home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload / ShartewareOverload.cdr / utils / scan.zip / SCANV80.DOC < prev    next >
Text File  |  1991-06-25  |  29KB  |  632 lines

  1.  
  2.                        VIRUSCAN Version 7.6V80
  3.          Copyright (C) 1989, 1990, 1991 by McAfee Associates.
  4.                          All rights reserved.
  5.                    Documentation by Aryeh Goretsky.
  6.  
  7.  
  8.  
  9.  
  10.      McAfee Associates               (408) 988-3832 office
  11.      4423 Cheeney Street             (408) 970-9727 fax
  12.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps
  13.      U.S.A.                          (408) 988-5138 BBS HST 9600
  14.                                      (408) 988-5190 BBS v32 9600
  15.                                      Internet: mcafee@netcom.com
  16.  
  17.  
  18.  
  19.                             TABLE OF CONTENTS:
  20.  
  21.  
  22. SYNOPSIS . . . . . . . . . . . . . . . . . . . . . . . . . . .2
  23.   - What VIRUSCAN is, system requirements
  24.  
  25. AUTHENTICITY . . . . . . . . . . . . . . . . . . . . . . . . .2
  26.   - Verifying the integrity of VIRUSCAN
  27.  
  28. WHAT'S NEW . . . . . . . . . . . . . . . . . . . . . . . . . .3
  29.   - Features, new viruses added in this release
  30.  
  31. OVERVIEW . . . . . . . . . . . . . . . . . . . . . . . . . . .4
  32.   - Detailed description of VIRUSCAN
  33.  
  34. OPERATION. . . . . . . . . . . . . . . . . . . . . . . . . . .5
  35.   - How to use VIRUSCAN
  36.  
  37. EXAMPLES . . . . . . . . . . . . . . . . . . . . . . . . . . .8
  38.   - Samples of frequently-used options
  39.  
  40. EXIT CODES . . . . . . . . . . . . . . . . . . . . . . . . . .9
  41.   - For running VIRUSCAN from batch files
  42.  
  43. VIRUS REMOVAL. . . . . . . . . . . . . . . . . . . . . . . . .9
  44.   - How to manually remove a virus
  45.  
  46. REGISTRATION . . . . . . . . . . . . . . . . . . . . . . . . .9
  47.   - How to register VIRUSCAN
  48.  
  49. TECH SUPPORT . . . . . . . . . . . . . . . . . . . . . . . . .10
  50.  - Information you should have ready when calling
  51.  
  52. APPENDIX A . . . . . . . . . . . . . . . . . . . . . . . . . .11
  53.  - Creating a virus string file with the /EXT option
  54.  
  55. VIRUSCAN Version 7.6V80                                Page 2
  56.  
  57.  
  58. SYNOPSIS
  59.  
  60.      VIRUSCAN (SCAN) is a virus detection and identification
  61. program for the IBM PC and compatible computers.  VIRUSCAN will
  62. search a PC for known computer viruses in memory, the boot sector,
  63. the partition table, and the files of a PC and its disks.  VIRUSCAN
  64. will also detect the presence of unknown viruses.
  65.      SCAN works by searching the system for instruction sequences
  66. or patterns that are unique to each computer virus, and then
  67. reporting their presence if found.  This method works for viruses
  68. that VIRUSCAN recognizes.  SCAN can detect unknown viruses in
  69. files and boot sector by appending validation (CRC) codes to .COM
  70. and .EXE files and then checking the files against their codes for
  71. changes, warning that an infection may have occurred if the file
  72. has been modified in any way, and by checking boot sectors for
  73. generic routines that a boot sector virus must have.  SCAN can
  74. check for new viruses from a user-supplied list of virus search
  75. strings.
  76.      VIRUSCAN runs on any PC with 256Kb and DOS version 2.00 or
  77. greater.
  78.  
  79.  
  80. AUTHENTICITY
  81.  
