home *** CD-ROM | disk | FTP | other *** search

---

/ Power Programmierung / Power-Programmierung (Tewi)(1994).iso / magazine / compute / 1991_10 / vscan / scan77.doc

< prev

next >

Wrap

Text File  |  1994-04-26  |  24KB  |  550 lines

---

1.  
2.                        VIRUSCAN Version 7.2V77
3.          Copyright (C) 1989, 1990, 1991 by McAfee Associates.
4.                          All rights reserved.
5.                    Documentation by Aryeh Goretsky.
6.  
7.  
8.  
9.  
10.      McAfee Associates               (408) 988-3832 office
11.      4423 Cheeney Street             (408) 970-9727 fax
12.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps
13.      U.S.A.                          (408) 988-5138 BBS HST 9600
14.                                      (408) 988-5190 BBS v32 9600
15.  
16.       NOTE:  Our infection support line is 408 988 4181          
17.                           
18.  
19.                             TABLE OF CONTENTS:
20.  
21.  
22. SYNOPSIS . . . . . . . . . . . . . . . . . . . . . . . . . . .2
23.   - What VIRUSCAN is, system requirements
24.  
25. AUTHENTICITY . . . . . . . . . . . . . . . . . . . . . . . . .2
26.   - Verifying the integrity of VIRUSCAN
27.  
28. WHAT'S NEW . . . . . . . . . . . . . . . . . . . . . . . . . .3
29.   - Features, new viruses added in this release
30.  
31. OVERVIEW . . . . . . . . . . . . . . . . . . . . . . . . . . .4
32.   - Detailed description of VIRUSCAN
33.  
34. OPERATION. . . . . . . . . . . . . . . . . . . . . . . . . . .5
35.   - How to use VIRUSCAN
36.  
37. EXAMPLES . . . . . . . . . . . . . . . . . . . . . . . . . . .8
38.   - Samples of frequently-used options
39.  
40. EXIT CODES . . . . . . . . . . . . . . . . . . . . . . . . . .9
41.   - For running VIRUSCAN from batch files
42.  
43. VIRUS REMOVAL. . . . . . . . . . . . . . . . . . . . . . . . .9
44.   - How to manually remove a virus
45.  
46. REGISTRATION . . . . . . . . . . . . . . . . . . . . . . . . .10
47.   - How to register VIRUSCAN
48.  
49. TECH SUPPORT . . . . . . . . . . . . . . . . . . . . . . . . .10
50.  - Information you should have ready when calling
51.  
52. APPENDIX A . . . . . . . . . . . . . . . . . . . . . . . . . .11
53.  - Creating a virus string file with the /EXT option
54.  
55.                                 Page 1VIRUSCAN Version 7.2V77                                Page 2
56.  
57.  
58. SYNOPSIS
59.  
60.      VIRUSCAN (SCAN) is a virus detection and identification
61. program for the IBM PC and compatible computers.  VIRUSCAN will
62. search a PC for known computer viruses in memory, the boot sector,
63. the partition table, and the files of a PC and its disks.  VIRUSCAN
64. will also detect the presence of unknown viruses.
65.      SCAN works by searching the system for instruction sequences
66. or patterns that are unique to each computer virus, and then
67. reporting their presence if found.  This method works for viruses
68. that VIRUSCAN recognizes.  To detect unknown viruses, VIRUSCAN can
69. append a validation code or "CRC check" to .COM and .EXE files. 
70. If the file has been modified in any way, SCAN will report that
71. infection may have occurred.  VIRUSCAN can also look for new
72. viruses from a user-supplied list of virus search strings.
73.      VIRUSCAN runs on any PC with 256Kb and DOS version 2.00 or
74. greater.
75.  
76.  
77. AUTHENTICITY
78.  
79.      VIRUSCAN runs a self-test when executed.  If SCAN has been
80. modified in any way, a warning will be displayed.  The program will
81. still continue to check for viruses, though.  If SCAN reports that
82. it has been damaged, it is recommended that a clean copy be
83. obtained.
84.      VIRUSCAN versions 46 and above are packaged with the VALIDATE
85. program to ensure the integrity of the SCAN.EXE file.  The
86. VALIDATE.DOC  instructions tell how to use the VALIDATE program.
87. The VALIDATE program distributed with VIRUSCAN may be used to check
88. all further versions of SCAN.
