home *** CD-ROM | disk | FTP | other *** search
/ Chip 1997 March / CHIP Mart 1997.iso / prg / ara424 / HMVS / HMVS.TXT < prev    next >
Encoding:
Text File  |  1996-11-30  |  12.9 KB  |  309 lines
  1.  
  2.         ┌──────────────────────────────────────────────────────────┐
  3.         │          Heuristic Macro Virus Scanner/cleaner           │
  4.         │                      (user's manual)                     │
  5.         │                                                          │
  6.         │           (c) Jan Valky & Lubos Vrtik, Slovakia          │
  7.         └──────────────────────────────────────────────────────────┘
  8.  
  9.                            Last update: 1-dec-96
  10.  
  11. Sorry, this is only short version of DOX, because we're lazzy to
  12. write full DOX :)
  13.  
  14. Excuse us our english plz, it is not our natural language ;(
  15.  
  16. IF YOU WANT HELP US TO IMPROVE HMVS, PLZ SEND US ANY COMMENTS OR IDEAS.
  17. NEW MACRO VIRUSES ARE WELCOMED. SEND US PLZ ALL MACRO VIRUSES HMVS CAN'T
  18. DETECT BY NAME.
  19.  
  20. ══════════════════════════════════════════════════════════════════════════
  21.                                CONTENTS
  22.  
  23. 1.   HOW TO USE HMVS
  24. 2.   METHODS USED IN HMVS
  25. 2.1  Available options, when virus was found
  26. 3.   WHAT IS MACRO VIRUS :)
  27. 4.   HEURISTIC FLAGS DISPLAYED BY HMVS
  28. ══════════════════════════════════════════════════════════════════════════
  29.  
  30. 1.   HOW TO USE HMVS
  31. ──────────────────────────────────────────────────────────────────────────
  32.  
  33. Without paramaters will HMVS scan only *.DOC and *.DOT files in
  34. current directory and all its subdirectories.
  35.  
  36. Usage: HMVS drive:[\\path] switches
  37. switches:
  38. /H,/?        - this help
  39. /ALL         - scan all files (*.*)
  40. /REP         - output to log file HMVS.LOG
  41. /REP=file    - output to specified log file
  42. /NOH         - disable heuristics, only scanning
  43. /NOS         - disable scanning, only heuristics
  44. /MAC         - prompt if file contains macros
  45. /IA          - nonstop scanning without prompt
  46. /CA          - automatically clean all infected files
  47. /RA          - automatically rename all infected files
  48. /NOB         - disable user break with ESC key
  49. /EXT         - decrypt execute only macros (reg. version only)
  50.  
  51. Short description of command line parameters:
  52.  
  53. /H
  54. /?           Displays help about HMVS using
  55. /ALL         All files will be scanned (*.*)
  56.              Without this parameter only files *.DOC and *.DOT
  57.              will be scanned.
  58.  
  59. /REP         Report will be logged to file HMVS.LOG
  60.  
  61. /REP=file    Report will be logged to user specified file
  62.  
  63. /NOH         Disables heuristic analysis. Only standard scanning
  64.              method will be used.
  65.  
  66. /NOS         Disables standard scanning method. Only heuristics
  67.              will be used.
  68.              You can use both switch (/NOS /NOH) together :)
  69.              This combination can save your time, if you want get
  70.              informations about macros in file (use also /MAC
  71.              or /REP switch)
  72.  
  73. /MAC         If this switch was entered program will stop at each
  74.              file, that contains one or more macros. Otherwise program
  75.              will stop only when file is infected by known virus,
  76.              when file is probably infected or suspected.
  77.  
  78. /IA          With this option program won't stop on any file.
  79.              You will use probably this option together with /REP
  80.              switch.
  81.  
  82. /CA          If you want to automatically clean any infected
  83.              or probably infected files, use this switch.
  84.              Files will be cleaned only if creating of backup copy
  85.              was succesfull.
  86.  
  87.              WARNING: ALL MACROS WILL BE REMOVED FROM INFECTED FILE
  88.  
  89.              After cleaning you should check if cleaned file is OK.
  90.              If something went wrong, you can restore original
  91.              file from backup copy. If HMVS fails plz send us file, that
  92.              couldn't be cleaned.
  93.  
  94. /RA          With this switch HMVS'll automatically rename any infected
  95.              or probably infected files.
  96.  
  97. /NOB         With this option HMVS can't be stopped with ESC key.
  98.              Otherwise you can break program in any time with pressing
  99.              the ESC key.
  100.  
  101. /EXT         This option allow you to decrypt execute only macros.
  102.              (Available only for registered users).
  103.              With this option you will be prompted at each file
  104.              containing execute-only macro(s), if you want to
  105.              decrypt it. If yes, program will first create a backup
  106.              copy of file (*.VI?) and them decrypt all execute-only
  107.              macros.
  108.              This is nice option for AV researcher or experienced
  109.              users.
  110.  
  111.              WARNING: If you use this option, scanning is disabled !
  112.  
  113. 2.   METHODS USED IN HMVS
  114. ──────────────────────────────────────────────────────────────────────────
  115.  
  116. When MS Word documents or templates are scanned, HMVS do the following:
  117. - searches for macros in document or template
  118. - decrypts each macro (if encrypted)
  119. - uses standard scan method (only macros are scanned, not whole file !)
