home *** CD-ROM | disk | FTP | other *** search
/ Computer Shopper 87 / Issue 087 - May 1995 - 0595.iso / virus / technic.doc < prev    next >
Encoding:
Text File  |  1994-11-09  |  36.4 KB  |  985 lines
  1.  
  2.      ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
  3.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  4.    ┌─░ │ ░────┐                                    ┌─────░ │ ░─┐
  5.   ░░-░-░░▓▓▓▓▓│       ░    TECHNICAL DOC         │▓▓▓▓▓░░░-░-░░
  6.    └─░ │ ░────┘                                    └─────░ │ ░─┘
  7.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  8.      ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
  9.  
  10.  
  11.  
  12.  
  13.          1.   ░░░   INTERPRETATION OF SCANNER CODES
  14.                ░░      Heuristic names
  15.                 ░      Heuristic flags
  16.  
  17.          2.    ░░   Program TECHNICAL data and error returns
  18.  
  19.          3.    ░░   The Program WORKING parts
  20.  
  21.          4.    ░░   The Program ERROR messages
  22.  
  23.  
  24.  
  25.  
  26.   ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
  27.   ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  28.  ░░░░░  1   ░   Scan Code INTERPRETATIONS     │▓▓▓▓▓░░░░░░░
  29.   ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  30.   ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
  31.  
  32.  
  33.      If interested in a description of how Virus ALERT's
  34.      Heuristic scanner and cleaner works, see the Advanced
  35.      Readers doc, option (R) in the Help menu.
  36.  
  37.  
  38.  
  39.      HEURISTIC SCANNING ALGORITHM NAMES
  40.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  41.  
  42.      When Virus ALERT is scanning, it will display the terms 'Looking',
  43.      'Checking', 'Tracing', 'Scanning' or 'Skipping' to the right of
  44.      the filenames it lists as it runs. These terms are the different
  45.      heuristic algorithms VaScan, (the Virus ALERT scanning engine)
  46.      uses. VaScan will automatically choose the most appropriate
  47.      algorithm for each particular file checked.
  48.  
  49.  
  50.   ▓░░ ░░░░░░░░░░░░░░▓   THE NAMES
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.          name                  brief explanation
  58.  
  59.      ════════════════════════════════════════════════════════════
  60.          checking              checking around the program entry point
  61.          decrypting            decrypting encrypted coding
  62.          looking               the program entry point has been found
  63.          scanning              entire file is been scanned
  64.          skipping              file has been scanned, no reason to continue
  65.          tracing               chain of jumps is been followed
  66.  
  67.  
  68.  
  69.  
  70.  
  71.  
  72.  
  73.  
  74.     ░ DETAILED EXPLANATIONS
  75.     ░░░░░░░░░░░░░░░░░░░░░░░░
  76.  
  77.  
  78.    `CHECKING'
  79.  
  80.  
  81.      'Checking' indicates that the scanner has successfully located
  82.       the entry point of the program, and is scanning a frame of about
  83.       4Kb around the entry point. If the file is infected, the virus'
  84.       signature will be located in this area.
  85.  
  86.      'Checking' is a very fast and reliable scan algorithm.
  87.       Checking will be used on most unknown software.
  88.  
  89.  
  90.  
  91.    `DECRYPTING'
  92.  
  93.      'DECRYPTING' indicates that VaScan has detected encrypted coding in
  94.       the file and has engaged a real-time code emulator to determine if
  95.       the coding permutes.
  96.  
  97.  
  98.       A permuting code is the indication of a polymorphic virus, and
  99.       if found, VaScan analyses the code to determine the nature (and
  100.       name if known) of the virus.
  101.  
  102.  
  103.    `LOOKING'
  104.  
  105.      'Looking' indicates that VaScan has successfully located the entry
  106.  
  107.       point of the program in one step. The program code has been identified
  108.       so VaScan knows where to search without the need of additional analysis.
  109.  
  110.      'Looking' will be used on most known software.
  111.  
  112.  
  113.    `SCANNING'
  114.  
  115.      `Scanning' means that the scanner is scanning the entire file (except
  116.       for the exe-header which cannot contain any viral code). This algorithm
  117.       is automatically used when 'Looking', 'Checking' or 'Tracing' can't
  118.       be used safely.
  119.  
  120.  
  121.  
  122.       This is the case when the entry-point of the program contains
  123.       other jumps and calls to codes located outside the scanning
  124.       frame, or when the heuristic analyzer found something that
  125.       should be investigated more thoroughly.
  126.  