89.  
90.      The validation results for Version 77 should be:
91.  
92.               FILE NAME: SCAN.EXE
93.                    SIZE: 59,123
94.                    DATE: 04-25-1991
95.     FILE AUTHENTICATION
96.          Check Method 1: 0DF0
97.          Check Method 2: 0989
98.  
99. If your copy of SCAN.EXE differs, it may have been modified.
100. Always obtain your copy of VIRUSCAN from a known source.  The
101. latest version of VIRUSCAN and validation data for SCAN.EXE can be
102. obtained off of McAfee Associates' bulletin board system at (408)
103. 988-4004.
104.  
105.      Beginning with Version 72, all McAfee Associates programs for
106. download are archived with PKWare's PKZIP Authentic File
107. Verification.  If you do not see the "-AV" message after every file
108. is unzipped and receive the message "Authentic Files Verified!
109. # NWN405  Zip Source: McAFEE ASSOCIATES" when you unzip the files
110. then do not run them.  If your version of PKUNZIP does not have
111. verification ability, then this message may not be displayed.
112. Please contact McAfee Associates if your .ZIP file has been
113. tampered with.
114. VIRUSCAN Version 7.2V77                                Page 3
115.  
116.  
117. WHAT'S NEW
118.     Version 77 of SCAN adds four new viruses to its detection
119. list.  It also runs 5% faster than version 76.
120.     Refer to the enclosed VIRLIST.TXT file for a schematic
121. description of the new viruses.  For a complete description, please
122. refer to Patricia Hoffman's VSUM document.
123. VIRUSCAN Version 7.2V77                                 Page 4
124.  
125.  
126. OVERVIEW
127.  
128.      VIRUSCAN scans diskettes or entire systems for pre-existing
129. computer virus infections.  It will identify the virus infecting
130. the system, and tell what area of the system (memory, boot sector,
131. file) the virus occupies.  An infected file can be removed with
132. the overwrite-and-delete option, /D which will erase the file.
133. The CLEAN-UP program is also available to automatically disinfect
134. the system and repair damaged areas whenever possible.
135.      VIRUSCAN Version 77 identifies all 243 known computer viruses
136. along with their variants.  Some viruses have been modified so that
137. more than one "strain" exists.  Counting such modifications, there
138. are 505 virus variants.  The ten most common viruses which account
139. for over 95% of all reported PC infections are also identified by
140. SCAN.  The accompanying VIRLIST.TXT file lists describes all new,
141. public domain, and extinct computer viruses identified by SCAN.
142. The number of variants of each virus is listed in parentheses after
143. the virus name.
144.       All known computer viruses infect one or more of the
145. following areas:  the hard or fixed disk partition table [also
146. known as the master boot record]; the DOS boot sector of hard disks
147. and floppy disks; or one or more executable files within the
148. system.  Executable files include operating system files, .COM
149. files, .EXE files, overlay files, or any other files loaded into
150. memory and executed.  A virus that infects more than one area, such
151. as a boot sector and an executable file is called a multipartite
152. virus.
153.     VIRUSCAN identifies every area or file that is infected, and
154. indicates both the name of the virus and CLEAN-UP I.D. code used
155. to remove it.  SCAN will check the entire system, an individual
156. diskette, sub-directory, or individual files for existing viruses.
157.      VIRUSCAN will also check for new, unknown viruses with the Add
158. Validation and Check Validation options.  This is done by computing
159. a code for a file, appending it to the file, and then validating
160. the file against that code.  If the file has been modified, the
161. check will no longer match, indicating that viral infection may
162. have occurred.  SCAN uses two independently generated CRC (Cyclic
163. Redundancy Check) checks that are added to the end of program files
164. to do this.  Files which are self-checking should not be validated
165. since this will "set off" the program's self-check.  Files which
166. are self-modifying may have different values for the same program
167. depending upon the modifications.  VIRUSCAN adds validation codes
168. to .COM and .EXE files only.  The validation codes for the
169. partition table, boot sector, and system files, are kept in a
170. hidden file called SCANVAL.VAL in the root directory.
