  1883.      macro just as they do a document and see what is coded in
  1884.      it. If the macro is a malicious one, someone who understands
  1885.      WordBasic can read the code and determine what it is trying
  1886.      to do. WordBasic is a programming language within Microsoft
  1887.      Word that allows Word users to create time-saving macros.
  1888.      Non-encrypted macros can also be modified into useful code,
  1889.      or into destructive virus or trojan code.
  1890.  
  1891.      The second way of storing a macro is to use the
  1892.      "execute-only" option. This option encrypts the macro so
  1893.      that it is no longer eye-readable. It also prevents the
  1894.      macro from being modified. However, it may still be renamed
  1895.      or deleted and of course, executed.
  1896.  
  1897.      Once a macro is encrypted, WordBasic provides no mechanism
  1898.      for decrypting it back into readable form. This is the
  1899.      choice method of storing macros for virus writers because
  1900.      most Word users will not be able to look inside suspicious
  1901.      macros to see what they're doing. Except for the information
  1902.      F/WIN can provide on such macros, in most cases, the
  1903.      document or template must be sent to an anti-virus company
  1904.      for analysis to get the full details on what it's trying to
  1905.      do.
  1906.  
  1907.      This message indicates that F/WIN has found at least one
  1908.      execute-only (encrypting) macro. However, F/WIN only
  1909.      displays this message if it finds potentially dangerous
  1910.      commands within the encrypted macro (F/WIN is able to look
  1911.      inside for you). If it simply finds an encrypted macro that
  1912.      has no dangerous WordBasic commands in it, this message will
  1913.      not appear.
  1914.  
  1915.      Execute-only macros are quite suspicious, but there are also
  1916.      commercial or shareware macros which uses the encryption to
  1917.      prevent modification of their code.
  1918.  
  1919.  
  1920. 7.8  "Contains macros"
  1921.  
  1922.      This warning message indicates that macros are present in
  1923.      the template. However, this message will not appear unless
  1924.      potentially dangerous WordBasic commands are present in one
  1925.      or more of the macros.
  1926.  
  1927.  
  1928. 7.9  "Copy macros into the global template ('CopyMacro')"
  1929.  
  1930.      This warning message indicates that the WordBasic
  1931.      "CopyMacro" command has been found in a macro. Of all the
  1932.      error messages that F/WIN produces, this one is probably the
  1933.      best at indicating the presence of a virus. Almost all
  1934.      Word viruses to-date have used the "CopyMacro" command to
  1935.      spread themselves from one Word template to the next. If
  1936.      products like SCANPROT.DOT are being used for anti-virus
  1937.      defenses, then there may be no cause for concern if this
  1938.      warning message is produced for a file called SCANPROT.DOT.
  1939.  
  1940.      SCANPROT.DOT is a Microsoft Word template developed by the
  1941.      Microsoft Corp. to help combat Microsoft Word viruses.
  1942.      SCANPROT.DOT contains several macros that use some of the
  1943.      same commands used by viruses. If SCANPROT.DOT is present,
  1944.      F/WIN will produce numerous warning messages when it
  1945.      analyzes it. See section "1.7 False alarms" in the F/WIN
  1946.      documentation to determine how to distinguish SCANPROT.DOT
  1947.      warnings from other ones.  We want to make it clear that we
  1948.      are not suggesting that Microsoft is writing macro viruses.
  1949.      The SCANPROT.DOT file is a template that is intended to
  1950.      protect you against WordBasic macro viruses. Our point here
  1951.      is that it uses exactly the same WordBasic commands that
  1952.      some viruses use, so F/WIN will trigger warnings on
  1953.      SCANPROT.DOT when it scans it.  There are other anti-virus
  1954.      templates besides SCANPROT.DOT that will trigger warning
  1955.      messages from F/WIN.  If any such templates are scanned by
  1956.      F/WIN, in most cases, F/WIN will point this out by also
  1957.      producing a message that says, "Might contain an
  1958.      antivirus-macro (please verify!)".  See 7.14 below for more
  1959.      information about that message.
  1960.  
  1961.      If you are sure that tools like SCANPROT.DOT are not in use,
  1962.      and that legitimate macros that used the CopyMacro function
  1963.      are not supposed to be in your environment, then it is quite
  1964.      likely F/WIN has detected an actual virus if this particular
  1965.      message is produced. Take this message very seriously, and
  1966.      have an expert investigate the documents in question.  It is
  1967.      important to know if macros should be or should not be
  1968.      present in your environment so that you can distinguish real
  1969.      viruses from false alarms. Since most individuals and
  1970.      corporate users of Microsoft Word rarely if ever use macros,
  1971.      more often than not, this warning message will indicate the
  1972.      presence of an actual virus, or of an anti-virus template
  1973.      like SCANPROT.DOT.
