home *** CD-ROM | disk | FTP | other *** search

---

/ Experimental BBS Explossion 3 / Experimental BBS Explossion III.iso / virus / virex.zip / VIREXPC.DOC

< prev

next >

Wrap

Text File  |  1993-10-01  |  51KB  |  1,067 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7.  
8.  
9.                        VIREX FOR THE PC USERS GUIDE
10.  
11.                           DATAWATCH CORPORATION
12.  
13.                         TRIANGLE SOFTWARE DIVISION
14.  
15.  
16.  
17.  
18.  
19.  
20.  
21.  
22.  
23.  
24.  
25.  
26.                         HOW TO CONTACT DATAWATCH
27.  
28. If you find a new virus, it is important that we learn about it, so that we
29. can update Virex for the PC.
30.  
31. Before November1, 1993, you can contact Datawatch at:
32.  
33.         Datawatch Corporation,
34.         Triangle Software Division
35.         P.O. Box 51489
36.         Durham, NC 27717
37.         Telephone: (919) 490-1277     FAX: (919) 490-6672
38.  
39. After November 1, 1993, you can contact Datawatch at:
40.  
41.         Datawatch Corporation
42.         Triangle Software Division
43.         P.O. Box 13984
44.         Research Triangle Park,
45.         NC  27709-3984
46.         Telephone: (919) 549-0711     FAX: (919) 549-0065
47.  
48.  
49.  
50.  
51.  
52.  
53.  
54. You can contact Datawatch on the following services:
55.  
56.                 AppleLink               DATAWATCH
57.                 CompuServe              73407,1751
58.                 America OnLine          DATAWATCH
59.                 GEnie                   DATAWATCH
60.                 DataGate BBS            919-419-1602. Settings are (8,N,1).
61.                 Internet                vpctech@DATAWATCH.COM
62.  
63. After November 1, 1993, the Datagate BBS number will change to (919) 549-0042.
64.  
65.  
66.  
67.  
68.  
69.  
70.  
71.  
72.  
73.                             Table of Contents
74.                             ~~~~~~~~~~~~~~~~~
75.         CHAPTER 1:  Overview of Virex for the PC
76.         CHAPTER 2:  Installing Virex for the PC
77.         CHAPTER 3:  Using the VPCScan Program
78.         CHAPTER 4:  Using the Virex TSR
79.         CHAPTER 5:  Using Virex for the PC in a Network Environment
80.         CHAPTER 6:  Using Virex for the PC in a Windows Environment
81.         CHAPTER 7:  Safe Computing Practices
82.  
83.         APPENDIX A:  Removing a Boot Sector Virus
84.         APPENDIX B:  Modifying the Protection File
85.         APPENDIX C:  Troubleshooting
86.         APPENDIX D:  Using the DataGate BBS
87.         APPENDIX E:  Novell Network Features
88.         APPENDIX F:  External Virus Signature File
89.  
90.  
91.  
92.  
93.  
94. <<<<<<<<<<<<<<< C H A P T E R  1: Overview of Virex for the PC >>>>>>>>>>>>>>>>
95.  
96. Virex for the PC provides comprehensive protection against computer viruses.
97. The current version of the program (at the time this manual was written)
98. includes the following enhancements:
99.  
100. * Detection of more than 1700 known viruses.
101.  
102. * Two installation methods: Quick (using default settings);
103.                             Custom (allowing customization).
104.  
105. * An enhanced Inoculate feature, which cannot only repair virus damage, but
106.   also protect your system from unknown viruses using a unique integrity check
107.   method.
108.  
109. * New disinfectors for more than 40 boot sector viruses.
110.  
111. The Virex for the PC package uses two programs to protect and repair your
112. files: VPCScan and Virex.
113.  
114. VPCScan: Identifying Known Viruses and Repairing Files
115. The first program is VPCScan (VPCSCAN.EXE), a utility program that can scan
116. existing files and memory for the presence of known viruses. VPCScan can
117. recognize the code signatures of known computer viruses and will alert you if
118. it finds one.The powerful Inoculate feature is the key to VPCScan's
119. effectiveness. Inoculate has two important capabilities. First, it can repair
120. files that have been damaged by common viruses (by means of a special emergency
121. disk that you create during installation, or by files created during
122. installation on your hard drive). Second, Inoculate can protect existing files
123. by comparing the current signature of each file with its previous version.
124. Thus, VPCScan can use Inoculate to disinfect all known boot sector viruses and almost
125. all file infectors, as well protect your system from many unknown viruses.
126.  
127. Virex: Efficient, Continuous Monitoring of the PC System
128. The second program is Virex (VIREX.COM), a terminate-and-stay-resident (TSR)
129. program that provides continuous virus protection. Virex alerts you:
130.  
131. * when you attempt to run a program that is infected with a known virus.
132.  
133. * when an attempt is made to run a program that has had its unique Integrity
134.   information changed.
135.  
136. * when you attempt to run a program that is not registered in the Integrity
137.   database (it will give you the opportunity to register the program before
138.   proceeding).
139.  
140. These three functions provide efficient protection against unknown viruses by
141. Integrity checking, and against known viruses by scanning programs on
142. execution. This virus protection uses less than 1KB of RAM memory.
143.  
144. Hardware and System Requirements
145. Virex for the PC requires a hard disk and operates on any IBM PC/XT, IBM PC/AT,
146. IBM PS/2, or 100% compatible computer using the PC-DOS (MS-DOS) 3.X or later
147. operating system. (If you have an IBM XT and do not have a high-density 5 1/4"
148. disk drive or a 3 1/2" disk drive, please contact Datawatch Customer Support
149. to obtain Virex for the PC on a low-density 5 1/4" disk.) A minimum of 512KB of
150. memory is recommended.
151.  
152. <<<<<<<<<<<<<<< C H A P T E R  2: Installing Virex for the PC >>>>>>>>>>>>>>>>>
153.  
154. You can install Virex for the PC using either of the following methods:
155.  
156. * Quick Installation: the easy installation that automatically chooses default
157.   settings and installs the program.
158.   (Note: If you are installing Virex for the PC from a hard drive or
159.   subdirectory, you must use Custom Install. Quick Install only functions
160.   from diskette.)