  127.      `Scanning' is a slower algorithm. Also, since it processes almost
  128.       the entire file including data areas, false alarms are more likely
  129.       to occur. The `Scanning' algorithm is used while scanning boot sectors,
  130.       SYS and BIN files.
  131.  
  132.  
  133.    `SKIPPING'
  134.  
  135.      'Skipping' is used for SYS and OVL files only. It simply means that
  136.       the file was scanned. As there are many SYS files containing no code
  137.       at all (like CONFIG.SYS), it makes absolutely no sense to waste time
  138.       scanning these files for viruses.
  139.  
  140.       The same applies to .OV? files. Many overlay files do not
  141.       deserve to be so called since they lack an exe-header.
  142.       Such files cannot be loaded through DOS, which makes them
  143.       just as invulnerable to direct virus attacks as .TXT files are.
  144.  
  145.  
  146.       If an .OV? file is of a type that the scanner determines is worthy
  147.       of scanning, and the scanner reports a virus has infected it, then
  148.       it would have had to involve one of the relatively few overlay files
  149.       which do contain an exe-header.
  150.  
  151.       In that case the infection was the result of the virus monitoring
  152.       the DOS exec-call (function 4Bh), which infects any program being
  153.       invoked that way including 'real' overlay files.
  154.  
  155.  
  156.    `TRACING'
  157.  
  158.      'Tracing' is a fast and reliable scan algorithm used primarily
  159.       for TSR-type COM files or Turbo Pascal-compiled programs, and
  160.       means that the scanner has successfully traced a chain of jumps
  161.       or calls while locating the entry-point of the program and is
  162.       scanning a frame of about 4Kb around this location.
  163.  
  164.       Most viruses will force the scanner to use 'Tracing'. If the
  165.       file has been infected, the signature of the virus will be
  166.       located in this area.
  167.  
  168.  
  169.  
  170.      HEURISTIC SCANNING FLAG SYMBOLS
  171.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  172.  
  173.      VaScan has 25 different heuristic scanning flags.
  174.  
  175.      Heuristic flags are the simple characters which appear
  176.      beside some of the files being scanned during a scan run.
  177.  
  178.      There are two kinds of flags: the simple informative ones appear
  179.      in Lower-case, the more serious flags appear in Upper-case.
  180.  
  181.      The lower-case flags are indicative of special characteristics
  182.      of the file being processed, whereas the upper-case warnings
  183.      may indicate a virus.
  184.  
  185.      The less important lower-case flags can be considered to
  186.      be for your information only. They provide you with file
  187.      information you might find interesting.
  188.  
  189.      The more serious warning flags printed in upper-case MIGHT
  190.      point toward a virus. It is quite normal that you have some
  191.      files in your system which can trigger an upper-case flag.
  192.  
  193.  
  194.       ░░  Flags will turn red if there is a possible virus.
  195.  
  196.   ▓░░ ░░░░░░░░░░░░░░▓   THE FLAG DESCRIPTIONS
  197.  
  198.                           Name / brief explanation
  199.  
  200.   ════════════════════════════════════════════════════════════
  201.  
  202.     #    -  Decryptor code found              F    -  Suspicious file access
  203.     !    -  Invalid program                   G    -  Garbage instructions
  204.     ?    -  Inconsistent header               K    -  Unusual stack
  205.                                               L    -  Program load trap
  206.     h    -  Hidden or System file             M    -  Memory resident code
  207.     i    -  Internal overlay                  N    -  Wrong name extension
  208.     J    -  Suspicious jump construct         O    -  Code overwrite
  209.     p    -  Packed or compressed file         R    -  Suspicious relocator
  210.     w    -  Windows or OS/2 header            S    -  Search for executables
  211.                                               T    -  Invalid timestamp
  212.     A    -  Suspicious Memory Allocation      U    -  Undocumented system call
  213.     B    -  Back to entry                     w    -  Windows or OS/2 header
  214.     D    -  Direct disk access                Y    -  Invalid bootsector
  215.     E    -  Flexible Entry-point              Z    -  EXE/COM determinator
  216.  
  217.  
  218.   ░ DETAILED EXPLANATIONS
  219.   ░░░░░░░░░░░░░░░░░░░░░░░░
  220.  
  221.   # - Decryptor code found
  222.  
  223.      The file possibly contains a self-decryption routine. Some copy
  224.      protected software is encrypted so this warning may appear for
  225.      some of your files.
  226.  
  227.      If, however, this warning appears in combination with, for
  228.      example, the 'T' warning, there could be a virus involved
  229.      and VaScan assumes the file is contaminated. Many viruses
  230.      encrypt themselves and cause this warning to be displayed.
  231.  
  232.   ! - Invalid program
  233.  
