home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip Hitware 6
/
Chip_Hitware_Vol_06.iso
/
chiphit6
/
_virus
/
suspic
/
whatsnew.txt
< prev
Wrap
Text File
|
1996-07-10
|
17KB
|
493 lines
SUSPICIOUS 1.48:
~~~~~~~~~~~~~~~~
SVS:
~~~~
+ SVS erkennt jetzt auch ungültige INT-Calls aus dem PSP-Bereich von
Programmen.
+ Verbesserung der INT 25xxh-Kontrolle.
+ SVS blockiert CPM-Calls.
+ Stark verbesserte Erkennung von INT 21h Stealth-Interrupt-Calls.
MEMCHK:
~~~~~~~
+ Bessere Erkennung von verdächtigen Speicherblöcken (PSP-Modifikationen
etc.).
+ Neu: Erkennung von Kernel-Modifikationen des INT 2Ah-Handlers.
- Bugfix bei einigen Tests.
SDISK:
~~~~~~
- Bug in der Ontrack-DiskManager-Unterstützung behoben.
- Kleinere Verbesserungen.
SCRC:
~~~~~
- Neuer Parameter /WIN95: Wird benötigt, falls regelmäßig die alte
DOS-Version über F8 gestartet wird.
Bugfix:
~~~~~~~
Der in Version 1.47 neu verwendete Programmkomprimierer ist offenbar
inkompatibel und wurde ersetzt.
SUSPICIOUS 1.47:
~~~~~~~~~~~~~~~~
SSC:
~~~~
+ Verbesserung der Heuristik (Datei-Viren).
- Einige Fehlalarme wurden behoben.
SCRC:
~~~~~
- Bugs in der Parameterauswertung behoben.
MEMCHK:
~~~~~~~
+ Verbesserte Erkennung von aktiven Viren.
- Fehlalarm mit Ontrack DiskManager behoben.
SDISK:
~~~~~~
- Bug in der Sektor-Auswertung (Detail-Anzeige) behoben.
- Kleinere Bugs behoben und Verbesserungen eingebaut.
SVS:
~~~~
+ Verbesserte TSR-Heuristik: SVS meldet jetzt auch "harmlose" TSRs,
die zuvor bestimmte kritische Interruptfunktionen aufgerufen haben.
- Bugfix in der Option "Disk A: bei Neustart prüfen" behoben.
SUSPICIOUS 1.46:
~~~~~~~~~~~~~~~~
* SSC:
+ HACKSTOP 1.11a wird erkannt.
+ WWPACK 3.04-Erkennung.
+ Verbesserung der Heuristik.
+ Signaturen fuer die aktuellen ITW-Viren wie NewBoot hinzugefuegt.
+ Bootsektor-Heuristik stark verbessert (Negativ-Bootsektor-Heuristik
von SVS übernommen), besonders bezüglich anti-heuristisch
programmierten Bootviren.
- Fehlalarm bei RAM-Drive-Bootsektoren behoben.
- Fehlalarm bei Windows NT und DR-DOS Bootsektoren behoben.
- Fehlalarme in verschiedenen Programmen behoben (WIN386.EXE,
CPWIN386.CPL, NIOS.EXE, ASPI4DOS.SYS etc.)
- Bug in der Boot-Sektoranalyse behoben.
- PK-Bug behoben (VLAD-Virus).
* SVS:
+ Bootsektor-Heuristik verbessert (weniger Falschalarme und mehr
erkannte Bootviren).
+ Verbesserte Erkennung von Direct-Action Viren.
+ Neue Optionen (über SETUP einstellbar):
- Kompatibiltätsmodus für Disk-Caches mit Schreibverzögerung.
- das akustische Warnsignal kann ausgeschaltet werden.
+ Verschiedene kleinere Verbesserungen.
- Bug in der STRG-ALT-ENTF-Routine behoben (Absturz des Systems
bei STRG-ALT-ENTF).
- Bug in der Option "Erweiteter TSR-Check" behoben.
* MEMCHK:
+ Test auf aktiven Dateivirus erweitert (Melden von Stealth-
eigenschaften).
+ Interrupt-Überprüfung verbessert (Überprüfung der Interrupt-
Position).
+ Verbesserter Anti-Stealth-Dateizugriff für Aktivitätstest.
+ Errorlevel für Batchbetrieb.
- Bug in der Buffers-Erkennung behoben (Analyse der CONFIG.SYS
wurde falsch durchgeführt).
- Bug in der INT 21h-Kernel-Analyse behoben.
- Bug in der Kernel-Analyse beim Fehlen von HIMEM.SYS behoben.
- Fehlalarm bei der Verwendung von OPTIMIZE behoben.