  1974.  
  1975.      Macro viruses often use 'CopyMacro' together with auto
  1976.      macros like 'AutoOpen', 'AutoExec' or 'AutoClose' and are
  1977.      also often encrypted (execute-only macros). To hide
  1978.      themselves, they also often are not named ".DOT" but ".DOC
  1979.      instead.
  1980.  
  1981.  
  1982. 7.10  "Deletes other files! (Kill)"
  1983.  
  1984.      This message indicates that the WordBasic "Kill" command is
  1985.      being used within a macro. The Kill command deletes files.
  1986.      You need to ask yourself, "why is my Word document deleting
  1987.      files?"  This is not a common activity for a macro, and may
  1988.      indicate the presence of destructive code (macro trojan or
  1989.      virus).
  1990.  
  1991.  
  1992. 7.11 "Disables NORMAL.DOT write access warnings"
  1993.  
  1994.      Most viruses will install their own special macros into the
  1995.      Global Template (the NORMAL.DOT file).  This allows the
  1996.      virus to spread itself to virtually any template that is
  1997.      opened by the user.  Microsoft Word has an option users can
  1998.      activate that alerts users to the fact that NORMAL.DOT has
  1999.      been changed.  It's a pop-up window that asks if you want to
  2000.      save the changes to NORMAL.DOT.  Some viruses disable this
  2001.      warning message through a certain WordBasic command,
  2002.      preventing the user from being warned that the Global
  2003.      template has been changed.  This message is telling you that
  2004.      the warning message will be disabled if the macros in the
  2005.      file are allowed to run.
  2006.  
  2007.  
  2008. 7.12 "Enables the quick save option"
  2009.  
  2010.      The Quick Save option allows users to speed up the process
  2011.      of writing to disk, the changes that have been made to a
  2012.      document.  When the quick save option is on, only the
  2013.      changes that were made are saved.  When it's off, the entire
  2014.      document is written back to disk during a save.  While the
  2015.      quick save option has the benefit of makings saves run
  2016.      faster, it also makes virus detection and especially removal
  2017.      more difficult.  The reason is because of what's known as
  2018.      "fragmentation".
  2019.  
  2020.      Fragmentation can be compared to a complex puzzle.  When
  2021.      several saves have been done with quick save turned on, the
  2022.      file is stored similar to a puzzle with all the pieces mixed
  2023.      up.  A language called "OLE2" (pronounced o-lay-two) manages
  2024.      all these pieces of data for Microsoft Word, and puts them
  2025.      all back together when a Word document is opened.  But OLE2
  2026.      is very complex.  For a virus scanner to detect and remove
  2027.      viruses/trojans, it too must understand how to put all the
  2028.      pieces back together into the right order.
  2029.  
  2030.      Some virus authors are aware of the problems that the quick
  2031.      save option create for anti-virus products.  As a result,
  2032.      they may turn the quick save option on in an attempt to make
  2033.      detection and removal more difficult.  It's unusual for
  2034.      someone to code this option in a macro, so this may be an
  2035.      indication of an actual virus or trojan, especially if other
  2036.      strong indicators are present.
  2037.  
  2038.      Another reason virus authors might use the quick save option
  2039.      is because it speeds up the process of writing the virus to
  2040.      the template, thus making it a bit less noticeable to the
  2041.      user.
  2042.  
  2043.  
  2044. 7.13 "Execute other DOS or Windows programs! (Shell)"
  2045.  
  2046.      This message indicates that another DOS or Windows program
  2047.      is being executed by a macro.  This is quite suspicious. Why
  2048.      should a document execute a DOS or Windows program?  While a
  2049.      legitimate, useful macro could do this, it's not common.
  2050.      Normally, macro viruses use this for dropping DOS viruses
  2051.      (like Winword.Nuclear does with Vlad.Ph33r) or they call
  2052.      FORMAT, DELETE, ERASE or other damaging DOS commands.
  2053.  
  2054.  
  2055. 7.14 "F/WIN can not check Microsoft Word 2.0 documents!"
  2056.  
  2057.      At this time, F/WIN can not check for viruses and trojans
  2058.      in Microsoft Word 2.0 templates.  However, this ability
  2059.      is coming in a later release.
  2060.  
  2061.  
  2062. 7.15 "F/WIN can not clean this file safely!"
  2063.  