171.      VIRUSCAN can also be updated to search for new viruses via
172. an External Virus Data File option, which allows the user to
173. provide the VIRUSCAN program with new search strings for viruses.
174.      VIRUSCAN can display messages in either English or French.
175.      VIRUSCAN works on stand-alone and networked PC's, but not on
176. a file server.  For networks, the NETSCAN file server-scanning
177. program is required.
178. VIRUSCAN Version 7.2V77                                Page 5
179.  
180.  
181. OPERATION
182.  
183. IMPORTANT NOTE:  WRITE PROTECT YOUR FLOPPY DISK BEFORE SCANNING
184. YOUR SYSTEM TO PREVENT INFECTION OF THE VIRUSCAN PROGRAM.
185.  
186.      VIRUSCAN will check each area or file on the designated
187. drive(s) that could be host to a virus.  If a virus is found, a
188. message is displayed telling the name of the infected file or
189. system area and the name of the identified virus.  SCAN will
190. examine files for viruses based on their extensions.  The default
191. executable extensions supported by SCAN are .BIN, .COM, .EXE, .OV?,
192. .PGM, .PIF, .PRG, .SYS and .XTP.  Additional extensions can be
193. added to SCAN or all files on disk can be selected for scanning.
194.  
195.      To run VIRUSCAN type:
196.  
197. SCAN d1: ... d10: /A /AV /CV /D /E .xxx .yyy .zzz /EXT d:filename
198.                   /FR /MANY /NLZ /NOBREAK /NOMEM /NOPAUSE
199.                   /REPORT d:filename /RV
200.  
201.  
202. Options are:
203.  
204.                   \ - Scan root directory and boot area only
205.                  /A - Scan all files, including data, for viruses
206.                 /AV - Add validation codes to specified files
207.                 /CV - Check validation codes for files
208.                  /D - Overwrite and delete infected file
209.   /E .xxx .yyy .zzz - Scan overlay extensions .xxx .yyy .zzz
210.     /EXT d:filename - Scan using external virus information file
211.                 /FR - Display messages in French
212.                  /M - Scan memory for all viruses
213.                       (see below for specifics)
214.               /MANY - Scan multiple floppies
215.                /NLZ - Skip internal scan of LZEXE compressed files
216.            /NOBREAK - Disable Ctrl-C / Ctrl-Brk during scanning
217.              /NOMEM - Skip memory checking
218.            /NOPAUSE - Disable screen pause when scanning
219.  /REPORT d:filename - Create report of infected files
220.                 /RV - Remove validation codes from specified files
221.  
222.            (d1: ... d10: indicate drives to be scanned)
223.  
224.      The /A option will cause SCAN to check all files on the
225. referenced drive.  This should only be used if a file-infecting
226. virus has already been detected.  Otherwise the /A option should
227. only be used when checking a new program.  The /A option will add
228. a substantial time to scanning.  This option takes priority over
229. the /E option.
230.     The /AV option allows the user to add validation codes to the
231. files being scanned.  If a full drive is specified, SCAN will
232. create validation data for the partition table, boot sector, and
233. system files of the disk as well.  Validation adds ten (10) bytes
234. to files; the validation data for the partition table, boot sector,
235. and system files is stored separately in a hidden file in the root
236. directory of the scanned drive.
237. VIRUSCAN Version 7.2V77                                Page 6
238.  
239.     The /CV option checks the validation codes inserted by the /AV
240. option.  If the file has been changed, SCAN will report that the
241. file has been modified, and that viral infection may have occurred.
242. Using the /CV option adds about 25% more time to scanning.
243.  
244. NOTE:  Some older Hewlett Packard and Zenith PC's modify the boot
245. sector or partition table each time the system is booted.  This
246. will cause SCAN to continually notify the user of boot sector or
247. partition table modifications if the /CV switch is selected.  Check
248. your system's manual to determine if your system contains
249. self-modifying boot code.
250.  