  234.      Invalid opcode (non-8088 instructions) or out of range branch.
  235.      The program either has an entry point that has been located
  236.      outside the body of the file, or reveals a chain of 'jumps'
  237.      that can be traced to a location outside the program file.
  238.      Another possibility is that the program contains invalid
  239.      processor instructions.
  240.  
  241.  
  242.      The program being checked is probably damaged, and cannot
  243.      be executed in most cases. Anyway, VaScan does not take any
  244.      risks and uses the 'scan' method to scan the file.
  245.  
  246.  
  247.  
  248.   ? - Inconsistent header
  249.  
  250.      The program being processed has an exe-header that does
  251.      not reflect the actual program lay-out. The DOS SORT.EXE
  252.      program will cause this warning to be displayed, because
  253.      the actual size of the program file is less than reported
  254.      in the 'size-of-load module' field in the exe-header.
  255.  
  256.      Many viruses do not update the exe-header of an EXE file
  257.      correctly after they have infected the file, so if this
  258.      warning pops up frequently, it seems you have a problem.
  259.  
  260.      This warning for the DOS SORT.EXE program is a known false
  261.      positive. (Hopefully MicroSoft will correct the problem
  262.      before the next release of DOS.)
  263.  
  264.  
  265.  
  266.   A - Suspicious Memory Allocation
  267.  
  268.      The program uses a non-standard way to search for,
  269.      and/or to allocate, memory. A lot of viruses try to
  270.      hide themselves in memory so they use a non-standard
  271.      way to allocate this memory.
  272.  
  273.      Some programs (high-loaders or diagnostic software)
  274.      also use non-standard ways to search or allocate memory.
  275.  
  276.  
  277.  
  278.   B - Back to entry
  279.  
  280.      The program seems to execute some code, and after that
  281.      it jumps back to the entry-point of the program. Normally
  282.      this would result in an endless loop, except when the
  283.      program has also modified some of its instructions.
  284.  
  285.      This is quite common behaviour for computer viruses. In
  286.      combination with any other flag VaScan will report a virus.
  287.  
  288.  
  289.  
  290.   D - Direct disk access
  291.  
  292.      This flag is displayed if the program being processed
  293.      has instructions near the entry-point to write to a disk
  294.      directly. It is quite normal that some disk related utilities
  295.      cause this flag to be displayed.
  296.  
  297.      If a number of your files, none of which have any business
  298.      writing directly to a disk, cause this flag to be displayed,
  299.      your system is probably infected by an unknown virus.
  300.  
  301.      Note that a program that accesses the disk directly does
  302.      not always have to be marked by the 'D' flag. Only when the
  303.      direct disk instructions are near the program entry point
  304.      will it be reported by VaScan.
  305.  
  306.      If a virus is involved, the harmful instructions are
  307.      always near the entry point, which is the place where
  308.      VaScan looks for them.
  309.  
  310.  
  311.  
  312.  
  313.  
  314.   E - Flexible Entry-point
  315.  
  316.      The program starts with a routine that determines its own
  317.      location within the program file. This is rather suspicious
  318.      because sound programs have a fixed entry point so they do
  319.      not have to determine this location.
  320.  
  321.      For viruses, however, this is quite common - about 50%
  322.      of the known viruses cause this flag to be displayed.
  323.  
  324.   F - Suspicious file access
  325.  
  326.      VaScan has found instruction sequences common to infection
  327.      schemes used by viruses. This flag will appear with those
  328.      programs that are able to create or modify existing files.
  329.  
  330.   G - Garbage instructions
  331.  
  332.      The program contains code that seems to have no purpose
  333.      other than encryption or avoiding recognition by virus
  334.      scanners. In most cases there will not be any other flags
  335.      since the file is encrypted and the instructions are hidden.
  336.  
  337.  
  338.      In a few cases this flag will appear for 'normal' files.
  339.      These files, however, are badly designed, which is the
  340.      reason the 'garbage' flag appears.
  341.  
  342.   h - Hidden or System file
  343.  
  344.      The file has the 'Hidden' or the 'System' file attribute set.
  345.      This means that the file is not visible in a DOS directory
  346.      display but VaScan will scan it anyway. If you don't know
  347.      the origin and/or purpose of this file, you might be dealing
  348.      with a 'Trojan Horse' or a 'joke' virus program.
  349.  
  350.      Copy such a file onto a diskette; then remove it from
  351.      its program environment and check if the program concerned
  352.      is missing the file. If a program does not miss it, you
  353.      will have freed some disk space, and maybe you have saved
  354.      your system from a future disaster in the process.
  355.  
