home *** CD-ROM | disk | FTP | other *** search
/ Online Praxis 1998 March / Image.iso / CD-ROM / TOOLS / VIREN / VNPC95.EXE / VNMACRO.TXT < prev    next >
Encoding:
Text File  |  1997-03-18  |  17.4 KB  |  427 lines
  1. VNmacro v1.03 - 27 February 1997
  2. Copyright (c) 1997 Safetynet, Inc.  Portions (c) Frisk Software Int'l.
  3. ----------------------------------------------------------------------
  4.  
  5. VNmacro provides virus detection and disinfection of MS Word macro
  6. viruses.  According to recent Virus Bulletin statistics, macro viruses
  7. are the most prevalent virus type, with the Winword Concept virus
  8. accounting for 14.2% of all virus infections (July 1996 survey).
  9.  
  10. VNmacro supports Microsoft Word 6+ and Excel file formats, and will
  11. quickly detect and remove macro viruses.  Its Windows interface
  12. makes its operation simple, even for novice users.
  13.  
  14. VNmacro is part of the VirusNet 95 family of PC and LAN anti-virus
  15. solutions from Safetynet, Inc.  VirusNet 95 protects PCs running
  16. Windows 95, Windows NT, Windows 3.x and DOS PCs.  Its network
  17. version centrally manages and distributes virus protection to all
  18. workstations.  Supported networks include Netware, NT Advanced
  19. Server, Vines, Pathworks and Warp Server.
  20.  
  21. Complete evaluations of VirusNet 95 PC and VirusNet 95 LAN are
  22. available for downloading from our WWW site.  In addition, for
  23. your security concerns, our StopLight family of software protects
  24. Windows 95, Windows 3.x and DOS PCs.  Stand-alone and network
  25. versions of StopLight are also available for downloading.
  26.  
  27. Installation Notes
  28. ------------------
  29.  
  30. 1. Copy the VNmacro files to a directory on your hard drive or network.
  31. 2. Copy CTL3DV2.DLL to the Windows SYSTEM directory
  32. 3. Remove CTL3DV2.DLL from the VNmacro directory
  33.  
  34. Note: If CTL3DV2.DLL remains in the VNmacro directory, it will
  35.       display the following error message:
  36.  
  37.       "This application uses CTL3DV2.DLL, which has not been
  38.       correctly installed.  CTL3DV2.DLL must be installed in the
  39.       Windows system directory."
  40.  
  41. Operating Instructions
  42. ----------------------
  43.  
  44. Note: Before using VNmacro to scan for viruses, close any DOC files
  45.       that are open in Word for Windows.  Otherwise, a "Sharing
  46.       Violation" message will be displayed in the report and the
  47.       file will not be scanned.
  48.  
  49. 1. Start VNmacro by running VNMACRO.EXE.
  50. 2. Select the "Scan" button to display a screen of scanner options.
  51. 3. Type in or choose the "Scan Directory" button to select the location
  52.    to scan.
  53. 4. Choose whether to scan subdirectories under this directory.
  54. 5. Select to scan "Word/Excel files" or "All files".  Usually
  55.    "Word/Excel files" is sufficient unless you have saved Word or
  56.    Excel files with non-standard file extensions.
  57. 6. If a virus is found, select whether to prompt before disinfecting
  58.    each file, disinfecting automatically or simply generating a report.
  59. 7. Select "Report all scanned documents" to show a list of all files
  60.    scanned.
  61. 8. Select the "Report File" button to locate the directory to save
  62.    the report file, or type the location and file name manually.
  63. 9. Select whether an existing report file should be overwritten with
  64.    the new report or appended.
  65.  
  66. That's it!  Select OK to begin the scan or Cancel to return to the
  67. main VNmacro screen. 
  68.  
  69. Technical Support
  70. -----------------
  71.  
  72. If you have questions about VNmacro, please visit our WWW site
  73. for contact information.  We'll be happy to help.
  74.  