251.      The /D option tells VIRUSCAN to prompt the user to overwrite
252. and delete an infected file when one is found.  If the user selects
253. "Y" the infected file will be overwritten with hex code C3 [the
254. Return-to-DOS instruction] and then deleted.  A file erased by the
255. /D option can not be recovered.  If the McAfee Associates' CLEAN-
256. UP program is available, it is recommended that CLEAN be used to
257. remove the virus instead of SCAN, since in most cases it will
258. recover the infected file.  Boot sector and partition table
259. infectors can not be removed by the /D option and require the
260. CLEAN-UP virus disinfection program.
261.      The /E option allows the user to specify an extension or set
262. of extensions to scan.  Extensions should include the period
263. character "." and be separated by a space after the /E and between
264. each other.  Up to three extensions may be added with the /E.  For
265. more extensions, use the /A option.
266.      The /EXT option allows VIRUSCAN to search for viruses from a
267. text file containing user-created search strings.  The syntax for
268. using the external virus data file is /EXT d:filename, where d: is
269. the drive name and filename is the name of the external virus data
270. file.  For instructions on how to create an external virus data
271. file, refer to Appendix A.
272.  
273. NOTE:  The /EXT option is intended for advanced users and computer
274. anti-virus researchers to add their own strings for detection of
275. computer viruses on an interim or emergency basis.  When used with
276. the /D option, it will delete infected files.  This option is not
277. recommended for general use and should be used with caution.
278.  
279.      The /FR option tells VIRUSCAN to output all messages in French
280. instead of English.
281.      The /M option tells VIRUSCAN to check system memory for all
282. known computer viruses that can inhabit memory.  SCAN by default
283. only checks memory for critical and "stealth" viruses, which are
284. viruses which can cause catastrophic damage or spread the infection
285. during the scanning process.  SCAN will check memory for the
286. following viruses in any case:
287.  
288.      1554           1971          1253          2100
289.      3445-Stealth   4096          512           Anthrax
290.      Brain          Dark Avenger  Disk Killer   Doom-2
291.      EDV            Fish6         Form          Invader
292.      Joshi          Microbes      Mirror        Murphy
293.      Nomenclature   Phantom       Plastique     Polish-2
294.      P1R (Phoenix)  Taiwan-3      Whale         Zero-Hunt
295.  
296. VIRUSCAN Version 7.2V77                                Page 7
297.  
298.  
299. If one of these viruses is found in memory, SCAN will stop and
300. advise the user to power down, and reboot the system from a
301. virus-free system disk.  Using the /M option with another
302. anti-viral software package may result in false alarms if the other
303. package does not remove its virus search strings from memory.  The
304. /M option will add 6 to 20 seconds to the scanning time.
305.      The /MANY option is used to scan multiple diskettes placed in
306. a given drive.  If the user has more than one floppy disk to
307. check for viruses, the /MANY option will allows the user to check
308. them without having to run SCAN multiple times.  If a system has
309. been disinfected, the /MANY and /NOMEM options can be used to speed
310. up scanning of disks.
311.      The /NLZ option tells VIRUSCAN not to look inside files
312. compressed with the LZEXE file compression program.  SCAN will
313. still check the programs for external infections.
314.      The /NOBREAK option disables Control-C or Control-Break from
315. stopping VIRUSCAN while running. 
316.      The /NOMEM option is used to turn off all memory checking for
317. viruses.  It should only be used when a system is known to be free
318. of viruses.
319.      The /NOPAUSE option disables the "More..." prompt that appears
320. when SCAN fills up a screen with data.  This allows VIRUSCAN to run
321. on a machine with multiple infections without requiring operator
322. intervention when the screen fills up with messages from the SCAN
323. program.
324.      The /REPORT option is used to generate a listing of infected
325. files.  The resulting list is saved to disk as an ASCII text file.
326. To use the report option, specify /REPORT on the command line,
327. followed by the device and filename [See EXAMPLES below for
328. samples].
329.      The /RV option is used to remove validation codes from a file
330. or files.  It can be used to remove the validation code from a
331. diskette, subdirectory, or file(s).  Using /RV on a disk will
332. remove the partition table, boot sector, and system file
333. validation.  This option can not be used with the /AV option.
334. VIRUSCAN Version 7.2V77                                Page 8
335.  
336.  
337. EXAMPLES
338.  
339.         The following examples are shown as they would be typed in.
340.  
341.      SCAN C:
342.           To scan drive C:
343.  
344.      SCAN A:R-HOOPER.EXE
345.           To scan file "R-HOOPER.EXE" on drive A:
346.  
