home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload / ShartewareOverload.cdr / virus / netscn76.zip / NETSCN76.DOC < prev    next >
Text File  |  1991-04-08  |  13KB  |  314 lines
  1.                          NETSCAN  Version V76
  2.          Copyright (C) 1989, 1990, 1991 by McAfee Associates.
  3.                          All Rights Reserved.
  4.                   Documentation by Aryeh Goretsky.
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.      McAfee Associates               (408) 988-3832 office
  12.      4423 Cheeney Street             (408) 970-9727 fax
  13.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps
  14.      U.S.A.                          (408) 988-5138 BBS HST 9600
  15.                                      (408) 988-5190 BBS v32 9600
  16.  
  17. SYNOPSIS
  18.  
  19.      NETSCAN is a virus detection and identification program from local
  20. and wide area networks.  NETSCAN will search any networked drive
  21. accesible as a DOS device, searching the networked drive(s) for both
  22. known and unknown viruses.
  23.      NETSCAN works by searching the system for instruction sequences
  24. or patterns that are unique to each computer virus, and then reporting
  25. their presence if found.  This method works for viruses that NETSCAN
  26. recognizes.  To detect unknown viruses, NETSCAN can append a validation
  27. code or "CRC Check" for .COM and .EXE files.  If the file has been
  28. modified in any way, NETSCAN will report that an infection may have
  29. occurred.  NETSCAN will also check for new viruses via a user-supplied
  30. list of search strings.
  31.      NETSCAN version V76, when used in conjunction with the VIRUSCAN
  32. program on workstations, can identify all 240 computer virus strains
  33. with the 500 varieties.
  34.      For a complete listing of viruses detected, please read the
  35. accompanying VIRLIST.TXT file.
  36.      NETSCAN can be run off of any workstation with 256Kb and DOS 2.0
  37. or above (Some options may require DOS 3.1 or above).  In order for
  38. NETSCAN to check all areas of the  server for computer viruses,
  39. NETSCAN should be run under an account with global read, write, and
  40. create priveleges.  NETSCAN works with 3Com 3/Share and 3/Open, Novell
  41. NetWare, Banyan VINES, DEC DECNet, Microsoft LAN Manager, PC/SA,
  42. and NFSNet as well as IBMNET and NETBIOS compatible networks.  If you
  43. do not see your network listed, contact McAfee Associates.
  44.  
  45.  
  46. AUTHENTICITY
  47.  
  48.      NETSCAN runs a self-test when executed.  If NETSCAN has been
  49. modified in any way, a warning will be displayed.  The program will
  50. still continue to check for viruses, though.  If NETSCAN reports that
  51. it has been damaged, it is recommended that a clean copy be
  52. obtained.
  53.      NETSCAN versions 51 and above are packaged with the VALIDATE
  54. program to ensure the integrity of the NETSCAN.EXE file.  The
  55. VALIDATE.DOC  instructions tell how to use the VALIDATE program.
  56. The VALIDATE program distributed with VIRUSCAN may be used to check
  57. all further versions of NETSCAN.
  58.  
  59.      The validation results for Version 76 should be:
  60.  
  61.               FILE NAME: NETSCAN.EXE
  62.                    SIZE: 58,483
  63.                    DATE: 04-08-1991
  64.     FILE AUTHENTICATION
  65.          Check Method 1: 1B58
  66.          Check Method 2: 1CFC
  67.  
  68. If your copy of NETSCAN.EXE differs, it may have been modified.
  69. Always obtain your copy of VIRUSCAN from a known source.  The
  70. latest version of VIRUSCAN and validation data for SCAN.EXE can be
  71. obtained off of McAfee Associates' bulletin board system at (408)
  72. 988-4004.
  73.  
  74.      Beginning with Version 72, all McAfee Associates programs for
  75. download are archived with PKWare's PKZIP Authentic File
  76. Verification.  If you do not see the "-AV" message after every file
  77. is unzipped and receive the message "Authentic Files Verified!
  78. # NWN405  Zip Source: McAFEE ASSOCIATES" when you unzip the files
  79. then do not run them.  If your version of PKUNZIP does not have
  80. verification ability, then this message may not be displayed.
  81. Please contact McAfee Associates if your .ZIP file has been
  82. tampered with.
  83.  
  84.  
  85. WHAT'S NEW
  86.  
  87.      NETSCAN Version 76 adds nineteen new viruses.  For a listing of
  88. complete listing of viruses, refer to the VIRLIST.TXT file.
  89.      Version 76 of NETSCAN adds a critical error handler that allows
  90. NETSCAN to continue scanning if a file-open error occurs.  For more
  91. information about the /UNATTEND option, see the COMMANDS section.
  92.  
  93. COMMANDS
  94.  
  95. IMPORTANT NOTE:  NETSCAN SHOULD ALWAYS BE RUN FROM A WRITE-PROTECTED
  96. FLOPPY DISK TO PREVENT NETSCAN FROM BECOMING INFECTED.
  97.  