  75. ------------------------------------------------
  76. Safetynet, Inc. - Our Specialty is Your Security
  77. http://www.safetynet.com
  78.  
  79. =====================================================================
  80.  
  81. Running the program unattended.
  82.  
  83. Many users have requested the capability of running the program
  84. unattended (i.e., without requiring any user input) and/or of scanning
  85. their files automatically when Windows is started. This is now possible.
  86.  
  87. In order to run VNmacro automatically when Windows is started, create
  88. an icon for it in the AutoStart group of the Program Manager (Windows
  89. 3.x) or a shortcut for it in the StartUp menu (Windows 95). You have to
  90. use command-line options and arguments in order to tell the program what
  91. to do. To specify these under Windows 3.1, click on the program's icon,
  92. then press Alt-Enter and add the options and arguments after the name of
  93. the executable file. Under Windows 95, right-click on the shortuct to
  94. the program, select Properties/Shortcut/Target and add the options and
  95. arguments after the name of the executable file.
  96.  
  97. The program accepts the following options:
  98.  
  99. /ALLDRIVES      - Scan all drives (local and remote but not the floppy
  100.                   disk drives).
  101. /HARD           - Scan all local drives (except the floppy drives).
  102. /NET            - Scan all network drives.
  103. /NOCDROM        - Do not scan the CD-ROM drive(s) when using /ALLDRIVES
  104.                   or /HARD.
  105. /CDROM          - Scan the CD-ROM drive(s) when using /ALLDRIVES or
  106.                   /HARD.
  107. /DEFDIR         - Proceed with scanning the directory saved in
  108.                   VNMACRO.INI.
  109. /DOC            - Scan only *.DOC, *.DOT and *.XL? files.
  110. /ALLFILES       - Scan all files, regardless of their extension.
  111. /SUB            - Scan the subdirectories of the specified directory.
  112. /NOSUB          - Do not scan the subdirectories of the specified
  113.                   directory.
  114. /SCAN           - When a virus is found, only report it - do not
  115.                   attempt disinfection.
  116. /DISINF         - Each time a virus is found, ask the user whether to
  117.                   disinfect it.
  118. /AUTO           - Disinfect automatically all infected documents without
  119.                   asking the user.
  120. /REPORT=        - Name of the report file. Must follow immediately after
  121.                   the '=' sign. Do NOT put any spaces between the '='
  122.                   sign and the name of the report file! It is advisable
  123.                   to specify the full and absolute path of the report
  124.                   file - e.g., /REPORT=D:\FOO\BAR\REPORT.TXT. If only a
  125.                   file name is specified (without a path - e.g.,
  126.                   /REPORT=VNMACRO.REP), the report file will be
  127.                   created in the same directory where the program
  128.                   VNMACRO.EXE resides.
  129. /APPEND         - If a report file with the name specified by the
  130.                   /REPORT= option already exists, append the new report
  131.                   to it.
  132. /OVERWRITE      - If a report file with the name specified by the
  133.                   /REPORT= option already exists, overwrite it with the
  134.                   new report.
  135. /LIST           - List all scanned files in the report - not just the
  136.                   infected ones.
  137. /NOLIST           List only the infected files in the report.
  138. /MINI           - Run the program minimized.
  139. /HIDDEN         - Run the program completely hidden.
  140. /DONTQUIT       - Normally, if the program is instructed to scan a
  141.                   specified directory (or if one of the /ALLDRIVES,
  142.                   /HARD, or /NET options is used) and if no infections
  143.                   have been found, VNMACRO will automatically exit. The
  144.                   /DONTQUIT option prevents it from doing so. If the
  145.                   user does something stupid like specifying both the
  146.                   /HIDDEN and the /DONTQUIT options, the program will
  147.                   "unhide" itself when it has finished scanning.
  148. /AUTOQUIT       - If a path has been specified for scanning, the program
  149.                   always quits after the scan has finished - even if
  150.                   viruses have been found. If no path has been
  151.                   specified, the program runs in interactive mode as
  152.                   usual but will not ask for confirmation when the user
  153.                   clicks on the Exit button. It will also exit
  154.                   automatically after a scan has been performed.
