home *** CD-ROM | disk | FTP | other *** search

---

/ Night Owl 6 / Night Owl's Shareware - PDSI-006 - Night Owl Corp (1990).iso / 030a / netscn86.zip / NETSCN86.DOC

< prev

next >

Wrap

Text File  |  1992-01-24  |  13KB  |  293 lines

---

1.              NETSCAN  Version V86
2.      Copyright (C) 1989, 1990, 1991 by McAfee Associates.
3.              All Rights Reserved.
4.            Documentation by Aryeh Goretsky.
5.  
6.  
7.  
8.  
9.  
10.  
11.      McAfee Associates               (408) 988-3832 office
12.      1900 Wyatt Drive, Suite 8       (408) 970-9727 fax
13.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps
14.      U.S.A.                          (408) 988-5138 BBS HST 9600
15.                      (408) 988-5190 BBS v32 9600
16.                      CompuServe    GO VIRUSFORUM
17.                      InterNet  mcafee@netcom.com
18.  
19. SYNOPSIS
20.  
21.      NETSCAN is a virus detection and identification program for local
22. and wide area networks.  NETSCAN will search any networked drive
23. accessible as a DOS device, searching the networked drive(s) for 
24. known viruses.
25.      NETSCAN works by searching the system for instruction sequences
26. or patterns that are unique to each computer virus, and then reporting
27. their presence if found. 
28.      NETSCAN version V85, when used in conjunction with the VIRUSCAN
29. program on workstations, can identify all known computer virus strains
30. and their varieties.
31.      For a complete listing of viruses detected, please read the
32. accompanying VIRLIST.TXT file.
33.      NETSCAN can be run off of any workstation with 256Kb and DOS 2.0
34. or above (Some options may require DOS 3.1 or above).  In order for
35. NETSCAN to check all areas of the server for computer viruses,
36. NETSCAN should be run under an account with global read, write, and
37. create privileges.  NETSCAN works with 3Com 3/Share and 3/Open, Artisoft
38. Lantastic, Novell NetWare, Banyan VINES, DEC DECNet, Microsoft LAN
39. Manager, PC/SA, and NFSNet as well as IBMNET and NETBIOS compatible
40. networks.  If you do not see your network listed, contact McAfee
41. Associates.
42.  
43.  
44. AUTHENTICITY
45.  
46.      NETSCAN runs a self-test when executed.  If NETSCAN has been
47. modified in any way, a warning will be displayed.  The program will
48. still continue to check for viruses, though.  If NETSCAN reports that
49. it has been damaged, it is recommended that a clean copy be
50. obtained.
51.      NETSCAN versions 51 and above are packaged with the VALIDATE
52. program to ensure the integrity of the NETSCAN.EXE file.  The
53. VALIDATE.DOC  instructions tell how to use the VALIDATE program.
54. The VALIDATE program distributed with NETSCAN may be used to check
55. all further versions of NETSCAN.
56.  
57.      The validation results for Version 86 should be:
58.  
59.           FILE NAME: NETSCAN.EXE
60.            SIZE: 63,859
61.            DATE: 01-24-1992
62.     FILE AUTHENTICATION
63.      Check Method 1: 99D8
64.      Check Method 2: 0D26
65.  
66. If your copy of NETSCAN.EXE differs, it may have been modified.
67. Always obtain your copy of VIRUSCAN from a known source.  The
68. latest version of NETSCAN and validation data for NETSCAN.EXE can
69. be obtained off of McAfee Associates' bulletin board system at
70. (408) 988-4004.
71.  
72.      Beginning with Version 72, all McAfee Associates programs for
73. download are archived with PKWare's PKZIP Authentic File
74. Verification.  If you do not see the "-AV" message after every file
75. is unzipped and receive the message "Authentic Files Verified!
76. # NWN405  Zip Source: McAFEE ASSOCIATES" when you unzip the files
77. then do not run them.  If your version of PKUNZIP does not have
78. verification ability, then this message may not be displayed.
79. Please contact McAfee Associates if your .ZIP file has been
80. tampered with.
81.  
82.  
83.  
84.  
85. COMMANDS
86.  
87. IMPORTANT NOTE:  NETSCAN SHOULD ALWAYS BE RUN FROM A WRITE-PROTECTED FLOPPY
88. DISK TO PREVENT NETSCAN FROM BECOMING INFECTED.
89.  
90.      To run NETSCAN type:
91.  
92. NETSCAN d1: ... d26: /A /BELL /CHKHI /D /E .xxx .yyy .zzz
93.              /EXT filename /FAST /FR /H /HELP /M /NLZ /NOBREAK
94.              /NOMEM /NOPAUSE /NPKL /REPORT filename /SP /SUB
95.              /UNATTEND /? @filename
96.  
97. Options are:
98.  
99.        /? /H /HELP - Display help screen
100.         /A - Scan all files for viruses
101.          /BELL - Beep whenever a virus is found
102.         /CHKHI - Scan workstation memory from 0 to 1088Kb
103.         /D - Overwrite and delete infected files