  2064.      The template is so internally fragmented that F/WIN has
  2065.      determined that it can not safely clean the virus or
  2066.      trojan using the CLEAN option (option 'C').  However,
  2067.      the user has the option of restoring this file from the
  2068.      backup copy that F/WIN made and trying to remove the
  2069.      virus with the 'W' option instead (W=Wipe Macro Names).
  2070.      The 'W' option should fail only on very rare occasions.
  2071.  
  2072.  
  2073. 7.16 "has been moved to:"
  2074.  
  2075.      When F/WIN removes a virus/trojan from a Word file, it makes
  2076.      a backup copy of it first.  This message tells the name of
  2077.      the original file, and of the backup file associated with
  2078.      it.  For instance:
  2079.  
  2080.      DATE.DOC has been moved to:
  2081.      F:\FWINBKUP\BACKUP\DATE.VI0
  2082.  
  2083.      This message says that "DATE.DOC" was the original file.  If
  2084.      F/WIN was able to clean the virus/trojan successfully (it
  2085.      tells you when it can't), this file will be virus free.
  2086.      DATE.DOC is safe to open and use.  The "DATE.VI0" file is
  2087.      the backup copy of "DATE.DOC" before the virus was removed.
  2088.      DATE.VI0 still contains the virus, so don't open it!  If the
  2089.      cleaning failed, DATE.VI0 could be copied to another
  2090.      directory and a different cleaning approach could be used.
  2091.  
  2092.  
  2093. 7.17 "Might contain an antivirus-macro (please verify!)"
  2094.  
  2095.      F/WIN has determined that the file MAY contain anti-virus
  2096.      macros which are intended to be helpful to the user, and
  2097.      that any warning messages associated with this file may be
  2098.      false alarms.  See section 1.7 for more information about
  2099.      possible false alarms. In any case you should verify if this
  2100.      is really an antivirus macro. Some viruses could mask
  2101.      themselves as such useful macros.
  2102.  
  2103.  
  2104. 7.18 "Might contain suspicious macros"
  2105.  
  2106.      This is reported when the macro contains suspicious operands
  2107.      and structures, but some parts are missing which are usually
  2108.      found in macro viruses or macro trojans. This will only be
  2109.      reported in the Extended or Paranoid scanning modes (/MODE=n
  2110.      or /PARANOID).
  2111.  
  2112.  
  2113. 7.19 "Reenables auto macro processing"
  2114.  
  2115.      There are some macros that can be automatically executed if
  2116.      they exist in a template.  They are AUTOOPEN, AUTOCLOSE,
  2117.      AUTOEXEC, and AUTONEW.  AUTOOPEN, for instance, is executed
  2118.      automatically when a file is OPENed.  Some users in an
  2119.      effort to protect themselves from macro viruses have
  2120.      disabled all four auto macros.  This message indicates that
  2121.      code has been found that reactivate the auto macros.  This
  2122.      function is common for viruses to allow them to spread more
  2123.      quickly and easily.
  2124.  
  2125.  
  2126. 7.20 "Seems to be infected with a macro virus!"
  2127.  
  2128.      F/WIN detected enough suspicious structures which gives a
  2129.      very high chance that the reported document is infected
  2130.      with a macro virus (or is an anti-virus template like
  2131.      SCANPROT.DOT).
  2132.  
  2133.      Be aware, too that this message may also be produced for
  2134.      non-virus documents like SCANPROT.DOT, which are intended
  2135.      to protect you from macro viruses. These anti-virus macros
  2136.      contains almost the same WordBasic commands like a virus,
  2137.      so it's impossible to distinguish between them.
  2138.  
  2139.  
  2140. 7.21 "Seems to contain a trojan macro!"
  2141.  
  2142.      This is reported if destructive commands are found and the
  2143.      WordBasic "CopyMacro" command isn't used. This can't be a
  2144.      virus, because it doesn't spread.  A virus and a trojan can
  2145.      both contain destructive code. However, a virus spreads and
  2146.      a trojan does not. If you want to increase the trojan
  2147.      detection ability of F/WIN you could use the options /MODE=n
  2148.      or /PARANOID, but this also increase the chance of false
  2149.      positives!
  2150.  
  2151.  
  2152. 7.22 "System macros:"
  2153.  
  2154.      A "system macro" is a macro that is executed automatically
  2155.      when the user performs a certain action.  For instance, when
  2156.      a document is opened, the "AUTOOPEN" macro will be executed
  2157.      automatically if it exists (if automatic execution is
  2158.      enabled, which it is be default).  If a file is saved, the
  2159.      FILESAVE macro will be executed if it exists.  This messages
  2160.      indicates that F/WIN has detected the presence of one or
  2161.      more macros that will be automatically executed when some
  2162.      function is performed.  The specific macros it finds are
  2163.      listed.  The purpose/function of each one is briefly
  2164.      explained next.  There could be a legitimate reason for the
  2165.      existence of these macros in your document.  However, they
  2166.      may also be used by a virus or trojan, which usually contain
  2167.      "AutoOpen", "AutoClose" or "AutoExec".
