home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload / ShartewareOverload.cdr / virus / scanv75.zip / SCANV75.DOC < prev    next >
Text File  |  1991-02-27  |  30KB  |  667 lines

  1.  
  2.                        VIRUSCAN Version 6.9V75
  3.          Copyright (C) 1989, 1990, 1991 by McAfee Associates.
  4.                          All rights reserved. 
  5.                    Documentation by Aryeh Goretsky.
  6.  
  7.  
  8.  
  9.  
  10.      McAfee Associates               (408) 988-3832 office 
  11.      4423 Cheeney Street             (408) 970-9727 fax 
  12.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps 
  13.      U.S.A.                          (408) 988-5138 BBS HST 9600 
  14.                                      (408) 988-5190 BBS v32 9600
  15.  
  16.  
  17.  
  18.                             TABLE OF CONTENTS: 
  19.  
  20.  
  21.  
  22. SYNOPSIS . . . . . . . . . . . . . . . . . . . . . . . . . . .2 
  23.   - What VIRUSCAN is, system requirements 
  24.  
  25. AUTHENTICITY . . . . . . . . . . . . . . . . . . . . . . . . .2 
  26.   - Verifying the integrity of VIRUSCAN 
  27.  
  28. WHAT'S NEW . . . . . . . . . . . . . . . . . . . . . . . . . .3 
  29.   - Features, new viruses added in this release 
  30.  
  31. OVERVIEW . . . . . . . . . . . . . . . . . . . . . . . . . . .4 
  32.   - Detailed description of VIRUSCAN 
  33.  
  34. OPERATION. . . . . . . . . . . . . . . . . . . . . . . . . . .5 
  35.   - How to use VIRUSCAN 
  36.  
  37. EXAMPLES . . . . . . . . . . . . . . . . . . . . . . . . . . .7 
  38.   - Samples of frequently-used options 
  39.  
  40. EXIT CODES . . . . . . . . . . . . . . . . . . . . . . . . . .8 
  41.   - For running VIRUSCAN from batch files 
  42.  
  43. VIRUS REMOVAL. . . . . . . . . . . . . . . . . . . . . . . . .8 
  44.   - How to manually remove a virus 
  45.  
  46. REGISTRATION . . . . . . . . . . . . . . . . . . . . . . . . .9 
  47.   - How to register VIRUSCAN 
  48.  
  49. TECH SUPPORT . . . . . . . . . . . . . . . . . . . . . . . . .10
  50.  - Information you should have ready when calling 
  51.  
  52. APPENDIX A . . . . . . . . . . . . . . . . . . . . . . . . . .11
  53.  - Creating a virus string file with the /EXT option
  54.   
  55. VERSION NOTES. . . . . . . . . . . . . . . . . . . . . . . . .12
  56.  - Program history
  57.  
  58.  
  59.                                 Page 1
  60. VIRUSCAN Version 6.9V75                                Page 2
  61.  
  62.  
  63. SYNOPSIS 
  64.  
  65.      VIRUSCAN (SCAN) is a virus detection and identification
  66. program for the IBM PC and compatible computers.  VIRUSCAN will
  67. search a PC for known computer viruses in memory, the boot sector,
  68. the partition table, and the files of a PC and its disks.  VIRUSCAN
  69. will also detect the presence of unknown viruses.  
  70.      SCAN works by searching the system for instructions sequences
  71. or patterns that are unique to each computer virus, and then
  72. reporting their presence if found.  This method works for viruses
  73. that VIRUSCAN recognizes.  To detect unknown viruses, VIRUSCAN can
  74. create a validation code or "CRC check" for .COM and .EXE files and
  75. append it to them.  If the file has been modified in any way, SCAN
  76. will report that infection may have occurred.  VIRUSCAN can also
  77. look for new viruses from a user-supplied list of virus search
  78. strings. 
  79.      VIRUSCAN runs on any PC with 256Kb and DOS version 2.00 or 
  80. greater. 
  81.  
  82.  
  83. AUTHENTICITY 
  84.  
