home *** CD-ROM | disk | FTP | other *** search

---

/ DP Tool Club 24 / CD_ASCQ_24_0995.iso / vrac / invb602b.zip / HISTORY.TXT

< prev

next >

Wrap

Text File  |  1995-07-09  |  21KB  |  362 lines

---

1.                                                                July, 1995
2.  Product upgrade, 6.02A
3.  ----------------------
4.  IVX major upgrade. New features were added to IVX, enabling automatic
5.  signature extraction and signature scanning. IVX now creates its own
6.  signatures database from sampled files. The extraction of the
7.  signatures is automatic and does not require any special skills. The
8.  signatures can then be used to scan for their presence in other files.
9.  IVX also accepts user defined signatures by editing the database with
10.  an ASCII editor. An average user can now easily generate a signature
11.  for a new virus and announce it on the net or else. IV user can now
12.  scan for the presence of new viruses announced on the net. The new
13.  features of IVX reduce the response time to new virus alerts.
14.  
15.  The algorithm of IVX in statistical mode was refined and its detection
16.  capability improved, especially against some of the more difficult
17.  polymorphs, such as MtE viruses.
18.  
19.  IVB daily test under Win 95, bug fix. In former versions, the IVB DAILY
20.  test repeated itself on every boot, while booting in Win 95 DOS. The
21.  bug was traced to be caused by IVINIT and was fixed. IV 6.02A is
22.  compatible with Win 95 DOS.
23.  
24.  IVB history file. The IVB.RPT file is overwritten when a new report is
25.  created. In a networked environment, the current daily report will be
26.  appended to the IVB.HIS (history) file. The implementation is through
27.  the AUTOEXEC file, by adding a couple of lines after the IVB daily
28.  command. The appropriate lines are added automatically by the INSTALL
29.  program when installation from server is detected (or selected, in
30.  INSTALL's main menu). To add this feature in an existing installation,
31.  add the following lines in the autoexec, after IVB DAILY:
32.  
33.     IF EXIST \IVB.RPT COPY \IVB.HIS+\IVB.RPT \IVB.HIS
34.     IF EXIST \IVB.RPT DEL \IVB.RPT
35.  
36.  Licensing for OS/2 and Win 95. In version 6.02, InVircible's license
37.  reverted to Sentry when in Windows' or OS/2's DOS shell. Version 6.02A
38.  fixed that problem. Yet, you will need to run IV once in real DOS in
39.  order to upgrade your license from a former version, to 6.02A. This
40.  procedure does not apply to new licensed users, since the license can
41.  be installed to disk only in REAL DOS mode.
42.  
43.  Detection of PKLITE'd droppers and Trojans. During the last year,
44.  several droppers and Trojans were found, that used PKLITE in order to
45.  conceal the gen-1 file. Gen-1 is the designation of the first
46.  generation of a virus, usually the one used to launch the virus. While
47.  scanners usually find the offsprings, the gen-1 file will not be
48.  suspected, as many times it isn't recognized to be a compressed file,
49.  as the PKlite marks were removed, or disguised. The most recent case
50.  that used the PKlite method is related to the Big Caibua virus. The
51.  detection of potential droppers was added to IVscan, as the default.
52.  This feature should help SysOps and network administrators to keep
53.  their board and systems clean.
54.  
55.  Improved IVB signatures. Functional changes were made in order to
56.  improve IVB's discrimination between non-viral and legal modification
57.  of program, as well as to improve their immunity to dedicated viruses
58.  attacks (for details read the attached SECURITY.TXT file). The new
59.  signatures are no more compatible with the lower versions of IVB. To
60.  avoid confusion, or the loss of the former database, the default
61.  filename of the signature files was changed to IVB .NTZ. Note that
62.  there is a trailing character 255 (it looks like a space, but it is
63.  not!) between the IVB filename, and the .NTZ extension.
64.  