  82.      VIRUSCAN runs a self-test when executed.  If SCAN has been
  83. modified in any way, a warning will be displayed.  The program will
  84. still continue to check for viruses, though.  If SCAN reports that
  85. it has been damaged, it is recommended that a clean copy be
  86. obtained.
  87.      VIRUSCAN versions 46 and above are packaged with the VALIDATE
  88. program to ensure the integrity of the SCAN.EXE file.  The
  89. VALIDATE.DOC  instructions tell how to use the VALIDATE program.
  90. The VALIDATE program distributed with VIRUSCAN may be used to check
  91. all further versions of SCAN.
  92.  
  93.      The validation results for Version 80 should be:
  94.  
  95.               FILE NAME: SCAN.EXE
  96.                    SIZE: 87,437
  97.                    DATE: 06-24-1991
  98.     FILE AUTHENTICATION
  99.          Check Method 1: 58A9
  100.          Check Method 2: 0538
  101.  
  102. If your copy of SCAN.EXE differs, it may have been modified.
  103. Always obtain your copy of VIRUSCAN from a known source.  The
  104. latest version of VIRUSCAN and validation data for SCAN.EXE can be
  105. obtained off of McAfee Associates' bulletin board system at (408)
  106. 988-4004.
  107.  
  108.      Beginning with Version 72, all McAfee Associates programs for
  109. download are archived with PKWare's PKZIP Authentic File
  110. Verification.  If you do not see the "-AV" message after every file
  111. is unzipped and receive the message "Authentic Files Verified!
  112. # NWN405  Zip Source: McAFEE ASSOCIATES" when you unzip the files
  113. then do not run them.  If your version of PKUNZIP does not have
  114. verification ability, then this message may not be displayed.
  115. Please contact McAfee Associates if your .ZIP file has been
  116. tampered with.
  117. VIRUSCAN Version 7.6V80                                Page 3
  118.  
  119.  
  120. WHAT'S NEW
  121.  
  122.      VIRUSCAN may now be registered by home users (within the
  123. U.S.A. and Canada) by dialing a 900 number.  If you wish to
  124. register SCAN, and DO NOT wish to receive a diskette, you may
  125. register by calling 1-(900) 230-5600.  Give the name of the program
  126. (SCAN), your name and address, and your phone number when voice
  127. prompted.  $25 will be billed to your telephone number.  Please
  128. note:  This is a voice number.  Do not call this number with your
  129. modem, since you will be charged $25 for each call.  If you wish
  130. to  receive a diskette, then use the REGISTER.DOC file for
  131. information, and do not use the 900 number.
  132.      Versions 78 and 79 of VIRUSCAN were skipped because of two
  133. trojan horse versions that appeared.  Version 80 of SCAN logically
  134. follows V77.
  135.      Version 80 adds several new features to VIRUSCAN:
  136.      The first is that SCAN now checks inside of files compressed
  137. with PKWare's PKLITE program for viruses.  Files infected before
  138. compression will be reported as being infected internally.  Files
  139. infected after compression will be reported as being infected
  140. externally.
  141.      When a subdirectory is scanned, SCAN will check subdirectories
  142. below that subdirectory when the /SUB option is used.
  143.      The extension .SWP has been added to the list of extensions
  144. scanned by default.
  145.      The /REPORT option now displays version number, options used,
  146. date and time, and validation code results.
  147.      Also, the capabilty to detect unknown boot sector viruses by
  148. scanning for virus-like code has been added.  If a boot sector is
  149. found that contains suspicious code, SCAN will report that the disk
  150. contains a Unrecognized Boot Sector Virus.
  151.      51 new viruses have been added.  Ones that were reported at
  152. multiple sites are:
  153.      The Telephonica virus -- a memory-resident multipartite
  154. virus that infects the boot sectors of floppy disks, the hard disk
  155. partition table, and .COM files.  The virus infects .COM files at
  156. about 15 minute intervals, and keeps a counter of the number of
  157. reboots that have occurred.  When 400 reboots have occurred, the
  158. virus displays the message "VIRUS ANTITELEFONICA (BARCELONA)" and
  159. formats the hard disk.  The virus has been reported at multiple
  160. sites in Barcelona, Spain and in England.