  2168.  
  2169.  
  2170.      7.22.1         AUTOCLOSE
  2171.  
  2172.                     Called automatically if the user or Microsoft
  2173.                     Word closes a document.
  2174.  
  2175.      7.22.2         AUTOEXEC
  2176.  
  2177.                     This macro is called automatically every time
  2178.                     Microsoft Word is started (when you click on
  2179.                     the Word icon).
  2180.  
  2181.      7.22.3         AUTONEW
  2182.  
  2183.                     This macro is called automatically every time
  2184.                     a new document is created.
  2185.  
  2186.      7.22.4         AUTOOPEN
  2187.  
  2188.                     This macro is called automatically every time
  2189.                     an existing document is opened. This is most
  2190.                     often used by the macro viruses because it
  2191.                     allows them to perform some activity (like
  2192.                     spreading itself) right away if you try to
  2193.                     read an infected document.
  2194.  
  2195.      7.22.5         FILEEXIT
  2196.  
  2197.                     This macro is executed when a file is closed
  2198.                     (i.e. choosing "File", then "Close" from
  2199.                     Microsoft Word).
  2200.  
  2201.      7.22.6         FILENEW
  2202.  
  2203.                     This macro is run when "File", then "New" are
  2204.                     selected from Microsoft Word.
  2205.  
  2206.      7.22.7         FILESAVE
  2207.  
  2208.                     This macro is run whenever a file is saved.
  2209.                     That includes when automatic, timed backups
  2210.                     are made.
  2211.  
  2212.      7.22.8         FILESAVEAS
  2213.  
  2214.                     This saves a document to a different name
  2215.                     and/or different file type. This macro must
  2216.                     be redefined by macro viruses because they
  2217.                     must convert documents into templates in
  2218.                     order to save macros in the file. This
  2219.                     macro will most likely only be included in
  2220.                     the global macro template NORMAL.DOT.
  2221.  
  2222.      7.22.9         TOOLSMACRO
  2223.  
  2224.                     This function is called when the user tries
  2225.                     to view, delete, rename or edit macros.
  2226.                     Some of the macro viruses use this to infect
  2227.                     further documents, or add some stealth
  2228.                     functions which prevent the user from seeing
  2229.                     the suspicious macros.
  2230.  
  2231.                     DANGER!!  Do not attempt to manually remove
  2232.                     the virus or trojan by clicking on "Tools",
  2233.                     then "Macro" when this message appears.  The
  2234.                     virus author may have coded some destructive
  2235.                     code in the TOOLSMACRO macro that you will
  2236.                     activate when you do this.  Only allow an
  2237.                     anti-virus program like F/WIN to remove the
  2238.                     virus when you see that the TOOLSMACRO macro
  2239.                     is present.
  2240.  
  2241.  
  2242. 7.23 "The file has been moved to:"
  2243.  
  2244.      If F/WIN is unable to remove a virus from a file for some
  2245.      reason, or if it can't make a good backup copy of the file
  2246.      before removing it, F/WIN moves it from it's current
  2247.      directory to the one specified in the /MOVE= parameter,
  2248.      except that F/WIN creates a directory below that one to
  2249.      actually place the file in.  The sub-directory F/WIN creates
  2250.      for such instances is \DAMAGE.  So if /MOVE=C:\FWINBKUP was
  2251.      specified, F/WIN would actually move the file to
  2252.      C:\FWINBKUP\DAMAGE\filename.  Also, F/WIN renames the file
  2253.      extension.  The old and new file names appear in F/WIN's
  2254.      report to make the file easy to locate after the scan is
  2255.      finished.
  2256.  
  2257.      If /MOVE= was NOT used, then F/WIN just leaves the file
  2258.      where it currently is, but still renames it.
  2259.  
  2260.      This message tells the user that F/WIN successful in moving
  2261.      the infected file to the /MOVE= directory.
  2262.  
  2263.  
  2264. 7.24 "The macros within this file are disabled!"
  2265.  
  2266.      Some antivirus programs clean macro virus in a special way.
  2267.      In order to avoid problems with complex (fragmented)
  2268.      documents, they just overwrite a few bytes in the macro list
  2269.      that tell Word that macros are present.  Word checks this
  2270.      part of the document first to see if there are macros.  If
  2271.      This particular area says there aren't any, then Word goes
  2272.      on about its business assuming that no macros are present,
  2273.      even thought they may actually be.  This is a fast and easy
  2274.      way to disable the macros, and its effects are permanent.
