home *** CD-ROM | disk | FTP | other *** search
/ Online Praxis 1998 March / Image.iso / CD-ROM / TOOLS / VIREN / VN95LAN.EXE / VNMACRO.TXT < prev    next >
Encoding:
Text File  |  1997-11-26  |  50.2 KB  |  1,317 lines
  1.                              VNMacro
  2.  
  3. VNMacro is a program for detection, recognition, identification
  4. and removal of macro viruses ONLY. It does NOT detect DOS or
  5. Windows viruses. For those you must use the scanner VirusNet.
  6.  
  7. VNMacro is a 16-bit Windows application. It has been tested
  8. successfully under Windows 3.1, Windows for Workgroups 3.11,
  9. Windows 95 and Windows NT (3.51 and 4.0). It does not work under
  10. DOS - but then, if you do not run Windows then you do not have to
  11. worry about macro viruses anyhow.
  12.  
  13. 1. Using VNMacro.
  14.  
  15. Once you have installed the required files you can launch the
  16. program running VNMACRO.EXE.  An icon shortcut can also be made
  17. to this program.
  18.  
  19. The program interface is very simple. The user clicks on the Scan
  20. button to start the scanning. This brings up a dialog box, where
  21. the user can select scanning options.
  22.  
  23. The following options are available:
  24.  
  25. Scan all drives     - Selects scanning of all drives (except
  26.                       floppy drives), all local drives, or all
  27.                       network drives. Optionally, the user can
  28.                       disable the scanning of CD-ROM drives when
  29.                       scanning all drives or all local drives.
  30. Don't scan CD-ROMs  - Enables and disables the scanning of CD-ROM
  31.                       drives. This option is available only if the
  32.                       scanning of all drives has been selected.
  33. Scan directory      - Selects the directory to be scanned.
  34. What to scan        - Selects whether or not to scan files with
  35.                       standard extensions for Word and Excel
  36.                       (*.DOC, *.DOT, *.XL? by default;
  37.                       configurable by the user by clicking on
  38.                       the "Word/Excel files" button), or whether
  39.                       to scan files with any extension.
  40. Scan Subdirectories - Whether or not to scan the subdirectories
  41.                       of the specified directory.
  42. If a virus is found - Specifies what action should be taken if a
  43.                       virus is found. The following options are
  44.                       available:
  45.                         - Report only. Just reports the virus.
  46.                         - Ask each time. Each time a virus is
  47.                           found, the user will be asked whether
  48.                           the file should be disinfected.
  49.                         - Disinfect automatically. The viruses
  50.                           found will be removed automatically.
  51. Remove all macros
  52. from the infected
  53. documents           - If this checkbox is checked, VNMacro will
  54.                       remove all macros from the infected
  55.                       documents when disinfecting them - not just
  56.                       the macros that belong to the virus. This
  57.                       is the MOST SECURE way of removing macro
  58.                       viruses - anythIng less means running the
  59.                       risk of creating a new virus variant during
  60.                       the disinfection. However, most users don't
  61.                       like the idea of having their own macros
  62.                       removed from the infected documents, so this
  63.                       option is turned off by default.
  64. If a new variant is
  65. found, remove all
  66. macros              - Normally, when VNMacro finds a new variant
  67.                       of a known virus, it refuses to disinfect
  68.                       and the user must send a sample to us, so
  69.                       that the virus can be analysed and a proper
  70.                       identification record for it can be added to
  71.                       MACRO.DEF. Checking this checkbox will force
  72.                       VNMacro to disinfect the virus. Since the
  73.                       program has no way of knowing which
  74.                       particular macros belong to the virus, the
  75.                       disinfection is performed by removing all
  76.                       macros from the document. This option should
  77.                       be used when the user is in a hurry and
  78.                       needs to resume their work before we can
  79.                       send a MACRO.DEF update.
  80. Report all scanned
  81. documents           - Normally the program will report only the
  82.                       files in which a virus is found. If this
  83.                       option is checked, all scanned files will
  84.                       be reported.
  85. Report file         - Check this option if you wish to save the
  86.                       report to a file, and use the next two
  87.                       fields to specify the name of the report
  88.                       file and whether the new report should
  89.                       overwrite an already existing file or be
  90.                       appended to it.
  91.  
  92. When the desired options have been selected, press the OK button
  93. to start the scan. The scanning can be stopped by pressing ESC or
  94. by clicking on the Stop button.
  95.  
  96. Clicking on the Virus List button will display a list of all
  97. macro viruses, Trojans, and other malicious macro programs
  98. detectable by VNMacro and its current virus definition database
  99. (MACRO.DEF). The dialog box will also display the date of the
  100. current virus definition database.
  101.  
  102. To exit the program click on the Exit button.
  103.  
  104. 2. Running the program unattended.
  105.  
  106. Many users have requested the capability of running the program
  107. unattended (i.e., without requiring any user input) and/or of
  108. scanning their files automatically when Windows is started. This
  109. is now possible.
  110.  
  111. In order to run VNMacro automatically when Windows is started,
  112. create an icon for it in the AutoStart group of the Program
  113. Manager (Windows 3.x) or a shortcut for it in the StartUp menu
  114. (Windows 95 and Windows NT 4.0). You have to use command-line
  115. options and arguments in order to tell the program what to do. To
  116. specify these under Windows 3.1, click on the program's icon, then
  117. press Alt-Enter and add the options and arguments after the name
  118. of the executable file. Under Windows 95, right-click on the
  119. shortcut to the program, select Properties/Shortcut/Target and add
  120. the options and arguments after the name of the executable file.
  121.  
  122. The program accepts the following options (must be separated by
  123. at least one space on the command line):
  124.  
  125. /ALLDRIVES      - Scan all drives (local and remote but not the
  126.                   floppy disk drives).
  127. /HARD           - Scan all local drives (except the floppy
  128.                   drives).
  129. /NET            - Scan all network drives.
  130. /NOCDROM        - Do not scan the CD-ROM drive(s) when using
  131.                   /ALLDRIVES or /HARD.
  132. /CDROM          - Scan the CD-ROM drive(s) when using /ALLDRIVES
  133.                   or /HARD.
  134. /DEFDIR         - Proceed with scanning the directory saved in
  135.                   VNMacro.INI.
  136. /DOC            - Scan only files with the default extensions for
  137.                   Word and Excel (*.DOC, *.DOT and *.XL? by
  138.              default; can be changed with the /EXT option).
  139. /EXT=           - Specify the extensions of the files which are to
  140.                   be scanned, separated by dots. The default is
  141.              /EXT=.DOC.DOT.XL?.
  142. /ALLFILES       - Scan all files, regardless of their extension.
  143. /SUB            - Scan the subdirectories of the specified
  144.                   directory.
  145. /NOSUB          - Do not scan the subdirectories of the specified
  146.                   directory.
  147. /SCAN           - When a virus is found, only report it - do not
  148.                   attempt disinfection.
  149. /DISINF         - Each time a virus is found, ask the user whether
  150.                   to disinfect it.
  151. /AUTO           - Disinfect automatically all infected documents
  152.                   without asking the user.
  153. /SAFEREMOVE     - When disinfecting, remove all macros from the
  154.                   infected documents - not just the macros
  155.                   belonging to the virus. This option is
  156.                   equivalent to checking the "Remove all macros
  157.                   from the infected documents" checkbox in the
  158.                   Scan dialog.
  159. /REMOVENEW      - If a new virus is found, disinfect it by
  160.                   removing all macros from the infected document.
  161.                   This option is equivalent to checking the "If a
  162.                   new variant is found, remove all macros"
  163.                   checkbox in the Scan dialog.