161.  
162. * Custom Installation: the more flexible installation that allows you to
163.   change default settings before installing the program.
164.   (Note: If you are installing Virex for the PC onto a Novell Network drive,
165.   you must perform a Custom Installation.)
166.  
167. With either method, easy-to-understand screens will keep you informed about
168. the progress of the installation. If you want to abort the installation at any
169. point, press ESC to select the Exit command. If you exit before the
170. installation is complete, you need to confirm your decision to exit, by
171. highlighting Yes and pressing enter.
172.  
173. If you want to perform the Quick Installation, proceed to the next section. But
174. if you want to perform the Custom Installation, skip now to the section titled
175. Custom Installation.
176.  
177. Quick Installation
178.  
179. The Quick Installation method provides you with the simplest antiviral
180. installation available. The Quick Installer will automatically:
181.  
182.         * Choose default settings.
183.         * Choose the source and target disk drives. (C:\VPC)
184.         * Scan local drives for viruses.
185.         * Copy the necessary files to your hard disk.
186.         * Create the Integrity database files that will aid in repairing
187.           damaged files.
188.         * Modify your AUTOEXEC.BAT file to load the Virex TSR each time you
189.           boot your computer (ONLY if you have chosen to use the Virex TSR).
190.         * Assist you in creating an emergency disk for future file repair and
191.           disk recovery. (Be sure to have a virus-free, formatted disk ready.)
192.  
193. Custom Installation
194.  
195. If you choose to perform a Custom Installation, the Installer will:
196.  
197.         * Scan local drives for viruses.
198.         * Copy the necessary files to your hard disk.
199.         * Create the Integrity database files that will aid in repairing
200.           damaged files.
201.         * Assist you in creating an emergency disk for future file repair and
202.           disk recovery. (Be sure to have a virus-free, formatted disk ready.)
203.  
204. But the Custom Installation also gives you flexibility by letting you change
205. the program's default choices for:
206.  
207.         * Source and target drives.
208.         * Drives to include in the Integrity database.
209.         * Installation of the Virex TSR for continuous protection.
210.         * Changes to the AUTOEXEC.BAT file.
211.           (Note: If you are installing Virex for the PC onto a Novell Network
212.           drive, you will need to perform a Custom Installation.)
213.  
214. <<<<<<<<<<<<<<< C H A P T E R  3: Using the VPCScan Program >>>>>>>>>>>>>>>>>>>
215.  
216. Using VPCScan
217.  
218. To scan a file for the existence of known viruses:
219.  
220.         1. Make the drive on which you installed VPCScan the current drive by
221.            typing <drive>: and pressing enter.
222.  
223.         2. Change to your Virex directory by typing CD <directory> and pressing
224.            enter.
225.  
226.         3. Type VPCScan <drive>:<pathname> and press enter, where
227.            <drive>:<pathname> indicates the drive, directory path, and name of
228.            the file to be scanned.
229.  
230.                 Example: VPCScan C:\GAMES\TOPSHELF.COM
231.  
232. Dealing with an Infection
233.  
234. If VPCScan finds a known virus, it will alert you and provide the following
235. options:
236.         a. Repair: attempt to remove the virus from the original file (if the
237.            Inoculate information is available, or if specific disinfectors are
238.            available).
239.  
240.         b. Delete: erase the infected file.
241.  
242.         c. Ignore: leave the file as it is.
243.  
244. WARNING: If you repair an infected file, it will be changed, and could possibly
245. become unusable.
246.  
247. OtherTechniques
248.  
249. * To scan a directory and its subdirectories, specify <drive>:<path>.
250.  
251.         Example: VPCScan C:\GAMES
252.  
253. * To scan a disk, specify <drive>:\.
254.  
255.         Example: VPCScan B:\
256.  
257. * To scan multiple disks, specify <drive>:\ <drive>:\.
258.  
259.         Example: VPCScan C:\ D:\ E:\
260.  
261. VPCScan will scan from the current directory down through the hierarchical
262. structure. It will scan the entire disk only if you start in the root directory
263. or if you specify <drive>:\.
264.  
265.         Example: VPCScan C:\
266.  
267. Note: Wild cards (* and ?) are valid in VPCScan commands.Once you have scanned
268. and disinfected all of the files on your hard disk, restart your computer by
269. switching it off, waiting ten seconds, and then switching it on again. Do not
270. simply press ctrl-alt-del to reboot as some viruses can survive this type of
271. boot.
272.  
273. Reports
274.  
275. When VPCScan is finished examining your files for the presence of known
276. viruses, it generates a report, named VPCSCAN.LOG, that details the results of
277. its examination. It indicates how many directories and files were examined,
278. how many files were found infected, how many files were repaired, and how many
279. files were deleted. It also indicates which files were infected, and what
280. viruses were found in those files. The report can be sent to a printer or
281. redirected to a file.
282.  
283. VPCScan Command Line Switches
284.  
285. VPCScan has features that control how scanning is conducted. These options are
286. executed through the command line: VPCSCAN C: -<options>.
287.  
288.         Example: VPCSCAN C: -M
289.  
290. -A:     Instructs VPCScan to scan all file types, including non-executable
291.         files such as text or spreadsheet files. In its normal operation,
292.         VPCScan searches only executable files (*.EXE, *.SYS, *.COM, and *.OV?)
293.         Viruses can cause damage only when they are in executable files or have
294.         infected a disk's boot sector. By using the -A option, however, you can
295.         be sure that there are no known viruses in any files on your computer.
296.         The -A switch also turns on the -L (Long search) option automatically.
297.         When the -A option is not specified and VPCScan is instructed to scan a
298.         directory containing only data files, it will return the message 0
299.         files scanned. This message means that it did not find any executable
300.         files.
301.  
302. -E:     Directs VPCScan to return an error level of 0 if and only if the system
303.         was completely tested and no viruses were detected. Otherwise, a non-
304.         zero errorlevel will return. An error condition will return a non-zero
305.         error level as well.
306.  
307. -F:     Scans a single floppy disk. After VPCScan completes a scan of a floppy
308.         disk, you will be asked whether you want to scan additional diskettes.