104.  /E .xxx .yyy .zzz - Scan overlay extensions .xxx .yyy .zzz
105.      /EXT filename - Scan using external virus data file
106.            /FR - Display messages in French
107.         /M - Scan memory for all viruses
108.              (see below for specifics)
109.           /NLZ - Skip internal scan of LZEXE compressed files
110.       /NOBREAK - Disable Ctrl-C / Ctrl-Brk during scanning
111.         /NOMEM - Skip memory checking
112.       /NOPAUSE - Disable screen pause when scanning
113.          /NPKL - Skip internal scan of PKLITE compressed files
114.   /REPORT filename - Create report of infected files
115.            /SP - Display messages in Spanish
116.           /SUB - Scan subdirectorires
117.      /UNATTEND - Scan network using error handler
118.  
119.        (d1: ... d26: indicate network drives to be scanned)
120.  
121.      The /A option will cause NETSCAN to go through all files on the
122. referenced drive.  This should be used if a file-infecting virus has already
123. been detected.  Otherwise the /A option should only be used when checking a
124. new program.  The /A option will add a substantial time to scanning.  This
125. option takes priority over the /E option.
126.  
127.      The /BELL option will cause VIRUSCAN to beep each time a computer
128. virus is found.
129.  
130.      The /CHKHI option checks memory on the workstation NETSCAN is being
131. run on above 640Kb that can be used on AT (286) and 386 systems for
132. computer viruses on the workstation it is being run from.  This includes
133. the 384Kb Upper Memory Area from 640Kb to 1024Kb, and the 64Kb High
134. Memory Area from 1024Kb to 1088Kb.  On XT systems with extended memory
135. cards installed, this will cause the first 64K of RAM to be scanned
136. again.  This option can not be used with the /NOMEM option.
137.  
138.      The /D option tells NETSCAN to prompt the user to overwrite
139. and delete an infected file when one is found.  If the user selects
140. "Y" the infected file will be overwritten with hex code C3 [the
141. Return-to-DOS instruction] and then deleted.  A file erased by the
142. /D option can not be recovered.  If the McAfee Associates' CLEAN-
143. UP program is available, it is recommended that CLEAN be used to
144. remove the virus instead of NETSCAN, since in most cases it will
145. recover the infected file.  Boot sector and partition table
146. infectors can not be removed by the /D option and require the
147. CLEAN-UP virus disinfection program.
148.  
149.      The /E option allows the user to specify an extension or set
150. of extensions to scan.  Extensions should include the period
151. character "." and be separated by a space after the /E and between
152. each other.  Up to three extensions may be added with the /E.  For
153. more extensions, use the /A option.
154.  
155.      The /EXT option allows NETSCAN to serach for viruses from a
156. text file conatning user-defined search strings in addition to the
157. viruses that NETSCAN already checks for.  For instructions on how
158. to create and use an external virus data file, please refer to the
159. VIRUSCAN documentation.
160.  
161.      The /FAST option will speed NETSCAN up by displaying less
162. inforation on the screen during scanning, skipping scanning inside
163. of LZEXE- and PKLITE-compressed files, and examining a smaller portion
164. of files during scanning.  This may cause some viruses to be missed.
165.  
166.      The /FR option tells NETSCAN to output all messages in French
167. instead of English.
168.  
169.      The /M option tells NETSCAN to check system memory of the
170. workstation it is running off of for all known computer viruses that
171. can inhabit memory.  NETSCAN by default only checks memory for
172. critical and "stealth" viruses, which are viruses which can cause
173. catastrophic damage or spread the infection during the scanning
174. process.  NETSCAN will check memory for the following viruses
175. in any case:
176.  
177.      1024           1253          1554          1963
178.      1971           2100          2560          337
179.      3445-Stealth   4096          512           Anthrax
180.      Anti-Tel       Brain         Dark Avenger  Darth Vader
181.      Disk Killer    Doom2         EDV           Empire
182.      Fish6          Form          Greemlin      Invader
183.      Joshi          Microbes      Mirror        Murphy
184.      Nomenclature   Phantom       Plastique     Polish-2
185.      P1R (Phoenix)  Sentinel      Stoned        Tequila
186.      Taiwan-3       Whale         Zero-Hunt
187.  
188. If one of these viruses is found in memory, NETSCAN will stop and