65.  Micro House boot driver's awareness. IV version 6.01D was aware of the
66.  WD large capacity ID, using the Disk Manager 6.03 dynamic boot driver.
67.  Other brands like Seagate are using the Micro House boot driver for
68.  their Decathlon models (540+ meg). In lower versions, IVinit indicated
69.  that the partition was "faked". This was objectively true, but it
70.  didn't indicate the presence of a virus. It actually detected the
71.  stealth used by the boot driver, since this is exactly how they work.
72.  These special boot programs load a special driver through the booting
73.  process and they use stealth to protect the special mbr from being
74.  accidentally overwritten, by FDISK/MBR for example. From version 6.02A,
75.  InVircible is aware of the possibility that a Micro House boot driver,
76.  or DM 6.03 is used.
77.  
78.  No escape in Sentry mode. System administrators asked to disable Sentry
79.  users from escaping IVB's daily full check. Adding the /ESC switch to
80.  the command line re-enables the Esc key when scanning daily. This
81.  change applies only to the Sentry mode.
82.  
83.  IVB exceptions list. There are instances when you may want to exclude a
84.  file from IVB's list of files to process. IVB has now provisions to
85.  exclude up to 5 filenames. Edit IVB.INI in the IVB.EXE directory with
86.  an ASCII editor, or create a new file with the above name, if it
87.  doesn't exist yet. Add a line for each file to exclude as follows: SKIP
88.  = EXCLUDE.BIN
89.  
90.  The CMOS "Restore" option was removed from IVINIT in Sentry mode.
91.  
92.  IVINIT bug fix. The errorlevel returned by IVINIT in case of a
93.  suspicious finding should be 1, and 0 when no finding. Due to a bug in
94.  former versions this wasn't always the case. The bug was fixed.
95.  
96.  INSTALL/R bug fix. The rescue diskette procedure couldn't find the
97.  SYS.COM (or SYS.EXE) file in the search path, if the DOS directory was
98.  after character 64 in the environment string 'PATH', and the process
99.  aborted. The problem is now fixed.
100.  
101.  Product upgrade, 6.02
102.  ---------------------
103.  The major change in version 6.02 is the handling of large capacity IDE
104.  drives. These drives appeared on the market in mid 1994 and they are
105.  now quite common. Several enhancements to handle the large capacity IDE
106.  were already introduced in version 6.01D. The new drives present
107.  technical challenges in the area of disaster recovery and vulnerability
108.  to boot and mbr viruses, that were unforeseen by both the drive's
109.  producers, and the AV industry. Version 6.02 consolidates the former
110.  enhancements and lays the grounds for further improvements, especially
111.  in the disaster recovery area of these drives. Read also in UPGRADE.TXT
112.  how to upgrade your licensed copy of InVircible.
113.  
114.  Licensing of large capacity IDE. The installation of the license record
115.  to large capacity IDE, was impossible with earlier versions, if the
116.  Ontrack extended boot driver (DM 6.03+) was used. It could be done only
117.  with plain FDISK partition, using the LBA (logical block access) option
118.  in the setup. Version 6.02 will allow the licensing of these drives
119.  too.
120.  
121.  Version 6.02 consolidates changes done to the hardware access routines,
122.  used in InVircible, to suit the newer fast access hard disks and boards
123.  (100 mhz and higher). Hardware access is sensitive to timing, and new
124.  industry standards were introduced in the last year. Therefore, we
125.  recommend that InVircible copies earlier than 6.01D are upgraded.
126.  Version 6.01B and 6.01C still have some slow routines that won't work
127.  properly with the newer fast disks. Also, versions earlier than 6.01D
128.  still have a routine that conflicts with a defect in design of some
129.  older models of Maxtor hard drives. The problem has been identified by
130.  NetZ Computing and acknowledged by Maxtor. From version 6.01D and on,
131.  there should be no problem anymore, all models of Maxtor included. Yet,
132.  if you have a large capacity IDE hard drive, we strongly recommend that
133.  you upgrade to 6.02.
134.  
135.  Bug fix in INSTALL. Some DOS variants are using SYS.EXE instead of
136.  SYS.COM. In former versions, the procedure for preparing the rescue
137.  diskette looked only for SYS.COM and refused the use of SYS.EXE. The
138.  bug was fixed.