  164. /REMOVEALL      - This option forces the scanner to remove all
  165.                   macros from the documents it scans - regardless
  166.                   of whether any virus is detected in them or not.
  167.                   This is an EXTREMELY DANGEROUS option, since it
  168.                   can easily cause destruction of all user macros.
  169.                   This option SHOULD NOT be used during routine
  170.                   scans - and it has no equivalent from the menus.
  171.                   The option should be used only for repairing
  172.                   documents which contain heavily corrupted macros,
  173.                   so that they are not viral and even not detected
  174.                   as a "new variant". The option has no effect on
  175.                   Excel workbooks.
  176. /REPORT=        - Name of the report file. Must follow immediately
  177.                   after the '=' sign. Do NOT put any spaces
  178.                   between the '=' sign and the name of the report
  179.                   file! It is advisable to specify the full and
  180.                   absolute path of the report file - e.g.,
  181.                   /REPORT=D:\REPORT.TXT. If only a file
  182.                   name is specified (without a path - e.g.,
  183.                   /REPORT=VNMACRO.REP), the report file will be
  184.                   created in the same directory where the program
  185.                   VNMACRO.EXE resides.
  186. /APPEND         - If a report file with the name specified by the
  187.                   /REPORT= option already exists, append the new
  188.                   report to it.
  189. /OVERWRITE      - If a report file with the name specified by the
  190.                   /REPORT= option already exists, overwrite it
  191.                   with the new report.
  192. /LIST           - List all scanned files in the report - not just
  193.                   the infected ones.
  194. /NOLIST           List only the infected files in the report.
  195. /MINI           - Run the program minimized.
  196. /HIDDEN         - Run the program completely hidden.
  197. /DONTQUIT       - Normally, if the program is instructed to scan a
  198.                   specified directory (or if one of the /ALLDRIVES,
  199.                   /HARD, or /NET options is used) and if no
  200.                   infections have been found, VNMacro will
  201.                   automatically exit when the scanning is finished.
  202.                   The /DONTQUIT option prevents it from doing so.
  203.                   If the user does something stupid, like
  204.                   specifying both the /HIDDEN and the /DONTQUIT
  205.                   options, the program will "unhide" itself when
  206.                   it has finished scanning.
  207. /AUTOQUIT       - Specifying this option on the command line means
  208.                   that if a path has been specified for scanning,
  209.                   the program always quits after the scan has
  210.                   finished - even if viruses have been found.
  211. /NOBREAK        - Disable the ability of the user to stop the
  212.                   scanning in process.
  213. /NOHEUR         - Disable the macro heuristics during scanning.
  214. /ONLY           - Use only heuristics.
  215. @FILE           - FILE is the full path to an ASCII text file,
  216.                   which contains command-line options. These
  217.              options are listed one per line, with the '/'
  218.              sign at the first position of the line (i.e., no
  219.              leading blanks).
  220.  
  221. Besides the above options, the user can specify one command-line
  222. argument - the directory or the file to be scanned. This is not
  223. necessary if any of the options /ALLDRIVES, /HARD, /NET, or
  224. /DEFDIR are used. If a directory or a file is specified (or if one
  225. of these four options is used), VNMacro will immediately proceed
  226. with scanning the specified file, directory or drives. If, after
  227. the scanning is finished, any infections are found, VNMacro will
  228. stop and display the results. If the program has been run in
  229. minimized or hidden mode, it will restore its main window, so that
  230. the results are clearly visible. If no infections are found, the
  231. program will exit - unless the /DONTQUIT option has been
  232. specified.
  233.  
  234. If only a drive letter is specified, the entire drive will be
  235. scanned. To instruct the program to scan only the current
  236. directory of a drive, append a dot after the drive specification
  237. (e.g., "D:."). The directory (or file name) and the options can be
  238. listed in any order. If the name of the specified directory (or
  239. file) contains spaces (e.g., in Windows 95), it has to be
  240. surrounded by double quotes (e.g. "C:\My Documents\My Speech.doc").
  241. It is advisable to specify the full absolute path of the directory
  242. or file to be scanned - i.e., D:\SOME\NAME and not just NAME. If a
  243. relative path is used, VNMacro assumes that it is relative from
  244. the directory where VNMacro resides - which usually isn't what
  245. the user means.
  246.  
  247. 3. Known problems.
  248.  
  249. - VNMacro causes a GPF when scanning some documents. This is not
  250.   our problem. The documents are corrupted and Word (or any other
  251.   OLE2-enabled application) will crash when opening them too. The
  252.   bugs are in Microsoft's libraries STORAGE.DLL, OLE2.DLL (or
  253.   OLE32.DLL) and COMPOBJ.DLL. A future version of VNMacro will
  254.   avoid using these DLLs.  This problem occurs only under Windows
  255.   3.x and Windows 95 - Microsoft seem have fixed the Windows NT
  256.   versions of these DLLs.
  257.  
  258. - A "Sharing violation" occurs when scanning some files - usually
  259.   NORMAL.DOT. This happens if the documents are kept open by some
  260.   other program - usually Word. Therefore, you should exit Word
  261.   before scanning your disk with VNMacro. Some other products do
  262.   not produce such an error message even if Word is running.
  263.   However, some of them simply do not scan the file and do not
  264.   tell the user that an error has occurred and, therefore, the
  265.   file has not been scanned. Even those that actually scan the
  266.   file are insecure - the image of the file on the disk might be
  267.   virus-free, yet its image in memory (in Word's memory) might be
  268.   already infected and the scanner will not be able to detect this
  269.   - because it scans only the image of that file on the disk; not
  270.   in memory. Even if the image on the disk is clean, if the
  271.   memory image is infected, the virus will be saved on the disk
  272.   when Word exits. Therefore, you should always exit Word before
  273.   scanning for macro viruses.
  274.  
  275. - If a macro virus exists in both WordMacro and Word97Macro form,
  276.   it is listed twice in the virus list. The Word97Macro form is
  277.   preceded by "W97M/" (or "X97M/" in the case of Excel97).
  278.   Detection is implemented only for those W97M "upconversions" of
  279.   the WM viruses which are known to exist. We have decided not to
  280.   create such upconversions ourselves - because it would mean
  281.   creating new viruses and we don't do such things as a matter of
  282.   principle. Furthermore, it is not completely clear how the
  283.   upconversion process works and the upconversions created by us
  284.   are not guaranteed to be the same as the ones which would occur
  285.   naturally. So, even if we ignore our ethical beliefs that
  286.   anti-virus people should not create viruses, we are still not
  287.   guaranteed to be able to detect the upconversions if they occur
  288.   naturally. Therefore, we have decided to wait until an
  289.   upconverted W97M virus is sent to us before we implement
  290.   detection of it.
  291.  
  292. - VNMacro scans only OLE2 files. As a consequence, it will not
  293.   detect WordMacro viruses or Trojans in Word 2.0 documents. The
  294.   format of these documents is different than the format of the
  295.   documents produced by Word 6.0 and above, especially concerning
  296.   the macro structures. Microsoft still has not provided us with
  297.   information about these differences. If you don't like that
  298.   VNMacro cannot scan for Word 2.0 viruses - complain to
  299.   Microsoft. Word 2.0 viruses like Polite can migrate to Word 6.x
  300.   documents, however. Once this happens, VNMacro will be able to
  301.   detect the virus. The opposite is not true - viruses written for
  302.   Word 6.0 and above cannot migrate naturally to Word 2.0.
  303.  