* SCRC:
+ Verbesserter Anti-Stealth-Dateizugriff
+ Neuer Parameter /LOG{+}.
- Bug in der /DAILY-Option behoben (mit /CFG).
* SDISK:
* Komplett neu ueberarbeitet:
+ Unterstützung von XCHS EIDE
+ Unterstützung von LBA EIDE
+ Unterstützung des Ontrack Diskmanagers (6.x & 7.x)
+ Neue Option /RESCAN
+ Kontrolle der Spur 0 der ersten Festplatte
* INSTALL
+ Bessere Unterstützung von SDISK während der Installation
* DOKU
+ FAQ (mit Aufnahme in DOKU.EXE)
SUSP 1.40:
~~~~~~~~~~
MEMCHK - Fehler mit EMM386 von Novell-DOS behoben (Exception).
# MEMCHK wurde an DOS 7.0 (WIN 95) angepasst.
- Falschalarm bei QEMM 7.5 OPTIMIZE behoben.
- Bug im Aktivitaetstest behoben (Viruswarnung bei voller HDD).
# MEMCHK ueberspringt jetzt den Swap-Buffer und den IFS-Treiber
im konventionellen Speicherbereich um Falschalarme zu vermeiden.
# Fehlalarm bei Bootsektorvirus-Erkennung behoben
+ Heuristik zur Erkennung von aktiven Bootsektorviren verbessert.
SVS + Neues Feature: Erkennen von Schreibzugriffen auf INT 13-Ebene,
wenn Programme gestartet, geöffnet oder geschlossen werden.
+ Neues Feature: Erkennen von Manipulation des INT 13-Schreib-
buffers.
+ Neues Feature: Erkennen von Manipulation des INT 21-Schreib-
buffers (Slow Infector-Viren).
+ Neues Feature: Blockieren von direkten Festplattenzugriffen
in die BIOS-INT13-Routine (Funktioniert nur mit alten BIOS-
Versionen).
+ Neues Feature: EXE-Programme mit getauscher MZ-Kennung werden
gemeldet.
+ Neues Feature: Veränderungen an der FCB-Kette werden erkannt.
+ Neues Feature: Schreibzugriff auf die erste phy. Spur der
Festplatte wird gemeldet.
+ Immunitaet gegen Rekursives Tunneln
+ Die Bootsektor-Heuristik von SVS wurde stark verbessert:
SVS erkennt jetzt auch verschluesselte Bootsektorviren wie
<Goldbug> oder <J&M>.
# Fehler in der Deinstallationsroutine unter Novell-DOS 7
behoben.
- Fehler bei Dateizugriffsüberwachung behoben.
(verursachte Crash unter Crosspoint)
- Fehler in der Schreibschutz-Funktion behoben.
- Korrektur: SVS meldet nicht mehr direkte ROM-BIOS-Zugriffe beim
Benutzen spezieller EIDE-Treiber, die sich über den normalen
INT 13h einbinden.
- Rekursionsfehler in INT 2Fh behoben.
# Behandlung der A20-Line für den Kernel-Vergleich in der HMA
verbessert (verursachte Abtürze unter MS-DOS 7.0)
# Anpassung des Low-Mem Kernel-Checks an MS-DOS 7.0
# Anpassung der HIGHCALL-Checks an DOS mit mehr als 640K Speicher.
SDISK + Immunisierungs-Partition und Bootsektor verbessert.
(Erkennung von verschobenen Startsektor durch Virus)
- Fehler bei der Parameterbehandlung behoben.
- Parameter "/2" korrigiert.
- Bei der Immunisierung von Disketten werden schreibgeschuetzte
Disketten jetzt gemeldet.
SSC + Neue Erkennungs-Meldungen:
D:Z (Für SFT-Dateizugriff)
R:T (Für Tarnkappenfunktionen im Dateibereich)
+ Heuristik verbessert:
ca. 60 neue HeurStrings und Verbesserung mehrerer Emulations-
und Auswertungsroutinen.
+ Codeanalyse verbessert:
Verbesserte Erkennung von speziell anti-heuristischen
Strukturen (wie z.B. in den CVEX-Viren)
+ Bootsektoren werden jetzt mit der vollständigen Heuristik
überprüft.
+ Falschalarm-Erkennung verbessert.
- Bug in der Fehlalarm-Erkennung entfernt.
+ SSC erlaubt jetzt auch einzelne Programmnamen oder Wildcards
in der Parameterangabe.
- SSC erkennt Netzwerklaufwerke und deaktiviert automatisch
den Anti-Stealth-Dateizugriff.
- Bug in der Initialisierung behoben (unter OS/2 wurde das
Diskettenlaufwerk angesprochen).
