SUSPICIOUS 1.48: ~~~~~~~~~~~~~~~~ SVS: ~~~~ + SVS erkennt jetzt auch ungltige INT-Calls aus dem PSP-Bereich von Programmen. + Verbesserung der INT 25xxh-Kontrolle. + SVS blockiert CPM-Calls. + Stark verbesserte Erkennung von INT 21h Stealth-Interrupt-Calls. MEMCHK: ~~~~~~~ + Bessere Erkennung von verd„chtigen Speicherbl”cken (PSP-Modifikationen etc.). + Neu: Erkennung von Kernel-Modifikationen des INT 2Ah-Handlers. - Bugfix bei einigen Tests. SDISK: ~~~~~~ - Bug in der Ontrack-DiskManager-Untersttzung behoben. - Kleinere Verbesserungen. SCRC: ~~~~~ - Neuer Parameter /WIN95: Wird ben”tigt, falls regelm„áig die alte DOS-Version ber F8 gestartet wird. Bugfix: ~~~~~~~ Der in Version 1.47 neu verwendete Programmkomprimierer ist offenbar inkompatibel und wurde ersetzt. SUSPICIOUS 1.47: ~~~~~~~~~~~~~~~~ SSC: ~~~~ + Verbesserung der Heuristik (Datei-Viren). - Einige Fehlalarme wurden behoben. SCRC: ~~~~~ - Bugs in der Parameterauswertung behoben. MEMCHK: ~~~~~~~ + Verbesserte Erkennung von aktiven Viren. - Fehlalarm mit Ontrack DiskManager behoben. SDISK: ~~~~~~ - Bug in der Sektor-Auswertung (Detail-Anzeige) behoben. - Kleinere Bugs behoben und Verbesserungen eingebaut. SVS: ~~~~ + Verbesserte TSR-Heuristik: SVS meldet jetzt auch "harmlose" TSRs, die zuvor bestimmte kritische Interruptfunktionen aufgerufen haben. - Bugfix in der Option "Disk A: bei Neustart prfen" behoben. SUSPICIOUS 1.46: ~~~~~~~~~~~~~~~~ * SSC: + HACKSTOP 1.11a wird erkannt. + WWPACK 3.04-Erkennung. + Verbesserung der Heuristik. + Signaturen fuer die aktuellen ITW-Viren wie NewBoot hinzugefuegt. + Bootsektor-Heuristik stark verbessert (Negativ-Bootsektor-Heuristik von SVS bernommen), besonders bezglich anti-heuristisch programmierten Bootviren. - Fehlalarm bei RAM-Drive-Bootsektoren behoben. - Fehlalarm bei Windows NT und DR-DOS Bootsektoren behoben. - Fehlalarme in verschiedenen Programmen behoben (WIN386.EXE, CPWIN386.CPL, NIOS.EXE, ASPI4DOS.SYS etc.) - Bug in der Boot-Sektoranalyse behoben. - PK-Bug behoben (VLAD-Virus). * SVS: + Bootsektor-Heuristik verbessert (weniger Falschalarme und mehr erkannte Bootviren). + Verbesserte Erkennung von Direct-Action Viren. + Neue Optionen (ber SETUP einstellbar): - Kompatibilt„tsmodus fr Disk-Caches mit Schreibverz”gerung. - das akustische Warnsignal kann ausgeschaltet werden. + Verschiedene kleinere Verbesserungen. - Bug in der STRG-ALT-ENTF-Routine behoben (Absturz des Systems bei STRG-ALT-ENTF). - Bug in der Option "Erweiteter TSR-Check" behoben. * MEMCHK: + Test auf aktiven Dateivirus erweitert (Melden von Stealth- eigenschaften). + Interrupt-šberprfung verbessert (šberprfung der Interrupt- Position). + Verbesserter Anti-Stealth-Dateizugriff fr Aktivit„tstest. + Errorlevel fr Batchbetrieb. - Bug in der Buffers-Erkennung behoben (Analyse der CONFIG.SYS wurde falsch durchgefhrt). - Bug in der INT 21h-Kernel-Analyse behoben. - Bug in der Kernel-Analyse beim Fehlen von HIMEM.SYS behoben. - Fehlalarm bei der Verwendung von OPTIMIZE behoben. * SCRC: + Verbesserter Anti-Stealth-Dateizugriff + Neuer Parameter /LOG{+}. - Bug in der /DAILY-Option behoben (mit /CFG). * SDISK: * Komplett neu ueberarbeitet: + Untersttzung von XCHS EIDE + Untersttzung von LBA EIDE + Untersttzung des Ontrack Diskmanagers (6.x & 