  85.      VIRUSCAN runs a self-test when executed.  If SCAN has been 
  86. modified in any way, a warning will be displayed.  The program will
  87. still continue to check for viruses, though.  If SCAN reports that
  88. it has been damaged, it is recommended that a clean copy be
  89. obtained.
  90.      VIRUSCAN versions 46 and above are packaged with the VALIDATE
  91. program to ensure the integrity of the SCAN.EXE file.  The 
  92. VALIDATE.DOC  instructions tell how to use the VALIDATE program. 
  93. The VALIDATE program distributed with VIRUSCAN may be used to check
  94. all further versions of SCAN. 
  95.  
  96.      The validation results for Version 75 should be:
  97.  
  98.               FILE NAME: SCAN.EXE 
  99.                    SIZE: 81,063
  100.                    DATE: 02-26-1991
  101.     FILE AUTHENTICATION 
  102.          Check Method 1: F93F
  103.          Check Method 2: 1638
  104.  
  105. If your copy of SCAN.EXE differs, it may have been modified.  
  106. Always obtain your copy of VIRUSCAN from a known source.  The 
  107. latest version of VIRUSCAN and validation data for SCAN.EXE can be
  108. obtained off of McAfee Associates' bulletin board system at (408)
  109. 988-4004. 
  110.  
  111.      Beginning with Version 72, all McAfee Associates programs for
  112. download are archived with PKWare's PKZIP Authentic File
  113. Verification.  If you do not see the "-AV" message after every file
  114. is unzipped and receive the message "Authentic Files Verified!  
  115. # NWN405  Zip Source: McAFEE ASSOCIATES" when you unzip the files
  116. then do not run them.  If your version of PKUNZIP does not have
  117. verification ability, then this message may not be displayed. 
  118. Please contact McAfee Associates if your .ZIP file has been
  119. tampered with.
  120. VIRUSCAN Version 6.9V75                                Page 3
  121.  
  122.  
  123. WHAT'S NEW 
  124.  
  125.      Version 75 of VIRUSCAN adds seven new viruses and fixes a
  126. problem that caused Version 74-B to false alarm on diskettes
  127. formatted with Easy-Format.  We apologize for any inconvenience we
  128. may have caused due to this problem.  
  129.     New Viruses:  
  130. The Phantom virus is a memory-resident .COM file infector sent to
  131. us from Budapest, Hungary by Dr. Szegedi Imre.  It contains a
  132. message stating that it was written by the PHANTOM of the
  133. "Hungarian Virus Developing Laboratory."  The Azusa virus is a
  134. memory-resident floppy disk boot sector and hard disk partition
  135. table infector reported from multiple sites in the U.S.  The V-299
  136. is a direct-action .COM file infector based on the Amstrad virus. 
  137. It is not memory-resident.  The V-555 virus is a memory-resident
  138. .COM, .EXE, and overlay infector.   The Lazy virus is a
  139. memory-resident .COM file infector.  When it is resident, it slows
  140. down the processor and screen output significantly.  For more
  141. information about these viruses, please refer to the enclosed
  142. VIRLIST.TXT file.
  143. VIRUSCAN Version 6.9V75                                Page 4
  144.  
  145.  
  146. OVERVIEW 
  147.  
  148.      VIRUSCAN scans diskettes or entire systems for pre-existing
  149. computer virus infections.  It will identify the virus infecting
  150. the system, and tell what area of the system (memory, boot sector,
  151. file) the virus occupies.  An infected file can be removed with
  152. the overwrite-and-delete option, /D which will erase the file.
  153. The CLEAN-UP program is also available to automatically disinfect
  154. the system and repair damaged areas whenever possible.
  155.      VIRUSCAN Version 74 identifies all 222 known computer viruses
  156. along with their variants.  Some viruses have been modified so that
  157. more than one "strain" exists.  Counting such modifications, there
  158. are 480 virus variants.  The ten most common viruses which account
  159. for over 95% of all reported PC infections are also identified by
  160. SCAN.  The accompanying VIRLIST.TXT file lists describes all new,
  161. public domain, and extinct computer viruses identified by SCAN. 
  162. The number of variants of each virus is listed in parentheses after
  163. the virus name. 