  304. - VNMacro does not scan embedded documents - it scans only the
  305.   main document; the one containing the embedded documents.
  306.   However, the embedded documents can be infected. Some scanners
  307.   scan embedded documents too, so they might report a file as
  308.   infected when VNMacro insists that it is clean. The infected
  309.   embedded documents are usually unable to release the virus
  310.   contained in them, but we are working on implementing support
  311.   for such documents in the scanner.
  312.  
  313. - VNMacro can scan encrypted Word97 documents and Excel97
  314.   workbooks but cannot disinfect them.
  315.  
  316. - The user interface of VNMacro is still rather rough and
  317.   simplistic. It cannot be told to scan more than one
  318.   subdirectory tree at a time, its window cannot be resized
  319.   horizontally, the on-line help has not been implemented yet and
  320.   so on. All this will be gradually fixed in the future versions.
  321.  
  322. 4. To-do list.
  323.  
  324. - Implement the cability of handling viruses in embedded
  325.   documents.
  326.  
  327. - Implement the capability of using scan strings for detection of
  328.   new variants of the known viruses.
  329.  
  330. - Improve the disinfection of VBA5 viruses, so that only the
  331.   viral modules are removed.
  332.  
  333. - Implement smart checksums for detection of truly polymorphic
  334.   macro viruses.
  335.  
  336. - Implement custom OLE2 handling routines (instead of using the
  337.   buggy DLLs in Windows), so that Windows doesn't crash when the
  338.   program is scanning corrupted documents.
  339.  
  340. - Improve the handling of CAP-like viruses.
  341.  
  342. - Implement the capability of handling Word 2.0 documents.
  343.  
  344. - Implement the ability of the program to scan multiple paths.
  345.  
  346. - Implement the capability of using a second, "update", database
  347.   which is in text form that can be sent by e-mail or fax.
  348.  
  349. - Create a 32-bit Windows 95-specific version of the program (in
  350.   addition to the 16-bit Windows 3.x version).
  351.  
  352. - Implement a script language for controlling the behaviour of
  353.   the program - what to scan, how to disinfect, etc.
  354.  
  355. - Improve the user interface - more options, horizontal window
  356.   resizing, context-sensitive help, etc.
  357.  
  358. - Implement some kind of self-checking.
  359.  
  360. 5. Version history.
  361.  
  362. Version 1.06:
  363.  
  364. - Implemented handling of VBA3 (Excel 5/7) macro viruses from the
  365.   virus definitions database (MACRO.DEF) and exact identification
  366.   and removal of them.
  367.  
  368. - Implemented heurstics. Now VNMacro should detect approximately
  369.   93% of all new WordMacro viruses, while causing virtually no
  370.   false positives. However, some documents containing non-viral
  371.   macro malware (e.g., Trojans or Intended viruses) might be
  372.   reported by the heuristics as containing a virus. If
  373.   the heuristics trigger on a document containing macros, it will
  374.   be reported as "Possibly infected with an unknown virus".
  375.   VNMacro will be able even to disinfect it, if the "If a new
  376.   variant is found, remove all macros" checkbox of the Scan
  377.   dialog is checked.
  378.  
  379. - Implemented the capability of scanning inside encrypted Word
  380.   6/7 documents and Excel 5/7 workbooks and disinfecting them. 
  381.   The password is NOT removed during disinfection, because there
  382.   is no reliable way of knowing whether the document has been
  383.   encrypted by the user or by a virus.
  384.  
  385. - Implemented the capability to define which file extensions
  386.   should be scanned when "Scan only the Word and Excel documents"
  387.   option is selected.
  388.  
  389. - Made the window of the program vertically resizable. Making it
  390.   horizontally resizable is more difficult and will be
  391.   implemented in some future version of the program.
  392.  
  393. - VNMacro now remembers the postition and the size of its window
  394.   from the last time it has been run.
  395.  
  396. - The on-screen report window of VNMacro now can handle more than
  397.   8,000 reports before beginning to scroll up. Before this window
  398.   could handle only about 800 reports.
  399.  
  400. - Implemented drag-n-drop capabilities. Now the user can drag the
  401.   icon of a folder or a file from the Program Manager (or Explorer
  402.   in Windows 95) and drop it onto VNMacro's window. This will
  403.   cause VNMacro to scan the directory in question.
  404.  
  405. - Implemented the /NOBREAK, /ONLY and /NOHEUR options.
  406.  
  407. - Implemented the capability to specify the options in a custom
  408.   configuration file (e.g., @FILE). Since VNMacro remembers its
  409.   last configuration settings every time it is run, some system
  410.   administrators wanted to be able to specify the configuration
  411.   settings in a way which guarantees that they are not changed
  412.   every time the users run the scanner on their own - and listing
  413.   all the necessary options on the command line was
  414.   unsatisfactory.
  415.  
  416. - When a WordMacro virus is found in a document which is not a
  417.   Template, it is now reported as "(Inactive)" instead of as
  418.   "(Exact)" as it was before. Such a document is not infectious
  419.   and the macros in it cannot be seen with Tools/Macro, so it
  420.   makes sense to report such documents in a different way.
  421.   However, such documents are still dangerous - if they are
  422.   saved as Templates or become infected by another macro virus,
  423.   the viral macros in them will suddenly activate (and may cause
  424.   damage). Therefore, it is better to locate and disinfect such
  425.   documents - regardless that they are not immediately infectious.
  426.  
  427. - When VNMacro was instructed to scan a CD-ROM drive but there
  428.   was no CD-ROM in the drive, a critical error would occur.
  429.   Fixed.
  430.  
  431. - The following viruses were renamed in order to make the program
  432.   fully conformant with the CARO virus naming scheme:
  433.  
  434.         Balrog.A:Sp     ->      Balrog.A:Es
  435.         Chaos.A         ->      Temple.F
  436.         Chaos.B         ->      Temple.G
  437.         Emperor.A:Tw    ->      Trap.A:Tw
  438.         Emperor.B:Tw    ->      Trap.B:Tw
  439.         Emperor.C:Tw    ->      Trap.C:Tw
  440.         Emperor.D:Tw    ->      Trap.D:Tw
  441.         DMV.D           ->      Helper.I
  442.         DMV.H           ->      DMV.D
  443.         Veneno.A:Sp     ->      Veneno.A:Es
  444.  
  445. - Added detection, recognition, identification and removal of the
  446.   following 393 new WordMacro viruses, Trojans and other macro
  447.   malware:
  448.  