309.         The request to scan additional disks can be turned off with -F. This
310.         feature might be useful when operating VPCScan in batch mode to scan a
311.         single disk.
312.  
313. -I+:    Will alert you to signature changes and allow inoculation file updating
314.         or repair of modified files.-I<filename>: Lets you specify a
315.         non-default file name for your inoculation database. Using the + option
316.         (-I+<filename>) will make VPCScan add and update all new executable
317.         files to your inoculation database.
318.  
319. -L:     (Long scan) Scans the entire contents of a file. In its usual operation
320.         VPCScan selectively searches the specific areas of a file that viruses
321.         are most likely to infect. The -L search is a more thorough search;
322.         therefore, it takes more time. For this reason, we recommend that the
323.         -L option be used only in the following situations: to examine new
324.         files; to scan a hard disk for the first time before Virex has been
325.         installed on your system; or if you strongly suspect your system may
326.         have a virus.
327.  
328. -M:     Prevents VPCScan from searching the system memory of the computer for
329.         the presence of viruses. This is a time saving feature. If you are
330.         scanning multiple floppy disks and/or hard drives, there is no need to
331.         scan the system memory each time.
332.  
333. -O:     Scans only the specified directory and does not examine any
334.         subdirectories.
335.  
336. -R<filename>:  Creates an audit file, named <filename>, which lists all VPCScan
337.                alerts and responses. VPCScan names the default audit file
338.                C:\VPCSCAN.LOG. Results are updated with every VPCScan run.
339.  
340. -T:     Turns off the warning message that alerts you when your version of
341.         VPCScan is more than six months old.
342.  
343. -V:     Lets you verify your programs using the Protection file (VIREX.DAT).
344.         Using the + option (-V+) will update the existing Protection file.-V
345.         <filename>: Lets you verify your programs using a Protection file that
346.         has the  file name you choose.  Using the + option (-V+<filename>)
347.         will create or update this file.
348.  
349. -X:     Scans the entire first megabyte of memory. Normally, VPCScan limits
350.         memory scanning to the first 640K of memory that is accessible to DOS.
351.         Although unlikely, a virus could infect the memory between 640K and 1
352.         megabyte.
353.  
354. -#:     Lists all the viruses that VPCScan is currently capable of detecting.
355.         Virus-specific repair capability is noted by the term disinfector in
356.         parentheses next to the virus name. To print the virus listing, type
357.         VPCSCAN C: -#>PRN.
358.  
359. -!N:    Turns off the virus warning messages that are sent to the Novell
360.         console whenever a virus is found.
361.  
362. To further customize scanning, you can combine the preceding options. For
363. example, to perform a long scan of the files in the current directory, type
364. VPCSCAN C: -O -L and press enter. Note that there must be a space between
365. option codes.
366.  
367. The Inoculate Feature
368.  
369. The powerful Inoculate feature is the key to VPCScan's effectiveness. Inoculate
370. has two important capabilities. First, it can repair registered files that have
371. been damaged by common viruses (by means of a special emergency disk that you
372. create during installation). Second, Inoculate can protect existing files by
373. comparing the current signature of each file with its previous version. Thus,
374. Inoculate can use VPCScan to disinfect all known boot sector viruses and almost
375. all file infectors, as well protect your system from many unknown viruses.
376. Inoculate works by building and using three special files that protect your
377. computer from virus attacks and make repairs possible: CRITICAL.VRX, INOC.VRX,
378. and VIREX.DAT.  These three files comprise the Integrity database.
379.  
380. To remain effective, these three files must be updated regularly, and the
381. information must be stored on an emergency disk. To create or update the
382. Integrity database, add <drive>: and -I+<filename> to the VPCScan command line.
383.  
384.         Example: VPCScan C: -I+
385.         Example: VPCScan C: -I+inoc.vrx
386.  
387. (Note: All three Integrity database files INOC.VRX, CRITICAL.VRX, and VIREX.DAT
388. can be updated with one command by including both the -I+ and -V+ switches in
389. the command.
390.  
391. If VPCScan finds a file with a modified signature, a warning message will be
392. displayed. Pressing U will update the Integrity database and continue the scan.
393. If you suspect that the file was modified by a virus, press R to repair the
394. file. After choosing the repair option, you will see the another box if VPCScan
395. can successfully repair the file. If you press Y, the file will be repaired and
396. the scan will continue. If you press N, you will be returned to the previous
397. box with only the Update and Ignore options available. If VPCScan cannot repair
398. the file, you will see a message box, explaining why VPCScan could not repair
399. the file. After displaying this box, VPCScan will return you to the previous
400. message box with only the Update and Ignore options available.
401.  
402. The CRITICAL.VRX File
403.  
404. The CRITICAL.VRX file provides protection against boot sector viruses. Boot
405. sector viruses replace the boot sector and/or the partition table of your hard
406. drive. By copying these important parts of your hard drive, VPCScan can easily
407. remove any virus that might infect your hard drive by restoring the data you
408. had before the virus. Because boot sectors and partition tables very rarely
409. change, this type of protection is very effective. You must, however, update
410. your Integrity database whenever you alter your partition information or
411. upgrade to a new DOS version. The CRITICAL.VRX file also saves your CMOS
412. information because viruses can potentially damage it. This function does not
413. work on XT systems because they do not have CMOS. You should rebuild your
414. Inoculation file if you alter any CMOS information other than the date and
415. time. Note: Virex does not store extended CMOS settings.
416.  
417. The INOC.VRX File
418.  
419. The INOC.VRX file stores the Inoculation information about your executable
420. files. It saves a small part of the file along with the length and certain
421. integrity information about the file. With this information, VPCScan can
422. successfully repair almost all viral infections.
423.  
424. Using Inoculate on Files
425.  
426. You should update your Integrity database whenever you install new or updated
427. programs on your system, and continue to perform regular scans at more frequent
428. intervals. If VPCScan reports that your system has a virus infection or detects
429. an integrity signature change, Virex will first use the Inoculate feature to
430. attempt to repair the file. To repair all infected files, follow the normal
431. procedure for a scan. If you have chosen an alternative name for the INOC.VRX
432. file, add -I<filename> to the VPCScan command line.
