home *** CD-ROM | disk | FTP | other *** search
/ CD Shareware Magazine 1997 January / CD_shareware_1-97.iso / DOS / EDITORES / F_MAC160.ZIP / F-MACRO.TXT < prev   
Encoding:
Text File  |  1996-08-28  |  8.0 KB  |  207 lines
  1. F-MACRO - Scanner and disinfector for MS Word document macro viruses
  2. Copyright (c) 1996 Data Fellows Ltd
  3.  
  4.  
  5. OVERVIEW
  6.  
  7. F-MACRO is a DOS program which searches Word 6.x and 7.x document
  8. files for known Word macro viruses and disinfects them by disabling
  9. and overwriting the viral macros. F-MACRO is able to parse the complex
  10. OLE2 file structure of Word document files making it very fast and
  11. accurate.
  12.  
  13.  
  14. TECHNOLOGY
  15.  
  16. This scanning and disinfection technology was developed by Data
  17. Fellows Ltd for the commercial F-PROT Professional package. F-PROT
  18. Professional for Windows, Windows 95, Windows NT and OS/2 as well as
  19. the realtime Windows VxD scanners have these macro scanning features
  20. built in to their normal scanners.
  21.  
  22. If you are running a VxD-based background protection from the F-PROT
  23. Professional suite, you will be notified on infected document files as
  24. soon as you try to open or copy them or when you are receiving such a
  25. document as an e-mail attachment or downloading it from www.
  26. Disinfection can also be done in realtime. A VxD-based solution
  27. provides significantly better protection than antivirus systems
  28. relying on the Word macro language.
  29.  
  30. For more information on the F-PROT Professional suite, see the web
  31. site of Data Fellows at http://www.datafellows.com/ or the web site of
  32. the US publisher, Command Software Systems at
  33. http://www.commandcom.com/.
  34.  
  35.  
  36. USAGE
  37.  
  38. Give scan path or drive as the first parameter.
  39.  
  40. Options:
  41.  
  42.      /DISINF    disinfects infected document
  43.      /AUTO      automatic disinfection, no prompting
  44.      /ALL       scans files with any extension
  45.      /REPORT=   Send the output to a file
  46.      /APPEND    Used with /REPORT - append to existing report
  47.      /NOSUB     do not recurse sub-directories
  48.      /LIST      list all scanned filenames
  49.      /COMPRESS  removes unreferenced data from file
  50.      /BACKUP    makes a copy of the file before disinfecting it
  51.  
  52. Examples:
  53.  
  54.      F-MACRO C:
  55.      F-MACRO C:\DOCS /ALL /DISINF /AUTO
  56.      F-MACRO Z:\USER\INFECTED.DOC /DISINF
  57.  
  58. Notes:
  59.  
  60. We recommend you make a backup copy of important document files before
  61. disinfecting them, just to be safe.
  62.  
  63. In order to be able to scan all document files, Word should be closed
  64. down before running F-MACRO: otherwise it will keep NORMAL.DOT and
  65. possibly other files locked. F-MACRO will give a warning message on
  66. such files.
  67.  
  68. If you have document files with non-standard extensions (something
  69. else than DOC or DOT), use the /ALL parameter to check all files.
  70.  
  71. If an another virus scanner still thinks that a document file is
  72. infected after being cleaned by F-MACRO, use the /COMPRESS option to
  73. remove unused slack areas from a DOC file. You can also use this
  74. option if a document has already been disinfected manually via
  75. Tools/Macro but you receiving a false positive from some scanner.
  76. /COMPRESS will compress all scanned files which have been 'Fast-saved'
  77. by Word. If you still get alarms from a cleaned file, open it Word
  78. and re-save with File/Save As.
  79.  
  80. Infected DOC files are always templates in structure, regardless of the
  81. file extension (normal extension for templates is DOT). Only templates
  82. can contain macros. A side-effect of this is that infected files can
  83. usually be saved by Word only as templates and only to the default
  84. template directory.
  85.  
  86. When disinfecting infected files, F-MACRO will normally change the file
  87. back to a normal document. However, some files have originally been
  88. templates so F-MACRO tries to determine this and preserve them as
  89. templates after disinfection.
  90.  
  91. If the file contains extra macros after disinfection, it has probably
  92. been a template in the first place and will not be changed to a
  93. document by F-MACRO. The same will happen if:
  94.  
  95. - The document contains user-defined menus or toolbars
  96. - The filename extension of the file was DOT
  97. - The filename of the file was NORMAL
  98.  
  99.  
  100. SUPPORT
  101.  