  98.      To run NETSCAN type:
  99.  
  100. NETSCAN d1: ... d10: /A /D /E .xxx .yyy .zzz /EXT d:filename
  101.                 /FR /M /NLZ /NOBREAK /NOMEM /NOPAUSE
  102.                 /REPORT d:filename /RV /UNATTEND
  103.  
  104. Options are:
  105.  
  106.                 /A - Scan all files for viruses
  107.                 /D - Overwrite and delete infected files
  108.  /E .xxx .yyy .zzz - Scan overlay extensions .xxx .yyy .zzz
  109.    /EXT d:filename - Scan with external virus data file
  110.                /FR - Display messages in French
  111.                 /M - Scan memory for all viruses
  112.                      (see below for specifics)
  113.               /NLZ - Skip scanning of LZEXE compressed files
  114.           /NOBREAK - Disable Ctrl-C / Ctrl-Brk during scanning
  115.             /NOMEM - Skip memory checking
  116.           /NOPAUSE - Disable screen pause when scanning
  117. /REPORT d:filename - Create report of infected files
  118.          /UNATTEND - Scan network using error handler
  119.  
  120.            (d1: ... d10: indicate drives to be scanned)
  121.  
  122.      The /A option will cause NETSCAN to go through all files on the
  123. referenced drive.  This should be used if a file-infecting virus
  124. has already been detected.  Otherwise the /A option should only be
  125. used when checking a new program.  The /A option will add a
  126. substantial time to scanning.  This option takes priority over the
  127. /E option.
  128.  
  129.  
  130.      The /D option tells NETSCAN to prompt the user to overwrite
  131. and delete an infected file when one is found.  If the user selects
  132. "Y" the infected file will be overwritten with hex code C3 [the
  133. Return-to-DOS instruction] and then deleted.  A file erased by the
  134. /D option can not be recovered.  If the McAfee Associates' CLEAN-
  135. UP program is available, it is recommended that CLEAN be used to
  136. remove the virus instead of NETSCAN, since in most cases it will
  137. recover the infected file.  Boot sector and partition table
  138. infectors can not be removed by the /D option and require the
  139. CLEAN-UP virus disinfection program.
  140.  
  141.      The /E option allows the user to specify an extension or set
  142. of extensions to scan.  Extensions should include the period
  143. character "." and be separated by a space after the /E and between
  144. each other.  Up to three extensions may be added with the /E.  For
  145. more extensions, use the /A option.
  146.  
  147.      The /EXT option allows NETSCAN to search for viruses from a
  148. text file containing user-created search strings.  The syntax for
  149. using the external virus data file is /EXT d:filename, where d: is
  150. the drive name and filename is the name of the external virus data
  151. file.  For instructions on how to create an external virus data
  152. file, refer to Appendix A.
  153.  
  154. NOTE:  The /EXT option is intended for advanced users and computer
  155. anti-virus researchers to add their own strings for detection of
  156. computer viruses on an interim or emergency basis.  When used with
  157. the /D option, it will delete infected files.  This option is not
  158. recommended for general use and should be used with caution.
  159.  
  160.      The /FR option tells NETSCAN to output all messages in French
  161. instead of English.
  162.  
  163.      The /M option tells NETSCAN to check system memory of the
  164. workstation it is running off of for all known computer viruses that
  165. can inhabit memory.  NETSCAN by default only checks memory for
  166. critical and "stealth" viruses, which are viruses which can cause
  167. catastrophic damage or spread the infection during the scanning
  168. process.  NETSCAN will check memory for the following viruses
  169. in any case:
  170.  
  171.      1554          1971          1253          2100
  172.      3445-Stealth  4096          512           Anthrax
  173.      Brain         Dark Avenger  Disk Killer   Doom-2
  174.      EDV           Fish6         Form          Invader
  175.      Joshi         Microbes      Mirror        Murphy
  176.      Nomenclature  Phantom       Plastique     Polish-2
  177.      P1R (Phoenix) Taiwan-3      Whale         Zero-Hunt
  178.  
  179. If one of these viruses is found in memory, NETSCAN will stop and
  180. advise the user to power down, and reboot the system from a
  181. virus-free system disk.  Using the /M option with another
  182. anti-viral software package may result in false alarms if the other
  183. package does not remove its virus search strings from memory.  The
  184. /M option will add 10 to 40 seconds to the scanning time.
  185.  
  186.      The /NLZ option tells NETSCAN not to look inside files
  187. compressed with the LZEXE file compression program.  NETSCAN will
  188. still check the programs for external infections.
  189.  
  190.      The /NOBREAK option disables Control-C or Control-Break from
  191. stopping VIRUSCAN while running.  The /NOBREAK option only works if
  192. BREAK=OFF has been added to the CONFIG.SYS file.
  193.  
  194.      The /NOMEM option is used to turn off all memory checking for
  195. viruses.  It should only be used when a system is known to be free
  196. of viruses.
  197.  
