home *** CD-ROM | disk | FTP | other *** search

---

/ Experimental BBS Explossion 3 / Experimental BBS Explossion III.iso / virus / tbav609.zip / ADDENDUM.DOC

next >

Wrap

Text File  |  1993-12-06  |  13KB  |  341 lines

---

1.  
2. Addendum.Doc
3. ============
4.  
5. You will find the following information in this file:
6.  
7. 1)  Documentation of TbLanMsg
8. 2)  Documentation of TbLog
9. 3)  Renaming Anti-Vir.Dat
10. 4)  Detecting the presence of TBAV utilities
11. 5)  New command line options
12.  
13.  
14. 1) Documentation of TbLanMsg
15. ============================
16.  
17. TbLanMsg is a program that forwards TBAV messages to other machines.
18. Its purpose is to notify helpdesks or supervisors automatically of a
19. possible virus. If one of the resident TBAV utilities detects a virus,
20. an on-line message will be send to the specified machine. Also TbScan
21. sends a message to the specified machine or user if it detects a virus.
22.  
23. TbLanMsg currently only works on Lantastic networks. Versions for other
24. networks will be available soon!
25.  
26. Usage:
27.  
28. TbLanMsg should be installed on any workstation from where TBAV messages
29. should be broadcasted in case of a virus alert. There is no limit on
30. the number of workstations connected. The receiving machine (i.e. the
31. supervisor or helpdesk) does not has to load any TBAV software, the
32. LANtastic (R) redirector is sufficient.
33.  
34. Just like the other TBAV utilities TbLanMsg can be loaded in the
35. Config.Sys or AutoExec.Bat file, after the TbDriver invokation.
36.  
37. TbLanMsg becomes activated once the Lantastic (R) redirector
38. (REDIR.EXE) has been installed. It is NOT required that the workstation
39. or supervisor have been logged on to the network. TbLanMsg is always
40. able to send its messages, even when all servers are down!
41.  
42.  
43. Command line options:
44.  help                  ?  =display a helpscreen
45.  remove                r  =remove TbLanMsg from memory
46.  on                    e  =enable TbLanMsg
47.  off                   d  =disable TbLanMsg
48.  test                  t  =send test message
49. Options available at initial startup:
50.  user    = <username>  u  =user to send messages to
51.  dest    = <machine>   m  =machine to send messages to
52.  
53.  
54. Test (t)
55.  
56. This option can be used to transmit a test message. If you use option
57. 'test' at the initial invocation of TbLanMsg, it will notify the
58. supervisor/helpdesk that TbLanMsg has been activated.
59.  
60.  
61. User (u)
62.  
63. If you use this option, the TBAV messages will be send to the user
64. specified. The receiving user has to be logged on somewhere on the
65. network, otherwise the destination machine is is unknown. Option
66. 'dest' is recommeded, as in this case the receiving user does not
67. has to be logged on in order to receive the messages.
68.  
69. Note: The use of one of the options 'user' or 'dest' is highly 
70. recommended, otherwise TbLanMsg will send its messages to ALL users!  
71. If you specify both options the TBAV messages will be send to the 
72. specified machine only if the specified user has been logged on.
73.  
74.  
75. Dest (m)
76.  
77. If you use this option, the TBAV messages will be send to the machine
78. specified. You have to specify the name of the machine of the user who
79. should RECEIVE the TBAV messages. (The LANtastic (R) 'NET SHOW'
80. command will show you the name of the machine). TbLanMsg will not check
81. whether the entered name exists because it might be possible that that
82. machine is to be powered up later.
83.  
84. Note: The use of one of the options 'user' or 'dest' is highly 
85. recommended, otherwise TbLanMsg will send its messages to ALL users!  
86. If you specify both options the TBAV messages will be send to the 
87. specified machine only if the specified user has been logged on.
88.  
89.  
90. Example:
91.  
92. Suppose you have four machines: WORK1, WORK2, HELPDESK and SERVER. If
93. one of the TBAV utilities detects a virus, a message has to be send to
94. machine HELPDESK.
95.  
96. Machine WORK1:
97.         TbDriver.Exe
98.         TbScanX.Exe
99.         TbCheck.Exe
100.         TbLanMsg.Exe dest=HELPDESK
101.         AEX
102.         Ailanbio
103.         Redir.Exe WORK1 /Logins=2
104.  
105. Machine WORK2:
106.         TbDriver.Exe
107.         TbCheck.Exe
108.         TbMem.Exe
109.         TbLanMsg.Exe dest=HELPDESK
110.         TbFile.Exe
111.         AEX
112.         Ailanbio
113.         Redir.Exe WORK2 /Logins=2
114.  
115. Machine HELPDESK:
116.         AEX
117.         Ailanbio
118.         Redir.Exe HELPDESK /Logins=2
119.  
120. Machine SERVER:
121.         (Server is powered down)
122.  