  161.      The Loa Duong virus -- a memory-resident floppy disk and hard
  162. disk boot sector infector.  It is named after a Laotian funeral
  163. dirge that it plays after every 128 disk accesses.
  164.      The Michelangelo -- a floppy disk boot sector and hard disk
  165. partition table infector based on the Stoned virus.  On March 6,
  166. Michelangelo's birthdate, it formats the hard disk of infected
  167. PC's.
  168.      The Tequila virus -- sent to us from the United Kingdom but
  169. originates in Switzerland.  It is a memory-resident multipartite
  170. virus uses stealth techniques and attaches to the boot sector of
  171. floppies, partition table of hard disks, and .EXE files.  It
  172. contains messages saying "Welcome to T.TEQUILA's latest
  173. production.", "Loving thoughts to L.I.N.D.A", and "BEER and TEQUILA
  174. forever !"
  175.      Several other new viruses were added, for a listing of them,
  176. please refer to the enclosed VIRLIST.TXT file for a short
  177. description of the new viruses.  For a more complete description,
  178. please refer to Patricia Hoffman's VSUM listing.
  179. VIRUSCAN Version 7.6V80                                 Page 4
  180.  
  181.  
  182. OVERVIEW
  183.  
  184.      VIRUSCAN scans diskettes or entire systems for pre-existing
  185. computer virus infections.  It will identify the virus infecting
  186. the system, and tell what area of the system (memory, boot sector,
  187. file) the virus occupies.  An infected file can be removed with
  188. the overwrite-and-delete option, /D which will erase the file.
  189. The CLEAN-UP program is also available to automatically disinfect
  190. the system and repair damaged areas whenever possible.
  191.      VIRUSCAN Version 80 identifies all 293 known computer viruses
  192. along with their variants.  Some viruses have been modified so that
  193. more than one "strain" exists.  Counting such modifications, there
  194. are 714 virus variants.  The twenty most common viruses which
  195. account for over 98% of all reported PC infections are also
  196. identified by SCAN.  The accompanying VIRLIST.TXT file lists
  197. describes all new, public domain, and extinct computer viruses
  198. identified by SCAN.  The number of variants of each virus is listed
  199. in parentheses after the virus name.
  200.       All known computer viruses infect one or more of the
  201. following areas:  the hard or fixed disk partition table (also
  202. known as the master boot record); the DOS boot sector of hard disks
  203. and floppy disks; or one or more executable files within the
  204. system.  Executable files include operating system files, .COM
  205. files, .EXE files, overlay files, or any other files loaded into
  206. memory and executed.  A virus that infects more than one area, such
  207. as a boot sector and an executable file is called a multipartite
  208. virus.
  209.      VIRUSCAN identifies every area or file that is infected, and
  210. indicates both the name of the virus and CLEAN-UP I.D. code used
  211. to remove it.  SCAN will check the entire system, an individual
  212. diskette, subdirectory, or individual files for existing viruses.
  213.      VIRUSCAN can also check files for unknown viruses with the Add
  214. Validation and Check Validation options.  This is done by computing
  215. a code for a file, appending it to the file, and then validating
  216. the file against that code.  If the file has been modified, the
  217. check will no longer match, indicating that viral infection may
  218. have occurred.  SCAN uses two independently generated CRC (Cyclic
  219. Redundancy Check) checks that are added to the end of program files
  220. to do this.  Files which are self-checking should not be validated
  221. since this will "set off" the program's self-check.  Files which
  222. are self-modifying may have different values for the same program
  223. depending upon the modifications.  VIRUSCAN adds validation codes
  224. to .COM and .EXE files only.  The validation codes for the
  225. partition table, boot sector, and system files, are kept in a
  226. hidden file called SCANVAL.VAL in the root directory.  To detect
  227. boot sector viruses, SCAN checks the boot sector for signs of
  228. viral code.  If suspicious code is found, SCAN will report that it
  229. has found a Suspcious Boot Sector Virus.