  449.         Alex (A:Tw, B:Tw, C:Tw, D:Tw and E:Tw)
  450.         Alliance (C, D and E)
  451.         Alien (G and H)
  452.         Ammy.A:Tw
  453.         Anak (B and C)
  454.         Angus.A
  455.         Appder (J, K, L, M, N and O)
  456.         Archer (A and B)
  457.         Bandung (AX, AY, AZ, BA and BC)
  458.         CAP (X, Y, Z, AA, AB, AC, AD, AE, AF, AG, AH, AI, AJ, AK,
  459.              AL, AM, AN, AO, AP, AQ, AR, AS, AT, AU, AV, AW, AX,
  460.              AY, AZ, BA, BB, BC, BD, BE, BF, BG, BH, BI, BJ, BK,
  461.              BL and BM)
  462.         Cheat (A and B)
  463.         Clock (J:De, K:De and L:De)
  464.         Colors (BO, BP, BQ, BR, BS, BT, BU, BV and BW)
  465.         Concept (BB1, BE, BF, BG, BH, BI, BJ, BK, BK1, BL, BM, BN,
  466.                  BM, BO, BP, BQ, BR, BR1 and BS)
  467.         CountTen.E
  468.         Crema.A
  469.         Dark.E
  470.         Date (C and D)
  471.         Divina (I and J)
  472.         DMV (G and H)
  473.         Dracula.B
  474.         Dzt (G and H)
  475.         Easy.B
  476.         EMT.A
  477.         ENFK.Kit
  478.         Eraser.S:Tw
  479.         FormatS.A
  480.         Four.A
  481.         Friday (D:De, E:De and F:De)
  482.         Friendly.B:De
  483.         Gas (A and B)
  484.         Gnomo.A
  485.         Goodnight (C, D, E, F, G, H and I)
  486.         Header.A
  487.         Hitman.A
  488.         Horn.A
  489.         Hou.A:Tw
  490.         Hybrid (I, J, K, L and M)
  491.         Incarnate.A1
  492.         India.A
  493.         Inexist.A:Fr
  494.         Irish (R, S and T)
  495.         Jerm.A
  496.         Johnny (O, O1 and P)
  497.         KillDOS.A:Tw
  498.         KillLuf (A and B)
  499.         KillProt.B
  500.         Kompu.G
  501.         Lamah.A:Br
  502.         Lord.A
  503.         Lox.B
  504.         Lucy.B
  505.         Lunar (A and A.Drp)
  506.         Lunch (F and G)
  507.         Macaroni.B:De
  508.         Malice.A
  509.         MDMA (X, Y, Z, AA, AB, AC and AD)
  510.         Mess.A
  511.         MG (A and B)
  512.         Minimal (Q, R, S, T, U and V)
  513.         Muck (I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W, X, Z,
  514.               AA, AB, AC, AD, AE, AF, AG and AH)
  515.         NiceDay.N
  516.         Niknat.A
  517.         NJ-WMDLK1.M
  518.         NJ-WMVCK2.C
  519.         NOP (M:De, N, O:De and P:De)
  520.         Nottice.A
  521.         No_va.A
  522.         Npad (CM, CN, CO, CP, CQ, CR, CS, CT, CU, CV, CW, CX, CY,
  523.               CZ, DA, DB, DC, DD, DE, DF, DG, DH, DI, DJ, DK, DL,
  524.               DM, DN, DO, DP, DQ, DR, DS, DT, DU, DV, DW, DX, DY,
  525.               DZ, EA, EB, EC, ED, EE, EF, EG, EH, EI, EJ and EK)
  526.         Nuclear (O, P, Q, R, S, T and U)
  527.         Obay.A
  528.         Oblom (A, B, C, D and E)
  529.         OldPad (A and B)
  530.         PayCheck (E, F, G and H)
  531.         Plushad.A
  532.         Pwd.A
  533.         Ramses.A:It
  534.         Rapi (AL2, AM, AM1, AN2, AO, AO1 and AO2)
  535.         Razer.A
  536.         Saver.B
  537.         Schumann (B, C:De and D:De)
  538.         Screw.A
  539.         Setmd.B:Tw
  540.         Shadow.A
  541.         ShowOff (BV, BW, BX, BY, BZ, CA, CB, CC, CD, CE, CF, CG,
  542.                  CH, CI, CJ and CK)
  543.         Silly.A
  544.         Spooky (B:De, C:De, D:De and E:De)
  545.         Spy.A
  546.         Superstitious.A
  547.         Surabaya.B
  548.         Switcher (C, D, E, F, G, H and I)
  549.         Swlabs.G
  550.         Tamago.A
  551.         Tear.B
  552.         Temple (C, D, E, H and I)
  553.         Toten.B:De
  554.         Trash.A
  555.         Twno (AA:Tw, AB:Tw and AD:Tw)
  556.         TwoLines (R, S and S1)
  557.         Uka.A
  558.         Vampire (G:Tw, H:Tw and I:Tw)
  559.         Veneno.B:Es
  560.         VHDL.A:Tw
  561.         Vicinity.C:De
  562.         Vicis.A.Drp
  563.         Viva.A
  564.         Vivat (A and A.Drp)
  565.         Want.A:Tw
  566.         Wazzu (CK, CL, CM, CN, CO, CP, CQ, CR, CS, CT, CU, CV,
  567.                CW, CX, CY, CZ, DA, DB, DC, DD, DE, DF, DH, DI and
  568.                DJ)
  569.         Wiederoeffnen.A
  570.         Yaka.A
  571.  
  572. - Added detection, recognition, identification and removal of the
  573.   following 26 new Word97 macro viruses, Trojans and other macro
  574.   malware:
  575.  
  576.         W97M/Appder.I
  577.         W97M/Box.D
  578.         W97M/Chance.A
  579.         W97M/Concept.BB
  580.         W97M/Eraser (Q and R)
  581.         W97M/Imposter.A
  582.         W97M/Kompu (E and H)
  583.         W97M/MadDog.A
  584.         W97M/MDMA.D
  585.         W97M/Muck.Y
  586.         W97M/RatsAss.A
  587.         W97M/Slot.A
  588.         W97M/Swlabs (B and E)
  589.         W97M/Tamago.A
  590.         W97M/Temple.A
  591.         W97M/Twno.A
  592.         W97M/Vampire.J
  593.         W97M/Wazzu (D, AE, BA, BJ, CW and DH)
  594.  
  595. - Added detection, recognition, identification and removal of the
  596.   following 44 new Excel 5/7 macro viruses, Trojans and other
  597.   macro malware:
  598.  
  599.         XM/Delta (A, B and C)
  600.         XM/DMV (A and B)
  601.         XM/Don.A
  602.         XM/Emperor (A and B)
  603.         XM/Format.A
  604.         XM/Hit (A, B, C and D)
  605.         XM/Laroux (A, B, C, D, E, F, G, H, I, J, K, M, N, O, P,
  606.                    Q, R, S, T, V and AD)
  607.         XM/Legend.A
  608.         XM/LMV (A, B, C and D)
  609.         XM/Robocop.A
  610.         XM/Sofa.A
  611.         XM/Team.A
  612.         XM/Tjoro.A
  613.         XM/Yohimbe.A
  614.  
  615. - Added detection, recognition and identification and removal of
  616.   the following 6 new Excel 97 macro viruses:
  617.  
  618.         X97M/Import.A
  619.         X97M/Laroux (D, E, L, U and X)
  620.  
  621. Version 1.05:
  622.  
  623. - Implemented partial Long File Name support when the program is
  624.   run under Windows 95 or Windows NT. The fact that the program's
  625.   window is not resizable (yet) does not allow us to display the
  626.   long file names on the screen. However, now they are used in the
  627.   report file.
  628.  
  629. - Improved the speed of scanning Office 97 documents more than
  630.   three times, due to better understanding of the structure of
  631.   the Office 97 documents. Also, reduced the memory requirements
  632.   of the program a bit.
  633.  
  634. - Improved the reporting of macro viruses to conform better to
  635.   the CARO virus naming scheme and have the form
  636.   <platform>/<family>.<variant>.  The short form (e.g., "W97M")
  637.   of the platform is used for the reports on the screen, while
  638.   the long form (e.g., "Word97Macro") of it is used in the report
  639.   file.
  640.  
  641. - Introduced some new types of macro malware (e.g., "Dropper",
  642.   "Kit", etc.). They used to be reported generically as "Trojan",
  643.   with a suffix added to the name to indicate the type. They are
  644.   reported properly now.
  645.  
  646. - All the text strings used by the program are now grouped as a
  647.   resource. This will make multi-language support easier.
  648.  
  649. - A silly bug prevented us from extending the database above
  650.   certain size. Fixed. Unfortunately, the new database is no
  651.   longer compatible with the old versions of VNMacro.