139.  
140.  ResQdisk improvement, fixing the boot sector via DOS, the ResQdisk ^B
141.  function. There are instances when the boot sector of hard drive #1 is
142.  infected, and it cannot be accessed via regular int 13 functions. Such
143.  is the case with the newer large capacity IDE drives. The active
144.  partition's boot sector can then be refreshed through the ^B key
145.  combination. The ^B function operates on the boot sector, the same way
146.  that does FDISK/MBR on the mbr - it refreshes the bootstrap code,
147.  without affecting the BPB data. The ^B function should only be used
148.  when booted from the hard drive.
149.  
150.  Temporary files handling, bug fix. Former versions of InVircible used a
151.  couple of fixed names, SOFIA and \WRITEST, to perform certain tasks. If
152.  a file with the name SOFIA was present in the current directory while
153.  executing any of the IV self protected modules, then the file was
154.  erased. The same would happen to a file named WRITEST, if present in
155.  the root directory, while IVinit or IVtest are run. These routines
156.  slipped by, since no incident was reported in regard with them during
157.  the five years they were in use. Recently, an incident was reported in
158.  which a file named SOFIA was erased while executing an IV module.
159.  Therefore, the routine responsible for this has been changed and fixed.
160.  InVircible does now use only unique names (that are not in use by the
161.  user) for its temporary and bait files. Note that no other than files
162.  named SOFIA or \WRITEST were of any concern, in formers versions.
163.  
164.  Long pathname handling in networks, bug fix. Pathnames under DOS are
165.  limited to 64 characters. Yet it is possible to create pathnames of up
166.  to 255 characters (the maximum length allowed for strings). Such
167.  condition is encountered on file servers. On such instances InVircible
168.  hung when scanning a network file server, containing directories with
169.  pathnames longer than the DOS limit. The problem existed only in the
170.  sweeping programs: IVB, IVscan, IVX and IVmenu. It is now possible to
171.  scan with IV's sweepers (except for IVmenu) across file structures that
172.  have directories with pathnames longer than the DOS limitation. The
173.  limitation in IVMENU remains as before. The reason for this is that
174.  IVMENU allocates memory for keeping track of up to 500 directories,
175.  with pathnames no longer than the 64 bytes DOS limit. We need some
176.  memory to be left for some useful job to be done, other than just
177.  showing the user a nice directories tree. :-) We thus could provide the
178.  same with IVMENU, but only for 125 directories, if the pathname length
179.  is to be 255 characters. This would be inadequate for most users, that
180.  have more than 125 directories in a partition, and less than 500.
181.  
182.  If you want to use IVMENU on file servers containing directories with
183.  long pathnames, then use the network "map" function to define volumes
184.  for sub-trees of the root, and then you can use IVMENU on the new
185.  logical drive, as usual.
186.  
187.  Product upgrade, 6.01D
188.  ----------------------
189.  Improved installation procedure. The Installation of IV will now run
190.  without needing to actually change the current directory. Just type the
191.  full pathname of where IV's INSTALL program is.
192.  
193.  Daily inspection for companion virus. The companion virus verification
194.  was added to IVB, since IVB runs daily. The same routine is retained in
195.  IVscan, for operational redundancy.
196.  
197.  Keeping track of the last inspected drive. In former revisions of IV
198.  there was need to manipulate the COMSPEC variable in order to keep
199.  track of the last drive checked by IVB DAILY. Now, just issue the IVB
200.  DAILY command and the tracking record will be updated, according to the
201.  current environment settings. Only make sure to always run the DAILY
202.  check from within the same environment shell. The last improvement is
203.  especially useful to LAN administrators.
204.  
205.  The user interface in ResQdisk was improved further. The newer features
206.  were grouped in three menus, Edit (accessible by pressing ^E), Track
207.  Zero maintenance (^Z) and Analyze sector (^A). Also, the new ^B
208.  function was added. The latter will refresh the boot sector of drive C:
209.  while accessing via DOS instead of the BIOS, and is the equivalent of
210.  the SYS C: command. The ^B function is helpful in removing boot sector
211.  viruses such as Da'Boys, Boot-437, Form etc.