  230.      VIRUSCAN can also be updated to search for new viruses via
  231. an External Virus Data File option, which allows the user to
  232. provide the VIRUSCAN program with new search strings for viruses.
  233.      VIRUSCAN can display messages in either English or French.
  234.      VIRUSCAN works on stand-alone and networked PC's, but not on
  235. a file server.  For networks, the NETSCAN server drive scanning
  236. program must be used.
  237. VIRUSCAN Version 7.6V80                                Page 5
  238.  
  239.  
  240. OPERATION
  241.  
  242. IMPORTANT NOTE:  WRITE PROTECT YOUR FLOPPY DISK BEFORE SCANNING
  243. YOUR SYSTEM TO PREVENT INFECTION OF THE VIRUSCAN PROGRAM.
  244.  
  245.      VIRUSCAN will check each area or file on the designated
  246. drive(s) that could be host to a virus.  If a virus is found, a
  247. message is displayed telling the name of the infected file or
  248. system area and the name of the identified virus.  SCAN will
  249. examine files for viruses based on their extensions.  The default
  250. file extensions supported by SCAN are .APP, .BIN, .COM, .EXE, .OV?,
  251. .PGM, .PIF, .PRG, .SWP, .SYS, and .XTP.  Additional extensions can
  252. be added to SCAN or all files on disk can be selected for scanning.
  253.  
  254.      To run VIRUSCAN type:
  255.  
  256. SCAN d1: ... d10: /A /AV /CV /D /E .xxx .yyy .zzz /EXT d:filename
  257.                   /FR /MANY /NLZ /NOBREAK /NOMEM /NOPAUSE
  258.                   /REPORT d:filename /RV /SUB
  259.  
  260. Options are:
  261.  
  262.                   \ - Scan root directory and boot area only
  263.                  /A - Scan all files, including data, for viruses
  264.                 /AV - Add validation codes to specified files
  265.                 /CV - Check validation codes for files
  266.                  /D - Overwrite and delete infected file
  267.   /E .xxx .yyy .zzz - Scan overlay extensions .xxx .yyy .zzz
  268.     /EXT d:filename - Scan using external virus information file
  269.                 /FR - Display messages in French
  270.                  /M - Scan memory for all viruses
  271.                       (see below for specifics)
  272.               /MANY - Scan multiple floppies
  273.                /NLZ - Skip internal scan of LZEXE compressed files
  274.            /NOBREAK - Disable Ctrl-C / Ctrl-Brk during scanning
  275.              /NOMEM - Skip memory checking
  276.            /NOPAUSE - Disable screen pause when scanning
  277.  /REPORT d:filename - Create report of infected files
  278.                 /RV - Remove validation codes from specified files
  279.                /SUB - Scan subdirectories
  280.  
  281.            (d1: ... d10: indicate drives to be scanned)
  282.  
  283.      The /A option will cause SCAN to check all files on the
  284. referenced drive.  This should only be used if a file-infecting
  285. virus has already been detected.  Otherwise the /A option should
  286. only be used when checking a new program.  The /A option will add
  287. a substantial time to scanning.  This option takes priority over
  288. the /E option.
  289.      The /AV option allows the user to add validation codes to the
  290. files being scanned.  If a full drive is specified, SCAN will
  291. create validation data for the partition table, boot sector, and
  292. system files of the disk as well.  Validation adds ten (10) bytes
  293. to files; the validation data for the partition table, boot sector,
  294. and system files is stored separately in a hidden file in the root
  295. directory of the scanned drive.