  356.   i - Internal overlay
  357.  
  358.      The program being processed has additional data or code behind
  359.      the load-module as specified in the exe-header of the file.
  360.  
  361.  
  362.      The program might have internal overlay(s), or configuration or
  363.      debug information appended behind the load-module of the EXE file.
  364.  
  365.  
  366.   J - Suspicious jump construct
  367.  
  368.      The program did not start at the program entry point.
  369.      The code has jumped at least two times before reaching
  370.      the final start-up code, or the program jumped using an
  371.      indirect operand.
  372.  
  373.      Sound programs should not display this kind of strange
  374.      behaviour. If many files cause this warning to be displayed,
  375.      you should investigate your system thoroughly.
  376.  
  377.  
  378.   K - Unusual stack
  379.  
  380.      The EXE file being processed has an odd (instead of even)
  381.      stack offset or a suspicious stack segment. Many viruses
  382.      are quite 'buggy' by setting up an illegal stack value.
  383.  
  384.  
  385.  
  386.   L - Program load trap
  387.  
  388.      The program might trap the execution of other software. If the
  389.      file also causes flag M (memory resident code) to be displayed,
  390.      it is very likely that the file is a resident program that
  391.      determines when another program is executed.
  392.  
  393.      A lot of viruses trap the program load and use it to infect the
  394.      program. But some antivirus utilities also trap the program load.
  395.  
  396.   M - Memory resident code
  397.  
  398.      VaScan has found instruction sequences which could cause
  399.      the program to hook into important interrupts. A lot of TSR
  400.      (Terminate and Stay Resident) programs will trigger this flag,
  401.      because hooking into interrupts is part of their usual behaviour.
  402.  
  403.      If, however, a lot of non-TSR programs cause this warning flag
  404.      to appear, you should be very suspicious. It is likely that your
  405.      files have been infected by a virus that remains resident in memory.
  406.      Note that this warning does not appear with all true TSR programs.
  407.      Nor can TSR detection in non TSR programs always be relied upon.
  408.  
  409.  
  410.   N - Wrong name extension
  411.  
  412.      Name conflict. The program carries the extension .EXE but
  413.      appears to be an ordinary .COM file, or it has the extension
  414.      .COM but the internal layout of an .EXE file. A wrong name
  415.      extension might in some cases indicate a virus, but in most
  416.      cases it does not.
  417.  
  418.  
  419.   O - Code overwrite
  420.  
  421.      This flag will be displayed if VaScan detects that the
  422.      program overwrites some of its own instructions. However,
  423.      it does not seem to have a complete (de)cryptor routine.
  424.  
  425.  
  426.   p - Packed or compressed file
  427.  
  428.      The program has been packed or compressed. There are some
  429.      utilities that are able to compress a program file, like
  430.      EXEPACK or PKLITE. If the file was infected after the file
  431.      had been compressed, VaScan will be able to detect the virus.
  432.  
  433.  
  434.      However, if the file had already been infected before it
  435.      was compressed, the virus has also been compressed in the
  436.      process, and a virus scanner might not be able to recognize
  437.      the virus anymore.
  438.  
  439.      Fortunately, this does not happen very often, but you should
  440.      beware.  A new program might look clean, but can turn out to
  441.      be the carrier of a compressed virus. Other files in your system
  442.      will then be infected too, and it is these infections that will
  443.      be clearly visible to virus scanners.
  444.  
  445.  
  446.   R - Suspicious relocator
  447.  
  448.      Flag 'R' refers to a suspicious relocator. A relocator is a
  449.      sequence of instructions that changes the proportion of CS:IP.
  450.  
  451.      It is often used by viruses. Those viruses have to relocate the
  452.      CS:IP proportion because they have been compiled for a specific
  453.      location in the executable file; a virus that infects another
  454.      program can hardly ever use its original location in the file
  455.      as it is appended to this file.
  456.  
  457.  
  458.      Sound programs 'know' their location in the executable file,
  459.      so they don't have to relocate themselves. On systems that
  460.      operate normally, only a small percentage of the programs
  461.      should therefore cause this flag to be displayed.
  462.  
  463.   S - Search for executables
  464.  
  465.      The program searches for *.COM or *.EXE files. This by itself does
  466.      not indicate a virus, but it is an ingredient of most viruses anyway
  467.      (they have to search for suitable files to spread themselves). If
  468.      accompanied by other flags, VaScan will assume the file is infected
  469.      by a virus.
  470.  
  471.   T - Invalid timestamp
  472.  