  164.       All known computer viruses infect one or more of the 
  165. following areas:  the hard or fixed disk partition table [also 
  166. known as the master boot record]; the DOS boot sector of hard disks
  167. and floppy disks; or one or more executable files within the
  168. system.  Executable files include operating system files, .COM
  169. files, .EXE files, overlay files, or any other files loaded into
  170. memory and executed.  A virus that infects more than one area, such
  171. as a boot sector and an executable file is called a multipartite
  172. virus. 
  173.     VIRUSCAN identifies every area or file that is infected, and 
  174. indicates both the name of the virus and CLEAN-UP I.D. code used
  175. to remove it.  SCAN will check the entire system, an individual 
  176. diskette, sub-directory, or individual files for existing viruses.
  177.      VIRUSCAN will also check for new, unknown viruses with the Add
  178. Validation and Check Validation options.  This is done by computing
  179. a code for a file, appending it to the file, and then validating
  180. the file against that code.  If the file has been modified, the 
  181. check will no longer match, indicating that viral infection may
  182. have occurred.  SCAN uses two independently generated CRC (Cyclic
  183. Redundancy Check) checks that are added to the end of program files
  184. to do this.  Files which are self-checking should not be validated
  185. since this will "set off" the program's self-check.  Files which
  186. are self-modifying may have different values for the same program 
  187. depending upon the modifications.  VIRUSCAN adds validation codes
  188. to .COM and .EXE files only.  The validation codes for the
  189. partition table, boot sector, and system files, are kept in a
  190. hidden file called SCANVAL.VAL in the root directory. 
  191.      VIRUSCAN can also be updated to search for new viruses via
  192. an External Virus Data File option, which allows the user to
  193. provide the VIRUSCAN program with new search strings for viruses. 
  194.      VIRUSCAN can display messages in either English or French.
  195.      VIRUSCAN works on stand-alone and networked PC's, but not on
  196. a file server.  For networks, the NETSCAN file server-scanning
  197. program is required.
  198. VIRUSCAN Version 6.9V75                                Page 5
  199.  
  200.  
  201. OPERATION:
  202.  
  203. IMPORTANT NOTE:  WRITE PROTECT YOUR FLOPPY DISK BEFORE SCANNING 
  204. YOUR SYSTEM TO PREVENT INFECTION OF THE VIRUSCAN PROGRAM. 
  205.  
  206.      VIRUSCAN will check each area or file on the designated 
  207. drive(s) that could be host to a virus.  If a virus is found, a
  208. message is displayed telling the name of the infected file or
  209. system area and the name of the identified virus.  SCAN will
  210. examine files for viruses based on their extensions.  The default
  211. executable extensions supported by SCAN are .BIN, .COM, .EXE, .OV?,
  212. .PGM, .PIF, .PRG, .SYS and .XTP.  Additional extensions can be
  213. added to SCAN or all files on disk can be selected for scanning. 
  214.  
  215.      To run VIRUSCAN type: 
  216.  
  217. SCAN d1: ... d10: /A /AV /CV /D /E .xxx .yyy .zzz /EXT d:filename
  218.                   /FR /MANY /NLZ /NOMEM /REPORT d:filename /RV /X 
  219.  
  220.  
  221. Options are: 
  222.  
  223.                  /A - Scan all files for viruses
  224.                 /AV - Add validation codes to specified files
  225.                 /CV - Check validation codes for files 
  226.                  /D - Overwrite and delete infected file
  227.   /E .xxx .yyy .zzz - Scan overlay extensions .xxx .yyy .zzz
  228.     /EXT d:filename - Scan using external virus data file
  229.                 /FR - Display messages in French
  230.                  /M - Scan memory for all viruses
  231.                       (see below for specifics)
  232.               /MANY - Put SCAN into loop checking drive(s)
  233.                /NLZ - Skip scanning of LZEXE compressed files
  234.              /NOMEM - Skip memory checking
  235.  /REPORT d:filename - Create report of infected files
  236.                 /RV - Remove validation codes from specified files
  237.                  /X - Scan for extinct and research viruses
  238.                       (removed for this version of SCAN)
  239.  
  240.            (d1: ... d10: indicate drives to be scanned) 
  241.  