7.x) + Neue Option /RESCAN + Kontrolle der Spur 0 der ersten Festplatte * INSTALL + Bessere Untersttzung von SDISK w„hrend der Installation * DOKU + FAQ (mit Aufnahme in DOKU.EXE) SUSP 1.40: ~~~~~~~~~~ MEMCHK - Fehler mit EMM386 von Novell-DOS behoben (Exception). # MEMCHK wurde an DOS 7.0 (WIN 95) angepasst. - Falschalarm bei QEMM 7.5 OPTIMIZE behoben. - Bug im Aktivitaetstest behoben (Viruswarnung bei voller HDD). # MEMCHK ueberspringt jetzt den Swap-Buffer und den IFS-Treiber im konventionellen Speicherbereich um Falschalarme zu vermeiden. # Fehlalarm bei Bootsektorvirus-Erkennung behoben + Heuristik zur Erkennung von aktiven Bootsektorviren verbessert. SVS + Neues Feature: Erkennen von Schreibzugriffen auf INT 13-Ebene, wenn Programme gestartet, ge”ffnet oder geschlossen werden. + Neues Feature: Erkennen von Manipulation des INT 13-Schreib- buffers. + Neues Feature: Erkennen von Manipulation des INT 21-Schreib- buffers (Slow Infector-Viren). + Neues Feature: Blockieren von direkten Festplattenzugriffen in die BIOS-INT13-Routine (Funktioniert nur mit alten BIOS- Versionen). + Neues Feature: EXE-Programme mit getauscher MZ-Kennung werden gemeldet. + Neues Feature: Ver„nderungen an der FCB-Kette werden erkannt. + Neues Feature: Schreibzugriff auf die erste phy. Spur der Festplatte wird gemeldet. + Immunitaet gegen Rekursives Tunneln + Die Bootsektor-Heuristik von SVS wurde stark verbessert: SVS erkennt jetzt auch verschluesselte Bootsektorviren wie oder . # Fehler in der Deinstallationsroutine unter Novell-DOS 7 behoben. - Fehler bei Dateizugriffsberwachung behoben. (verursachte Crash unter Crosspoint) - Fehler in der Schreibschutz-Funktion behoben. - Korrektur: SVS meldet nicht mehr direkte ROM-BIOS-Zugriffe beim Benutzen spezieller EIDE-Treiber, die sich ber den normalen INT 13h einbinden. - Rekursionsfehler in INT 2Fh behoben. # Behandlung der A20-Line fr den Kernel-Vergleich in der HMA verbessert (verursachte Abtrze unter MS-DOS 7.0) # Anpassung des Low-Mem Kernel-Checks an MS-DOS 7.0 # Anpassung der HIGHCALL-Checks an DOS mit mehr als 640K Speicher. SDISK + Immunisierungs-Partition und Bootsektor verbessert. (Erkennung von verschobenen Startsektor durch Virus) - Fehler bei der Parameterbehandlung behoben. - Parameter "/2" korrigiert. - Bei der Immunisierung von Disketten werden schreibgeschuetzte Disketten jetzt gemeldet. SSC + Neue Erkennungs-Meldungen: D:Z (Fr SFT-Dateizugriff) R:T (Fr Tarnkappenfunktionen im Dateibereich) + Heuristik verbessert: ca. 60 neue HeurStrings und Verbesserung mehrerer Emulations- und Auswertungsroutinen. + Codeanalyse verbessert: Verbesserte Erkennung von speziell anti-heuristischen Strukturen (wie z.B. in den CVEX-Viren) + Bootsektoren werden jetzt mit der vollst„ndigen Heuristik berprft. + Falschalarm-Erkennung verbessert. - Bug in der Fehlalarm-Erkennung entfernt. + SSC erlaubt jetzt auch einzelne Programmnamen oder Wildcards in der Parameterangabe. - SSC erkennt Netzwerklaufwerke und deaktiviert automatisch den Anti-Stealth-Dateizugriff. - Bug in der Initialisierung behoben (unter OS/2 wurde das Diskettenlaufwerk angesprochen). - Fehlalarme behoben: HACKSTOP (COM) CENTER.COM A4256.COM README.COM ELKE.EXE MOUSE.EXE EZ-Drive (Partitionssektor) Novell-DOS 7.0 (Bootsektor) SDISK Immune (Partitions- und Bootsektor) WWPACK 3.03 (Reg) LZEXE (Modifizierte Version) AIN SEA-AXE 2.2 UNP 4.11 SCRC - Fehler bei der Erkennung der Dateierweiterung (". ") behoben. - Fehler in der Parameterauswertung behoben ("/NOMEM"). - Fehler bei der Angabe von benutzerdefinierten Suchlaufwerken und "/CFG" behoben. - SCRC erkennt Netzwerklaufwerke und deaktiviert automatisch den Anti-Stealth-Dateizugriff. SETUP - Fehler bei der Auswertung der Sicherheitsmodus-Flags behoben. 1.30a (Bugfix): ~~~~~~~~~~~~~~~ Allgemein: - Kleinere Fehler in Programmen und Anleitungen behoben. SCRC - Fehler bei der Prfsummenerstellung mit /INIT behoben. 1.30: ~~~~~ Neu: - SDISK: Das Partitions- und Bootsektorschutzprogramm Mit SDISK k”nnen Kopien des Partitions- und Bootsektors angelegt und wiederhergestellt werden, aktive Stealthviren erkannt und Disketten und die Partition gereinigt werden. SDISK ist in der Lage Festplatten oder Diskette mit einem speziellen Antivirus- Partitions- bzw. Bootsektor zu immunisieren und Systeme ohne vorher angelegte Kopien der Partition zu reinigen. Allgemein: - Die Internet-EMailadresse des Autors hat sich ge„ndert: kurtzhal@wrcs3.urz.uni-wuppertal.de (statt wrcs1) - Die Programme von SUSPICIOUS funktionieren jetzt auch auf Systemen mit Herkules-Graphikkarten. - Anleitungen erweitert und korrigiert. SETUP: - Benutzerdefinierte Angabe der Suchlaufwerke fr SCRC m”glich. - Benutzerdefinierte Namenserweiterungsliste fr SCRC m”glich. - Neue Optionen von SVS werden untersttzt. - Žnderung der Voreinstellung (weniger Falschalarme). (Fr gelegentliches Benutzen von SVS sollte die Option "Hohe Sicherheit" im SETUP angew„hlt werden!) SVS: - Der Partitions- und Bootsektorvergleich wurde entfernt. Den Festplattenschutz bernimmt jetzt SDISK. - SVS meldet nicht mehr den Tracer von SSC. !! - SVS darf in der CONFIG.SYS nicht mehr mit "DEVICEHIGH", sondern !! mit "INSTALLHIGH" geladen werden. (Grund: Verschlsselung und MEMCHK sind sonst nicht m”glich) - Korrektur: SVS f„ngt jetzt die Hotkeys ber INT 15h ab und wird somit nicht mehr von KEYB.COM aus der Tastatur-Kontrolle abgeh„ngt. - Neue Meldung: Warnung bei direkten INT 26-Zugriffen (ohne DOS). - Neue Optionen: + Lernmodus abschaltbar. + SVS meldet nur verd„chtige TSR-Programme. - SVS schtzt automatisch die Endung, die bei der benutzer- definierten Angabe des Prfsummennamens angegeben wurde. - Die Stabilit„t von SVS unter Windows wurde verbessert. SCRC: - Neuer Parameter /SYSTEM : SCRC berprft nur die kritischen DOS-Systemdateien wie COMMAND.COM, IO.SYS usw. - Verbesserung des Parameter /DAILY: * /DAILY++ : Wie DAILY+, nur wird anstatt /FAST der Para- meter /SYSTEM benutzt. * /DAILY=xx:yy : Zeitsteuerung von SCRC. - Bug bei Option "Laufwerk durchsuchen 'x:'" behoben. - Bei "/INIT" kann jetzt angegeben werden ob SCRC nach ver- d„chtigen Programmen und Companion-Viren suchen soll. - Bug behoben: Verzeichnisse validieren funktioniert jetzt korrekt. - Anti-Stealth ist jetzt kompatibel zu PC-DOS 7.0. - Dateianalyse: WWPack 3.03 wird erkannt. MEMCHK: - MEMCHK erzeugt und prft jetzt K”der, um die Aktivit„t eines residenten Dateivirus zu erkennen. - Der ungenutze Bereich der HMA wird vor der šberprfung gel”scht (reduziert die M”glichkeit von Falschalarmen). - MEMCHK