  296. VIRUSCAN Version 7.6V80                                Page 6
  297.  
  298.      The /CV option checks the validation codes inserted by the /AV
  299. option.  If the file has been changed, SCAN will report that the
  300. file has been modified, and that viral infection may have occurred.
  301. Using the /CV option adds about 25% more time to scanning.
  302.  
  303. NOTE:  Some older Hewlett Packard and Zenith PC's modify the boot
  304. sector or partition table each time the system is booted.  This
  305. will cause SCAN to continually notify the user of boot sector or
  306. partition table modifications if the /CV switch is selected.  Check
  307. your system's manual to determine if your system contains
  308. self-modifying boot code.
  309.  
  310.      The /D option tells VIRUSCAN to prompt the user to overwrite
  311. and delete an infected file when one is found.  If the user selects
  312. "Y" the infected file will be overwritten with hex code C3 [the
  313. Return-to-DOS instruction] and then deleted.  A file erased by the
  314. /D option can not be recovered.  If the McAfee Associates' CLEAN-
  315. UP program is available, it is recommended that CLEAN be used to
  316. remove the virus instead of SCAN, since in most cases it will
  317. recover the infected file.  Boot sector and partition table
  318. infectors can not be removed by the /D option and require the
  319. CLEAN-UP virus disinfection program.
  320.      The /E option allows the user to specify an extension or set
  321. of extensions to scan.  Extensions should include the period
  322. character "." and be separated by a space after the /E and between
  323. each other.  Up to three extensions may be added with the /E.  For
  324. more extensions, use the /A option.
  325.      The /EXT option allows VIRUSCAN to search for viruses from a
  326. text file containing user-defined search strings in addition to the
  327. viruses that already SCAN checks for.  The syntax for using the
  328. external virus data file is /EXT d:filename, where d: is the drive
  329. name and filename is the name of the external virus data file.  For
  330. instructions on how to create an external virus data file, refer
  331. to Appendix A.
  332.  
  333. NOTE:  The /EXT option is intended for users to add strings for
  334.        detection of computer viruses on an interim or emergency
  335.        basis.  When used with the /D option, it will delete
  336.        infected files. This option is not recommended for general
  337.        use and should be used with caution.
  338.  
  339.      The /FR option tells VIRUSCAN to output all messages in French
  340. instead of English.
  341.      The /M option tells VIRUSCAN to check system memory for all
  342. known computer viruses that can inhabit memory.  SCAN by default
  343. only checks memory for critical and "stealth" viruses, which are
  344. viruses which can cause catastrophic damage or spread the infection
  345. during the scanning process.  SCAN will check memory for the
  346. following viruses in any case:
  347.  
  348.      1554           1971          1253          2100
  349.      3445-Stealth   4096          512           Anthrax
  350.      Brain          Dark Avenger  Disk Killer   Doom-2
  351.      EDV            Fish6         Form          Invader
  352.      Joshi          Microbes      Mirror        Murphy
  353.      Nomenclature   Phantom       Plastique     Polish-2
  354.      P1R (Phoenix)  Taiwan-3      Whale         Zero-Hunt
  355.  
  356. VIRUSCAN Version 7.6V80                                Page 7
  357.  
  358.  
  359. If one of these viruses is found in memory, SCAN will stop and
  360. advise the user to power down, and reboot the system from a
  361. virus-free system disk.  Using the /M option with another
  362. anti-viral software package may result in false alarms if the other
  363. package does not remove its virus search strings from memory.  The
  364. /M option will add 6 to 20 seconds to the scanning time.
  365.      The /MANY option is used to scan multiple diskettes placed in
  366. a given drive.  If the user has more than one floppy disk to
  367. check for viruses, the /MANY option will allows the user to check
  368. them without having to run SCAN multiple times.  If a system has
  369. been disinfected, the /MANY and /NOMEM options can be used to speed
  370. up scanning of disks.