  242.      The /A option will cause SCAN to go through all files on the
  243. referenced drive.  This should be used if a file-infecting virus
  244. has already been detected.  Otherwise the /A option should only be
  245. used when checking a new program.  The /A option will add a
  246. substantial time to scanning.  This option takes priority over the
  247. /E option. 
  248.     The /AV option allows the user to add validation codes to the
  249. files being scanned.  If a full drive is specified, SCAN will
  250. create validation data for the partition table, boot sector, and
  251. system files of the disk as well.  Validation adds ten (10) bytes
  252. to files; the validation data for the partition table, boot sector,
  253. and system files is stored separately in a hidden file in the root
  254. directory of the scanned drive.
  255.     The /CV option checks the validation codes inserted by the /AV 
  256. option.  If the file has been changed, SCAN will report that the
  257. file has been modified, and that viral infection may have occurred.
  258. Using the /CV option adds about 25% more time to scanning.
  259. VIRUSCAN Version 6.9V75                                Page 6
  260.  
  261.  
  262. NOTE:  Some older Hewlett Packard and Zenith PC's modify the boot
  263. sector or partition table each time the system is booted.  This
  264. will cause SCAN to continually notify the user of boot sector or
  265. partition table modifications if the /CV switch is selected.  Check
  266. your system's manual to determine if your system contains
  267. self-modifying boot code. 
  268.  
  269.      The /D option tells VIRUSCAN to prompt the user to overwrite
  270. and delete an infected file when one is found.  If the user selects
  271. "Y" the infected file will be overwritten with hex code C3 [the 
  272. Return-to-DOS instruction] and then deleted.  A file erased by the
  273. /D option can not be recovered.  If the McAfee Associates' CLEAN-
  274. UP program is available, it is recommended that CLEAN be used to
  275. remove the virus instead of SCAN, since in most cases it will
  276. recover the infected file.  Boot sector and partition table
  277. infectors can not be removed by the /D option and require the
  278. CLEAN-UP virus disinfection program. 
  279.      The /E option allows the user to specify an extension or set
  280. of extensions to scan.  Extensions should include the period
  281. character "." and be separated by a space after the /E and between
  282. each other.  Up to three extensions may be added with the /E.  For
  283. more extensions, use the /A option.    
  284.      The /EXT option allows VIRUSCAN to search for viruses from a
  285. text file containing user-created search strings.  The syntax for
  286. using the external virus data file is /EXT d:filename, where d: is
  287. the drive name and filename is the name of the external virus data
  288. file.  For instructions on how to create an external virus data
  289. file, refer to Appendix A.
  290.  
  291. NOTE:  The /EXT option is intended for advanced users and computer
  292. anti-virus researchers to add their own strings for detection of
  293. computer viruses on an interim or emergency basis.  When used with
  294. the /D option, it will delete infected files.  This option is not
  295. recommended for general use and should be used with caution.   
  296.      The /FR option tells VIRUSCAN to output all messages in French
  297. instead of English.  
  298.      The /M option tells VIRUSCAN to check system memory for all
  299. known computer viruses that can inhabit memory.  SCAN by default
  300. only checks memory for critical and "stealth" viruses, which are
  301. viruses which can cause catastrophic damage or spread the infection
  302. during the scanning process.  SCAN will check memory for the
  303. following viruses in any case:
  304.  
  305.      1554          1971          1253          2100
  306.      3445-Stealth  4096          512           Anthrax
  307.      Brain         Dark Avenger  Disk Killer   Doom-2
  308.      EDV           Fish6         Form          Invader
  309.      Joshi         Microbes      Mirror        Murphy
  310.      Nomenclature  Plastique     Polish-2      P1R (Phoenix)
  311.      Taiwan-3      Whale         Zero-Hunt     
  312.  
  313. If one of these viruses is found in memory, SCAN will stop and 
  314. advise the user to power down, and reboot the system from a
  315. virus-free system disk.  Using the /M option with another
  316. anti-viral software package may result in false alarms if the other
  317. package does not remove its virus search strings from memory.  The
  318. /M option will add 10 to 40 seconds to the scanning time. 