433.  
434.         Example: VPCScan C: -Ivirex.ino
435.  
436. In this mode, VPCScan will alert you at each virus infection and will provide
437. the standard options of Disinfect, Remove, or Ignore. The Disinfect option will
438. use Inoculate even if a signature-based disinfector is available. If you choose
439. Disinfect, VPCScan will attempt the repair of the file. If it can successfully
440. repair the file, you will get a warning message. If you press Y, the file will
441. be restored to its pre-infection form. In certain situations it may be
442. impossible for VPCScan to rebuild the file. If VPCScan cannot repair the file,
443. another message will be displayed. VPCScan will then return you to the previous
444. message box with only the Remove and Ignore options available.
445.  
446. Using CRITICAL.VRX
447.  
448. You must use VPCScan to restore the information in CRITICAL.VRX file back to
449. your hard drive. When using any of these options, <filename> is not necessary
450. VPCScan defaults to CRITICAL.VRX. A <filename> is necessary only if you have
451. changed the name of your CRITICAL.VRX file. A <drive>: in all cases specifies
452. the drive to which you want to restore the information.1.  If you wish to
453. restore your master boot record and your partition table, use <drive>: and
454. -PA<filename> on the VPCScan command line.
455.  
456.         Example: VPCScan C: -PA
457.         Example: VPCScan D: -PAcritical.vrx2.
458.  
459. If you must restore your CMOS information, you need to add only the command
460. -PC<filename> to your VPCScan command line.
461.  
462.         Example: VPCScan -PC
463.         Example: VPCScan -PCcmossave.vrx
464.  
465. The Integrity Check Verification Feature
466.  
467. The VIREX.DAT Protection file contains the file signature information that
468. Virex uses to monitor your system from known and unknown viruses. We recommend
469. that, after booting for a virus-free floppy disk, you periodically check all of
470. these signatures using VPCScan╒s Integrity check verification feature.Using
471. -V<filename> will check the .DAT file named <filename> or your default
472. Protection file (probably VIREX.DAT).
473.  
474.         Example: VPCScan C: -V
475.         Example: VPCScan C: -Vmyprot.dat
476.  
477. If a known virus infection is found, you will be alerted and given the same
478. options as in a normal scan. If a file with a modified signature is found and
479. no inoculate record is available, you will see a warning box. Pressing U will
480. update the file's signature in the Protection file. Pressing I will ignore the
481. file's modified signature and continue scanning. If you suspect that the file
482. may be infected by an unknown virus, we recommend pressing I for Ignore and
483. then deleting the file using DOS.
484.  
485.  
486. <<<<<<<<<<<<<<< C H A P T E R  4: Using the Virex TSR >>>>>>>>>>>>>>>>>>>>>>>>>
487.  
488. Virex is a terminate-and-stay-resident (TSR) program that provides continuous
489. protection against both known and unknown viruses. Virex protects against known
490. viruses by checking programs when they are executed for the viral signatures of
491. known viruses. Virex protects against unknown viruses by measuring the
492. signature of a program each time it is run.
493.  
494. Using Virex
495.  
496. The Virex command, with no command line options, defaults to disk swapping
497. mode. This means that Virex keeps its virus signature information on disk until
498. it is needed. This technique allows Virex to occupy less than 1KB of RAM
499. memory.
500.  
501. Virex Options
502.  
503. If working memory is not a constraint, or if you do not want the slight speed
504. degradation that comes with disk swapping, Virex has other options:
505.  
506. -A:     Prevents Virex from registering and creating Inoculate information when
507.         new programs are run for the first time.  This feature is helpful if
508.         programs are self modifying.  Files are still scanned for known
509.         viruses.
510.  
511. -C:     Disables Integrity checking, and allows Virex to scan each executed
512.         program for known viruses only! (Note: In some rare situations,
513.         especially involving networks, it may be necessary to turn off
514.         Integrity checking completely. This approach is necessary if there is
515.         a configuration where you cannot access the Integrity file.)
516.  
517.         Note: If you use -C and -V together, you will lose all protection.
518.  
519. -R:     Reloads Virex. This switch is useful to load Virex after network
520.         drivers such as Novell NPX and NETX are used.
521.  
522. -S:     Loads all of the Virex code into memory the virus signature information
523.         into memory. This option causes Virex to take up approximately 4-5KB
524.         of RAM memory.
525.  
526. -V:     Allows you to check any preregistered program for changes (to the
527.         Integrity data only), and allows Virex to run without VPCScan. This
528.         option will use the Integrity information to check files for viruses,
529.         but does not perform a memory scan or repair files.It does not update
530.         the Protection file, nor does it protect unregistered programs.
531.  
532.         Normally, if Virex cannot find VPCScan, it alerts you that your system
533.         is unprotected.
534.  
535. Responding to Virex Alerts
536.  
537. The Virex TSR will alert you:
538. * when you attempt to run a program that is infected with a known virus.
539. * when an attempt is made to run a program that has had its unique Integrity
540.   information modified.
541. * when you attempt to run a program that is not registered in the Integrity
542.   database (it will give you the opportunity to register the program before
543.   proceeding).
544.  
545. These three cases are explained below.
546.  
547. Virus Identified
548.  
549. When you run a program, Virex performs an integrity check to make sure the file
550. is as it should be. If a problem is detected, Virex will attempt to use the
551. information in the INOC.VRX file to repair the damage. In most cases, it will
552. be successful. If it is not, it will then attempt to solve the problem using
553. its signature-based disinfectors. If Virex is still not successful, it will
554. offer you the opportunity to either delete the file or ignore the warning. If
555. you attempt to run a program that has been infected by a known virus, VPCScan
556. will be run to address the viral infection. If VPCScan can disinfect the
557. infected file, it will do so and will offer you the choice of printing or
558. saving a log of its activities, or simply exiting VPCScan. If VPCScan cannot
559. disinfect the file, you will be given the following VPCScan alert
560. message:
561.         Press R to remove (erase) the file from the disk.
562.         Press E to exit VPCScan and leave the infected file on disk.
563.  
