Chip Hitware 6

home *** CD-ROM | disk | FTP | other *** search

/ Chip Hitware 6 / Chip_Hitware_Vol_06.iso / chiphit6 / _virus / suspic / whatsnew.txt < prev

Wrap

Text File | 1996-07-10 | 17KB | 493 lines

SUSPICIOUS 1.48: ~~~~~~~~~~~~~~~~ SVS: ~~~~ + SVS erkennt jetzt auch ungültige INT-Calls aus dem PSP-Bereich von Programmen. + Verbesserung der INT 25xxh-Kontrolle. + SVS blockiert CPM-Calls. + Stark verbesserte Erkennung von INT 21h Stealth-Interrupt-Calls. MEMCHK: ~~~~~~~ + Bessere Erkennung von verdächtigen Speicherblöcken (PSP-Modifikationen etc.). + Neu: Erkennung von Kernel-Modifikationen des INT 2Ah-Handlers. - Bugfix bei einigen Tests. SDISK: ~~~~~~ - Bug in der Ontrack-DiskManager-Unterstützung behoben. - Kleinere Verbesserungen. SCRC: ~~~~~ - Neuer Parameter /WIN95: Wird benötigt, falls regelmäßig die alte DOS-Version über F8 gestartet wird. Bugfix: ~~~~~~~ Der in Version 1.47 neu verwendete Programmkomprimierer ist offenbar inkompatibel und wurde ersetzt. SUSPICIOUS 1.47: ~~~~~~~~~~~~~~~~ SSC: ~~~~ + Verbesserung der Heuristik (Datei-Viren). - Einige Fehlalarme wurden behoben. SCRC: ~~~~~ - Bugs in der Parameterauswertung behoben. MEMCHK: ~~~~~~~ + Verbesserte Erkennung von aktiven Viren. - Fehlalarm mit Ontrack DiskManager behoben. SDISK: ~~~~~~ - Bug in der Sektor-Auswertung (Detail-Anzeige) behoben. - Kleinere Bugs behoben und Verbesserungen eingebaut. SVS: ~~~~ + Verbesserte TSR-Heuristik: SVS meldet jetzt auch "harmlose" TSRs, die zuvor bestimmte kritische Interruptfunktionen aufgerufen haben. - Bugfix in der Option "Disk A: bei Neustart prüfen" behoben. SUSPICIOUS 1.46: ~~~~~~~~~~~~~~~~ * SSC: + HACKSTOP 1.11a wird erkannt. + WWPACK 3.04-Erkennung. + Verbesserung der Heuristik. + Signaturen fuer die aktuellen ITW-Viren wie NewBoot hinzugefuegt. + Bootsektor-Heuristik stark verbessert (Negativ-Bootsektor-Heuristik von SVS übernommen), besonders bezüglich anti-heuristisch programmierten Bootviren. - Fehlalarm bei RAM-Drive-Bootsektoren behoben. - Fehlalarm bei Windows NT und DR-DOS Bootsektoren behoben. - Fehlalarme in verschiedenen Programmen behoben (WIN386.EXE, CPWIN386.CPL, NIOS.EXE, ASPI4DOS.SYS etc.) - Bug in der Boot-Sektoranalyse behoben. - PK-Bug behoben (VLAD-Virus). * SVS: + Bootsektor-Heuristik verbessert (weniger Falschalarme und mehr erkannte Bootviren). + Verbesserte Erkennung von Direct-Action Viren. + Neue Optionen (über SETUP einstellbar): - Kompatibiltätsmodus für Disk-Caches mit Schreibverzögerung. - das akustische Warnsignal kann ausgeschaltet werden. + Verschiedene kleinere Verbesserungen. - Bug in der STRG-ALT-ENTF-Routine behoben (Absturz des Systems bei STRG-ALT-ENTF). - Bug in der Option "Erweiteter TSR-Check" behoben. * MEMCHK: + Test auf aktiven Dateivirus erweitert (Melden von Stealth- eigenschaften). + Interrupt-Überprüfung verbessert (Überprüfung der Interrupt- Position). + Verbesserter Anti-Stealth-Dateizugriff für Aktivitätstest. + Errorlevel für Batchbetrieb. - Bug in der Buffers-Erkennung behoben (Analyse der CONFIG.SYS wurde falsch durchgeführt). - Bug in der INT 21h-Kernel-Analyse behoben. - Bug in der Kernel-Analyse beim Fehlen von HIMEM.SYS behoben. - Fehlalarm bei der Verwendung von OPTIMIZE behoben. * SCRC: + Verbesserter Anti-Stealth-Dateizugriff + Neuer Parameter /LOG{+}. - Bug in der /DAILY-Option behoben (mit /CFG). * SDISK: * Komplett neu ueberarbeitet: + Unterstützung von XCHS EIDE + Unterstützung von LBA EIDE + Unterstützung des Ontrack Diskmanagers (6.x & 7.x) + Neue Option /RESCAN + Kontrolle der Spur 0 der ersten Festplatte * INSTALL + Bessere Unterstützung von SDISK während der Installation * DOKU + FAQ (mit Aufnahme in DOKU.EXE) SUSP 1.40: ~~~~~~~~~~ MEMCHK - Fehler mit EMM386 von Novell-DOS behoben (Exception). # MEMCHK wurde an DOS 7.0 (WIN 95) angepasst. - Falschalarm bei QEMM 7.5 OPTIMIZE behoben. - Bug im Aktivitaetstest behoben (Viruswarnung bei voller HDD). # MEMCHK ueberspringt jetzt den Swap-Buffer und den IFS-Treiber im konventionellen Speicherbereich um Falschalarme zu vermeiden. # Fehlalarm bei Bootsektorvirus-Erkennung behoben + Heuristik zur Erkennung von aktiven Bootsektorviren verbessert. SVS + Neues Feature: Erkennen von Schreibzugriffen auf INT 13-Ebene, wenn Programme gestartet, geöffnet oder geschlossen werden. + Neues Feature: Erkennen von Manipulation des INT 13-Schreib- buffers. + Neues Feature: Erkennen von Manipulation des INT 21-Schreib- buffers (Slow Infector-Viren). + Neues Feature: Blockieren von direkten Festplattenzugriffen in die BIOS-INT13-Routine (Funktioniert nur mit alten BIOS- Versionen). + Neues Feature: EXE-Programme mit getauscher MZ-Kennung werden gemeldet. + Neues Feature: Veränderungen an der FCB-Kette werden erkannt. + Neues Feature: Schreibzugriff auf die erste phy. Spur der Festplatte wird gemeldet. + Immunitaet gegen Rekursives Tunneln + Die Bootsektor-Heuristik von SVS wurde stark verbessert: SVS erkennt jetzt auch verschluesselte Bootsektorviren wie <Goldbug> oder <J&M>. # Fehler in der Deinstallationsroutine unter Novell-DOS 7 behoben. - Fehler bei Dateizugriffsüberwachung behoben. (verursachte Crash unter Crosspoint) - Fehler in der Schreibschutz-Funktion behoben. - Korrektur: SVS meldet nicht mehr direkte ROM-BIOS-Zugriffe beim Benutzen spezieller EIDE-Treiber, die sich über den normalen INT 13h einbinden. - Rekursionsfehler in INT 2Fh behoben. # Behandlung der A20-Line für den Kernel-Vergleich in der HMA verbessert (verursachte Abtürze unter MS-DOS 7.0) # Anpassung des Low-Mem Kernel-Checks an MS-DOS 7.0 # Anpassung der HIGHCALL-Checks an DOS mit mehr als 640K Speicher. SDISK + Immunisierungs-Partition und Bootsektor verbessert. (Erkennung von verschobenen Startsektor durch Virus) - Fehler bei der Parameterbehandlung behoben. - Parameter "/2" korrigiert. - Bei der Immunisierung von Disketten werden schreibgeschuetzte Disketten jetzt gemeldet. SSC + Neue Erkennungs-Meldungen: D:Z (Für SFT-Dateizugriff) R:T (Für Tarnkappenfunktionen im Dateibereich) + Heuristik verbessert: ca. 60 neue HeurStrings und Verbesserung mehrerer Emulations- und Auswertungsroutinen. + Codeanalyse verbessert: Verbesserte Erkennung von speziell anti-heuristischen Strukturen (wie z.B. in den CVEX-Viren) + Bootsektoren werden jetzt mit der vollständigen Heuristik überprüft. + Falschalarm-Erkennung verbessert. - Bug in der Fehlalarm-Erkennung entfernt. + SSC erlaubt jetzt auch einzelne Programmnamen oder Wildcards in der Parameterangabe. - SSC erkennt Netzwerklaufwerke und deaktiviert automatisch den Anti-Stealth-Dateizugriff. - Bug in der Initialisierung behoben (unter OS/2 wurde das Diskettenlaufwerk angesprochen). - Fehlalarme behoben: HACKSTOP (COM) CENTER.COM A4256.COM README.COM ELKE.EXE MOUSE.EXE EZ-Drive (Partitionssektor) Novell-DOS 7.0 (Bootsektor) SDISK Immune (Partitions- und Bootsektor) WWPACK 3.03 (Reg) LZEXE (Modifizierte Version) AIN SEA-AXE 2.2 UNP 4.11 SCRC - Fehler bei der Erkennung der Dateierweiterung (". ") behoben. - Fehler in der Parameterauswertung behoben ("/NOMEM"). - Fehler bei der Angabe von benutzerdefinierten Suchlaufwerken und "/CFG" behoben. - SCRC erkennt Netzwerklaufwerke und deaktiviert automatisch den Anti-Stealth-Dateizugriff. SETUP - Fehler bei der Auswertung der Sicherheitsmodus-Flags behoben. 1.30a (Bugfix): ~~~~~~~~~~~~~~~ Allgemein: - Kleinere Fehler in Programmen und Anleitungen behoben. SCRC - Fehler bei der Prüfsummenerstellung mit /INIT behoben. 1.30: ~~~~~ Neu: - SDISK: Das Partitions- und Bootsektorschutzprogramm Mit SDISK können Kopien des Partitions- und Bootsektors angelegt und wiederhergestellt werden, aktive Stealthviren erkannt und Disketten und die Partition gereinigt werden. SDISK ist in der Lage Festplatten oder Diskette mit einem speziellen Antivirus- Partitions- bzw. Bootsektor zu immunisieren und Systeme ohne vorher angelegte Kopien der Partition zu reinigen. Allgemein: - Die Internet-EMailadresse des Autors hat sich geändert: kurtzhal@wrcs3.urz.uni-wuppertal.de (statt wrcs1) - Die Programme von SUSPICIOUS funktionieren jetzt auch auf Systemen mit Herkules-Graphikkarten. - Anleitungen erweitert und korrigiert. SETUP: - Benutzerdefinierte Angabe der Suchlaufwerke für SCRC möglich. - Benutzerdefinierte Namenserweiterungsliste für SCRC möglich. - Neue Optionen von SVS werden unterstützt. - Änderung der Voreinstellung (weniger Falschalarme). (Für gelegentliches Benutzen von SVS sollte die Option "Hohe Sicherheit" im SETUP angewählt werden!) SVS: - Der Partitions- und Bootsektorvergleich wurde entfernt. Den Festplattenschutz übernimmt jetzt SDISK. - SVS meldet nicht mehr den Tracer von SSC. !! - SVS darf in der CONFIG.SYS nicht mehr mit "DEVICEHIGH", sondern !! mit "INSTALLHIGH" geladen werden. (Grund: Verschlüsselung und MEMCHK sind sonst nicht möglich) - Korrektur: SVS fängt jetzt die Hotkeys über INT 15h ab und wird somit nicht mehr von KEYB.COM aus der Tastatur-Kontrolle abgehängt. - Neue Meldung: Warnung bei direkten INT 26-Zugriffen (ohne DOS). - Neue Optionen: + Lernmodus abschaltbar. + SVS meldet nur verdächtige TSR-Programme. - SVS schützt automatisch die Endung, die bei der benutzer- definierten Angabe des Prüfsummennamens angegeben wurde. - Die Stabilität von SVS unter Windows wurde verbessert. SCRC: - Neuer Parameter /SYSTEM : SCRC überprüft nur die kritischen DOS-Systemdateien wie COMMAND.COM, IO.SYS usw. - Verbesserung des Parameter /DAILY: * /DAILY++ : Wie DAILY+, nur wird anstatt /FAST der Para- meter /SYSTEM benutzt. * /DAILY=xx:yy : Zeitsteuerung von SCRC. - Bug bei Option "Laufwerk durchsuchen 'x:'" behoben. - Bei "/INIT" kann jetzt angegeben werden ob SCRC nach ver- dächtigen Programmen und Companion-Viren suchen soll. - Bug behoben: Verzeichnisse validieren funktioniert jetzt korrekt. - Anti-Stealth ist jetzt kompatibel zu PC-DOS 7.0. - Dateianalyse: WWPack 3.03 wird erkannt. MEMCHK: - MEMCHK erzeugt und prüft jetzt Köder, um die Aktivität eines residenten Dateivirus zu erkennen. - Der ungenutze Bereich der HMA wird vor der Überprüfung gelöscht (reduziert die Möglichkeit von Falschalarmen). - MEMCHK wird von SCRC und SVS jetzt auch in der CONFIG.SYS aufgerufen. - MEMCHK ist jetzt kompatibel zu PC-DOS 7.0. - VSAFE bzw. TSAFE wird im Speicher erkannt und MEMCHK nicht mehr ausgeführt um Falschalarme zu vermeiden. - Verbesserte Überprüfung des UMB-Bereichs (-> <Tremor>) - Der BUFFERS-Check wird jetzt anhand der Angabe der CONFIG.SYS durchgeführt. - Bug behoben: MSCDEX wird nicht mehr als Virus erkannt. - Bug behoben: SMARTCAN wird nicht mehr als Virus erkannt. - Bug behoben: MEMCHK bleibt nicht mehr hängen, falls ein Virus im Speicher gefunden wurde. - Bug behoben: INT 21-Falschalarm bei DOS=LOW. - Bug behoben: Keine Exception unter OS/2 (DOS-Fenster). SSC: - Heuristik für MBR und Bootsektoren verschärft. - CD-ROM-Laufwerke können durchsucht werden. - Analyseflag A:M : WWPack 3.03 wird erkannt. - Falschalarme behoben: LIST 9.1 BRUN30 QuickBasic 2.0 EXE COMMAND.COM und GRAPHICS.COM (Novell DOS 7) HyperLock 386 EXE QSCHED COPYIIPC PCVP OS/2 Bootmanager Partition CHKPC/VSTOP (Virscan Plus) 1.20: ~~~~~ Allgemein: - Die Registrierung ist für Sysops kostenlos (Siehe SYSOP.TXT). - Neu: MEMCHK - Heuristische Speichersuche nach bekannten und unbekannten Viren. Die Überprüfung wurde extern (MEMCHK.EXE) und als Modul zu den bestehenden Komponenten (SCRC, SSC und SVS) hinzugefügt. - Bug in INSTALL.BAT behoben: Es wurden zu lange Label-Namen benutzt, was zu einer Endlosschleife geführt hat. - Bug in SETUP behoben: Das Programm funktioniert jetzt auch mit einer CONFIG.SYS/AUTOEXEC.BAT, die größer als 10k ist. - Der Versand dauert nicht mehr "einige Wochen". 8-) SVS: - Bootsektor-Heuristik verändert um Falschalarme bei Disketten mit IBM 3.3-Bootsektor zu vermeiden. - Erkennung von verdächtigen TSR-Programmen verbessert (Erkennung anhand Speicherbelegung und Heuristik). - Keine Falschalarme bei SUSPICIOUS-Programmen. - Der MCB-Name von SVS wird variiert um Erkennung des TSR durch Viren zu verhindern. - Verbesserter Löschschutz: Das Löschen von Programmen wird auch dann gemeldet wenn die Option "Löschen melden" nicht eingeschaltet ist, aber zuvor verdächtige Dateioperationen durchgeführt wurden. - SVS erkennt Kernel-Veränderung von VIRSTOP (Frisk) nicht mehr als Virus. - Bug behoben: SVS erkennt eigenen Dateizugriff bei der Instal- lation in der CONFIG.SYS nicht mehr als verdächtig an. - Bug behoben: SETUP benutze ungültiges Datei-Handle für den Dateizugriff auf CFG.SVS. - SVS ist jetzt kompatibel zu LOADHI und OPTIMIZE von QEMM. SSC: - Cursor-Bug bei "/?" behoben. - Parameter "/NOMEM" für MEMCHK-Heuristik. - Das Flag "A:M" (MODIFIZIERTES PROGRAMM) wurde korrigiert und erweitert. Es werden jetzt EXE-Programme mit hinzuge- fügten Code erkannt, die mit folgenden Packern bearbeitet wurden: PKLITE, DIET, LZEXE, COMPACK, TINYPROG, WWPACK. - Mit HACKSTOP verschüsselte Programme werden erkannt ("A:k"). SCRC: - Bug bei Prüfsummendateien mit HIDDEN und READ-ONLY Datei- attribut behoben (Option: "Prüfsummen verstecken"). - Der DOS-interne INT21-Einsprung kann jetzt auch gefunden werden, wenn DOS=HIGH nicht eingestellt ist. (s. Booten mit <F5>) - Parameter "/NOMEM" für MEMCHK-Heuristik. - SCRC erkennt jetzt wie SSC komprimierte Programme, die nachträglich modifiziert wurden. SCRC zeigt diese verdächtigen Programme mit einen blinkenden "(MOD!)" an.