  319. VIRUSCAN Version 6.9V75                                Page 7
  320.  
  321.  
  322.      The /MANY option is used to scan multiple diskettes placed in
  323. a given drive.  If the user has more than one floppy disk to
  324. check for viruses, the /MANY option will allows the user to check
  325. them without having to run SCAN multiple times.  If a system has
  326. been disinfected, the /MANY and /NOMEM options can be used to speed
  327. up scanning of disks.
  328.      The /NLZ option tells VIRUSCAN not to look inside files
  329. compressed with the LZEXE file compression program.  SCAN will
  330. still check the programs for external infections. 
  331.      The /NOMEM option is used to turn off all memory checking for 
  332. viruses.  It should only be used when a system is known to be free
  333. of viruses.  
  334.      The /REPORT option is used to generate a listing of infected
  335. files.  The resulting list is saved to disk as an ASCII text file.
  336. To use the report option, specify /REPORT on the command line,
  337. followed by the device and filename [See EXAMPLES below for
  338. samples]. 
  339.      The /RV option is used to remove validation codes from a file
  340. or files.  It can be used to remove the validation code from a 
  341. diskette, subdirectory, or file(s).  Using /RV on a disk will
  342. remove the partition table, boot sector, and system file
  343. validation.  This option can not be used with the /AV option. 
  344.      The /X option is used to check for extinct viruses.  An 
  345. extinct virus is defined as a virus from which there have been no
  346. infection reports in the preceding twelve (12) months, or a virus
  347. that was created as a research tool and does not exist outside of
  348. a few tightly-controlled copies.  Viruses that are extinct are
  349. listed in the accompanying VIRLIST.TXT file preceded with an
  350. asterisk "*" next to the virus name.  It is recommended that
  351. VIRUSCAN initially be run with the /X option but subsequent runs
  352. need not use the /X option.  
  353.  
  354. NOTE:  Viruses are currently not separated into an "extinct"
  355. catagory.  This option has been removed from VIRUSCAN until further
  356. notice.
  357.  
  358.  
  359. EXAMPLES 
  360.  
  361.         The following examples are shown as they would be typed in.
  362.  
  363.      SCAN C: 
  364.           To scan drive C: 
  365.  
  366.      SCAN A:R-HOOPER.EXE
  367.           To scan file "R-HOOPER.EXE" on drive A: 
  368.  
  369.      SCAN A: /A 
  370.           To scan all files on drive A: 
  371.  
  372.      SCAN B: /D /A 
  373.           To scan all files on drive B:, and prompt for erasure of
  374.           infected files. 
  375.  
  376.      SCAN C: D: E: /AV /NOMEM 
  377.           To add validation codes to files on drives C:, D:, and
  378.           E:, and skip memory checking. 
  379. VIRUSCAN Version 6.9V75                                Page 8
  380.  
  381.  
  382.      SCAN C: D: /M /A /FR
  383.           To scan memory for all known and extinct viruses, as well
  384.           as all files on drives C: and D:, and output all messages
  385.           in French.
  386.  
  387.      SCAN C: D: /E .WPM .COD 
  388.           To scan drives C: and D:, and include files with the
  389.           extensions .WPM and .COD 
  390.  
  391.      SCAN A: /CV 
  392.           To check for known and unknown viruses (via the
  393.           validation codes) on drive A: 
  394.  
  395.      SCAN C: /EXT A:SAMPLE.ASC 
  396.           To scan drive C: for known computer viruses and also for
  397.           viruses added by the user via the external virus data
  398.           file option. 
  399.  
  400.      SCAN C: /M /REPORT A:INFECTN.RPT 
  401.           To scan for all viruses in memory and drive C:, and
  402.           create a text file called INFECTN.RPT on drive A:
  403.  
  404.  
  405. EXIT CODES 
  406.  
  407.      VIRUSCAN will set the DOS ERRORLEVEL upon program termination
  408. to:  
  409.  
  410.      ERRORLEVEL | DESCRIPTION 
  411.      -----------+-------------------------- 
  412.          0      | No viruses found 
  413.          1      | One or more viruses found 
  414.          2      | Abnormal termination (program error) 
  415.  