564. Integrity Code Modified
565. If you attempt to run a program whose Integrity information has changed, but
566. which is not infected by a known virus, you will see a message box along with
567. information about the new and stored signatures for the file. Then another
568. alert box appears. If you suspect that the program which caused the alert is
569. infected with an unknown virus, and if you have previously used VPCScan to
570. create or update the Integrity database, then you should press R or run VPCScan
571. using the Inoculate feature to disinfect (repair) the file. If Virex is able to
572. successfully repair the file using its Inoculate information, and you press Y,
573. Virex will repair the file and allow it to run. If you press N, Virex will
574. leave the file in its modified state and will not run it.If Virex is not able
575. to repair the file using Inoculate information, you will be warned in a message
576. box. After you press any key, you will be given further options. If you press
577. B, Virex will update the Integrity information and allow the file to run. If
578. you press I, Virex will not change the Integrity information, and will not
579. allow the file to run. If you think that the program which caused the alert is
580. infected with an unknown virus, and if you have not used the VPCScan Inoculate
581. feature, you should delete the suspect file and replace it with an original
582. copy. If you think that the file's signature has changed for some reason other
583. than a viral infection, you should update the file's Integrity information in
584. the Virex Protection file (VIREX.DAT) and the INOC.VRX file. You can press B or
585. use the Integrity update feature of VPCScan or a file editor to update the
586. VIREX.DAT and INOC.VRX files.
587.  
588. Program Not Registered
589. If you try to run a program that is not on the Virex list of registered
590. programs, a message box will be displayed. If you press Y, VPCScan will scan
591. the file for known viruses using virus-specific detectors. If the file has no
592. known viruses, it will be added to the Integrity database and be allowed to
593. run.If the file is infected, another screen will appear. If you press R, Virex
594. will remove the file. If the file can be repaired you will be given that
595. option. After the file is repaired, it will be registered and will be allowed
596. to run. If you press I, Virex will not allow the file to run, and the Access
597. Denied message will appear.
598.  
599. <<<<<<< C H A P T E R 5: Using Virex for the PC in a Network Environment >>>>>>
600.  
601. Virex for he PC is compatible with Novell NetWare (versions 2.x, 3.x, and 4.x)
602. a popular software product for networking personal computers.
603.  
604. Using VPCScan with NetWare
605.  
606. VPCScan is designed to scan NetWare server drives for computer viruses. VPCScan
607. treats a server drive (for example, F:) like a local hard drive or floppy disk,
608. subject to the file protection constraints of NetWare. VPCScan will scan only
609. the files to which you have read/open access. A file that is read-protected
610. cannot be scanned, nor can it be infected. Furthermore, VPCScan will only scan
611. files that are not in use or that are in use and sharable (that is, more than
612. one person can use the same file simultaneously). A file that is in use and
613. non-sharable cannot be scanned for viruses. We recommend that you run VPCScan
614. as the NetWare network supervisor, so that all read-protected files can be
615. scanned. We also recommend that you use VPCScan when all users are logged off
616. of the server, so that all non-sharable files can be scanned.
617.  
618. Scanning a Server Drive for Viruses
619.  
620. VPCScan can be operated from a personal computer linked to a server; or in the
621. case of a non-dedicated server, from the server itself. The procedure for
622. scanning a server drive is:
623.  
624.         1. Make sure that you can access the NetWare server drive. You might
625.            need to log in to the server, or may simply type <server drive>:
626.            (for example, F:) for access.
627.         2. Make the location of VPCScan program the current drive (for example,
628.            by typing C: if VPCScan was installed on the C: drive).
629.  
630.         3. Type VPCScan <server drive>: (for example, VPCScan F:) to scan the
631.            server hard drive.
632.  
633. VPCScan will issue a warning message and list the names of any files that could
634. not be scanned. A file might have been read-protected or might have been in
635. use and non-sharable. If a server file is infected with a virus, VPCScan will
636. display the standard virus warning message and issue the following options:
637.  
638.         a. Repair: attempt to remove the virus from the original file (if
639.            VPCScan knows how to disinfect files infected by this particular
640.            virus).
641.  
642.         b. Delete: delete the infected file.
643.  
644.         c. Ignore: leave the file in its current state.
645.  
646. If an infected file is write-protected by NetWare, you will not be able to
647. repair or delete the file unless you have appropriate network access to that
648. file.
649.  
650. Using the Virex TSR.
651.  
652. If Virex is loaded on the server, you can type <server drive>:Virex -C. When a
653. file is executed from either the server or the local PC hard drive, it will be
654. scanned for known viruses. The -C command switch disables Integrity checking.
655. If the server copy is installed to look on the user's local drive for
656. C:\VPC\VIREX.DAT and for a shared version of C:\VPC\VPCSCAN.EXE, Integrity
657. checking can be used. Otherwise, Integrity checking must be turned off, using
658. the -C switch, for Virex to operate properly when run from the server. The use
659. of Virex is especially appropriate if you are operating a diskless workstation
660. in a network. In this configuration, there is no local hard drive to operate
661. Virex.
662.  
663. Installing Virex for the PC on a Network
664.  
665. The suggested location to install Virex and VPCScan on the server is the LOGIN
666. directory. Thus, Virex can be run from the AUTOEXEC.BAT file so that protection
667. begins when the station is powered up. You would not need to be logged in to
668. the server to run Virex from the LOGIN directory. Also, Virex and VPCScan
669. should be installed in the LOGIN directory using the Install program for Virex
670. to be configured correctly.
671.  
672. In the event that Virex discovers a virus in a file, it will call VPCScan to
673. disinfect or remove it. You can install a full copy, as long as each user has
674. a licensed copy. But you must take caution so that each station has a unique
675. copy, preferably in the user's home directory. This allows you to run Virex
676. with all protections intact. The Protection file could become corrupted if two
677. or more people were to use it at the same time.
678.  
679. Updating the Network Protection File
680.  