  473.      The timestamp of the program is invalid: e.g. the number of seconds
  474.      in the timestamp is illegal, or the date is illegal or later than
  475.      the year 2000. This is suspicious because many viruses set the
  476.      timestamp to an illegal value (like 62 seconds) to mark that they
  477.      have already infected the file, preventing themselves from infecting
  478.      a file for a second time around.
  479.  
  480.  
  481.  
  482.      It is possible that the program being checked is contaminated
  483.      with a virus that is still unknown, especially if many files
  484.      on your system have an invalid timestamp. If only a very few
  485.      programs have an invalid timestamp, you'd better correct it
  486.      and scan frequently to check that the timestamp of the
  487.      files remains valid.
  488.  
  489.  
  490.   U - Undocumented system call
  491.  
  492.      The program uses unknown DOS calls or interrupts.
  493.      These unknown calls can be issued to invoke undocumented
  494.      DOS features, or to communicate with an unknown driver
  495.      in memory.
  496.  
  497.      Since a lot of viruses use undocumented  DOS  features,  or
  498.      communicate with memory resident parts of a previously loaded
  499.      instance of the virus, it is suspicious if a program performs
  500.      unknown or undocumented communications. Nevertheless, it does
  501.      not necessarily indicate a virus, since some 'tricky' programs
  502.      use undocumented features also.
  503.  
  504.  
  505.  
  506.   w - Windows or OS/2 header
  507.  
  508.      The program can be or is intended to be used in a
  509.      Windows (or OS/2) environment. As yet VaScan does not
  510.      offer a specialized scanning method for these files.
  511.      Of course that will change as soon as Windows or OS/2
  512.      specific viruses start occurring.
  513.  
  514.   Y - Invalid bootsector
  515.  
  516.      The bootsector is not completely in accordance with
  517.      the IBM defined bootsector format. It is possible that
  518.      the bootsector contains a virus or has been corrupted.
  519.  
  520.  
  521.   Z - EXE/COM determinator
  522.  
  523.      The program seems to check whether a file is a COM
  524.      or EXE type program. Infecting a COM file is a process
  525.      that is not similar to infecting an EXE file, which
  526.      implies that viruses able to infect both program types
  527.      should also be able to distinguish between them.
  528.  
  529.  
  530.      There are of course also innocent programs that
  531.      need to find out whether a file is a COM or EXE
  532.      file. Executable file compressors, EXE2COM converters,
  533.      debuggers, and high-loaders are examples of programs
  534.      that may contain a routine to distinguish between
  535.      EXE and COM files.
  536.  
  537.  
  538.   ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
  539.   ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  540.  ░░░░░  2   ░    Program TECHNICAL Data     │▓▓▓▓▓░░░░░░░░░
  541.   ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  542.   ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
  543.  
  544.  
  545.      SYSTEM REQUIREMENTS
  546.  ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░──
  547.  
  548.      Virus ALERT can be executed on any IBM or compatible PC.
  549.      Virus ALERT needs 250 K free memory to run, and requires
  550.      DOS 3 or higher. However, DOS 5 or higher is recommended.
  551.      Virus ALERT is compatible with networks, Windows, DR-DOS, etc.
  552.  
  553.  
  554.      MEMORY REQUIREMENTS
  555.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  556.  
  557.  
  558.      Free memory needed for the executable modules:
  559.  
  560.      VaScan           300 Kb
  561.      OnGuard           32 Kb
  562.      VaClean           96 Kb
  563.      VaUtil            64 Kb
  564.      Alert menus       50 Kb
  565.      Alert's 'Own' faster scanning file management system needs an
  566.      additional 128 Kb, (if not available, management reverts to 'Dos').
  567.  
  568.  
  569.      Free memory needed for the TSRs:
  570.  
  571.                   minimum               minimum
  572.                   to initialize:        left after set in place:
  573.  
  574.      OnGUARD      31 Kb                 1.2 Kb  (if put OnGUARD in upper memory)
  575.      VaDriver     5  Kb                   3 Kb
  576.  
  577.  
  578.      The Installation proceedure using option  (i)  in the ALERT menu requires
  579.      about 500 KB, because the scanner is used and because of the linkage of
  580.      menus involved. Typing: INSTALL at dos instead, saves about 50 KB.
  581.  
  582.  
  583.      EXIT CODES
  584.      ░▒▒▒▒▒▒▒▒░
  585.  
  586.  
  587.      VaScan terminates with one of the following exit codes:
  588.  
  589.      Errorlevel      0        No viruses found / No error occurred
  590.                      1        No files found
  591.                      2        Error occurred
  592.                      3        Files have been changed
  593.                      4        Virus found by heuristic analysis
  594.                      5        Virus found by signature scanning
  595.                    255        Self check failed
  596.  