189. advise the user to power down, and reboot the system from a
190. virus-free system disk.  Using the /M option with another
191. anti-viral software package may result in false alarms if the other
192. package does not remove its virus search strings from memory.  The
193. /M option will add 3 to 15 seconds to the scanning time.
194.  
195.      The /NLZ option tells NETSCAN not to look inside files
196. compressed with the LZEXE file compression program.  NETSCAN will
197. still check the programs for external infections.
198.  
199.      The /NOBREAK option disables Control-C or Control-Break from
200. stopping VIRUSCAN while running.  The /NOBREAK option only works if
201. BREAK=OFF has been added to the CONFIG.SYS file.
202.  
203.      The /NOMEM option is used to turn off all memory checking for
204. viruses.  It should only be used when a system is known to be free
205. of viruses.
206.  
207.      The /NOPAUSE option disables the "More..." prompt that appears
208. when NETSCAN fills up a screen with data.  This allows VIRUSCAN to run
209. on a machine with multiple infections without requiring operator
210. intervention when the screen fills up with messages from the NETSCAN
211. program.
212.  
213.      The /NPKL option tells NETSCAN not to look inside files
214. compressed with the PKLITE file compression program.  NETSCAN will
215. still check the programs for external infections.
216.  
217.      The /REPORT option is used to generate a listing of infected
218. files.  The resulting list is saved to disk as an ASCII text file.
219. To use the report option, specify /REPORT on the command line,
220. followed by the device and filename.
221.  
222.      The /SP option tells NETSCAN to output all messages in Spanish
223. instead of English.
224.  
225.      The /SUB option allows NETSCAN to scan all subdirectories under
226. a subdirectory (a subdirectory tree).  Previously, NETSCAN would only
227. recyursively check subdirectories if a logical device (e.g., F:)
228. was scanned.
229.  
230.      The /UNATTEND option allows NETSCAN to continue scanning when a
231. non-shareable open file is scanned. 
232.  
233. NOTE:  The /UNATTEND options requires DOS 3.1 and above.  If your PC
234. is running an older version, then the /UNATTEND option will not
235. work.
236.  
237.      The @filename option allows the system administrator to store a
238. list of preferred options and/or areas of the system to be scanned in a
239. configuration file and then have NETSCAN read the options in and execute
240. them.  Options need to be separated by spaces on the first line of the
241. file, while systems areas (a disk, subdirectory, or files) need to be
242. listed on a separate line for each entry.  A sample file might look
243. like this:
244.  
245. /A /BELL /CERTIFY /REPORT C:\NETSCAN\SCAN.LOG
246. F:
247. G:\PUBLIC
248.  
249. The configuration file should be an ASCII text file.  If a word
250. processor is used to create the file, be sure to save the file as
251. ASCII.
252.  
253. OPERATION
254.  
255.      NETSCAN should be run while only the supervisor account is active
256. on the network.
257.     NETSCAN will require approximately 3 minutes of run time for each
258. 1,000 files on the designated drive.
259.  
260.  
261. EXIT CODES
262.  
263.      NETSCAN will set the DOS ERRORLEVEL upon program termination
264. to:
265.  
266.      ERRORLEVEL | DESCRIPTION
267.      -----------+--------------------------
268.      0      | No viruses found
269.      1      | One or more viruses found
270.      2      | Abnormal termination (program error)
271.  
272. If a user stops the scanning process, NETSCAN will set the ERRORLEVEL
273. to 0 or 1 depending on whether or not a virus was discovered prior
274. to termination of the scan.
275.  
276.  
277. LICENSE
278.  
279.     NETSCAN may be copied and distributed for testing on a trial basis.
280. If you choose to use NETSCAN, a license is required.  Licenses are available
281. for internal use within a business, organization, government agency, or
282. for external use by repair centers or other service organizations.  License
283. fees will vary depending on the size of the network or number of copies of
284. NETSCAN required.  For information contact:
285.  
286.      McAfee Associates               (408) 988-3832 office
287.      1900 Wyatt Dr. Suite 8          (408) 970-9727 fax
288.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps
289.      U.S.A.                          (408) 988-5138 BBS HST 9600
290.                      (408) 988-5190 BBS v32 9600
291.                      CompuServe    GO VIRUSFORUM
292.                      Internet  mcafee@netcom.com
293.