  371.      The /NLZ option tells VIRUSCAN not to look inside files
  372. compressed with the LZEXE file compression program.  SCAN will
  373. still check the programs for external infections.
  374.      The /NOBREAK option disables Control-C or Control-Break from
  375. stopping VIRUSCAN while running. 
  376.      The /NOMEM option is used to turn off all memory checking for
  377. viruses.  It should only be used when a system is known to be free
  378. of viruses.
  379.      The /NOPAUSE option disables the "More..." prompt that appears
  380. when SCAN fills up a screen with data.  This allows VIRUSCAN to run
  381. on a machine with multiple infections without requiring operator
  382. intervention when the screen fills up with messages from the SCAN
  383. program.
  384.      The /REPORT option is used to generate a listing of infected
  385. files.  The resulting list is saved to disk as an ASCII text file.
  386. To use the report option, specify /REPORT on the command line,
  387. followed by the device and filename [See EXAMPLES below for
  388. samples].
  389.      The /RV option is used to remove validation codes from a file
  390. or files.  It can be used to remove the validation code from a
  391. diskette, subdirectory, or file(s).  Using /RV on a disk will
  392. remove the partition table, boot sector, and system file
  393. validation.  This option can not be used with the /AV option.
  394.      The /SUB option allows SCAN to scan subdirectories under a
  395. a subdirectory when scanned.  Previously, SCAN would only
  396. recursively check subdirectories if a logical device (e.g., C:)
  397. was scanned.
  398. VIRUSCAN Version 7.6V80                                Page 8
  399.  
  400.  
  401. EXAMPLES
  402.  
  403.         The following examples are shown as they would be typed in.
  404.  
  405.      SCAN C:
  406.           To scan drive C:
  407.  
  408.      SCAN A:R-HOOPER.EXE
  409.           To scan file "R-HOOPER.EXE" on drive A:
  410.  
  411.      SCAN A: /A /CV
  412.           To scan all files and check validation codes for unknown
  413.           viruses on drive A:.
  414.  
  415.      SCAN B: /D /A
  416.           To scan all files on drive B:, and prompt for erasure of
  417.           infected files.
  418.  
  419.      SCAN C: D: E: /AV /NOMEM
  420.           To add validation codes to files on drives C:, D:, and
  421.           E:, and skip memory checking.
  422.  
  423.      SCAN C: D: /M /A /FR
  424.           To scan memory for all known and extinct viruses, as well
  425.           as all files on drives C: and D:, and output all messages
  426.           in French.
  427.  
  428.      SCAN C: D: /E .WPM .COD
  429.           To scan drives C: and D:, and include files with the
  430.           extensions .WPM and .COD
  431.  
  432.      SCAN C: /EXT A:SAMPLE.ASC
  433.           To scan drive C: for known computer viruses and also for
  434.           viruses added by the user via the external virus data
  435.           file option.
  436.  
  437.      SCAN C: /M /NOPAUSE /REPORT A:INFECTN.RPT
  438.           To scan for all viruses in memory and drive C: without
  439.           stopping, and create a log on drive A: called INFECTN.RPT
  440.  
  441.      SCAN C: D: /NOPAUSE /REPORT B:VIRUS.RPT
  442.           To scan drives C: and D: for viruses without stopping,
  443.           and create a log on drive B: called VIRUS.RPT
  444.  
  445.      SCAN E:\DOWNLOADS /SUB
  446.           To scan all subdirectories under DOWNLOADS on drive E:
  447. VIRUSCAN Version 7.6V80                                Page 9
  448.  
  449.  
  450. EXIT CODES
  451.  
  452.      VIRUSCAN will set the DOS ERRORLEVEL upon program termination
  453. to:
  454.  
  455.      ERRORLEVEL | DESCRIPTION
  456.      -----------+--------------------------
  457.          0      | No viruses found
  458.          1      | One or more viruses found
  459.          2      | Abnormal termination (program error)
  460.  