  416. If a user stops the scanning process, SCAN will set the ERRORLEVEL
  417. to 0 or 1 depending on whether or not a virus was discovered prior
  418. to termination of the SCAN. 
  419.  
  420.  
  421. VIRUS REMOVAL 
  422.  
  423.     What do you do if a virus is found?  You can contact McAfee 
  424. Associates for assistance with manually removing the virus, for
  425. disinfection utilities, and for more information about the virus. 
  426. The CLEAN-UP universal virus disinfection program is available and
  427. will disinfect the majority of reported computer viruses.  It is
  428. updated frequently to remove new viruses.  The CLEAN-UP program can
  429. be downloaded from McAfee Associates BBS. 
  430.  
  431.      It is strongly recommended that you get experienced help in
  432. dealing with viruses, especially critical viruses that can damage
  433. or destroy data [for a listing of critical viruses, see the /M
  434. option under OPTIONS, above] and partition table or boot sector
  435. infecting viruses, as improper removal of these viruses could
  436. result in the loss of all data and use of the disk(s). 
  437. VIRUSCAN Version 6.9V75                                Page 9
  438.  
  439. IF CLEAN-UP IS NOT AVAILABLE, THEN:
  440.  
  441.      For Boot Sector and Infectors:
  442.      Power down the infected system and boot off of an uninfected,
  443.      write-protected diskette.  Use the DOS SYS command to attempt 
  444.      to overwrite the boot sector.  This works in many cases.  Run 
  445.      VIRUSCAN to see if the virus has been eradicated.  If this  
  446.      does not work, do a file-by-file backup of the system (in
  447.      other words, do not backup the boot sector) and do a low-level
  448.      format of the disk.  For a floppy diskette, copy the files off
  449.      of the infected diskette using the DOS COPY command, not XCOPY
  450.      or DISKCOPY which will transfer the virus.  Reformat or     
  451.      discard the infected floppy disk. 
  452.  
  453.  
  454.      FILE INFECTORS 
  455.      Power down the infected system and boot off of an uninfected,
  456.      write-protected diskette.  Run VIRUSCAN with the /D and /A 
  457.      options.  Scan all original disks for viruses and replace   
  458.      programs from them if clean.  
  459.  
  460.      PARTITION TABLE INFECTORS 
  461.      Power down the infected system and boot off of an uninfected,
  462.      write-protected diskette.  Proceed to do a file-by-file backup
  463.      of the system (in other words, do not backup the partition  
  464.      table).  Then do a low-level format of the disk. 
  465.  
  466. Disinfection utilities are available for the majority of reported
  467. computer viruses, these programs can be downloaded from McAfee
  468. Associates' BBS at (408) 988-4004. 
  469.  
  470.  
  471. REGISTRATION 
  472.  
  473.      A registration fee of $25.00US is required for the use of 
  474. VIRUSCAN by individual home users.  Registration is for one year
  475. and entitles the holder to unlimited free upgrades off of McAfee
  476. Associates BBS.  Diskettes are not mailed unless requested.  Add
  477. $9.00US for diskette mailings. 
  478.      Registration is for home users only and does not apply to 
  479. businesses, corporations, organizations, government agencies, or
  480. schools, who must obtain a license for use.  Contact McAfee
  481. Associates for more information. 
  482.      Outside of North America, registration and support may be 
  483. obtained through the agents listed in the accompanying AGENTS.TXT
  484. text file. 
  485. VIRUSCAN Version 6.9V75                                Page 10
  486.  
  487.  
  488. TECH SUPPORT 
  489.  
  490.      In order to facilitate speedy and accurate support, please 
  491. have the following information ready when you contact McAfee
  492. Associates: 
  493.  
  494.      -    Program name and version number. 
  495.  
  496.      -    Type and brand of computer, hard disk, plus any 
  497.           peripherals. 
  498.  
  499.      -    Version of DOS you are running, plus any TSRs or device
  500.           drivers in use.
  501.  
  502.      -    Printouts of your AUTOEXEC.BAT and CONFIG.SYS files.
  503.  
  504.      -    The exact problem you are having.  Please be as specific
  505.           as possible.  Having a printout of the screen and/or
  506.           being at your computer will help also.