  652.  
  653. - Made the program complain if it is used with a MACRO.DEF file
  654.   which is too much out-of-date.
  655.  
  656. - Under Windows 95, if "Large Fonts" were used in the Display
  657.   Properties, the text on VNMacro's buttons didn't fit on some
  658.   of the buttons. Fixed.
  659.  
  660. - When the name of the file currently being scanned (displayed
  661.   just beneath the buttons) contained the "&" character, that
  662.   character was not displayed - instead, the next character of
  663.   the file name was displayed underlined. Fixed.
  664.  
  665. - When used with the options /HARD or /ALLDRIVES and there were
  666.   SUBSTed drives, VNMacro would scan some directories twice -
  667.   once when scanning the main drive and once when scanning the
  668.   logical drive SUBSTed to these directories. This is fixed now -
  669.   under Windows 3.x and Windows 95 SUBSTed drives are not scanned
  670.   when the /HARD or /ALLDRIVES options are used. The SUBSTed
  671.   drives are still scanned under Windows NT, because we couldn't
  672.   figure out how to determine that a logical drive is SUBSTed on
  673.   this platform. If you know how - please tell us.
  674.  
  675. - Many people found annoying that VNMacro asks for confirmation
  676.   when the user attempts to close it, so we removed the request
  677.   for confimation completely. Respectively, the /ALWAYSQUIT
  678.   command-line option was removed too, as no longer necessary.
  679.  
  680. - When an invalid path is specified as a directory to scan or as
  681.   a report file in the Scan dialog, the focus is now correctly
  682.   put on the path causing the problem.
  683.  
  684. - The stream named ThisDocument (present in Word97 documents) was
  685.   not inspected for malicious code - because we didn't know that
  686.   it could contain any code. We know better now, and now VNMacro
  687.   scans this stream too.
  688.  
  689. - Plugged a silly memory leak when scanning Word97 documents -
  690.   after scanning about 4,000 of them, the program would begin
  691.   reporting "General OLE2 error" on each subsequent document.
  692.   Fixed.
  693.  
  694. - Changed the accelerator keys on the buttons to conform better
  695.   to the de facto standard for Windows applications. Now they are
  696.   Enter or Alt-S for Scan, Alt-L for Virus List and Alt-X or
  697.   Alt-F4 for Exit.
  698.  
  699. - Made more clear the messages which inform the user that the
  700.   database is no longer compatible with the scanner.
  701.  
  702. - Fixed some spelling mistakes in the documentation.
  703.  
  704. - The following viruses were renamed in order to make the program
  705.   fully conformant with the CARO virus naming scheme:
  706.  
  707.         Beeper.A        ->      NJ-WMDCK1.K
  708.         Beeper.B        ->      NJ-WMDCK1.L
  709.         DMV.F           ->      MDMA.R
  710.         Eraser.Q:Tw     ->      Ant.B:Tw
  711.  
  712. - Added detection, recognition, identification and removal of the
  713.   following 234 new WordMacro viruses, Trojans and other macro
  714.   malware:
  715.  
  716.         Alien.F
  717.         Alliance.B
  718.         Anarchy.6093
  719.         Angel.A
  720.         Ant (C:Tw and D:Tw)
  721.         Appder (F, G, H and I)
  722.         Balrog.A
  723.         Bandung (AJ, AK, AL, AM, AN, AO, AP, AQ, AR, AS, AT, AU,
  724.                  AV and AW)
  725.         Barbaro.A:It
  726.         Box.C:Tw
  727.         Black.A
  728.         CAP (N, O, P, Q, R, S, T, U, V and W)
  729.         Chaos.B
  730.         Childish.A
  731.         Clock.I:De
  732.         Colors (U, BA, BB, BC, BD, BE, BF, BG, BH, BI, BJ, BK,
  733.                 BL, BM and BN)
  734.         Concept (AS, AT, AU, AV, AW, AX, AY, AZ, BA, BB, BC and
  735.                  BD)
  736.         CountTen.A1
  737.         CVCK1.I
  738.         Divina (G and H)
  739.         DMV.F
  740.         Dracula.A
  741.         Dzt (E and F)
  742.         Emperor.D:Tw
  743.         Goldfish.C
  744.         GoldSecret (A and B)
  745.         Helper (F, G and H)
  746.         Hybrid (D, E, F, G and H)
  747.         Illiterate.A
  748.         Imposter (D and E)
  749.         Incarnate.A
  750.         Irish (N, O, P and Q)
  751.         Johnny (B1, C1, M, M1, N and N1)
  752.         Killok.C
  753.         Kompu (D, E and F)
  754.         Lox.A
  755.         Lucifer.A
  756.         Lunch (D and E)
  757.         Malaria.A:Tw
  758.         MDMA (S, T, U, V and W)
  759.         Monday.A:Tw
  760.         Muck (F, G and H)
  761.         NiceDay (G, H, I, J, K, L and M)
  762.         NJ-WMDLK1.J
  763.         NOP.L:De
  764.         Npad (BM, BN, BO, BP, BQ, BR, BS, BT, BU, BV, BW, BX, BY,
  765.               BZ, CA, CB, CC, CD, CE, CF, CG, CH, CI, CJ, CK and
  766.               CL)
  767.         Nuclear.N
  768.         Nuker.A
  769.         Panjang.A
  770.         PayCheck.D
  771.         Pesan.B
  772.         Pig.F:Tw
  773.         Rapi (M1 and AJ2)
  774.         Rats.D
  775.         Red.A:De
  776.         Rehenes.A
  777.         Schumann.A
  778.         ShowOff (AY, AZ, BA, BB, BC, BD, BE, BF, BG, BH, BI, BJ,
  779.                  BK, BL, BM, BN, BO, BP, BQ, BR, BS, BT and BU)
  780.         Since.A
  781.         Smiley.C:De
  782.         Socks.A
  783.         Switcher.B
  784.         Swlabs (C, D, E and F)
  785.         Temple.B
  786.         Twno (Y:Tw and Z:Tw)
  787.         TwoLines (J, J1, K, K1, L, L1, M, M1, N1, O, O1, P, P1,
  788.                   Q and Q1)
  789.         Underground.A
  790.         Vampire (A:Tw, B:Tw, C:Tw, D:Tw, D1:Tw, E:Tw and F:Tw)
  791.         Veneno.A:Sp
  792.         Vicinity (A:De and B:De)
  793.         Volcano.A
  794.         Wazzu (CD, CE, CF, CG, CH, CI and CJ)
  795.         Zmb.A:De
  796.  
  797. - Added detection, recognition, identification and removal of the
  798.   following 17 new Word97 macro viruses, Trojans and other macro
  799.   malware:
  800.  
  801.         W97M/AntiConcept.A1
  802.         W97M/Bismark.E
  803.         W97M/Calendar.A
  804.         W97M/Cmd.A
  805.         W97M/DWMVCK1 (Kit, A and B)
  806.         W97M/Gable.A
  807.         W97M/Kompu.B
  808.         W97M/Minimal.D
  809.         W97M/Rapi (F2 and AK2)
  810.         W97M/Rehenes.A
  811.         W97M/Setmd.A
  812.         W97M/Sparkle.A
  813.         W97M/Talon.K
  814.         W97M/Wazzu.AM
  815.  
  816. - Added detection, recognition and identification (no removal) of
  817.   the following 1 new Excel 97 macro virus:
  818.  
  819.         X97M/Yohimbe.B
  820.  
  821. Version 1.04:
  822.  