wird von SCRC und SVS jetzt auch in der CONFIG.SYS aufgerufen. - MEMCHK ist jetzt kompatibel zu PC-DOS 7.0. - VSAFE bzw. TSAFE wird im Speicher erkannt und MEMCHK nicht mehr ausgefhrt um Falschalarme zu vermeiden. - Verbesserte šberprfung des UMB-Bereichs (-> ) - Der BUFFERS-Check wird jetzt anhand der Angabe der CONFIG.SYS durchgefhrt. - Bug behoben: MSCDEX wird nicht mehr als Virus erkannt. - Bug behoben: SMARTCAN wird nicht mehr als Virus erkannt. - Bug behoben: MEMCHK bleibt nicht mehr h„ngen, falls ein Virus im Speicher gefunden wurde. - Bug behoben: INT 21-Falschalarm bei DOS=LOW. - Bug behoben: Keine Exception unter OS/2 (DOS-Fenster). SSC: - Heuristik fr MBR und Bootsektoren versch„rft. - CD-ROM-Laufwerke k”nnen durchsucht werden. - Analyseflag A:M : WWPack 3.03 wird erkannt. - Falschalarme behoben: LIST 9.1 BRUN30 QuickBasic 2.0 EXE COMMAND.COM und GRAPHICS.COM (Novell DOS 7) HyperLock 386 EXE QSCHED COPYIIPC PCVP OS/2 Bootmanager Partition CHKPC/VSTOP (Virscan Plus) 1.20: ~~~~~ Allgemein: - Die Registrierung ist fr Sysops kostenlos (Siehe SYSOP.TXT). - Neu: MEMCHK - Heuristische Speichersuche nach bekannten und unbekannten Viren. Die šberprfung wurde extern (MEMCHK.EXE) und als Modul zu den bestehenden Komponenten (SCRC, SSC und SVS) hinzugefgt. - Bug in INSTALL.BAT behoben: Es wurden zu lange Label-Namen benutzt, was zu einer Endlosschleife gefhrt hat. - Bug in SETUP behoben: Das Programm funktioniert jetzt auch mit einer CONFIG.SYS/AUTOEXEC.BAT, die gr”áer als 10k ist. - Der Versand dauert nicht mehr "einige Wochen". 8-) SVS: - Bootsektor-Heuristik ver„ndert um Falschalarme bei Disketten mit IBM 3.3-Bootsektor zu vermeiden. - Erkennung von verd„chtigen TSR-Programmen verbessert (Erkennung anhand Speicherbelegung und Heuristik). - Keine Falschalarme bei SUSPICIOUS-Programmen. - Der MCB-Name von SVS wird variiert um Erkennung des TSR durch Viren zu verhindern. - Verbesserter L”schschutz: Das L”schen von Programmen wird auch dann gemeldet wenn die Option "L”schen melden" nicht eingeschaltet ist, aber zuvor verd„chtige Dateioperationen durchgefhrt wurden. - SVS erkennt Kernel-Ver„nderung von VIRSTOP (Frisk) nicht mehr als Virus. - Bug behoben: SVS erkennt eigenen Dateizugriff bei der Instal- lation in der CONFIG.SYS nicht mehr als verd„chtig an. - Bug behoben: SETUP benutze ungltiges Datei-Handle fr den Dateizugriff auf CFG.SVS. - SVS ist jetzt kompatibel zu LOADHI und OPTIMIZE von QEMM. SSC: - Cursor-Bug bei "/?" behoben. - Parameter "/NOMEM" fr MEMCHK-Heuristik. - Das Flag "A:M" (MODIFIZIERTES PROGRAMM) wurde korrigiert und erweitert. Es werden jetzt EXE-Programme mit hinzuge- fgten Code erkannt, die mit folgenden Packern bearbeitet wurden: PKLITE, DIET, LZEXE, COMPACK, TINYPROG, WWPACK. - Mit HACKSTOP verschsselte Programme werden erkannt ("A:k"). SCRC: - Bug bei Prfsummendateien mit HIDDEN und READ-ONLY Datei- attribut behoben (Option: "Prfsummen verstecken"). - Der DOS-interne INT21-Einsprung kann jetzt auch gefunden werden, wenn DOS=HIGH nicht eingestellt ist. (s. Booten mit ) - Parameter "/NOMEM" fr MEMCHK-Heuristik. - SCRC erkennt jetzt wie SSC komprimierte Programme, die nachtr„glich modifiziert wurden. SCRC zeigt diese verd„chtigen Programme mit einen blinkenden "(MOD!)" an.