  155. /ALWAYSQUIT     - When the program is run in interactive mode and the
  156.                   user clicks on the Exit button, it will exit
  157.                   immediately, without asking for confirmation first.
  158.  
  159. Besides the above options, the user can specify one command-line
  160. argument - the directory to be scanned. This is not necessary of any of
  161. the options /ALLDRIVES, /HARD, /NET, or /DEFDIR are used. If a directory
  162. is specified (or if one of these four options is used), VNMACRO will
  163. immediately proceed with scanning the specified directory or drives. If,
  164. after the scanning is finished, any infections are found, VNMACRO will
  165. stop and display the results. If the program has been run in minimized
  166. or hidden mode, it will restore its main window, so that the results are
  167. clearly visible. If no infections are found, the program will exit -
  168. unless the /DONTQUIT option has been specified.
  169.  
  170. Currently only one directory can be specified. If only a drive letter is
  171. specified, the entire drive will be scanned. To instruct the program to
  172. scan only the current directory of a drive, append a dot after the drive
  173. specification (e.g., "D:."). The directory and the options can be listed
  174. in any order. If the name of the specified directory contains spaces
  175. (e.g., in Windows 95), it has to be surrounded by double quotes (e.g.,
  176. "C:\My Documents"). It is advisable to specify the full absolute path of
  177. the directory to be scanned - i.e., D:\SOME\DIR and not just DIR. If a
  178. relative path is used, VNMACRO assumes that it is relative from the
  179. directory where VNMACRO resides - which usually isn't what the user
  180. means. Currently it is not possible to tell VNMACRO to scan a single
  181. file. If you want to do this, you have to put the file in a temporary
  182. directory containing nothing else and then tell VNMACRO to scan that
  183. directory.
  184.  
  185. If any bugs are found, please report them to support@safetynet.com, and
  186. if you have any suggestions for improvements, feel free to e-mail them
  187. to the above address.
  188.  
  189. 6. Version history.
  190.  
  191. Version 1.03:
  192.  
  193. - Added a new button to display in a dialog box the list of macro
  194.   viruses that the current database (MACRO.DEF) can handle. Since this
  195.   dialog box allows the list to be saved in a file, this eliminated the
  196.   need of listing the viruses in the documentation.
  197.  
  198. - Implemented two new command-line options - /AUTOQUIT and /ALWAYSQUIT.
  199.  
  200. - The meaning of the /CDROM and /NOCDROM options was reversed. Sorry
  201.   about that. Fixed now.
  202.  
  203. - When installed for the first time on a new machine, VNMACRO could
  204.   display some garbage in the "directory to scan" field of the Scan
  205.   dialog box - due to an unitialized variable. Fixed now to use "C:\" as
  206.   default.
  207.  
  208. - It wasn't possible to select for scanning a directory, the name of
  209.   which contained accented (non-ASCII) characters. Fixed.
  210.  
  211. - Excel workbooks in Windows 95 files with long names containing
  212.   accented (non-ASCII) characters could be scanned but not disinfected.
  213.   Fixed.
  214.  
  215. - It wasn't possible to specify a name of the report file that didn't
  216.   contain a backslash (e.g., "A:VNMACRO.REP"). Fixed.
  217.  
  218. - The /REPORT= option caused an "Invalid directory" message when the
  219.   path of the specified report file contained a drive letter. Fixed.
  220.  
  221. - The scanner couldn't detect Laroux in workbooks created by the
  222.   Japanese version of Excel. Fixed.
  223.  
  224. - Some files containing menu definitions and key shortcuts were not
  225.   disinfected properly. Nasty bug that one. Fixed now.
  226.  
  227. - VNMACRO would crash when attempting to disinfect the Outlaw viruses.
  228.   Fixed.
  229.  