  597.  
  598.  
  599.      VaUtil terminates with one of the following exit codes:
  600.  
  601.  
  602.      Errorlevel      0        No error occurred
  603.                      1        When option 'compare' fails or an error occurs
  604.  
  605.      All other utilities exit with one of the following exit codes:
  606.  
  607.      Errorlevel      0        No error occurred
  608.                      1        Error occurred
  609.  
  610.  
  611.   ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
  612.   ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  613.  ░░░░░  3   ░    The Program WORKING Parts     │▓▓▓▓▓░░░░░░
  614.   ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  615.   ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
  616.  
  617.    Virus ALERT executable modules:
  618.  
  619.      VaScan.exe                  -   virus scanning module
  620.      OnGuard.exe                 -   TSR floppy disk checking module
  621.      VaClean.exe                 -   file virus cleaning module
  622.      VaUtil.exe                  -   boot virus cleaning module
  623.      VaDriver.exe                -   control module for OnGUARD
  624.  
  625.  
  626.    Support Virus ALERT  modules:
  627.  
  628.      VaScan.lng                  -   message module for OnGUARD.exe
  629.      VaScan.sig                  -   virus signatures package for
  630.                                      VaScan.exe and OnGUARD.exe
  631.      VaDriver.lng                -   message module for VaDriver.exe
  632.  
  633.  
  634.  
  635.    Virus ALERT menus:
  636.  
  637.      ALERT.exe                   -   main ALERT menu system
  638.      Install.exe                 -   installation menu
  639.      Index.exe                   -   the hyper-text index
  640.      Utility.exe                 -   utilities menu
  641.      Net.exe                     -   networks menu
  642.  
  643.  
  644.      Note  -  For a list of all the document and support files,
  645.               see option (L) in the (second) Help menu screen.
  646.  
  647.  
  648.  
  649.  
  650.   ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
  651.   ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  652.  ░░░░░  4   ░    The Program ERROR messages    │▓▓▓▓▓░░░░░░
  653.   ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  654.   ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
  655.  
  656.  
  657.     VaScan VIRUS DETECTION MESSAGES
  658.     ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  659.  
  660.  
  661.       When VaScan detects a virus, a large red window
  662.       giving details about the virus is posted to the
  663.       middle of your screen.
  664.  
  665.  
  666.       ░  The different detail messages are:
  667.  
  668.           Infected by [name of virus] virus
  669.  
  670.                    - meaning that the file is infected
  671.                      by the virus mentioned.
  672.  
  673.  
  674.           Is Joke named [name of Joke]
  675.  
  676.                    - meaning that there are some programs which
  677.                      simulate that the system is infected by a
  678.                      virus. A joke is completely harmless.
  679.  
  680.  
  681.           Is Trojan named [name of Trojan]
  682.  
  683.                    - meaning that the file is a Trojan Horse.
  684.                      Do not execute the program but DELETE it
  685.                      immediately using the DELETE prompt.
  686.  
  687.  
  688.  
  689.           Damaged by [name of virus]
  690.  
  691.                    - meaning that (unlike an infected file) a
  692.                      damaged file contains not the virus itself,
  693.                      but has been DAMAGED by the virus.
  694.  
  695.  
  696.  
  697.  
  698.           Dropper of [name of virus]
  699.  
  700.                    - meaning that the file is acting as a  DROPPER
  701.                      program in that it has not been infected itself,
  702.                      but it does contain a bootsector virus and is
  703.                      able to install it in your bootsector when you try
  704.                      and load the program.
  705.  
  706.  
  707.           Overwritten by [name of virus]
  708.  
  709.                    - meaning that (unlike an infected file) some viruses
  710.                      OVERWRITE files. An overwritten file does not contain
  711.                      the virus itself, but has been overwritten with garbage.
  712.  
  713.  
  714.           'Probably'
  715.  
  716.                    - It is also possible that Virus ALERT may encounter a
  717.                      file that seems to be infected by a virus, although
  718.                      a signature could not be found.  In this case the
  719.                      prefix 'PROBABLY' is displayed before the message.
  720.  
  721.  
  722.      VaScan SCANNING ERROR MESSAGES
  723.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  724.  
  725.  
  726.      Cannot create logfile.       The specified log file path is illegal,
  727.                                   the disk is full or write protected, or
  728.                                   the file already exists and cannot be
  729.                                   overwritten.
  730.  
  731.      [Cannot read datafile]       VaScan needs access to its data file
  732.                                   to be able to tell you the name of the
  733.                                   virus. If it cannot access the data file
  734.                                   it displays this message instead of
  735.                                   the virus.