  461. If a user stops the scanning process, SCAN will set the ERRORLEVEL
  462. to 0 or 1 depending on whether or not a virus was discovered prior
  463. to termination of the SCAN.  The /NOBREAK option can be used to
  464. prevent scanning from being stopped.
  465.  
  466.  
  467. VIRUS REMOVAL
  468.  
  469.      What do you do if a virus is found?  You can contact McAfee
  470. Associates for help with removing viruses by BBS, FAX, telephone,
  471. or Internet.  There is no charge for support calls to McAfee
  472. Associates.
  473.      The CLEAN-UP universal virus disinfection program is available
  474. and will disinfect the majority of reported computer viruses.  It
  475. is updated with each release of the SCAN program to remove new
  476. viruses.  The CLEAN-UP program can be downloaded from McAfee
  477. Associates BBS, the SIMTEL20 archives on the Internet, or from the
  478. agents listed in the enclosed text file.
  479.      It is strongly recommended that you get experienced help in
  480. dealing with viruses, especially critical viruses that can damage
  481. or destroy data [for a listing of critical viruses, see the /M
  482. option under OPTIONS, above] and partition table or boot sector
  483. infecting viruses, as improper removal of these viruses could
  484. result in the loss of all data and use of the disk(s).
  485.      For qualified assistance in removing a virus, please contact
  486. McAfee Associates directly or check the enclosed AGENTS.TXT file
  487. for an Authorized McAfee Associates Agent in your area.  Agents may
  488. charge McAfee Associates normal support rates for their services.
  489.  
  490.  
  491. REGISTRATION
  492.  
  493.      A registration fee of $25.00US is required for the use of
  494. VIRUSCAN by individual home users.  Registration is for one year
  495. and entitles the holder to unlimited free upgrades off of McAfee
  496. Associates BBS.  When registering, a diskette containing the latest
  497. version may be requested.  Add $9.00US for diskette mailings.  Only
  498. one diskette mailing will be made.
  499.      Registration is for home users only and does not apply to
  500. businesses, corporations, organizations, government agencies, or
  501. schools, who must obtain a license for use.  Contact McAfee
  502. Associates for more information.
  503.      Outside of the United States, registration and support may be
  504. obtained from the Agents listed in the accompanying AGENTS.TXT
  505. file.
  506.  
  507.                    900 Number Registration
  508.  
  509.      Home users in the U.S. and Canada may register SCAN by dialing
  510. a 900 number and having the registration fee billed to their phone
  511. number.  If you wish to register SCAN through a 900 number, and DO
  512. NOT wish a diskette to be mailed to you, call 1-(900) 230-5600.
  513. Provide your name and address when prompted.  $25 will be billed
  514. to your phone.  NOTE:  This is a voice number.  Do not dial
  515. this number with your modem.  If you want a diskette mailed to you,
  516. then use the REGISTER.DOC file included with SCAN, and do not use
  517. the 900 number registration.
  518. VIRUSCAN Version 7.6V80                                Page 10
  519.  
  520.  
  521.  
  522. TECH SUPPORT
  523.  
  524.      For fast and accurate help, please have the following
  525. information prepared when you contact McAfee Associates:
  526.  
  527.      -    Program name and version number.
  528.  
  529.      -    Type and brand of computer, hard disk, plus any
  530.           peripherals.
  531.  
  532.      -    Version of DOS you are running, plus any TSRs or device
  533.           drivers in use.
  534.  
  535.      -    Printouts of your AUTOEXEC.BAT and CONFIG.SYS files.
  536.  
  537.      -    The exact problem you are having.  Please be as specific
  538.           as possible.  Having a printout of the screen and/or
  539.           being at your computer will help also.
  540.  
  541. McAfee Associates can be contacted by BBS, fax, or Internet 24
  542. hours a day, or call our business office at (408) 988-3832, Monday
  543. through Friday, 8:30AM to 6:00PM Pacific Standard Time.