  2275.      The macros can't be accessed anymore after this kind of
  2276.      cleaning. However, the macro code and names are still
  2277.      present in the file. A lot of antivirus programs can't
  2278.      handle such files correctly and still report them as
  2279.      infected.  By default, F/WIN will ignore such 'corpses'.
  2280.      However, if the /MODE=2 or /PARANOID options were used,
  2281.      F/WIN will report these files and will display the message
  2282.      shown above.
  2283.  
  2284.  
  2285. 7.25 "This document is internally fragmented. The repair
  2286.       could have failed !"
  2287.  
  2288.      The CLEAN option was chosen, but because of fragmentation in
  2289.      the file, the CLEAN may not have worked.  It is suggested
  2290.      that you keep a copy of the backup files that F/WIN created
  2291.      until it can be confirmed that the document is still
  2292.      accessible. Better yet, rename the backup file and try to
  2293.      remove the virus with the 'W' option (Wipe Macro Names)
  2294.      option instead.  In most cases, this will clean the file
  2295.      successfully.
  2296.  
  2297.      It might be helpful to explain in plain English what
  2298.      internal fragmentation is.  A Word document/template can
  2299.      have many things stored within it.  It can have tables,
  2300.      text, graphical images, macros, etc.  All of these different
  2301.      components are stored like puzzle pieces that OLE2 can store
  2302.      in chronological order, or all mixed up.  OLE2 is the file
  2303.      format that Word uses to manage the contents of Word
  2304.      documents and templates.  How OLE2 is able to store these
  2305.      components all mixed up, and still present them all put back
  2306.      together for the user is a very complex process.
  2307.  
  2308.      Imagine if you had a 500 piece puzzle.  Drop it on the
  2309.      floor, scramble it all around, then try to put it back
  2310.      together.  That's somewhat similar to what an "internally
  2311.      fragmented" file is.  Because OLE stored the document in
  2312.      such a scrambled manner, it knows how to put it all back
  2313.      together into something you can easily view when you open
  2314.      the file.  Use of the Word QuickSave option is primarily
  2315.      responsible for causing this kind of fragmentation in Word
  2316.      documents.
  2317.  
  2318.      Because F/WIN is not a Windows program, it can't use the OLE
  2319.      API functions to read and analyze Microsoft Word documents.
  2320.      It has to figure out where the macros are stored in the
  2321.      document by itself and because of the complexity of OLE
  2322.      objects the cleaning may occasionally fail.  If you get this
  2323.      warning you should try the 'Wipe macro names' option instead
  2324.      of the full cleaning.
  2325.  
  2326.  
  2327. 7.26 "Uses macro 'FileSaveAs'"
  2328.  
  2329.      As said above, this is essential for macro viruses because
  2330.      they must convert documents into templates.  In fact, if the
  2331.      user saves a file, the viruses internally uses FileSaveAs.
  2332.      In WordBasic, there is a FileSaveAs "macro name", and a
  2333.      FileSaveAs "WordBasic command".  The macro internally calls
  2334.      the function, but the FileSaveAs macro could be redefined,
  2335.      i.e. to offer special prompts.
  2336.  
  2337.  
  2338. 7.27 "Uses 'Organize .Copy' to copy macros"
  2339.  
  2340.      This warning message indicates that the WordBasic "Organize
  2341.      .Copy" command has been found in a macro.  Like the
  2342.      "Copymacro" command (see 7.5 for details), this is a very
  2343.      strong indicator of the likely presence of a virus.  Both
  2344.      perform the same function, they just do it in different
  2345.      ways.  They copy a macro into another Word template.  Most
  2346.      of the older macro viruses used CopyMacro to spread
  2347.      themselves.  Recently, a new virus called "Boom" use the
  2348.      "Organize .Copy" command instead of "CopyMacro" to spread
  2349.      itself.
  2350.  
  2351.      Macro viruses often use 'CopyMacro' or 'Organize .Copy
  2352.      together with auto macros like 'AutoOpen', 'AutoExec' or
  2353.      'AutoClose' and are also often encrypted (execute-only
  2354.      macros). To hide themselves, they also often are not named
  2355.      ".DOT" but ".DOC instead.  Do not take this warning message
  2356.      lightly, especially if it appears along with several other
  2357.      strong warning messages.
  2358.  
  2359.  
  2360.  
  2361. 7.28 "Writes into other files directly (Write)"
  2362.  