  507.  
  508. McAfee Associates can be contacted by BBS or fax twenty-four hours
  509. a day, or call our business office at (408) 988-3832, Monday
  510. through Friday, 8:30AM to 6:00PM Pacific Standard Time. 
  511.  
  512.      McAfee Associates               (408) 988-3832 office 
  513.      4423 Cheeney Street             (408) 970-9727 fax 
  514.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps 
  515.      U.S.A                           (408) 988-5138 BBS HST 9600 
  516.                                      (408) 988-5190 BBS v32 9600
  517.  
  518. If you are overseas, please refer to the AGENTS.TXT file for
  519. a listing of Agents for McAfee Associates product support or
  520. sales.
  521. VIRUSCAN Version 6.9V75                                Page 11
  522.  
  523.  
  524. APPENDIX A:  Creating a Virus String File with the /EXT Option
  525.  
  526.      The External Virus Data file should be created with an editor
  527. or a word processor and saved as an ASCII text file.  Be sure each
  528. line ends with a CR/LF pair.
  529.  
  530. NOTE:  The /EXT option is intended for emergency and research use
  531. only.  It is an temporary method for identifying new viruses prior
  532. to the subsequent release of SCAN.  A sound understanding of
  533. viruses and string-search techniques is advised as a prerequisite
  534. for using this option.  
  535.  
  536.      The virus string file uses the following format:
  537.  
  538. #Comment about Virus_1 
  539. "aabbccddeeff..." Virus_1_Name 
  540. #Comment about Virus_2
  541. "gghhiijjkkll..." Virus_2_Name
  542.      .
  543.      .
  544. "uuvvwwxxyyzz..." Virus_n_Name
  545.  
  546. Where aa, bb, cc, etc. are the hexadecimal bytes that you wish to
  547. scan for.  Each line in the file represents one virus.  The Virus
  548. Name for each virus is mandatory, and may be up to 25 characters
  549. in length.  The double quotes (") are required at the beginning and
  550. end of each hexadecimal string.
  551.  
  552.      SCAN will use the string file to search memory, the Partition
  553. Table, Boot Sector, System files, all .COM and .EXE files, and
  554. Overlay files with the extension .BIN, .OV?, .PGM, .PIF, .PRG, .SYS
  555. and .XTP.
  556.  
  557.      Virus strings may contain wild cards.  The two wildcard
  558. options are:
  559.  
  560. FIXED POSITION WILDCARD
  561.      The question mark "?" may be used to represent a wildcard in
  562. a fixed position within the string.  For example, the string:
  563.  
  564.                "E9 7C 00 10 ? 37 CB"
  565.  
  566. would match "E9 7C 00 10 27 37 CB", "E9 7C 00 10 9C 37 CB", or any
  567. other similar string, no matter what byte was in the fifth place.
  568.  
  569. RANGE WILDCARD
  570.      The asterisk "*", followed by range number in parentheses "("
  571. and ")" is used to represent a variable number of adjoining random
  572. bytes.  For example, the string:
  573.  
  574.                "E9 7C *(4) 37 CB"
  575.  
  576. would match "E9 7C 00 37 CB", "E9 7C 00 11 37 CB", and
  577. "E9 7C 00 11 22 37 CB".  The string "E9 7C 00 11 22 33 44 37 CB" 
  578. would not match since the distance between 7C and 37 is greater
  579. than four bytes.  You may specify a range of up to 99 bytes.
  580.  
  581. Up to 10 different wildcards of either kind may be used in one
  582. virus string.
  583. VIRUSCAN Version 6.9V75                                Page 12
  584.  
  585.        
  586. COMMENTS
  587.      A pound sign "#" at the begining of a line will denote that
  588. it is a comment.  Use this for adding notes to the external virus
  589. data file.  For example:
  590.  
  591.                #New .COM virus found in file FRITZ.EXE from 
  592.                #Schneiderland on 01-22-91
  593.                "53 48 45 45 50" Fritz-1 [F-1]
  594.  
  595. Could be used to store a description of the virus, name of the
  596. original infected file, where and when it was received, and so
  597. forth. 