  230. - The timer indicating the time elapsed since the beginning of the scan
  231.   could handle up to 99 minutes and 59 seconds. This turned out to be
  232.   insufficient for some people scanning large networks. Now the timer
  233.   handles up to 99 hours, 59 minutes and 59 seconds.
  234.  
  235. - VNMACRO counted each disinfected file twice - once when displaying it
  236.   on the screen and once in the report file. As a result, the report
  237.   file would display a number for the disinfected files that was two
  238.   times larger than the number of infected files, resulting in a
  239.   negative number of "still infected" files. Stupid bug. Squished now.
  240.  
  241. - When scanning a write-protected diskette in disinfection mode an error
  242.   occurs when the program attempts to disinfect the virus. That's
  243.   normal. What was not normal was that if the user decided to ignore the
  244.   error, the report file did not contain a list of the infected files.
  245.   It does now.
  246.  
  247. - According to the new CARO naming scheme for macro viruses, all names
  248.   have been converted to the form Family.Variant, even when the family
  249.   consists of a single variant.
  250.  
  251. - Added detection, recognition, identification and removal of the
  252.   following 145 new macro viruses, Trojans and other macro malware:
  253.  
  254.         ABC.A
  255.         Alien.B
  256.         Appder.A
  257.         Atom (G:De and H)
  258.         BadBoy (A, A.Drp and B)
  259.         Balu (A and A1)
  260.         Bandung (G, H, I, J, K and L)
  261.         Boom.B:De
  262.         Box (A:Tw and B:Tw)
  263.         CAP (A and B)
  264.         CeeFour.A
  265.         Chaos.A
  266.         Clock (B:De, C:De, D:De and E:De)
  267.         Colors (I, J, K, L and M)
  268.         Concept (T, U, V, W, X, Y, Z and AA)
  269.         Daniel.C
  270.         DMV.C
  271.         Dzt.A
  272.         Epidemic.A:Tw
  273.         Friday.A:De
  274.         Fury.A:It
  275.         Gable.A
  276.         Hellga.A
  277.         Irish (B and C)
  278.         Johnny (A1 and B)
  279.         Kerrang.A
  280.         KillProt.A
  281.         Kompu.A
  282.         MDMA (E, F and G)
  283.         Minimal.B
  284.         MVDK2 (A and B)
  285.         NF.B
  286.         NiceDay.B
  287.         Nikita (A and A1)
  288.         NJ-WMDLK1 (A, B, C and D)
  289.         Nomvir (A:De and B:De)
  290.         NOP (C:De, D and E:De)
  291.         Npad (G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U and V)
  292.         Nuclear (F and G)
  293.         Phardera (B and C)
  294.         Random.A
  295.         Rapi (F, F1, F2, G, G1, H2, I, I1 and I2)
  296.         Rats (A, B and C)
  297.         ShareFun.A
  298.         ShowOff (B, C and D)
  299.         Smiley.B
  300.         Snickers.A
  301.         Spiral.A
  302.         Theatre.C:Tw
  303.         Twno (E:Tw, F:Tw, G:Tw, H:Tw, I:Tw and J:Tw)
  304.         TwoLines (A and A1)
  305.         Wazzu (AC, AD, AE, AF, AG, AH, AI, AJ, AK, AL, AM, AN, AO, AP,
  306.                AQ, AR, AS, AT and AU)
  307.         WMVH1.A
  308.         Xenixos.B:De
  309.         Zero.A:De
  310.  
  311. Version 1.02:
  312.  
  313. - VNMACRO is now distributed as a single, self-installing executable.
  314.  
  315. - VNMACRO was made compatible with Gatekeeper for Windows 3.x, so that
  316.   alerts are not displayed twice when scanning infected documents.
  317.   Similar compatibility with Gatekeeper for Windows 95 is not possible
  318.   yet.
  319.  
  320. - VNMACRO would crash when scanning a directory, the full path of which
  321.   is longer than 64 characters. Fixed.
  322.  
  323. - Implemented the ability of the program to run unattended.
  324.  