  823. - Added Office97 support - now VNMacro can detect, recognize,
  824.   identify and disinfect Word97Macro and Excel97Macro viruses.
  825.   Unfortunately, this is done by removing all VBA5 modules (not
  826.   just those belonging to the virus), user menus, buttons,
  827.   toolbars, key shortcuts and so on from the infected document.
  828.   The reason for this is because so far Microsoft has failed to
  829.   provide us the information necessary for proper removal of only
  830.   thodr elements from the above list which belong to the virus.
  831.   VNMacro warns the user that all such elements will be deleted.
  832.   If you don't like the fact that they are deleted - complain to
  833.   Microsoft. As a matter of fact, none of the other anti-virus
  834.   products we tried was able to handle the situation properly -
  835.   although the least bad solution we saw only disables the user
  836.   VBA5 modules when disinfecting - so that they are still visible
  837.   to the VBA Editor but are not accessible via the
  838.   Tools/Macro/Macros dialog, but at least aren't lost completely.
  839.  
  840. - The file MACRO.DEF can be updated even if VNMacro is running,
  841.   provided that VNMacro isn't currently in the process of
  842.   scanning anything but is staying idle. This way the database of
  843.   virus definitions can be updated from a server across all
  844.   workstations even if the users on those workstations have not
  845.   terminated VNMacro. The next time a scan is requested,
  846.   VNMacro will detect that its database has changed and will use
  847.   the new database.
  848.  
  849. - VNMacro is now distributed with a default VNMacro.INI file.
  850.   The file is copied to the user's WINDOWS directory only if it
  851.   doesn't already exist there.
  852.  
  853. - The installation program now does not refuse to install the
  854.   components of VNMacro if files with these names already exist.
  855.   Now it simply updates those of them which are older than the
  856.   files with the same names carried in SETUPFM.EXE.
  857.  
  858. - Added some accellerator keys to speed up the control of
  859.   VNMacro from the keyboard. From VNMacro's main window,
  860.   pressing Enter will bring up the Scan dialog (and, as before,
  861.   pressing Enter from there will start the scanning with the
  862.   default parameters - so, once VNMacro is launched, pressing
  863.   Enter twice is a quick way to start the scanning).  Pressing
  864.   Ctrl-S will have the same effect - it will bring up the Scan
  865.   dialog. Ctrl-L brings up the virus list; Ctrl-X (and the usual
  866.   Alt-F4) exits the program.
  867.  
  868. - VNMacro wouldn't process its command-line arguments until at
  869.   least one option (e.g., /SCAN) was given. Fixed.
  870.  
  871. - When the installation program finished installing VNMacro, it
  872.   launched it in "scan all files" mode to check the user's disk
  873.   for viruses. Changed to scan only files with DOC, DOT and XL?
  874.   extensions.
  875.  
  876. - When producing a report file, VNMacro would put a zero byte
  877.   just before the date. Fixed.
  878.  
  879. - VNMacro's window does not appear to be resizable any more when
  880.   the mouse cursor is moved over its borders. We will make it
  881.   resizable in the future, but there is no reason for it to appear
  882.   resizable when it is not.
  883.  
  884. - Added detection, recognition, identification and removal of the
  885.   following 575 new macro viruses, Trojans and other macro
  886.   malware:
  887.  
  888.         Alien (C, D and E)
  889.         Anak.A
  890.         Andry.A
  891.         Ant (A:Tw and B:Tw)
  892.         AntiConcept.A1
  893.         Appder (B, C, D and E)
  894.         Armadillo.A
  895.         Atom (I and J)
  896.         Attack.A
  897.         Baby.A
  898.         Bandung (M, N, O, P, Q, R, S, T, U, V, W, X, Y, Z, AA,
  899.                  AB, AC, AD, AE, AF, AG, AH and AI)
  900.         Beeper (A and B)
  901.         Bertik.A
  902.         CAP (D, E, F, G, H, I, J, K, L and M)
  903.         Cebu (A and B)
  904.         CeeFour.B
  905.         Chaka.A
  906.         Chandigarh.A
  907.         Clock (F:De, G:De and H:De)
  908.         Colors (N, O, P, Q, R, S, T, U, V, W, X, Y, Z, AA, AB,
  909.                 AC, AD, AE, AF, AG, AH, AI, AJ, AK, AL, AM, AN,
  910.                 AO, AP, AQ, AR, AS, AT, AT1, AU, AV, AW, AX, AY,
  911.                 AZ and BA)
  912.         Concept (AB, AC, AD, AE, AF, AG, AH, AI:Jp, AJ, AK, AL,
  913.                  AM, AN, AO, AP, AQ and AR)
  914.         CountTen (C and D)
  915.         Cult.A
  916.         CVCK1 (Kit, A, B, C, D, E, F, G, H)
  917.         Czech.A
  918.         Dakota.A
  919.         Dance.A
  920.         Dark (B, C and D)
  921.         Date.B
  922.         Dave.A
  923.         Dedicato.A:It
  924.         Defender.A
  925.         Demon.A
  926.         Dishonor.A:De
  927.         Divina (D, E and F)
  928.         DMV (D, E and F)
  929.         Doggie (C, D and E)
  930.         Drugs.A:De
  931.         Dub.A
  932.         Dzt (B, C and D)
  933.         Emperor (A:Tw and B:Tw)
  934.         Envader.A
  935.         Epidemic (B:Tw and C:Tw)
  936.         Eraser (A:Tw, A1:Tw, B:Tw, C:Tw, D:Tw, E:Tw, F:Tw, F1:Tw,
  937.                 G:Tw, H:Tw, I:Tw, J:Tw, K:Tw, L:Tw, M:Tw, N:Tw,
  938.                 N1:Tw, O:Tw and P:Tw)
  939.         Fire.A:De
  940.         Friday (B:De and C:De)
  941.         Fuzzy.A
  942.         Goggles.A
  943.         Glodfish.B
  944.         Goodnight (A and B)
  945.         Haggis.A
  946.         Hark.A
  947.         Helper (B, C, D and E)
  948.         Hiac.A
  949.         Hider.A
  950.         Hilight.A
  951.         Hunter (A:De and B:De)
  952.         Hybrid.C
  953.         Hyper (A and A1)
  954.         Imposter.C
  955.         InsideOut.A
  956.         Irish (D, E, F, G, H, I, J, K, L, M, N and O)
  957.         Jaja.A
  958.         Johnny (C, D, E, E1, F, F1, G, H, I, I1, J, J1, K, K1, L
  959.                 and L1)
  960.         Junkies.A.Drp
  961.         Killok (A and B)
  962.         Kompu.C
  963.         Lazy.A
  964.         Lemon (A and B)
  965.         Look.D:Tw
  966.         Lunch.C
  967.         Macaroni.A:De
  968.         Mark (A:Tw and B:Tw)
  969.         MDMA (H, I, J, K, L, M, N, O, P and Q)
  970.         Mercy (A and B)
  971.         Messenger.A:De
  972.         Mind (A and A1)
  973.         Minimal (D, E, F, G, H, I, J, K, L, M, N, O and P)
  974.         Mota.A
  975.         Mtf.A
  976.         Muck (A, B, C, D and E)
  977.         MVDK (1.Kit and 2.Kit)