347.      SCAN A: /A
348.           To scan all files on drive A:
349.  
350.      SCAN B: /D /A
351.           To scan all files on drive B:, and prompt for erasure of
352.           infected files.
353.  
354.      SCAN C: D: E: /AV /NOMEM
355.           To add validation codes to files on drives C:, D:, and
356.           E:, and skip memory checking.
357.  
358.      SCAN C: D: /M /A /FR
359.           To scan memory for all known and extinct viruses, as well
360.           as all files on drives C: and D:, and output all messages
361.           in French.
362.  
363.      SCAN C: D: /E .WPM .COD
364.           To scan drives C: and D:, and include files with the
365.           extensions .WPM and .COD
366.  
367.      SCAN A: /CV
368.           To check for known and unknown viruses (via the
369.           validation codes) on drive A:
370.  
371.      SCAN C: /EXT A:SAMPLE.ASC
372.           To scan drive C: for known computer viruses and also for
373.           viruses added by the user via the external virus data
374.           file option.
375.  
376.      SCAN C: /M /REPORT A:INFECTN.RPT
377.           To scan for all viruses in memory and drive C:, and
378.           create a log on drive A: called INFECTN.RPT
379.  
380.      SCAN C: D: /NOPAUSE /REPORT B:VIRUS.RPT
381.           To scan drives C: and D: for viruses without stopping,
382. and
383.           create a log on drive B: called VIRUS.RPT
384. VIRUSCAN Version 7.2V77                                Page 9
385.  
386.  
387. EXIT CODES
388.  
389.      VIRUSCAN will set the DOS ERRORLEVEL upon program termination
390. to:
391.  
392.      ERRORLEVEL | DESCRIPTION
393.      -----------+--------------------------
394.          0      | No viruses found
395.          1      | One or more viruses found
396.          2      | Abnormal termination (program error)
397.  
398. If a user stops the scanning process, SCAN will set the ERRORLEVEL
399. to 0 or 1 depending on whether or not a virus was discovered prior
400. to termination of the SCAN.  The /NOBREAK option can be used to
401. prevent scanning from being stopped.
402.  
403.  
404. VIRUS REMOVAL
405.  
406.     What do you do if a virus is found?  You can contact McAfee
407. Associates Home Office for assistance with manually removing the
408. virus, for information on disinfection utilities, and for more
409. information about the virus.  There is no charge for this Home
410. Office support service.  The Home Office support line phone number
411. is 408 988 4181.  The CLEAN-UP universal virus disinfection program
412. is available and will disinfect the majority of reported computer
413. viruses.  It is updated frequently to remove new viruses.  The
414. CLEAN-UP program can be downloaded from McAfee Associates BBS.
415.      It is strongly recommended that you get experienced help in
416. dealing with viruses, especially critical viruses that can damage
417. or destroy data [for a listing of critical viruses, see the /M
418. option under OPTIONS, above] and partition table or boot sector
419. infecting viruses, as improper removal of these viruses could
420. result in the loss of all data and use of the disk(s).
421.     For experienced assistance in removing a virus, please refer
422. to the enclosed AGENTS.TXT file for a McAfee Associates Agent in
423. your geographic area.  Agents may charge for their services.
424.  
425.  
426. REGISTRATION
427.  
428.      A registration fee of $25.00US is required for the use of
429. VIRUSCAN by individual home users.  Registration is for one year
430. and entitles the holder to unlimited free upgrades off of McAfee
431. Associates BBS.  Diskettes are not mailed unless requested.  Add
432. $9.00US for diskette mailings.  Only one diskette mailing will be
433. made.
434.      Registration is for home users only and does not apply to
435. businesses, corporations, organizations, government agencies, or
436. schools, who must obtain a license for use.  Contact McAfee
437. Associates for more information.
438.      Outside of America, registration and support may be obtained
439. from the Agents listed in the accompanying AGENTS.TXT file.
440.  
441. TECH SUPPORT
442.  
443.      For fast and accurate help, please have the following
444. information
445. prepared when you contact McAfee Associates:
446.  
447.      -    Program name and version number.
448.  
449.      -    Type and brand of computer, hard disk, plus any
450.           peripherals.
451.  