  325. - Implemented removal of the key shortcuts and menu items associated
  326.   with the viral macros deleted on disinfection, in order to handle
  327.   viruses like Gangsterz.
  328.  
  329. - Implemented compression the macro table on disinfection, in order to
  330.   reduce the probability of false positives caused by scanners which do
  331.   not understand the OLE2 format (e.g., VirusNet.EXE).
  332.  
  333. - Implemented better handling of virus remnants.
  334.  
  335. - The timestamp of the files was not preserved when a macro virus was
  336.   removed from them. Fixed.
  337.  
  338. - Wordbooks disinfected from the Laroux virus would cause Excel to crash
  339.   when selecting PrintPreview. Fixed.
  340.  
  341. - Added the ability to process documents produced by the Asian versions
  342.   of Word (Chinese, Taiwanese, Japanese and Korean).
  343.  
  344. - VNMACRO could not open, under Windows 95, files, the long file names
  345.   of which included non-English characters. Fixed.
  346.  
  347. - The following viruses were renamed in order to make the program fully
  348.   conformant with the CARO virus naming scheme:
  349.  
  350.         Guess           ->      Phantom.A
  351.         LBYNJ:De        ->      Tele.A:De
  352.         Pheeew:NL       ->      Concept.K:NL
  353.         PCW:De          ->      Birthday.A:De
  354.  
  355. - Added detection, recognition, identification and removal of the
  356.   following 116 new macro viruses and Trojans:
  357.  
  358.         Alien.A
  359.         AntiConcept.A
  360.         Atom (C, D, E and F)
  361.         Bandung (B, C, D, E and F)
  362.         Colors (F, G and H)
  363.         Concept (I, J, L, M, N, O:Tw, P, Q, R and S)
  364.         CountTen (A and B)
  365.         Daniel (A and B)
  366.         Divina (B and C)
  367.         DMV.B
  368.         Easy.A
  369.         Helper.A
  370.         Hybrid.A
  371.         Johnny.A
  372.         Look (A:Tw, B:Tw, C:Tw and D:Tw)
  373.         Lunch (A and B)
  374.         Magnum.A
  375.         MadDog.B
  376.         MDMA (B, C and D)
  377.         Minimal.A
  378.         NiceDay.A
  379.         Niki.A:It
  380.         NJ-WMVCK2 (A and B)
  381.         Npad (B, C, D, E and F)
  382.         Nuclear (D and E)
  383.         Olympic (A:Tw and B:Tw)
  384.         Outlaw (A, B and C)
  385.         Paper.A
  386.         Phardera.A
  387.         Rapi (A, A1, A2, B, B1, B2, C, C1, D, D1 and E2)
  388.         Saver.A:De
  389.         ShowOff.A
  390.         Smiley.A:De
  391.         Spooky.A:De
  392.         Stryx.A:De
  393.         Switches.A
  394.         Target (A:De and B.De)
  395.         Theatre (A:Tw and B:Tw)
  396.         Twister.A
  397.         Twno (A:Tw, B:Tw, C:Tw and D:Tw)
  398.         Wazzu (G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W, X, Y,
  399.                Z, AA and AB)
  400.         Weather (A:Tw, B:Tw and C:Tw)
  401.  
  402. Version 1.01:
  403.  
  404. - The report file changed to indicate how many infected files are still
  405.   left, how many files have been disinfected, and whether the user has
  406.   aborted the scanning process.
  407.  
  408. - A newer version of CTL3DV2.DLL included and the documentation
  409.   describing the installation process - updated.
  410.  
  411. - Some documents were reported as causing "Critical error". Fixed.
  412.  
  413. - Added detection, recognition, identification and removal of the
  414.   following 8 new macro viruses:
  415.  
  416.         Atom.B
  417.         Bandung.A
  418.         Colors.E
  419.         Gangsterz.A
  420.         Hassle.A
  421.         Nuclear.C
  422.         Wazzu (E and F)
  423.  
  424. Version 1.00 (Beta):
  425.  
  426. First version released for public testing.
  427.