212.  
213.  IVinit was enhanced to automatically invoke ResQdisk when needed. From
214.  now, Most boot / mbr infectors can be handled right at startup.
215.  
216.  Improved editing features in ResQdisk. Additional editing features were
217.  added to resQdisk. The sequence ^E ^F will read a file into the sector
218.  clipboard, while ^E ^D drops the content of the displayed sector into a
219.  file. The combination ^E ^Y will decrypt an encrypted sector into the
220.  clipboard and display it on screen. The later is especially useful for
221.  the recovery of damaged hard drives, like from the Monkey virus. It is
222.  indispensable for rescuing hard drives lost to inappropriate
223.  disinfection procedures, like with fdisk/mbr, or inadequate antiviral
224.  products. The above further improve ResQdisk as the best disaster
225.  recovery and boot-antiviral utility.
226.  
227.  Improved "track 0" maintenance features. ResQdisk is used in the rescue
228.  diskette for backing up track zero of the hard disk to floppy and for
229.  restoring track zero from file to the hard drive. The "track 0"
230.  functions are now available on-line, with the visual inspection of
231.  ResQdisk, in both SeeThru modes (backup only, recovery is always done
232.  with SeeThru off). The track 0 functions are started by the ^Z keys
233.  combination, followed by ^B for backup to file or ^R for restore from
234.  file.
235.  
236.  Either the Ctrl (^) or the Alt key can now be used for the editing and
237.  the "track 0" functions. For on-line help press Alt+H while running the
238.  ResQdisk program.
239.  
240.  Making a rescue diskette for other than standard configurations. The
241.  rescue diskette in the INSTALL program was improved to simplify the
242.  preparation of a rescue diskette in configurations containing other
243.  than Stacker, DoubleSpace or Disk Manager drivers. For details read in
244.  the on-line documentation.
245.  
246.  Improved resistance to IV dedicated viruses. The first virus aimed to
247.  "kill" IV's signatures has been reported and a sample of was analyzed
248.  by NetZ. It is recommended that users change the default filename of
249.  the signatures to one of their own definition. The signature files are
250.  no longer traceable as IV's, and cannot be identified as such --
251.  provided you don't leave them with the default name. The new signatures
252.  are fully downward compatible with the former ones, and there is no
253.  action that a user needs to take in this regard.
254.  
255.  Random signatures' filename. When installing InVircible through
256.  IVlogin, a random signatures' filename will be selected. IVLOGIN can be
257.  used for standard installation with the default parameters. The random
258.  signature filename will be implemented on first time installation only,
259.  and with the default installation parameters only (to C:\IV).
260.  
261.  Compatibility with large capacity IDE. IVTEST was corrected to ignore
262.  the dynamic boot loader of large capacity IDE disks.
263.  
264.  Revision 6.01c was compatible with only Ontrack's Disk Manager extended
265.  bios drivers (XBIOS.OVL). The new revision is also compatible with
266.  other brands, recently introduced into the market - e.g. Micro House.
267.  
268.  Troubleshooting with IV. New text was added to the on-line help in
269.  regard of troubleshooting problems with IV. There is guidance how to
270.  detect an incompatible IDE controller with your hard drive, as well as
271.  disclaimers about a couple of hardware: Promise hard drive controllers
272.  with disk cache, and certain models of Maxtor's hard drives.
273.  
274.  Further improvement for use in networked environment. IVMENU, the
275.  integrated menu shell was upgraded to avoid conflicts in certain
276.  Netware environment.
277.  
278.                                                            January, 1995
279.  Product upgrade, InVircible 6.01C
280.  ---------------------------------
281.  Improved performance in networked environment: Revision 6.01C has
282.  further improvements for the operation of InVircible in the networked
283.  environment. All the scanning modules; IVB, IVscan and IVX were revised
284.  to avoid Novell's Netware files. The verification of Netware files
285.  under DOS created errors because of the special attributes of Netware's
286.  system files. IV's current revision avoids these files.
287.  