681. Because your network is likely to be changing on a regular basis, it will
682. probably be necessary to update your network Protection file. This update can
683. be done using the Install program or VPCScan. Running the Install program again
684. will require you to go through the entire installation sequence, and is not as
685. efficient as using VPCScan. Only the supervisor can update the network
686. Protection file. Before updating, it is necessary to make sure that no one on
687. the network is running Virex. If someone is running one of the TSRs, the
688. protection file could become corrupted. The best way to solve this problem is
689. to make sure that no one else is logged on to the network when the update is
690. created.The network protection file is \VIREX\VPC_NET.DAT off of the root of
691. any server volume. For example, if F:\ is the root of a server volume (instead
692. of a mapped drive), the Protection file would be in F:\VIREX\VPC_NET.DAT. To
693. update registration information using VPCScan, you would use the following
694. command:
695.                 VPCScan F:\ -V+F:\VIREX\VPC_NET.DAT
696.  
697. Updating Users through the Network
698.  
699. To update several users on your network, assuming they are also licensed, we
700. recommend copying the entire Virex for the PC disk into a directory on your
701. server. Then have each individual user run Install from that directory,
702. configuring it as the source directory, and specifying a directory on his or
703. her local drive as the destination.
704.  
705.  
706. <<<<<<< C H A P T E R 6: Using Virex for the PC in a Windows Environment >>>>>>
707.  
708.  
709. Virex for the PC is compatible with Microsoft Windows and Windows for
710. Workgroups. Both VPCScan and the Virex TSR can be used in a Windows
711. environment.
712.  
713. VPCScan:
714. Scanning and Treating Viruses under Windows
715.  
716. VPCScan can be run from within Windows in two different ways. The first way to
717. run VPCScan under Windows is to open a DOS window by clicking on the DOS icon
718. in the MAIN group. This action will temporarily put you at a DOS prompt, and
719. you can run VPCScan just as if you were in standard DOS mode.
720.  
721. The second way is to install VPCShell and its custom icon. This method will
722. allow you to double-click on a custom icon and call VPCScan under Windows. We
723. recommend, however, that you run VPCScan from within DOS. This method will
724. avoid any problems that might result from other tasks processing in the
725. background under Windows. This approach is necessary, especially if you are
726. using the Integrity checking and Inoculate features of VPCScan.
727.  
728. Preventing Virus Infections Using Virex
729.  
730. The Virex TSR will monitor DOS applications running under Windows for signature
731. changes and for viruses. If the signature of a file has changed, program
732. execution will be denied. You will not be given the option to run the program.
733. If a file is not registered, it will be automatically scanned for viruses, but
734. may not be added to the Integrity check list (depending on the switch settings
735. that Virex is running). If a virus is found, a standard virus warning with
736. options will be issued. Virex will not evaluate Windows applications for
737. signature changes.
738.  
739. Running the Virex TSR
740.  
741. The Virex TSR should be run before the execution of Windows. It is possible
742. that you have Windows installed to run automatically at startup (for example,
743. a line to run WIN has been placed in the AUTOEXEC.BAT file). If this is the
744. case, VIREX.COM should be placed before WIN in the AUTOEXEC.BAT file. Loading
745. Virex before Windows will protect all Windows DOS sessions including those
746. executed using the File Manager or Program Manager. If the command to start
747. Virex is placed after WIN, the Virex TSR will not run and your system will be
748. unprotected.
749.  
750.  
751. <<<<<<<<<<<<<<< C H A P T E R  7: Safe Computing Practices >>>>>>>>>>>>>>>>>>>>
752.  
753.  
754. You can reduce the risk of experiencing problems with a computer virus by
755. following these guidelines:
756.  
757.         * Use software that is obtained from reputable and reliable sources.
758.           In general, commercial software from well-known software publishing
759.           firms should be virus-free.
760.  
761.         * Treat public domain and shareware software with caution. Test the
762.           software with the VPCScan program before you use it. Remember,
763.           computer viruses do not have an opportunity to replicate themselves
764.           until you execute the program they have infected.
765.  
766.         * There have been instances in which infected commercial software has
767.           been inadvertently shipped to consumers. Although this problem occurs
768.           infrequently, Datawatch recommends that you test all new commercial
769.           software with the VPCScan program before you use it. Registering your
770.           software will enable manufacturers to contact you if the need arises.
771.  
772.         * Start your computer from the hard disk or from a single, write-
773.           protected floppy system disk (to avoid boot sector viruses). Be sure
774.           to check your floppy disk drives before booting your computer to
775.           avoid accidentally attempting to boot from an infected floppy disk.
776.           Never boot from an unscanned floppy.
777.  
778.         * All newly acquired software applications should be backed up, write
779.           protected, and put in a safe place. Always execute your application
780.           programs from backup copies or from fresh copies placed on your hard
781.           disk. This will prevent your original copies from being contaminated
782.           by a virus, and ensure that a fresh copy is always available should
783.           your working copy become damaged.
784.  
785.         * Make regular backups of files you have customized, such as your
786.           AUTOEXEC.BAT and CONFIG.SYS files. This will save you hours of work
787.           rebuilding the system in the event of a virus attack or a hard disk
788.           failure.
789.  
790.         * Systematically back up your important data files to ensure that you
791.           do not lose important work.
792.  
793.         * Be security conscious and promote security awareness throughout your
794.           organization. By backing up important application and data files,
795.           you will limit your losses in the event of a hard-disk crash, a virus
796.           attack, or any other sudden computer failure. These safe computing
797.           practices will not only help to safeguard your computer from viruses,
798.           but will help prevent the loss of important data in the event of a
799.           catastrophe.
800.  
801.           Note: You might wish to consult your dealer about useful hardware and
802.           software backup solutions.
803.  
804.  
805. <<<<<<<<<<<<<< A P P E N D I X   A: Removing a Boot Sector Virus >>>>>>>>>>>>>>
806.                      (Without CRITICAL.VRX)
807.  
808. If you downloaded Virex for the PC after your system had become infected by a
809. boot sector virus, or if you cannot recover using the Inoculate feature, then a
810. manual removal might be necessary. If you are using MS-DOS 5.0 or later, skip
811. to the section of this appendix titled "For MS-DOS 5.0 and Later Users."
812.  
813. Virus Identified but Not Disinfected
814.  
815. If after scanning your hard drive VPCScan finds a boot sector virus, but does
816. not offer to Disinfect it, follow this procedure to manually remove the virus:
817.  