  102. For general info on macro viruses, see the macro section at
  103. http://www.datafellows.com/. For technical support, contact
  104. F-MACRO-Support@datafellows.com. To send samples of new or suspected
  105. viruses, send them to Samples@DataFellows.com or upload to our FTP
  106. site at ftp://ftp.Europe.DataFellows.com/incoming .
  107.  
  108.  
  109. UPDATES
  110.  
  111. Updates, when available, can be downloaded from the Data Fellows WWW
  112. and ftp sites.
  113.  
  114. The Data Fellows web site has up-to-date descriptions on the operation
  115. and effects of these macro viruses.
  116.  
  117.  
  118. HISTORY
  119.  
  120. Changes in F-MACRO 1.60 (August 2nd, 1996) from version 1.15 (May
  121. 30th, 1996):
  122.  
  123. Enhancements:
  124.  
  125.         Only the viral macros are removed from the document at the
  126.         disinfection.
  127.  
  128.         Variants are now identified in addition to the family (e.g.
  129.         Concept.A, Concept.C, etc.)
  130.  
  131.         Double-byte documents are now scanned and disinfected in case
  132.         of infection.
  133.  
  134.         A progress indicator showing the name of the file being
  135.         currently scanned was implemented.
  136.  
  137.         Remnants of a previous infection are identified as well. This
  138.         way F-MACRO can identify new variants in which one/some of the
  139.         macros were modified. Also if only a part of the viral macros
  140.         were removed leaving some, F-MACRO is able to detect this.
  141.  
  142. Fixes in scanning:
  143.  
  144.         If option /COMPRESS was used on fast saved files, every now
  145.         and then files were corrupted. This has been fixed. Also the
  146.         problem at compression where the resulting files were
  147.         corrupted to fixed 1536 bytes length was fixed.
  148.  
  149.         The macro parsing was enhanced to handle such documents as
  150.         HTML.DOT, which were reported "Macros are corrupted". Another
  151.         example of such document is WEBVIEW.DOT from MS Internet
  152.         Assistant.
  153.  
  154.         Disinfection failed on some cases so that the document
  155.         couldn't be opened in Word 7 anymore. In Word 6 these
  156.         documents worked okay. This was true on documents that had
  157.         macros, toolbars plus some other interface elements. Fixed.
  158.  
  159.         Logics of setting document back to normal document from a
  160.         template were rewritten.
  161.  
  162. Identification:
  163.  
  164.         Added detection for Guess, Doggie, KillDLL, Reflex, PCW, MDMA,
  165.         Irish, Goldbug, Concept.E, Colors:C, NOP.B, Clock, NPad and
  166.         Buero. Use "F-MACRO /IDENTIFICATION" for a full list.
  167.  
  168.         Infection names were standardized according to CARO naming
  169.         standard (E.g. Pheew is reported as Pheew:NL).
  170.  
  171. Reporting:
  172.  
  173.         Reporting after disinfection "Macros removed succesfully."
  174.         changed to "File disinfected succesfully." as only the viral
  175.         macros are removed.
  176.  
  177.         When finding corrupted documents "Document is corrupted" is
  178.         reported in most cases instead of the old message "Document is
  179.         corrupted or open in another application"
  180.  
  181.         Added additional checking not to crash on badly corrupted
  182.         documents. Now the macro scanner survives even such documents
  183.         that cause Word to crash.
  184.  
  185.  
  186.  
  187. LEGAL
  188.  
  189. F-MACRO is protected by international copyright laws. F-MACRO is (c)
  190. 1996 Data Fellows Ltd, and it is not in public domain or freeware, but
  191. you are free to use and share this software with no charges in
  192. non-commercial private use. Use of this software in other environments
  193. is not allowed in Europe, Asia and Africa without a license to F-PROT
  194. Professional or a current license from Frisk Software International.
  195. To purchase a license, contact your local distributor listed in
  196. PRO.DOC. Please redistribute F-MACRO only with this documentation. You
  197. are not allowed to resell this software for your own profit (normal
  198. copying costs excluded) or claim to hold rights to this software.
  199. Although you may have the right to use F-MACRO, it will remain the
  200. exclusive property of Data Fellows. Data Fellows does not warrant that
  201. the software is error free and we will not cover any costs created by
  202. function or malfunction of this program. Data Fellows also disclaims
  203. liability for possible consequential damages. If you cannot agree to
  204. these restrictions, you should not use F-MACRO.
  205.  
  206. Copyright (c) 1996 Data Fellows Ltd, Finland
  207.