  736.  
  737.      Command line error.          An invalid or illegal command line option
  738.                                   has been specified.
  739.  
  740.  
  741.      No matching executable       The specified path does not exist,
  742.      files found.                 is empty, or is not an executable file.
  743.  
  744.  
  745.  
  746.      Sanity check failed!         VaScan detected that its internal checksum
  747.                                   does not match anymore. VaScan is possibly
  748.                                   contaminated by a virus. Obtain a clean
  749.                                   copy of VaScan, copy the program onto a
  750.                                   write protected boot diskette, boot from
  751.                                   that diskette and try again.
  752.  
  753.  
  754.      VaClean PROMPTS AND MESSAGES
  755.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  756.  
  757.  
  758.                VaClean.exe    - for File viruses
  759.  
  760.  
  761.      Attempt to violate           The cleaner will not disassemble this
  762.      license agreements.          program for obvious reasons.
  763.  
  764.      Encountered keyboard         The emulated program tries to read the
  765.      input request.               keyboard. This is very unusual for viruses,
  766.                                   so the file is probably not infected at
  767.                                   all.
  768.  
  769.  
  770.      Encountered an invalid       The emulator encountered an unknown
  771.      instruction.                 instruction. For some reason the emulation
  772.                                   failed. The program can probably not be
  773.                                   disinfected.
  774.  
  775.  
  776.      DOS program-terminate        The emulated program requests DOS to stop
  777.      request.                     execution. The program is not infected at
  778.                                   all, or infected by an overwriting virus that
  779.                                   does not pass control to its host program.
  780.                                   The program cannot be disinfected.
  781.  
  782.  
  783.      Jumped to original           The program jumped back to the start
  784.      program entry point.         position. It is very likely it is infected.
  785.                                   The program can probably be disinfected.
  786.  
  787.  
  788.      Undocumented DOS call        This is very common for viruses that add
  789.      with pointers to relocated   themselves in front of the COM type program
  790.      code.                        The program can probably be disinfected.
  791.  
  792.  
  793.  
  794.      Encountered an endless       The cleaner encountered a situation in which
  795.      loop.                        the program is executing the same instruction
  796.                                   sequences over and over again for hundreds of
  797.                                   thousands of times. It is unlikely that the
  798.                                   program will ever escape from this loop, so
  799.                                   the emulation will be terminated.
  800.  
  801.  
  802.      Ctrl-break pressed.          The user pressed (Ctrl-Break) so the clean
  803.                                   attempt is aborted.
  804.  
  805.      Emulation aborted for        If this message is shown, please send a
  806.      unknown reason.              copy of the file being emulated to LOOK
  807.                                   Software.
  808.  
  809.  
  810.      Sorry, the collected         The heuristic cleaning mode of the cleaner
  811.      information is not           is aborted and has not been successful. The
  812.      sufficient to clean          only option left is to restore the file
  813.      the file...                  from a backup or to re-install the program.
  814.  
  815.  
  816.  
  817.  
  818.      Collected enough material    The emulation of the virus provided VaClean
  819.      to attempt a reliable        with all information to disinfect the file.
  820.      clean operation.
  821.  
  822.      Some DOS error occurred.     Some DOS error occurred while trying to
  823.      VaClean aborted!             clean the file. Check that no files are
  824.                                   read-only or located on a write protected
  825.                                   disk, and make sure there is a reasonable
  826.                                   amount of free disk space.
  827.  
  828.  
  829.      The clean attempt seems      It seems that VaClean removed the virus
  830.      to be successful. Test       from the file. No doubt about the virus:
  831.      the file carefully!          it is gone. However, take care and test
  832.                                   the file carefully to see if it works
  833.                                   as expected.
  834.  
  835.  
  836.      Reconstruction failed.       The cleaner is going to emulate the file
  837.      Program might be over        to try to clean the file heuristically.
  838.      written. Trying an
  839.      emulation.
  840.  
  841.  
  842.      Emulation terminate:         The emulation process has been terminated
  843.      (reason)                     for the reason specified. The cleaner will
  844.      where (reason) can be        now consult the collected information to
  845.      one of the following:        see if it can disinfect the file.
  846.  
  847.  
  848.      1. Jump to BIOS code.        The virus tried to perform a call or jump
  849.                                   directly into BIOS code. This process can
  850.                                   not be emulated so it will be aborted. The
  851.                                   program can probably not be disinfected.
  852.  
  853.  
  854.      2. Approached stack crash.   The emulated program is approaching a
  855.                                   crash. Something went wrong while emulating
  856.                                   the program so it will be aborted. The
  857.                                   program can probably not be disinfected.