- Fehlalarme behoben:
HACKSTOP (COM)
CENTER.COM
A4256.COM
README.COM
ELKE.EXE
MOUSE.EXE
EZ-Drive (Partitionssektor)
Novell-DOS 7.0 (Bootsektor)
SDISK Immune (Partitions- und Bootsektor)
WWPACK 3.03 (Reg)
LZEXE (Modifizierte Version)
AIN
SEA-AXE 2.2
UNP 4.11
SCRC - Fehler bei der Erkennung der Dateierweiterung (". ") behoben.
- Fehler in der Parameterauswertung behoben ("/NOMEM").
- Fehler bei der Angabe von benutzerdefinierten Suchlaufwerken
und "/CFG" behoben.
- SCRC erkennt Netzwerklaufwerke und deaktiviert automatisch
den Anti-Stealth-Dateizugriff.
SETUP - Fehler bei der Auswertung der Sicherheitsmodus-Flags behoben.
1.30a (Bugfix):
~~~~~~~~~~~~~~~
Allgemein:
- Kleinere Fehler in Programmen und Anleitungen behoben.
SCRC - Fehler bei der Prüfsummenerstellung mit /INIT behoben.
1.30:
~~~~~
Neu:
- SDISK: Das Partitions- und Bootsektorschutzprogramm
Mit SDISK können Kopien des Partitions- und Bootsektors angelegt
und wiederhergestellt werden, aktive Stealthviren erkannt und
Disketten und die Partition gereinigt werden. SDISK ist in der
Lage Festplatten oder Diskette mit einem speziellen Antivirus-
Partitions- bzw. Bootsektor zu immunisieren und Systeme ohne
vorher angelegte Kopien der Partition zu reinigen.
Allgemein:
- Die Internet-EMailadresse des Autors hat sich geändert:
kurtzhal@wrcs3.urz.uni-wuppertal.de (statt wrcs1)
- Die Programme von SUSPICIOUS funktionieren jetzt auch auf
Systemen mit Herkules-Graphikkarten.
- Anleitungen erweitert und korrigiert.
SETUP: - Benutzerdefinierte Angabe der Suchlaufwerke für SCRC möglich.
- Benutzerdefinierte Namenserweiterungsliste für SCRC möglich.
- Neue Optionen von SVS werden unterstützt.
- Änderung der Voreinstellung (weniger Falschalarme).
(Für gelegentliches Benutzen von SVS sollte die Option
"Hohe Sicherheit" im SETUP angewählt werden!)
SVS: - Der Partitions- und Bootsektorvergleich wurde entfernt. Den
Festplattenschutz übernimmt jetzt SDISK.
- SVS meldet nicht mehr den Tracer von SSC.
!! - SVS darf in der CONFIG.SYS nicht mehr mit "DEVICEHIGH", sondern
!! mit "INSTALLHIGH" geladen werden.
(Grund: Verschlüsselung und MEMCHK sind sonst nicht möglich)
- Korrektur: SVS fängt jetzt die Hotkeys über INT 15h ab und
wird somit nicht mehr von KEYB.COM aus der Tastatur-Kontrolle
abgehängt.
- Neue Meldung: Warnung bei direkten INT 26-Zugriffen (ohne DOS).
- Neue Optionen:
+ Lernmodus abschaltbar.
+ SVS meldet nur verdächtige TSR-Programme.
- SVS schützt automatisch die Endung, die bei der benutzer-
definierten Angabe des Prüfsummennamens angegeben wurde.
- Die Stabilität von SVS unter Windows wurde verbessert.
SCRC: - Neuer Parameter /SYSTEM : SCRC überprüft nur die kritischen
DOS-Systemdateien wie COMMAND.COM, IO.SYS usw.
- Verbesserung des Parameter /DAILY:
* /DAILY++ : Wie DAILY+, nur wird anstatt /FAST der Para-
meter /SYSTEM benutzt.
* /DAILY=xx:yy : Zeitsteuerung von SCRC.
- Bug bei Option "Laufwerk durchsuchen 'x:'" behoben.
- Bei "/INIT" kann jetzt angegeben werden ob SCRC nach ver-
dächtigen Programmen und Companion-Viren suchen soll.
- Bug behoben: Verzeichnisse validieren funktioniert jetzt
korrekt.
- Anti-Stealth ist jetzt kompatibel zu PC-DOS 7.0.
- Dateianalyse: WWPack 3.03 wird erkannt.
MEMCHK: - MEMCHK erzeugt und prüft jetzt Köder, um die Aktivität eines
residenten Dateivirus zu erkennen.
- Der ungenutze Bereich der HMA wird vor der Überprüfung gelöscht
(reduziert die Möglichkeit von Falschalarmen).