452.      -    Version of DOS you are running, plus any TSRs or device
453.           drivers in use.
454.  
455.      -    Printouts of your AUTOEXEC.BAT and CONFIG.SYS files.
456.  
457.      -    The exact problem you are having.  Please be as specific
458.           as possible.  Having a printout of the screen and/or
459.           being at your computer will help also.
460.  
461. McAfee Associates can be contacted by BBS or fax twenty-four hours
462. a day, or call our business office at (408) 988-3832, Monday
463. through Friday, 8:30AM to 6:00PM Pacific Standard Time.
464.  
465.      McAfee Associates               (408) 988-3832 office
466.      4423 Cheeney Street             (408) 970-9727 fax
467.      Santa Clara, CA  95054-0253     (408) 988-4004 BBS 2400 bps
468.      U.S.A                           (408) 988-5138 BBS HST 9600
469.                                      (408) 988-5190 BBS v32 9600
470.  
471. If you are overseas, please refer to the AGENTS.TXT file for
472. a listing of McAfee Associates Agents for support or sales.
473. VIRUSCAN Version 7.2V77                                Page 11
474.  
475.  
476. APPENDIX A:  Creating a Virus String File with the /EXT Option
477.  
478.      The External Virus Data file should be created with an editor
479. or a word processor and saved as an ASCII text file.  Be sure each
480. line ends with a CR/LF pair.
481.  
482. NOTE:  The /EXT option is intended for emergency and research use
483. only.  It is an temporary method for identifying new viruses prior
484. to the subsequent release of SCAN.  A sound understanding of
485. viruses and string-search techniques is advised as a prerequisite
486. for using this option.
487.  
488.      The virus string file uses the following format:
489.  
490. #Comment about Virus_1
491. "aabbccddeeff..." Virus_1_Name
492. #Comment about Virus_2
493. "gghhiijjkkll..." Virus_2_Name
494.      .
495.      .
496. "uuvvwwxxyyzz..." Virus_n_Name
497.  
498.  
499. Where aa, bb, cc, etc. are the hexadecimal bytes that you wish to
500. scan for.  Each line in the file represents one virus.  The Virus
501. Name for each virus is mandatory, and may be up to 25 characters
502. in length.  The double quotes (") are required at the beginning and
503. end of each hexadecimal string.
504.      SCAN will use the string file to search memory, the Partition
505. Table, Boot Sector, System files, all .COM and .EXE files, and
506. Overlay files with the extension .BIN, .OV?, .PGM, .PIF, .PRG, .SYS
507. and .XTP.
508.  
509.      Virus strings may contain wild cards.  The two wildcard
510. options are:
511.  
512. FIXED POSITION WILDCARD
513.      The question mark "?" may be used to represent a wildcard in
514. a fixed position within the string.  For example, the string:
515.  
516.                "E9 7C 00 10 ? 37 CB"
517.  
518. would match "E9 7C 00 10 27 37 CB", "E9 7C 00 10 9C 37 CB", or any
519. other similar string, no matter what byte was in the fifth place.
520.  
521. RANGE WILDCARD
522.      The asterisk "*", followed by range number in parentheses "("
523. and ")" is used to represent a variable number of adjoining random
524. bytes.  For example, the string:
525.  
526.                "E9 7C *(4) 37 CB"
527.  
528. would match "E9 7C 00 37 CB", "E9 7C 00 11 37 CB", and
529. "E9 7C 00 11 22 37 CB".  The string "E9 7C 00 11 22 33 44 37 CB"
530. would not match since the distance between 7C and 37 is greater
531. than four bytes.  You may specify a range of up to 99 bytes.
532. VIRUSCAN Version 7.2V77                                Page 12
533.  
534.  
535. Up to 10 different wildcards of either kind may be used in one
536. virus string.
537.  
538. COMMENTS
539.      A pound sign "#" at the begining of a line will denote that
540. it is a comment.  Use this for adding notes to the external virus
541. data file.  For example:
542.  
543.                #New .COM virus found in file FRITZ.EXE from
544.                #Schneiderland on 01-22-91
545.                "53 48 45 45 50" Fritz-1 [F-1]
546.  
547. Could be used to store a description of the virus, name of the
548. original infected file, where and when it was received, and so
549. forth.
550.