818. 1. Reboot your computer from a clean, write-protected DOS disk. The DOS version
819.    on this disk must be the same as the DOS version on your hard drive.
820.  
821. 2. Type DIR SYS.COM and press enter to see if this DOS disk has the SYS command
822.    on it. If it does, skip to step 4.
823.  
824. 3. Insert your other DOS disks until you find the one with the SYS command on
825.    it.
826.  
827. 4. Type SYS <drive>: and press enter (for example SYS C:).
828.  
829. If you receive an error from DOS in this process, consult your DOS manual.
830.  
831. Infected Partition Table
832.  
833. If VPCScan still shows your computer to be infected after you have attempted
834. to manually remove the virus, your computer's master boot record (and possibly
835. its partition table) might be infected. To eliminate this kind of virus, you
836. will need to follow a more complex set of steps:
837.  
838. 1. Reboot your computer from a clean, write-protected DOS disk. The DOS version
839.    on this disk must be the same as the DOS version on your hard drive.
840.  
841. 2. Backup your hard drive using the DOS BACKUP command, MSBACKUP command (DOS
842.    6.0+), or a third-party backup utility.
843.  
844. 3. Run FDISK from your DOS disk and rebuild the hard drive's partition table.
845.    (Consult your DOS manual.)
846.  
847.    Note: If you have DOS 5.0 or higher, running FDISK /MBR will replace any
848.    versions master boot record. See the following section for complete
849.    instructions.
850.  
851. 4. Format your hard drive by typing FORMAT <drive>: /S and pressing enter (for
852.    example, FORMAT C: /S).
853.  
854. 5. Restore your hard drive using the DOS RESTORE command, MSBACKUP command (DOS
855.    6.0+), or a third-party backup utility.
856.  
857. Because boot sector viruses normally do not infect files, this method will
858. safely remove the virus from your hard drive.
859.  
860. For MS-DOS 5.0 and later users
861.  
862. There is an undocumented feature in the FDISK.EXE utility that is part of
863. MS-DOS (version 5.0 and later). It can remove most Master Boot Record viruses
864. without loss of data. Follow this simple procedure to remove a Master Boot
865. Record virus without loss of any data:
866.  
867. 1. Completely back up the infected machine.
868.  
869. 2. Restart your machine with a clean MS-DOS 5.x or above boot disk in the A:
870.    drive. Make sure that the MS-DOS 5.x or above utility called FDISK.EXE is on
871.    the disk and that the disk is write protected.
872.  
873. 3. Once booted directly to the A:> prompt, type FDISK /MBR and press enter.
874.    Almost immediately, you should return to the A:> prompt.
875.  
876. 4. Remove the diskette from the A: drive and restart the PC.
877.  
878. 5. Insert the original write-protected Virex for the PC disk into the disk
879.    drive and type A:VPCSCAN C: and press enter, where A: is the drive
880.    containing the Virex for the PC disk, and C: is your primary/startup hard
881.    drive.This scan should indicate that no Master Boot Record viruses remain on
882.    your hard drive.
883.  
884. Important Note
885.  
886. After a PC becomes infected with a Master Boot Record virus, the virus may
887. spread by infecting non-write-protected disks that are accessed by the infected
888. system. After following the above procedure and successfully removing the
889. resident virus, make sure that you scan all disks that have been used in this
890. infected machine. Once you have confirmed that they are clean, write protect
891. them. No virus can bypass this physical write-protection.
892.  
893.  
894. <<<<<<<<<<<<<< A P P E N D I X  B: Modifying the Protection File >>>>>>>>>>>>>>
895.  
896.  
897. Virex provides an alert for every attempt to run an unregistered program.
898. Normally you can register a program by running it while the Virex TSR is
899. active. This protection can also be specified by using the Install program or
900. by editing the VIREX.DAT Protection file. To modify the file directly, add the
901. appropriate line to the Protection file.
902.  
903. Integrity Database Registration
904.  
905. A file can be added to the VIREX.DAT file's Integrity database registration
906. list by adding a line in the form C=<Drive>:<path><filename>[<5-digit signature
907. number>] to the proper Protection (VIREX.DAT) file. Note that if this line is
908. added manually, Virex will generate a "modified signature" alert when it is
909. started. You will then have the option to update to the correct signature
910. automatically. By noting the correct signature, you can also update the
911. Protection file manually. The * and ? wildcards may not be used in the file
912. names listed in the signature file, because the signature for each file must
913. be individually calculated.
914.  
915.  
916. <<<<<<<<<<<<<<<<<<<< A P P E N D I X C: Troubleshooting >>>>>>>>>>>>>>>>>>>>>>>
917.  
918.  
919. * Virex tells me that the signature for a program that I am running has
920.   changed. What should I do?
921.  
922.   If this is the first time Virex has checked this program since you upgraded
923.   the program to a more recent version, the change is expected. You should
924.   update your signatures and continue using the program without concern. If, on
925.   the other hand, this alert is occurring on a program that has not been
926.   intentionally updated by you, it is possible Virex has detected changes due
927.   to infection by a new virus. You should abort the program and save a copy for
928.   sending to Virex Support either via our BBS or via mail. After booting from a
929.   clean system disk, run VPCScan in its -V+ -I+ mode so VPCScan can repair the
930.   file.
931.  
932. * A "bad signature" alert appears whenever you run the DOS command SETVER.
933.  
934.   Some few programs modify their own disk images under certain conditions in
935.   order to save configuration information internally. The MS-DOS utility SETVER
936.   is one such program. If a program repeatedly triggers Virex's "Changed
937.   Program" alerts, even after you have updated the integrity databases, it may
938.   be legitimately modifying itself. This is particularly likely if it is the
939.   ONLY program on your system that is changing. Datawatch is compiling a list
940.   of such "legitimately self-modifying" programs. You should check with our
941.   technical support group regarding the program you are using.  If we do not
942.   currently have the program you are using listed as "legitimately self-
943.   modifying", you may want to submit a copy to us via the Virex Support BBS or
944.   via mail so we can examine it.
945.  