123. Of course all users may connect to servers and log on, but it is not
124. required. The configuration above is sufficient to send all TBAV
125. messages to the helpdesk. Of course the helpdesk and server may also
126. load the TBAV utilities, but it is not required.
127.  
128.  
129.  
130. 2 Documentation of TbLog
131. ========================
132.  
133. TbLog is a TBAV log file utility. It writes a record into a log file
134. whenever one of the resident TBAV utilities pops up with an alert
135. message. Also when TbScan detects a virus a record will be written.
136.  
137. This utility is primarily intended for network users. If all
138. workstations have TbLog installed and configured to maintain the same
139. log file, the supervisor is able to keep track of what is going on
140. easily. When a virus enters the network he is able to determine which
141. machine introduced the virus, and he can take action in time.
142.  
143. A TbLog record consists of the timestamp on which the event took place,
144. the name of the machine on which the event occured, and an informative
145. message about what happenend and which files were involved.  The
146. information is very comprehensive and takes just one line.
147.  
148. Usage:
149.  
150. Just like the other TBAV utilities TbLog can be loaded in the
151. Config.Sys or AutoExec.Bat file, after the TbDriver invokation.
152.  
153. TbLog should be installed on every workstation. If you want to use all
154. workstations to maintain the same log file, it is recommended to load
155. TbLog after the network has been started.
156.  
157. TbLog will by default maintain a log file with the name TbLog.Log in 
158. the TBAV directory. If you want to use another filename or in on 
159. another disk or directory you can specify a filename on the command 
160. line of TbLog.
161.  
162.  
163. Command line options:
164.  help                  ?  =display this helpscreen
165.  remove                r  =remove TbLog from memory
166.  on                    e  =enable TbLog
167.  off                   d  =disable TbLog
168.  test                  t  =log test message
169. Options available at initial startup:
170.  machine = <machine>   m  =name of your machine
171.  
172.  
173. Test (t)
174.  
175. This option can be used to record a test message. If you use option
176. 'test' at the initial invocation of TbLog, it will record the time and 
177. machinename into the log file.
178.  
179.  
180. Machine (m)
181.  
182. With this option you can specify the name of the machine on which TbLog 
183. is loaded. This machine name will appear in the log file. On NetBios 
184. compatible machines TbLog will by default use the network machine name. 
185. On other networks - such as Novell - you have to enter the network name 
186. on the TbLog command line.
187.  
188.  
189.  
190. 3) Renaming Anti-Vir.Dat
191. ========================
192.  
193. Most of the TBAV utilities use a 'fingerprint' file named Anti-Vir.Dat.
194. These files are generated by TbSetup. Some users are afraid that a virus
195. might anticipate and delete the Anti-Vir.Dat files, and have requested
196. to make the name configurable.
197.  
198. To our opinion, renaming the Anti-Vir.Dat filename isn't the ultimate
199. solution: since the TBAV utilities have to find out the name somehow, a
200. virus could use the same method too and find out the Anti-Vir.Dat
201. filename too. Secondly, it would be confusing for novice users,
202. especially after a boot from a diskette, as the TBAV utilities will by
203. default assume that the fingerprint files are named Anti-Vir.Dat.
204. Third, if you use TbCheck, it will warn you automatically when the
205. Anti-Vir.Dat file is deleted, so there is actually no need to hide the
206. reference files.
207.  
208. However, if you feel you really must use a different name for security
209. reasons, you can do so by changing the keyword "AvFile" in the [TBAV]
210. section of the TBAV.INI file. All TBAV utilities will use the specified
211. name automatically. The support for this keyword is limited, so the
212. keyword can not be set from within the TBAV menu. Use an ASCII editor to
213. enter this keyword in the [TBAV] section.
214.  
215. Although all TBAV utilities will correctly use the specified filename,
216. they will continue to use the name 'Anti-Vir.Dat in the error messages
217. and on the screen, for consistency with the user manual.
218.  
219. NOTE! If you boot from a diskette once in a while to scan your system,
220. make sure that you have a TBAV.INI file on your diskette with the same
221. filename specification!
222.  
223.  
224.  
225. 4) Detecting the presence of TBAV utilities
226. ===========================================
227.  