  2363.      This WordBasic command writes data directly into another
  2364.      file.  Quite unusual for regular macros, but some macro
  2365.      viruses like <Winword.Xenixos> use this to drop DOS viruses
  2366.      into the system.  They create a debug script file with the
  2367.      write command and then execute DEBUG to "compile" it.
  2368.  
  2369.  
  2370.  
  2371.  
  2372. 8.0  COPYRIGHT, LICENSE TERMS AND DISCLAIMER
  2373. =================================================================
  2374.  
  2375.      See file "LICENSE.TXT".
  2376.  
  2377.  
  2378.  
  2379. 9.0    GLOSSARY OF TERMS USED IN THIS DOCUMENTATION
  2380. =================================================================
  2381.  
  2382.      16-bit EXE
  2383.         Windows 3.x uses a special executable file format,
  2384.         NE-EXE. Beside the old DOS EXE file header, it has a new
  2385.         NE header which specifies the locations and sizes of the
  2386.         code and data resources in the file. NE-EXE files still
  2387.         can call the DOS INT 21h or DPMI API functions. The first
  2388.         known virus for NE-EXE was <WinVir_1.4>.
  2389.  
  2390.      32-bit EXE
  2391.         Windows 95 and Windows NT uses a new executable format,
  2392.         PE-EXE (Portable Executable). It is optimized for the
  2393.         32-bit OS, i.e. by using 32-bit RVA's and supporting
  2394.         MMF (Memory Mapped Files). Like NE-EXE, they still have
  2395.         a normal DOS EXE header followed by the PE header which
  2396.         indicates the location and size of the file contents.
  2397.         PE-EXE run in flat protected mode and the program code
  2398.         can only call Windows API functions. The first known
  2399.         virus for PE-EXE was <Boza>.
  2400.  
  2401.      Auto Macro
  2402.         Auto macros are special Microsoft Word macros which are
  2403.         executed automatically by Word on certain events, i.e.
  2404.         like opening a document. To some degree, they can be
  2405.         disabled, but the macro viruses still have enough other
  2406.         ways to intrude the system.
  2407.  
  2408.      Boza
  2409.         <PE.Boza> is the first known virus for PE-EXE files
  2410.         (Windows 95), and comes from Australia.  It's only a
  2411.         research viruses and not in the wild, mostly because
  2412.         it's just a direct action virus and has some bugs.
  2413.  
  2414.      COMMAND.COM
  2415.         The first normal DOS executable which is started at a
  2416.         system bootup. It only contains the command-line
  2417.         interpreter, but it's often a target for DOS file
  2418.         viruses. DOS itself is stored in MSDOS.SYS and IO.SYS
  2419.         (or IBMDOS.COM and IBMBIO.COM). COMMAND.COM itself
  2420.         executes AUTOEXEC.BAT.
  2421.  
  2422.      Companion Virus
  2423.      Companion Style Infection
  2424.  
  2425.         If you have two files with the same filename but
  2426.         different file extensions (one .COM, one .EXE) in the
  2427.         current directory and you execute the program without
  2428.         specifying an extension, DOS will always start the .COM
  2429.         program and not the .EXE. For example, if you have
  2430.         TEST.COM and TEST.EXE and execute "TEST", TEST.COM will
  2431.         be started. Companion viruses use this and creates
  2432.         corresponding .COM files to existing .EXE programs.
  2433.         These .COM files often have the HIDDEN attribute set
  2434.         in order to prevent detection (you will see this when
  2435.         you run tools like DEFRAG: the whole hard disk cluster
  2436.         layout is covered with single unmovable clusters).
  2437.  
  2438.      Concept
  2439.         The first Microsoft Word macro virus which appeared in
  2440.         the wild.  It appeared in the mid of 1995 and spread
  2441.         rapidly world-wide.  Beside displaying a window with a
  2442.         '1' in it, <Concept> is quite harmless.  Together with
  2443.         some other macro viruses, <Concept> is now very common.
  2444.  
  2445.      Direct Action Infector
  2446.         A virus which actively scans the system for infection
  2447.         targets and doesn't go resident in memory. These viruses
  2448.         are not very viable and never spread very far because
  2449.         they are too obvious to the users and have a too low
  2450.         spread rate. All common viruses are resident.
  2451.  
  2452.      DOS-EXE
  2453.         The standard DOS executable format. It has a special
  2454.         EXE header, which is placed directly at the beginning
  2455.         of the file and is marked with a ASCII signature ('MZ').
  2456.         The header will specify things like the program entry
  2457.         point, code size, amount of relocations, size of stack
  2458.         and others. Unlike .COM executables, EXE can be larger
  2459.         than 64K.
  2460.  