  198.      The /NOPAUSE option disables the "More..." prompt that appears
  199. when NETSCAN fills up a screen with data.  This allows VIRUSCAN to run
  200. on a machine with multiple infections without requiring operator
  201. intervention when the screen fills up with messages from the NETSCAN
  202. program.
  203.  
  204.      The /REPORT option is used to generate a listing of infected
  205. files.  The resulting list is saved to disk as an ASCII text file.
  206. To use the report option, specify /REPORT on the command line,
  207. followed by the device and filename.
  208.  
  209.      The /UNATTEND option allows NETSCAN to continue scanning when a
  210. non-shareable open file is scanned. 
  211.  
  212. NOTE:  The /UNATTEND options requires DOS 3.1 and above.  If your PC
  213. is running an older version, then the /UNATTEND option will not
  214. work.
  215.  
  216.  
  217. OPERATION
  218.  
  219.      NETSCAN should be run while only the supervisor account is active
  220. on the network.
  221.     NETSCAN will require approximately 3 minutes of run time for each
  222. 1,000 files on the designated drive.
  223.  
  224.  
  225. LICENSE
  226.  
  227.     NETSCAN may be copied and distributed for testing on a trial basis.
  228. If you choose to use NETSCAN, a license is required.  Licenses are available
  229. for internal use within a business, organization, government agency, or
  230. for external use by repair centers or other service organizations.  License
  231. fees will vary depending on the size of the network or number of copies of
  232. NETSCAN required.  For information contact:
  233.  
  234.      McAfee Associates               (408) 988-3832 office
  235.      4423 Cheeney Street             (408) 970-9727 fax
  236.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps
  237.      U.S.A.                          (408) 988-5138 BBS HST 9600
  238.                                      (408) 988-5190 BBS v32 9600
  239.  
  240.  
  241. APPENDIX A:  Creating a Virus String File with the /EXT Option
  242.  
  243.      The External Virus Data file should be created with an editor
  244. or a word processor and saved as an ASCII text file.  Be sure each
  245. line ends with a CR/LF pair.
  246.  
  247. NOTE:  The /EXT option is intended for emergency and research use
  248. only.  It is an temporary method for identifying new viruses prior
  249. to the subsequent release of NETSCAN.  A sound understanding of
  250. viruses and string-search techniques is advised as a prerequisite
  251. for using this option.
  252.  
  253.      The virus string file uses the following format:
  254.  
  255. #Comment about Virus_1
  256. "aabbccddeeff..." Virus_1_Name
  257. #Comment about Virus_2
  258. "gghhiijjkkll..." Virus_2_Name
  259.      .
  260.      .
  261. "uuvvwwxxyyzz..." Virus_n_Name
  262.  
  263.  
  264. Where aa, bb, cc, etc. are the hexadecimal bytes that you wish to
  265. scan for.  Each line in the file represents one virus.  The Virus
  266. Name for each virus is mandatory, and may be up to 25 characters
  267. in length.  The double quotes (") are required at the beginning and
  268. end of each hexadecimal string.
  269.  
  270.      NETSCAN will use the string file to search memory, the Partition
  271. Table, Boot Sector, System files, all .COM and .EXE files, and
  272. Overlay files with the extension .BIN, .OV?, .PGM, .PIF, .PRG, .SYS
  273. and .XTP.
  274.  
  275.      Virus strings may contain wild cards.  The two wildcard
  276. options are:
  277.  
  278. FIXED POSITION WILDCARD
  279.      The question mark "?" may be used to represent a wildcard in
  280. a fixed position within the string.  For example, the string:
  281.  
  282.                "E9 7C 00 10 ? 37 CB"
  283.  
  284. would match "E9 7C 00 10 27 37 CB", "E9 7C 00 10 9C 37 CB", or any
  285. other similar string, no matter what byte was in the fifth place.
  286.  
  287. RANGE WILDCARD
  288.      The asterisk "*", followed by range number in parentheses "("
  289. and ")" is used to represent a variable number of adjoining random
  290. bytes.  For example, the string:
  291.  
  292.                "E9 7C *(4) 37 CB"
  293.  
  294. would match "E9 7C 00 37 CB", "E9 7C 00 11 37 CB", and
  295. "E9 7C 00 11 22 37 CB".  The string "E9 7C 00 11 22 33 44 37 CB"
  296. would not match since the distance between 7C and 37 is greater
  297. than four bytes.  You may specify a range of up to 99 bytes. Up
  298. to 10 different wildcards of either kind may be used in one virus
  299. string.
  300.  
  301. COMMENTS
  302.      A pound sign "#" at the begining of a line will denote that
  303. it is a comment.  Use this for adding notes to the external virus
  304. data file.  For example:
  305.  
  306.                #New .COM virus found in file FRITZ.EXE from
  307.                #Schneiderland on 01-22-91
  308.                "53 48 45 45 50" Fritz-1 [F-1]
  309.  
  310. Could be used to store a description of the virus, name of the
  311. original infected file, where and when it was received, and so
  312. forth.
  313.  
  314.