  544.  
  545.      McAfee Associates               (408) 988-3832 office
  546.      4423 Cheeney Street             (408) 970-9727 fax
  547.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps
  548.      U.S.A                           (408) 988-5138 BBS HST 9600
  549.                                      (408) 988-5190 BBS v32 9600
  550.                                      Internet: mcafee@netcom.com
  551.  
  552. If you are overseas, please refer to the AGENTS.TXT file for
  553. a listing of McAfee Associates Agents for support or sales.
  554.  
  555. VIRUSCAN Version 7.6V80                                Page 11
  556.  
  557.  
  558. APPENDIX A:  Creating a Virus String File with the /EXT Option
  559.  
  560.      The External Virus Data file should be created with an editor
  561. or a word processor and saved as an ASCII text file.  Be sure each
  562. line ends with a CR/LF pair.
  563.  
  564. NOTE:  The /EXT option is intended for emergency and research use
  565. only.  It is an temporary method for identifying new viruses prior
  566. to the subsequent release of SCAN.  A sound understanding of
  567. viruses and string-search techniques is advised as a prerequisite
  568. for using this option.
  569.  
  570.      The virus string file uses the following format:
  571.  
  572. #Comment about Virus_1
  573. "aabbccddeeff..." Virus_1_Name
  574. #Comment about Virus_2
  575. "gghhiijjkkll..." Virus_2_Name
  576.      .
  577.      .
  578. "uuvvwwxxyyzz..." Virus_n_Name
  579.  
  580.  
  581. Where aa, bb, cc, etc. are the hexadecimal bytes that you wish to
  582. scan for.  Each line in the file represents one virus.  The Virus
  583. Name for each virus is mandatory, and may be up to 25 characters
  584. in length.  The double quotes (") are required at the beginning and
  585. end of each hexadecimal string.
  586.      SCAN will use the string file to search memory, the Partition
  587. Table, Boot Sector, System files, all .COM and .EXE files, and
  588. Overlay files with the extension .BIN, .OV?, .PGM, .PIF, .PRG, .SYS
  589. and .XTP.
  590.  
  591.      Virus strings may contain wild cards.  The two wildcard
  592. options are:
  593.  
  594. FIXED POSITION WILDCARD
  595.      The question mark "?" may be used to represent a wildcard in
  596. a fixed position within the string.  For example, the string:
  597.  
  598.                "E9 7C 00 10 ? 37 CB"
  599.  
  600. would match "E9 7C 00 10 27 37 CB", "E9 7C 00 10 9C 37 CB", or any
  601. other similar string, no matter what byte was in the fifth place.
  602.  
  603. RANGE WILDCARD
  604.      The asterisk "*", followed by range number in parentheses "("
  605. and ")" is used to represent a variable number of adjoining random
  606. bytes.  For example, the string:
  607.  
  608.                "E9 7C *(4) 37 CB"
  609.  
  610. would match "E9 7C 00 37 CB", "E9 7C 00 11 37 CB", and
  611. "E9 7C 00 11 22 37 CB".  The string "E9 7C 00 11 22 33 44 37 CB"
  612. would not match since the distance between 7C and 37 is greater
  613. than four bytes.  You may specify a range of up to 99 bytes.
  614. VIRUSCAN Version 7.6V80                                Page 12
  615.  
  616.  
  617. Up to 10 different wildcards of either kind may be used in one
  618. virus string.
  619.  
  620. COMMENTS
  621.      A pound sign "#" at the begining of a line will denote that
  622. it is a comment.  Use this for adding notes to the external virus
  623. data file.  For example:
  624.  
  625.                #New .COM virus found in file FRITZ.EXE from
  626.                #Schneiderland on 01-22-91
  627.                "53 48 45 45 50" Fritz-1 [F-1]
  628.  
  629. Could be used to store a description of the virus, name of the
  630. original infected file, where and when it was received, and so
  631. forth.
  632.