  2461.      DPMI API
  2462.         The DOS PROTECTED MODE INTERFACE API is used by real
  2463.         mode applications to interfere with the protected mode,
  2464.         i.e. mode-switching, transferring memory blocks, calling
  2465.         INT 21h from protected mode and other services. In real
  2466.         mode, the CPU only can access 1 MB of address space, in
  2467.         protected mode the memory is usually limited to 4 GB
  2468.         (real and virtual memory).
  2469.  
  2470.      Dropper File
  2471.         Sometimes viruses are hidden in a special dropper file.
  2472.         The virus is then often encrypted or compressed with
  2473.         special tools in order to prevent detection by virus
  2474.         scanners. Droppers are also used to 'install' boot
  2475.         viruses from files. <Winword.Nuclear> contains a
  2476.         debug script of the <Ph33r> virus, which will be
  2477.         dropped into the system sometimes.
  2478.  
  2479.      Encrypted Macro
  2480.      Execute-Only Macro
  2481.         Microsoft Word macros which can't be read or modified
  2482.         by the user anymore. It's only possible to execute,
  2483.         rename or delete such macros. Execute-only macros are
  2484.         often used by macro viruses to protect and hide their
  2485.         code.
  2486.  
  2487.      False Negative
  2488.         An infected file which is not detected by a virus
  2489.         scanner is called false negative.  An uninfected file
  2490.         which is flagged as being infected by a virus is called
  2491.         false positive.
  2492.  
  2493.      Fast Infector
  2494.         At first, resident viruses only infected programs when
  2495.         the user execute the application by intercepting the
  2496.         INT 21h EXECUTE call. Newer file viruses also infect
  2497.         programs when they are opened or closed, which will
  2498.         cause very high spread rate for the virus. It is
  2499.         possible that a virus scanner will spread the virus
  2500.         infection, if the virus is a fast infector and unknown
  2501.         to the virus scanner. If you scan the hard disk with
  2502.         such a virus being active, almost every executable
  2503.         on the hard disk will get infected!
  2504.  
  2505.      Flat Protected Mode
  2506.         In flat protected mode, the memory is mapped as linear
  2507.         4 GB address space. You don't need multiple selectors
  2508.         and can address the memory without much effort.
  2509.  
  2510.      Fragmented document (complex document)
  2511.         If you enable the FastSave option in Microsoft Word and
  2512.         change a document it will turn into a format that is
  2513.         called 'complex document'.  The changes to the document
  2514.         will be stored at the end of the file, together with some
  2515.         links to the original positions.  Also, the texts,
  2516.         graphics and macros in a document are treated as objects
  2517.         which can be split up and will get fragmented like a
  2518.         FAT hard disk. You even will get slack space areas like
  2519.         in FAT disk clusters. The FastSave option will also
  2520.         increase the size of the document compared to a normally
  2521.         saved document.
  2522.  
  2523.      In The Wild (ITW)
  2524.         Viruses, which have been found often and are very
  2525.         common are 'in the wild'.  From the known 8500 viruses,
  2526.         only about 300 are in the wild.  All other viruses are
  2527.         either extinct or research viruses, which never spread
  2528.         very far.
  2529.  
  2530.      Infection Scheme
  2531.         The way how a virus modifies an executable. Usually a
  2532.         virus changes the file header in way that it now points
  2533.         to the virus code, which is added at the file end.
  2534.         Some special viruses insert themselves at the file
  2535.         beginning or split up themselves throughout the file.
  2536.  
  2537.      Macro
  2538.         Microsoft Word macros contain WordBasic commands which
  2539.         can be used to speed up your work with Word. For example,
  2540.         you could write a macro which reformats a text block in
  2541.         a special way.
  2542.  
  2543.      Microsoft Word
  2544.         A word processor from Microsoft, which is used quite
  2545.         often. Word documents are OLE objects.
  2546.  
  2547.      NE Header
  2548.         The program header used by NE executables. Must be
  2549.         modified by Windows EXE viruses during the infection.
  2550.  
  2551.      NE-EXE
  2552.         See 16-bit EXE.
  2553.  
  2554.      Non-Resident
  2555.         See Direct Action Infector.
  2556.  
  2557.      NORMAL.DOT
  2558.         The global template of Microsoft Word. Beside some other
  2559.         things, global Word options and all global Word macros
  2560.         are stored in this file. NORMAL.DOT will be infected
  2561.         at once by most Winword macro viruses.
  2562.  
  2563.      PE header
  2564.         See 32-bit EXE.
  2565.  
  2566.      PE-EXE
  2567.         See 32-bit EXE.
  2568.  