  978.         NiceDay (C, D, E, F, G and H)
  979.         NJ-WMDLK1 (A.Kit, B.Kit, C.Kit, D.Kit, E.Kit, E, F, G, H
  980.                    and I)
  981.         NJ-WMVCK2 (A.Kit and B.Kit)
  982.         No-F (A and B)
  983.         NOP (F:De, G, H:Fr, I, J:De and K)
  984.         NoPrint.A
  985.         Npad (W, X, Y, Z, AA, AB, AC, AD, AE, AF, AG, AH, AI, AJ,
  986.               AK AL, AM, AN, AO, AP, AQ, AR, AS, AT, AU, AV, AW,
  987.               AX, AY, AZ, BA, BB, BC, BD, BE, BF, BG, BH, BI, BJ,
  988.               BK, BL and BM)
  989.         Nuclear (I, J, K, L and M)
  990.         Ordo.A
  991.         Orhey.A
  992.         Oval.A
  993.         PayCheck (A, B and C)
  994.         Pesan.A
  995.         Phardera (D and E)
  996.         Pig (A:Tw, B:Tw, C:Tw, D:Tw and E:Tw)
  997.         Quick.A
  998.         Randomic.A
  999.         Rapi (J, J1, K, L, L1, L2, M2, N, N1, N2, O, O1, O2, P,
  1000.               Q1, Q2, R2, S2, T, T1, T2, U2, V2, W2, X, Y, Y1,
  1001.               Z2, AA2, AB2, AC, AC1, AC2, AD2, AE1, AE2, AF1,
  1002.               AF2, AG, AG1, AG2, AH, AH1, AH2 and AI2)
  1003.         Rellik.A:Tw
  1004.         Safwan.A
  1005.         Sam.A:Tw
  1006.         Satanic.B
  1007.         Setmd.A
  1008.         ShareFun.B
  1009.         ShowOff (G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U, V,
  1010.                  W, X Y, Z, AA, AB, AC, AD, AE, AF, AG, AH, AI,
  1011.                  AJ, AK, AL, AM, AN, AO, AP, AQ, AR, AS, AT, AU,
  1012.                  AV, AW, AX and AY)
  1013.         Shuffle.A.Drp
  1014.         Simple (A and B)
  1015.         Spiral.B
  1016.         Strezz.A
  1017.         Sunbeam.A
  1018.         Surabaya.A
  1019.         Switcher.A
  1020.         Swlabs (1.Kit, 2-3.Kit, A and B)
  1021.         Sword.A
  1022.         Talon (A, B.Drp, B, C, D, E, F, G, H, H1 and H2)
  1023.         Tear.A
  1024.         Temple.A
  1025.         Terror.A
  1026.         TestArea.A
  1027.         TestDot (A:Tw and A1:Tw)
  1028.         Toten.A:De
  1029.         Twno (K:Tw, L:Tw, M:Tw, N:Tw, O:Tw, P:Tw, Q:Tw, R:Tw,
  1030.               S:Tw, U:Tw, V:Tw, W:Tw and X:Tw)
  1031.         TwoLines (B, C1, D, D1, E, E1, F, F1, G, G1, H, H1, I
  1032.                   and I1)
  1033.         Varmint.A:Tw
  1034.         Wallpaper.A
  1035.         Wazzu (N, AY, AZ, BA, BB, BC, BD, BE, BF, BG, BH, BI, BJ,
  1036.                BK, BL, BM, BN, BO, BP, BQ, BR, BS, BT, BU, BV, BW,
  1037.                BX, BY, BZ, CA, CB and CC)
  1038.         Weather.D:Tw
  1039.         Why (A.Drp and A)
  1040.         WMVH1 (Kit:Tw, B:Tw and C:Tw)
  1041.         Zoolog.A
  1042.  
  1043. - Added detection, recognition, identification and removal of the
  1044.   following 38 new Word 97 and Excel 97 macro viruses, Trojans
  1045.   and other macro malware:
  1046.  
  1047.         W97M/Appder (A, B and C)
  1048.         W97M/Bismark (A, B, C and D)
  1049.         W97M/Concept
  1050.         W97M/Frenzy.A
  1051.         W97M/Gambler (A, A.Drp, B, B.Drp, C and C.Drp)
  1052.         W97M/Kompu (A and B)
  1053.         W97M/Lunch (A and B)
  1054.         W97M/Minimal (A, B, C and D)
  1055.         W97M/Muck (D and E)
  1056.         W97M/NiceDay.A
  1057.         W97M/NightShade.A
  1058.         W97M/Opim.A
  1059.         W97M/Rapi.A2
  1060.         W97M/Talon (I, J and K)
  1061.         W97M/Wazzu (A, C and X)
  1062.         X97M/Laroux (A, B and C)
  1063.  
  1064. - Added detection, recognition and identification (no removal) of
  1065.   the following 5 new Excel 97 macro viruses, Trojans and other
  1066.   macro malware:
  1067.  
  1068.         X97M/Delta.A
  1069.         X97M/Legend.A
  1070.         X97M/Robocop.A
  1071.         X97M/Tjoro.A
  1072.         X97M/Yohimbe.A
  1073.  
  1074. Version 1.03:
  1075.  
  1076. - Added a new button to display in a dialog box the list of macro
  1077.   viruses that the current database (MACRO.DEF) can handle. Since
  1078.   this dialog box allows the list to be saved in a file, this
  1079.   eliminated the need of listing the viruses in the documentation.
  1080.  
  1081. - Implemented two new command-line options - /AUTOQUIT and
  1082.   /ALWAYSQUIT.
  1083.  
  1084. - The meaning of the /CDROM and /NOCDROM options was reversed.
  1085.   Sorry about that. Fixed now.
  1086.  
  1087. - When installed for the first time on a new machine, VNMacro
  1088.   could display some garbage in the "directory to scan" field of
  1089.   the Scan dialog box - due to an uninitialized variable. Fixed
  1090.   now to use "C:\" as default.
  1091.  
  1092. - It wasn't possible to select for scanning a directory, the name
  1093.   of which contained accented (non-ASCII) characters. Fixed.
  1094.  
  1095. - Excel workbooks in Windows 95 files with long names containing
  1096.   accented (non-ASCII) characters could be scanned but not
  1097.   disinfected. Fixed.
  1098.  
  1099. - It wasn't possible to specify a name of the report file that
  1100.   didn't contain a backslash (e.g., "A:VNMacro.REP"). Fixed.
  1101.  
  1102. - The /REPORT= option caused an "Invalid directory" message when
  1103.   the path of the specified report file contained a drive letter.
  1104.   Fixed.
  1105.  
  1106. - The scanner couldn't detect Laroux in workbooks created by the
  1107.   Japanese version of Excel. Fixed.
  1108.  
  1109. - Some files containing menu definitions and key shortcuts were
  1110.   not disinfected properly. Nasty bug that one. Fixed now.
  1111.  
  1112. - VNMacro would crash when attempting to disinfect the Outlaw
  1113.   viruses. Fixed.
  1114.  
  1115. - The timer indicating the time elapsed since the beginning of
  1116.   the scan could handle up to 99 minutes and 59 seconds. This
  1117.   turned out to be insufficient for some people scanning large
  1118.   networks. Now the timer handles up to 99 hours, 59 minutes and
  1119.   59 seconds.
  1120.  
  1121. - VNMacro counted each disinfected file twice - once when
  1122.   displaying it on the screen and once in the report file. As a
  1123.   result, the report file would display a number for the
  1124.   disinfected files that was two times larger than the number of
  1125.   infected files, resulting in a negative number of "still
  1126.   infected" files. Stupid bug. Squished now.
  1127.  
  1128. - When scanning a write-protected diskette in disinfection mode
  1129.   an error occurs when the program attempts to disinfect the
  1130.   virus. That's normal. What was not normal was that if the user
  1131.   decided to ignore the error, the report file did not contain a
  1132.   list of the infected files. It does now.