946. * MS-DOS 6.0 USERS - Due to conflicts or startup problems it may be necessary
947.   to prevent AUTOEXEC.BAT and CONFIG.SYS from loading. MS-DOS 6.0 offers a
948.   feature that allows the user to boot their computer and not load AUTOEXEC.BAT
949.   and CONFIG.SYS. To boot your computer without these two files, restart your
950.   computer. When the text "Starting MS-DOS" appears, press and release the F5
951.   key or press and hold down the Shift key. The following text will be
952.   displayed:
953.  
954.            MS-DOS is bypassing your CONFIG.SYS and AUTOEXEC.BAT files.
955.  
956.   To see a list of up-to-date troubleshooting information please consult the
957.   latest version of the README file.
958.  
959.  
960. <<<<<<<<<<<<<<< A P P E N D I X  D:Using the DataGate BBS >>>>>>>>>>>>>>>>>>>>>
961.  
962.  
963. You can download Virex for the PC updates from our DataGate dial-in service.
964. DataGate is a BBS (Bulletin Board Service) that you may dial into by using a
965. communications program and a modem. (The number is 919-419-1602. After November
966. 1, 1993, the number will be 919-549-0042.)
967.  
968. Set Up
969.  
970. Set up your communications program for 8 data bits, no parity, 1 stop bit, and
971. ANSI emulation. DataGate supports speeds from 300 bps to 14,400 bps.
972.  
973. Using DataGate
974.  
975. If you have never dialed into DataGate, you will have to register yourself by
976. answering the few simple questions that you will be asked, and also give
977. yourself a password. Remember your password! You will not be able to re-enter
978. the BBS without it.DataGate╒s primary purpose is to provide support to you,
979. the Datawatch customer. So as soon as you enter the board, you will be able to
980. find answers to your technical questions in our "Questions and Answers"
981. Bulletin area, download product updates and new programs, and much more. In
982. addition to Datawatch customer support, DataGate also has many DOS, Windows,
983. and other utility files available for download.
984.  
985. Downloading VPCScan
986.  
987. To download the latest VPCScan, type the following at the Main Menu:
988.  
989.                 d VIRX??.ZIP and press enter
990.  
991. All necessary components will be stored in this file.Select your download
992. protocol to start the download process. Help is always available by typing H
993. and pressing enter where you get stuck and need assistance.
994.  
995. Entering Comments and Suggestions
996.  
997. Your comments and suggestions on the service that this BBS provides are always
998. welcome, and we look forward to reading your suggestions. You may leave us a
999. message by typing C and pressing enter at the Main Menu, outlining your ideas.
1000.  
1001.  
1002. <<<<<<<<<<<<<<< A P P E N D I X   E: Novell Network Features >>>>>>>>>>>>>>>>>>
1003.  
1004.  
1005. Installation
1006.  
1007. If you are on a Novell network, the Install program sends any virus alerts to
1008. the Novell console during the Virex for the PC install procedure. This method
1009. allows the system administrator to monitor users installing Virex for the PC
1010. and trace viral activity across the network. To turn this feature off, type
1011.  
1012.                 INSTALL -NONOTE and press enter.
1013.  
1014. This command will prevent the alerts from being sent to the console.
1015.  
1016. Using Virex on a Novell Network
1017.  
1018. If you are using Virex with a Novell Network, the network protection files for
1019. each server volume (as described in the User's Guide) should be flagged as
1020. Sharable/Read-Write. WARNING! If Virex has been automatically loaded prior to
1021. Novell NetWare drivers, Virex will be disabled by the loading of those drivers.
1022. Reloading Virex with the -R command line switch after NetWare drivers are in
1023. place will ensure that Virex is providing continuous protection. If you are
1024. attached to a Novell network, run VPCScan locally, and discover a virus on
1025. your local computer, VPCScan will notify both you and the Novell NetWare
1026. Console. If you wish to run VPCScan without this feature, use the -!N switch
1027. from the command line (for example, VPCSCAN -!N).If you are running NetWare
1028. 2.x, VPCScan will display the message on the console screen and write an entry
1029. to the LOG$MSG.LOG file, a NetWare log file.If you are running NetWare 3.x or
1030. 4.x, VPCScan will display only the "virus found" message to the console screen.
1031. No permanent log of these alerts will be kept on the server itself.
1032.  
1033.  
1034. <<<<<<<<<<<< A P P E N D I X   F: External Virus Signature File >>>>>>>>>>>>>>>
1035.  
1036.  
1037. The external virus signature file is a feature meant only for expert users. It
1038. allows new viruses to be detected, by means of their signatures, without having
1039. to wait for a new release of Virex for the PC. You should be careful. If you
1040. use the external signature file and add a virus signature that we are already
1041. using within our virus signature database, Virex will inform you that it has
1042. found a virus in memory. You should contact Datawatch before using this
1043. feature.
1044.  
1045. Signature File Format
1046.  
1047. The file containing external signatures must be designated C:\VIREX\VIREX.VIR
1048. to be recognized by VPCScan. The format of the file is as follows:
1049.  
1050. <virus-type><space><virus-name><space><ascii-signature-representation>!
1051.  
1052. The <virus-type> indicates whether the virus signature following is for a
1053. "Program" virus or a "Boot" virus. Use "P" for program viruses and "B" for
1054. boot sector viruses. You can also use a "#" as a comment line indicator, if you
1055. wish; such flagged lines will be ignored. The <virus-name> is the name of the
1056. virus. It may not contain any spaces. You might want to use underscores or
1057. hyphens instead of spaces. The <ascii-signature-representation> is the
1058. translation of the hex signature string into an ASCII form. Each byte is
1059. represented by a zero-filled, right-justified two-place sequence: the proper
1060. representation of a hex "0xf" would be "0f"; to represent "0xff," use "ff."For
1061. example, if a new virus called NewVirus, a program type virus, were to have a
1062. signature string of "1 2 3 4 5 6 7 8 9 a b c d e f," its entry in the external
1063. signature file (C:\VIREX\VIREX.VIR) would be:
1064.  
1065.         #A comment line for the NewVirus external signature file example P
1066.         NewVirus 0102030405060708090a0b0c0d0e0f !
1067.