288.  Updated manual: The use of IV in network environment, as well as the
289.  strategy of how to disinfect the server and network are covered in a
290.  new appendix, in the manual text.
291.  
292.  Automatic IV version upgrades in network: IVLOGIN can now be used for
293.  both the automatic installation of InVircible to workstations in a
294.  networked environment, as well as the upgrading of an older IV version
295.  to a newer one. IVLOGIN checks whether its own version is newer than
296.  the current one installed on the hard drive. An older version will be
297.  automatically replaced by a new one, by just invoking IVLOGIN. It is
298.  recommended that the IVLOGIN command should always be included in the
299.  users login script, in networks.
300.  
301.  Improved piggybacking detection: Revision 6.01C has higher sensitivity
302.  of piggybacking detection. The detection threshold has been lowered to
303.  detect piggybacking within few affected files. The improved sensitivity
304.  has no effect on speed since the loss in speed was compensated for with
305.  a better search algorithm.
306.  
307.  New "copy and paste" functions in ResQdisk: It is an advantage to have
308.  editing capability of the master and boot sectors of the hard disk.
309.  ResQdisk can now copy the content of a displayed sector to the
310.  clipboard, by the ^E ^R sequence, then paste it elsewhere by pressing
311.  ^E ^W. The copy and paste functions are useful to recover from mbr and
312.  boot sector viruses, that relocate the original sector elsewhere,
313.  usually on track 0. The copying and pasting of the original sector can
314.  be done under the visual control of ResQdisk. The new functions can be
315.  used to store copies of the critical sectors (mbr and boot sectors) in
316.  the unused section of track 0, usually from sector 2 to the last sector
317.  on the track. Avoid using sector 3 (used by Monkey), 7 (Stoned,
318.  Michelangelo), 8 (used by Disk Manager - not a virus), 17 (B1-NYB), 13
319.  (NewBug) and the last sector (Quox and a few others).
320.  
321.                                                            December 1994
322.  Product upgrade, InVircible 6.01B
323.  ---------------------------------
324.  Installation of InVircible on networked PC: Revision 6.01B has an
325.  additional file, IVLOGIN.EXE. As its name implies, its use is from the
326.  user login script in networks. When a workstation connects to the
327.  network, IVLOGIN verifies whether it has a hard drive, and if
328.  InVircible is installed on that disk. If not, INSTALL/FAST is invoked
329.  to install IV to the hard disk. The LAN administrator is required to
330.  install IV to the server and add the IVLOGIN command to the user login
331.  script. The rest is done automatically.
332.  
333.  IVB upgrade: Some lame viruses affect *.SYS and *.OVL files, if they
334.  have an executable structure (usually an EXE one). Thus, *.SYS and
335.  *.OVL files were added under IVB's coverture. These files are now
336.  secured by IVB, and can be recovered, in case they get infected.
337.  
338.  ResQdisk upgrades: There were disk configurations that ResQdisk didn't
339.  recognize properly. These were found mostly on Compaq models, having a
340.  special partition dedicated to proprietary diagnostics, coming first,
341.  before the DOS active partition. ResQdisk was upgraded to accommodate
342.  for these configurations too.
343.  
344.  In addition, ResQdisk had a few fixes to assure its proper functioning
345.  with the new mode 3 and 4 IDE standards, EIDE as well as with large
346.  capacity SCSI drives. This now covers all hard disk types used in
347.  personal computers.
348.  
349.  Install upgrades: The French version of InVircible configures now the
350.  rescue diskette to start with a French keyboard. Install also takes
351.  care to REM out the Thunderbyte TSR in the autoexec, at the
352.  installation of IV. The TB TSR intercept IV initialization checks and
353.  may crash the system. Also, Install will now install the IV
354.  registration key to hard drives having the Compaq configuration (see
355.  ResQdisk, above).
356.  
357.  User interface updates. Both IVB and IVSCAN command line syntax has
358.  been improved. The [d:] argument, where d represents a drive letter,
359.  will now start the program from the drive's root, instead of the
360.  current directory. For the default directory just don't give any drive
361.  argument.
362.