  858.  
  859.  
  860.  
  861.  
  862.  
  863.  
  864.  
  865.  
  866.      VaUtil  PROMPTS AND MESSAGES
  867.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  868.  
  869.      VaUtil.exe     - for Boot Sector virus
  870.  
  871.      VaUtil.exe  has no error messages.
  872.  
  873.  
  874.  
  875.      ONGUARD -  THE TSR MONITOR
  876.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░──
  877.  
  878.      Technical name               -  OnGuard.exe
  879.      Associate driver's name      -  VaDriver.exe
  880.  
  881.      ONGUARD  ERROR PROMPTS AND MESSAGES
  882.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  883.  
  884.  
  885.      Data file not found.         OnGuard has not been able to locate
  886.                                   the VaScan.sig data file.
  887.  
  888.  
  889.  
  890.      Not enough memory            There is not enough free memory to
  891.      when ONGUARD is              process the data file. Try to enable
  892.      already loaded and           in swapping upper memory, or if you
  893.      running                      are already doing so, try another
  894.                                   swapping mode.
  895.  
  896.  
  897.  
  898.      VaDriver  ERROR PROMPTS AND MESSAGES
  899.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  900.  
  901.      These messages also  relate to the use of ONGUARD.
  902.  
  903.      Another version of           You started a VaDriver.exe with another
  904.      VaDriver is already          version number or processor type than
  905.      resident!                    the VaDriver already in memory.
  906.  
  907.      Cannot remove VaDriver.      You tried to remove VaDriver from memory,
  908.      Unload other TSRs first!     but other resident software was loaded
  909.                                   after VaDriver. Resident softwares can
  910.                                   be removed from memory only by unloading
  911.                                   them in reverse order.
  912.  
  913.  
  914.      LAN support was  already     You tried to use the option 'net' for a
  915.      installed.                   second time, or VaDriver already enabled
  916.                                   network support automatically.
  917.  
  918.      VaDriver not active.         ONGUARD needs VaDriver, so you have
  919.      Load VaDriver first!         to load VaDriver first.
  920.  
  921.      VaDriver is not              The version of VaDriver found in
  922.      <version x.xx>.              memory does not match the version
  923.                                   number of ONGUARD. Make sure you
  924.                                   do not mix version numbers!
  925.  
  926.      This version of              You are using a processor optimized
  927.      VaDriver requires            version of VaDriver which cannot be
  928.      a <typeID> processor.        executed by the current processor.
  929.  
  930.  
  931.      GENERAL PROBLEMS AND SOLUTIONS
  932.      ░▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒░
  933.  
  934.  
  935.   ░ MEMORY OPTIMIZERS
  936.  
  937.  
  938.      Problem:
  939.  
  940.         Some memory optimizers, such as MemMax, MemMaker and Optimize,
  941.         may not work properly if a resident Virus ALERT utility such as
  942.         VaDriver is on board. This is because the resident utility can
  943.         act as a device driver as well as a normal executable, depending
  944.         on the way it is loaded, and this confuses some memory optimizers.
  945.  
  946.         Also a utility may hook itself into DOS for better virus protection,
  947.         and they can not be moved in memory once loaded. Any attempt to do
  948.         so by the memory optimizer simply hangs the machine.
  949.  
  950.      Solution:
  951.  
  952.         Remove the Virus ALERT utilities from the AutoExec.Bat file
  953.         and/or Config.Sys file and run the memory optimizer. When finished
  954.         add the utilities back to the AutoExec.Bat and Config.Sys file,
  955.         and highload them if desired.
  956.  
  957.  
  958.  
  959.  
  960.  
  961.  
  962.   ░ DOS APPEND
  963.  
  964.      Problem:
  965.  
  966.         The /X switch of the DOS APPEND command needs close watching
  967.         for the following reason: APPEND is able to 'fool' programs
  968.         by accessing another file than the file requested, if a file
  969.         with the same name exists in another directory.
  970.  
  971.         For example, if you APPEND a directory with /X and then try
  972.         to delete *.BAK files in another directory when no such files
  973.         exist in the directory, then the .BAK files in the APPENDed
  974.         directory will be deleted instead.
  975.  
  976.      Solution:
  977.  
  978.         VaScan switches off APPEND automatically if they detect that
  979.         it has been loaded, but the resident Virus ALERT utilities don't.
  980.         Therefore be very careful if you need to use the APPEND /X option
  981.         and switch it off again as soon as you don't need it anymore.
  982.  
  983.                                                 FINISHED    press ESC to exit
  984.  
  985.