  1133.  
  1134. - According to the new CARO naming scheme for macro viruses, all
  1135.   names have been converted to the form Family.Variant, even when
  1136.   the family consists of a single variant.
  1137.  
  1138. - Added detection, recognition, identification and removal of the
  1139.   following 145 new macro viruses, Trojans and other macro
  1140.   malware:
  1141.  
  1142.         ABC.A
  1143.         Alien.B
  1144.         Appder.A
  1145.         Atom (G:De and H)
  1146.         BadBoy (A, A.Drp and B)
  1147.         Balu (A and A1)
  1148.         Bandung (G, H, I, J, K and L)
  1149.         Boom.B:De
  1150.         Box (A:Tw and B:Tw)
  1151.         CAP (A and B)
  1152.         CeeFour.A
  1153.         Chaos.A
  1154.         Clock (B:De, C:De, D:De and E:De)
  1155.         Colors (I, J, K, L and M)
  1156.         Concept (T, U, V, W, X, Y, Z and AA)
  1157.         Daniel.C
  1158.         DMV.C
  1159.         Dzt.A
  1160.         Epidemic.A:Tw
  1161.         Friday.A:De
  1162.         Fury.A:It
  1163.         Gable.A
  1164.         Hellga.A
  1165.         Irish (B and C)
  1166.         Johnny (A1 and B)
  1167.         Kerrang.A
  1168.         KillProt.A
  1169.         Kompu.A
  1170.         MDMA (E, F and G)
  1171.         Minimal.B
  1172.         MVDK2 (A and B)
  1173.         NF.B
  1174.         NiceDay.B
  1175.         Nikita (A and A1)
  1176.         NJ-WMDLK1 (A, B, C and D)
  1177.         Nomvir (A:De and B:De)
  1178.         NOP (C:De, D and E:De)
  1179.         Npad (G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U and V)
  1180.         Nuclear (F and G)
  1181.         Phardera (B and C)
  1182.         Random.A
  1183.         Rapi (F, F1, F2, G, G1, H2, I, I1 and I2)
  1184.         Rats (A, B and C)
  1185.         ShareFun.A
  1186.         ShowOff (B, C and D)
  1187.         Smiley.B
  1188.         Snickers.A
  1189.         Spiral.A
  1190.         Theatre.C:Tw
  1191.         Twno (E:Tw, F:Tw, G:Tw, H:Tw, I:Tw and J:Tw)
  1192.         TwoLines (A and A1)
  1193.         Wazzu (AC, AD, AE, AF, AG, AH, AI, AJ, AK, AL, AM, AN,
  1194.                AO, AP, AQ, AR, AS, AT and AU)
  1195.         WMVH1.A:Tw
  1196.         Xenixos.B:De
  1197.         Zero.A:De
  1198.  
  1199. Version 1.02:
  1200.  
  1201. - VNMacro is now distributed as a single, self-installing
  1202.   executable.
  1203.  
  1204. - VNMacro was made compatible with Gatekeeper for Windows 3.x,
  1205.   so that alerts are not displayed twice when scanning infected
  1206.   documents. Similar compatibility with Gatekeeper for Windows 95
  1207.   is not possible yet.
  1208.  
  1209. - VNMacro would crash when scanning a directory, the full path
  1210.   of which was longer than 64 characters. Fixed.
  1211.  
  1212. - Implemented the ability of the program to run unattended.
  1213.  
  1214. - Implemented removal of the key shortcuts and menu items
  1215.   associated with the viral macros deleted on disinfection, in
  1216.   order to handle viruses like Gangsterz.
  1217.  
  1218. - Implemented compression the macro table on disinfection, in
  1219.   order to reduce the probability of false positives caused by
  1220.   scanners which do not understand the OLE2 format.
  1221.  
  1222. - Implemented better handling of virus remnants.
  1223.  
  1224. - The timestamp of the files was not preserved when a macro virus
  1225.   was removed from them. Fixed.
  1226.  
  1227. - Wordbooks disinfected from the Laroux virus would cause Excel
  1228.   to crash when selecting PrintPreview. Fixed.
  1229.  
  1230. - Added the ability to process documents produced by the Asian
  1231.   versions of Word (Chinese, Taiwanese, Japanese and Korean).
  1232.  
  1233. - VNMacro could not open, under Windows 95, files, the long file
  1234.   names of which included non-English characters. Fixed.
  1235.  
  1236. - The following viruses were renamed in order to make the program
  1237.   fully conformant with the CARO virus naming scheme:
  1238.  
  1239.         Guess           ->      Phantom.A
  1240.         LBYNJ:De        ->      Tele.A:De
  1241.         Pheeew:NL       ->      Concept.K:NL
  1242.         PCW:De          ->      Birthday.A:De
  1243.  
  1244. - Added detection, recognition, identification and removal of the
  1245.   following 116 new macro viruses and Trojans:
  1246.  
  1247.         Alien.A
  1248.         AntiConcept.A
  1249.         Atom (C, D, E and F)
  1250.         Bandung (B, C, D, E and F)
  1251.         Colors (F, G and H)
  1252.         Concept (I, J, L, M, N, O:Tw, P, Q, R and S)
  1253.         CountTen (A and B)
  1254.         Daniel (A and B)
  1255.         Divina (B and C)
  1256.         DMV.B
  1257.         Easy.A
  1258.         Helper.A
  1259.         Hybrid.A
  1260.         Johnny.A
  1261.         Look (A:Tw, B:Tw, C:Tw and D:Tw)
  1262.         Lunch (A and B)
  1263.         Magnum.A
  1264.         MadDog.B
  1265.         MDMA (B, C and D)
  1266.         Minimal.A
  1267.         NiceDay.A
  1268.         Niki.A:It
  1269.         NJ-WMVCK2 (A and B)
  1270.         Npad (B, C, D, E and F)
  1271.         Nuclear (D and E)
  1272.         Olympic (A:Tw and B:Tw)
  1273.         Outlaw (A, B and C)
  1274.         Paper.A
  1275.         Phardera.A
  1276.         Rapi (A, A1, A2, B, B1, B2, C, C1, D, D1 and E2)
  1277.         Saver.A:De
  1278.         ShowOff.A
  1279.         Smiley.A:De
  1280.         Spooky.A:De
  1281.         Stryx.A:De
  1282.         Switches.A
  1283.         Target (A:De and B.De)
  1284.         Theatre (A:Tw and B:Tw)
  1285.         Twister.A
  1286.         Twno (A:Tw, B:Tw, C:Tw and D:Tw)
  1287.         Wazzu (G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W,
  1288.                X, Y, Z, AA and AB)
  1289.         Weather (A:Tw, B:Tw and C:Tw)
  1290.  
  1291. Version 1.01:
  1292.  
  1293. - The report file changed to indicate how many infected files are
  1294.   still left, how many files have been disinfected, and whether
  1295.   the user has aborted the scanning process.
  1296.  
  1297. - A newer version of CTL3DV2.DLL included and the documentation
  1298.   describing the installation process - updated.
  1299.  
  1300. - Some documents were reported as causing "Critical error".
  1301.   Fixed.
  1302.  
  1303. - Added detection, recognition, identification and removal of the
  1304.   following 8 new macro viruses:
  1305.  
  1306.         Atom.B
  1307.         Bandung.A
  1308.         Colors.E
  1309.         Gangsterz.A
  1310.         Hassle.A
  1311.         Nuclear.C
  1312.         Wazzu (E and F)
  1313.  
  1314. Version 1.00 (Beta):
  1315.  
  1316. First version released for public testing.
  1317.