- MEMCHK wird von SCRC und SVS jetzt auch in der CONFIG.SYS
aufgerufen.
- MEMCHK ist jetzt kompatibel zu PC-DOS 7.0.
- VSAFE bzw. TSAFE wird im Speicher erkannt und MEMCHK nicht mehr
ausgeführt um Falschalarme zu vermeiden.
- Verbesserte Überprüfung des UMB-Bereichs (-> <Tremor>)
- Der BUFFERS-Check wird jetzt anhand der Angabe der CONFIG.SYS
durchgeführt.
- Bug behoben: MSCDEX wird nicht mehr als Virus erkannt.
- Bug behoben: SMARTCAN wird nicht mehr als Virus erkannt.
- Bug behoben: MEMCHK bleibt nicht mehr hängen, falls ein Virus
im Speicher gefunden wurde.
- Bug behoben: INT 21-Falschalarm bei DOS=LOW.
- Bug behoben: Keine Exception unter OS/2 (DOS-Fenster).
SSC: - Heuristik für MBR und Bootsektoren verschärft.
- CD-ROM-Laufwerke können durchsucht werden.
- Analyseflag A:M : WWPack 3.03 wird erkannt.
- Falschalarme behoben:
LIST 9.1
BRUN30
QuickBasic 2.0 EXE
COMMAND.COM und GRAPHICS.COM (Novell DOS 7)
HyperLock 386 EXE
QSCHED
COPYIIPC
PCVP
OS/2 Bootmanager Partition
CHKPC/VSTOP (Virscan Plus)
1.20:
~~~~~
Allgemein:
- Die Registrierung ist für Sysops kostenlos (Siehe SYSOP.TXT).
- Neu: MEMCHK - Heuristische Speichersuche nach bekannten und
unbekannten Viren. Die Überprüfung wurde extern (MEMCHK.EXE)
und als Modul zu den bestehenden Komponenten (SCRC, SSC und
SVS) hinzugefügt.
- Bug in INSTALL.BAT behoben: Es wurden zu lange Label-Namen
benutzt, was zu einer Endlosschleife geführt hat.
- Bug in SETUP behoben: Das Programm funktioniert jetzt auch
mit einer CONFIG.SYS/AUTOEXEC.BAT, die größer als 10k ist.
- Der Versand dauert nicht mehr "einige Wochen". 8-)
SVS: - Bootsektor-Heuristik verändert um Falschalarme bei
Disketten mit IBM 3.3-Bootsektor zu vermeiden.
- Erkennung von verdächtigen TSR-Programmen verbessert
(Erkennung anhand Speicherbelegung und Heuristik).
- Keine Falschalarme bei SUSPICIOUS-Programmen.
- Der MCB-Name von SVS wird variiert um Erkennung des TSR
durch Viren zu verhindern.
- Verbesserter Löschschutz: Das Löschen von Programmen wird
auch dann gemeldet wenn die Option "Löschen melden" nicht
eingeschaltet ist, aber zuvor verdächtige Dateioperationen
durchgeführt wurden.
- SVS erkennt Kernel-Veränderung von VIRSTOP (Frisk) nicht
mehr als Virus.
- Bug behoben: SVS erkennt eigenen Dateizugriff bei der Instal-
lation in der CONFIG.SYS nicht mehr als verdächtig an.
- Bug behoben: SETUP benutze ungültiges Datei-Handle für den
Dateizugriff auf CFG.SVS.
- SVS ist jetzt kompatibel zu LOADHI und OPTIMIZE von QEMM.
SSC: - Cursor-Bug bei "/?" behoben.
- Parameter "/NOMEM" für MEMCHK-Heuristik.
- Das Flag "A:M" (MODIFIZIERTES PROGRAMM) wurde korrigiert
und erweitert. Es werden jetzt EXE-Programme mit hinzuge-
fügten Code erkannt, die mit folgenden Packern bearbeitet
wurden: PKLITE, DIET, LZEXE, COMPACK, TINYPROG, WWPACK.
- Mit HACKSTOP verschüsselte Programme werden erkannt ("A:k").
SCRC: - Bug bei Prüfsummendateien mit HIDDEN und READ-ONLY Datei-
attribut behoben (Option: "Prüfsummen verstecken").
- Der DOS-interne INT21-Einsprung kann jetzt auch gefunden
werden, wenn DOS=HIGH nicht eingestellt ist.
(s. Booten mit <F5>)
- Parameter "/NOMEM" für MEMCHK-Heuristik.
- SCRC erkennt jetzt wie SSC komprimierte Programme, die
nachträglich modifiziert wurden. SCRC zeigt diese verdächtigen
Programme mit einen blinkenden "(MOD!)" an.