  2569.      PGP
  2570.         PGP (Pretty Good Privacy) is a tool for encrypting data
  2571.         (i.e. e-mail) and verifying the integrity and source of
  2572.         data. It uses RSA and IDEA encryption and is very secure.
  2573.  
  2574.      Ph33r
  2575.         The second virus which used the <Winsurfer> infection
  2576.         scheme. Beside infecting NE-EXE, <Ph33r> also attacks
  2577.         DOS .COM and .EXE files and is memory resident using
  2578.         DPMI API calls.  A <Ph33r> dropper was included in the
  2579.         <Winword.Nuclear> virus.
  2580.  
  2581.      Program Header
  2582.         Located at the beginning of executables, the program
  2583.         header specifies things like the program entry point,
  2584.         code size, stack size etc. File viruses must modify
  2585.         this part of the program during infection, but a lot
  2586.         of viruses are buggy and change the header incorrectly.
  2587.  
  2588.      Public Key
  2589.         Used by PGP. If you want to exchanged encrypted data
  2590.         with someone, you must exchange your public keys.
  2591.         Even if someone intercepted both public keys, he can't
  2592.         decrypt the transferred data because he doesn't have the
  2593.         private keys which are also protected with a password.
  2594.  
  2595.      Scan String
  2596.         Used by normal virus scanner to identify viruses. It's
  2597.         a byte signature which maybe contains wildcards and is
  2598.         like a 'fingerprint' to the virus, which will only
  2599.         detect this special virus. Virus scanners without
  2600.         heuristics will usually quickly be outdated because of
  2601.         the large number of new viruses which appear every day
  2602.         or month.
  2603.  
  2604.      Segment
  2605.         Because the normal CPU registers are 16 bit, you only
  2606.         can access 64K at a time. If you want to address other
  2607.         space you must change the segment registers. In the
  2608.         protected mode, you don't have this segment restriction.
  2609.  
  2610.      System Macro
  2611.         Beside auto macros, Microsoft word has other important
  2612.         macros like FileExit, ToolsMakros and others. This
  2613.         system macros are also often used and intercepted by
  2614.         macro viruses.
  2615.  
  2616.      Trojan
  2617.         A program which causes damage but unlike a virus it
  2618.         does not spread by itself.
  2619.  
  2620.      Unknown virus
  2621.         A (new) virus that is yet unknown to the virus scanners
  2622.         and is not detected by them without heuristics. Some of
  2623.         the heuristic scanners will detect about 60-90% of all
  2624.         new viruses.
  2625.  
  2626.      VBA (Visual Basic for Applications)
  2627.         The language used in the Microsoft Office products
  2628.         (Excel, Access) can also be used to write macro viruses.
  2629.         So far, there's only one know Excel virus (<Excel.DMV>),
  2630.         which is just a research virus.
  2631.  
  2632.      Virus
  2633.         A piece of executable code which is able to replicate
  2634.         and to insert a copy of itself into other executables.
  2635.  
  2636.      VLAD
  2637.         An Australian virus underground organization, which
  2638.         is responsible for a lot of very advanced viruses,
  2639.         like <Ph33r>, <Boza>, <MegaStealth> and others.
  2640.         Usually they release their latest viruses in an
  2641.         electronic magazine which is also called VLAD.
  2642.  
  2643.  
  2644.      WIN API
  2645.         The set of functions available to Windows programs.
  2646.         This contains functions like virtual memory management,
  2647.         file access, graphical operations and other things.
  2648.         There are a lot of different API's like Win32s, WinG
  2649.         and others.
  2650.  
  2651.      Windows EXE
  2652.         Can be either NE-EXE (Windows 3.x), PE-EXE (Windows 95
  2653.         and Windows NT) or LE-EXE (used by some device drivers).
  2654.         See 16-bit and 32-bit EXE.
  2655.  
  2656.      Windows Virus
  2657.         A virus which is able to infect Windows executables or
  2658.         Windows related objects like Microsoft Word documents.
  2659.  
  2660.      Winsurfer
  2661.         A Windows NE-EXE virus which uses a powerful new
  2662.         infection scheme.
  2663.  
  2664.      WinVir14
  2665.         The very first Windows virus, which never spread and
  2666.         is considered as a pure research virus, done by the
  2667.         virus coder group called Trident.
  2668.  
  2669.      Winword
  2670.      Word
  2671.         See Microsoft Word.
  2672.  
  2673.      WordBasic
  2674.         The macro language used by Microsoft Word.
  2675.  
  2676.  
  2677.                                    *
  2678.  
  2679.  
  2680.             F/WIN - Copyright (c) 1996 by Stefan Kurtzhals
  2681.