  598.  
  599.  
  600. VERSION NOTES 
  601.  
  602. Version 74, 74-B:
  603.      Version 74-B fixes a bug which caused SCAN to misidentify the
  604. Swedish Disaster virus (a Stoned variant) on some removable media.
  605.      Version 74 of VIRUSCAN adds 51 new viruses and over one
  606. hundred new strains of existing viruses, bringing the total
  607. number of known computer viruses to 475.  In addition, version 74
  608. improves the throughput of the scanning algorithm and handling of
  609. nonstandard hard drives, and now provides the option of displaying
  610. all messages in French.
  611.      The 1591 virus was sent to us from multiple sites in Quebec,
  612. Canada, Oslo, Norway, and the United States.  It is a
  613. memory-resident file infector that attaches to .COM and .EXE files
  614. when a disk is accessed via internal DOS commands.
  615.      The 903 virus was sent to us by Djennad Nasser from France.
  616. It is a .COM file infector.
  617.      The Holocaust virus was sent to us by David Llamas of
  618. Barcelona, Spain.  It is a .COM file infector that uses "stealth"
  619. type techniques.
  620.      The BeBe, Kuka, Kuka/Turbo, Lozinsky, MGTU, Nina, Off Stealth,
  621. Polish-532, Sverdlov, Tiny-133, USSR-series, and Voronezh viruses
  622. were discovered in the Soviet Union and Eastern Europe and sent to
  623. us from numerous sources there and in Western Europe.  They are not
  624. believed to exist in the West.
  625.      The Christmas Violator, F-Word, Parity, Beeper, Best Wish,
  626. Leapfrog Destructor, Happy New Year Hymm, Justice, Label, V961,
  627. Swiss-143, Sentinel, Plague, Monxla-B, Little Pieces, IKC528,
  628. Hybrid, Dir-Vir, Stone90, Saddam, and Iraqui Warrior viruses were
  629. sent to us from various sources around the globe.
  630.      For summary information about these viruses, please refer to
  631. the enclosed VIRLIST.TXT file.  For a detailed description of all
  632. known viruses, please refer to the Virus Summary Document (VSUM),
  633. copyrighted by Patricia Hoffman and available and most bulletin
  634. boards.
  635.      A new command line option, /FR has been added.  Running
  636. VIRUSCAN with the /FR option will cause all output to be displayed
  637. in French instead of English.
  638.      A trojan version of VIRUSCAN, Version 73, appeared on BBSes
  639. in Miami, Florida USA.  In order to prevent confusion, we have used
  640. the next version number, Version 74.
  641. VIRUSCAN Version 6.9V75                                Page 13
  642.  
  643.      Version 72 of VIRUSCAN adds four new viruses and improves the
  644. external virus data handling capabilities.
  645.      The ZeroHunt virus was uploaded to Homebase BBS by Paul
  646. Ferguson of Washington, D.C., USA.  It is a memory-resident
  647. infector that attaches itself to the stack space in .COM files. 
  648. Since the virus is attaching itself inside a file, as opposed to
  649. adding itself to the beginning or end, the size of the file will
  650. not change.
  651.      The Bloody! virus has been reported in Massachusetts, USA as
  652. well as Taiwan and Europe.  It infects the boot sector of a floppy
  653. disk and the partition table of the hard disk.  After approximately
  654. 128 reboots, the virus displays the message "Bloody! Jun. 4, 1989"
  655. which is the date of the Tiananmen Square Massacre in Beijing,
  656. China.
  657.      The Jeff virus is a .COM file infector that destroys data by
  658. writing garbage to the hard disk.  It contains the text "Jeff is
  659. visiting your hard disk."
  660.      The Music Bug virus has been reported in Woodland Hills,
  661. California and Orlando, Florida as well as Taiwan.  It infects the
  662. boot sector of a floppy disk and the partition table of the hard
  663. disk.  The Music Bug plays child nursery tunes after a specified
  664. time.  It contains the text "MusicBug v1.06. MacroSoft Corp."
  665.      Viruses added via the External Virus Data option are now
  666. scanned for in memory, provided the /M switch is used.
  667.