228. Some users want to be able to find out in batch files whether some of
229. the resident TBAV utilities are installed in memory. Since all TBAV
230. utilities install a device-name once they become resident, this can
231. be done by using the 'if exist' statement.
232.  
233. Suppose a batch file should display an error message if TbScanX has
234. not been installed. The batch file would be:
235.  
236.     @echo off
237.     if not exist SCANX echo TbScanX has not been loaded!
238.  
239. Or you can branch to a label by using the goto command:
240.  
241.     if not exist SCANX goto noscanx
242.     bla bla
243.     :noscanx
244.     bla bla
245.  
246. The same method can be used to detect the other TBAV utilities. The
247. device names are:
248.  
249.     TbScanx:                SCANX
250.     TbCheck:                TBCHKXXX
251.     TbMem:                  TBMEMXXX
252.     TbFile:                 TBFILXXX
253.     TbDisk:                 TBDSKXXX
254.     TbLan:                  TBLANXXX
255.     TbLog:                  TBLOGXXX
256.  
257.  
258.  
259. 5) New command line options
260. ===========================
261.  
262. TbUtil:
263.     -   Option 'GetBoot <drive>'. You can use this option to copy the
264.         bootsector of the specified disk into a file.
265.  
266.  
267. TbClean:
268.     -   Option 'NoHeur'. This option can be used to prevent TbClean to
269.         use heuristic cleaning.
270.  
271.  
272. TbScan:
273.     -   Option 'Old'. This option can be used to disable the 'This
274.         program is rather old' message.
275.  
276.     -   Option 'Exec'. This option can be used to specify additional
277.         executable extensions to TbScan.
278.         TbScan considers the extensions .COM.EXE.OV?.SYS.BIN.BOO as
279.         executable, and scans files with these extensions by default.
280.         However, there are some additional files which have an internal
281.         layout that makes them suitable for infection by viruses. Although
282.         it is not likely that you will ever execute most of these files,
283.         you may want to scan them anyway.
284.  
285.         Some filename extensions (known to us) that may indicate an
286.         executable format are: .DLL.SCR.MOD.CPL.00?.APP
287.         The first four extensions indicate Windows executable files. They
288.         normally display "This program requires Microsoft Windows" when
289.         you try to execute them, so you probably won't run these files
290.         often under DOS. Even when they are infected by a DOS virus, they
291.         are not likely a threat as you don't execute them. Therefore
292.         TbScan does not scan these files by default. To make TbScan scan
293.         these files by default, specify the following command on the
294.         command-line or in the [TbScan] section of the TBAV.INI file:
295.  
296.             Exec=.DLL.SCR.MOD.CPL.00?.APP
297.  
298.         The question mark as wildcard is allowed.
299.  
300.         Warning! Be carefull about which extensions you specify:
301.         scanning a non-executable file causes unpredictable results, and
302.         may result in false alarms. To minimize the false alarms, TbScan
303.         will not apply heuristic analysis on the added executable
304.         extensions.
305.  
306.  
307. TbScanX:
308.     -   Option 'api' (i)
309.         This option can be used to enable the TbScanX API function calls.
310.  
311.         The interface consists of some multiplex calls (int 2Fh). Register
312.         AH should contain CAh.  Register AL contains the function request
313.         number.
314.  
315.         AL=0    InstallationCheck
316.             BX='TB'
317.  
318.             Return value:
319.             AL=FFh  TbScanX installed
320.             BX='tb'
321.  
322.         AL=4    ScanFile
323.             DS:DX   Name of the program file to be scanned.
324.  
325.             Return value:
326.             No Carry flag set       No signature found in file.
327.             Carry:                  Signature found in buffer!
328.                     ES:BX   ASCIIZ-name of virus (null terminated)
329.  
330.             Registers altered:
331.             AX,BX,CX,DX,SI,DI,BP,ES
332.  
333.     -   Added a new undocumented option 'xmsseg=<hexnum>' (xs). You can
334.         use this option to specify on which address the temporary XMS
335.         swap buffer should be located while files are being copied. The
336.         default address is 4000h. If you experience troubles using the
337.         XMS option, try if this option can solve it. Recommended values
338.         are from 2000h to 8800h (default is 4000h). Let us know if this
339.         helps and which value you use.
340.  
341.