  120.   Some antiviral product have problem to detect how and where macros
  121.   are placed, so they must scan whole file :)
  122. - uses heuristics
  123.   Each macro is analysed and checked for some operations. If heuristics
  124.   found some checked operation, it set flag for it.
  125.  
  126. After these operations HMVS displays results of scanning and heuristic
  127. analysis.
  128.  
  129. HSMV uses two methods to detect macro viruses:
  130.  
  131. ■ Standard method based on 'identifications strings'
  132.   This is well know method frequently used in most virus scanners.
  133.   Search string method is fast and reliable, but can search only for
  134.   known viruses.
  135.  
  136. ■ Heuristic analysis
  137.   HMVS uses unique heuristic technology. HMVS uses special semi-emulator
  138.   of word macro commands (something like length disassembler, if you
  139.   know, what is it ...). It trace trough each command in macro,
  140.   step by step, and try to understand it.
  141.  
  142. Both methods are good. Standard method can detect macro virus exact by
  143. its name, heuristics can detect known and unknown viruses.
  144.  
  145. Good antivirus products can use both methods. With large virus databases
  146. they can reach top hit-rate and they can detect unknown viruses too.
  147.  
  148. Heuristics may produce false positive alarms in same cases. We'we checked
  149. HMVS with some files containing antimacros (for example DOCGUARD.DOC).
  150. Because this file contains macros is doing some operations typical for
  151. viruses, this file for HMVS seems to be infected by a macro virus.
  152.  
  153. There is an example of false alarm (file DOCGUARD.DOC)
  154.  
  155. C:\MACRO\WINWORD\DOCGUARD.DOC
  156. Stream: WordDocument (MS Word)
  157. * document contains 7 macros with total length 15065 bytes
  158. {AutoOpen} {Remove} {Install} {AutoClose} {NormalAutoExec} {NormalAutoOpen}
  159. {NormalFileOpen}
  160. ! Copies macros into the template ('MacroCopy') [3 x]
  161. + Contains execute-only (encrypted) macros
  162. + Detects if macro is execute-only ('IsExecuteOnly()')
  163. + Uses the 'FileSaveAs' macro command
  164. + Enables auto macro processing ('DisableAutoMacro')
  165. + Detects number of macros in template or document ('CountMacros()')
  166. + Detects macros names in template or document ('MacroName$()')
  167. ! Deletes other files ! ('Kill') [2 x]
  168. + Contains macros but is named *.DOC
  169. ! Creates or edits macro ('ToolsMacro .Edit')
  170. Result of heuristics: POLY.CRYPT.COMPANION.MACRO virus
  171.  
  172. PROBABLY INFECTED WITH A MACRO VIRUS !!!
  173.  
  174. 2.1  Available options, when virus was found
  175. ──────────────────────────────────────────────────────────────────────────
  176.  
  177. If HMVS detect that file is infected, it displays something like
  178. the following example:
  179.  
  180. Note: Macros enclosed in [] are unencrypted, macros enclosed in {} are
  181.       encrypted.
  182.  
  183.       Flags used for result of heuristics:
  184.  
  185.       POLY        - might be polymorph or self modifying or antiheuristic
  186.                     virus
  187.       CRYPT       - encrypted virus
  188.       STEALTH     - uses 'stealth' method
  189.       COMPANION   - companion macro virus (links template with document)
  190.       MACRO       - macro virus
  191.  
  192. C:\MACRO\WINWORD\XENIXOS\XENIXOS.DOC
  193. Stream: WordDocument (MS Word)
  194. * document contains 11 macros with total length 31342 bytes
  195. {Drop} {Dummy} {AutoExec} {AutoOpen} {Datei╓ffnen} {ExtrasMakro}
  196. {DateiBeenden} {DateiDrucken} {DateiSpeichern} {DateiSpeichernUnter}
  197. {DateiDruckenStandard} 
  198. ! Copies macros into the template ('MacroCopy') [60 x]
  199. + Contains execute-only (encrypted) macros
  200. + Uses the 'FileSaveAs' macro command
  201. + Disables global template write access warnings
  202. + Enables auto macro processing ('DisableAutoMacro')
  203. - Might prevent the ESC key from interrupting a macro ('DisableInput')
  204. + Detects number of macros in template or document ('CountMacros()')
  205. + Detects macros names in template or document ('MacroName$()')
  206. - Gets parameters from WIN.INI or WINWORD6.INI ('GetProfileString$()')
  207. ! Executes other DOS or Windows programs ! ('Shell') [1 x]
  208. ! Writes directly to a sequential file ! ('Print #') [381 x]
  209. + Changes DOS attributes of other files ('SetAttr')
  210. - Changes current directories ('ChDir')
  211. - Opens a sequential file for input or output of text ('Open #')
  212. - Closes an open sequential file ('Close #')
  213. + Contains macros but is named *.DOC
  214. Contains virus pattern: <Xenixos> 
  215. Result of heuristics: CRYPT.MACRO virus
  216.  
  217. INFECTED WITH A MACRO VIRUS !!!
  218.  
  219. 1-Skip  2-Remove all macros  3-Rename file  4-Ignore all
  220. 5-Automatically remove all macros  6-Automatically rename all files  :
  221.  
  222. Now program waits for user input ...
  223.  
  224. Available actions:
  225.  
  226. 1-Skip
  227.   Program will do nothing. It skips this file and will continue searching
  228.   for the next files
  229. 2-Remove all macros
  230.   At first backup copy will be created. Then ALL macros from file
  231.   will be removed (each macro will be overwritten with nice text :)
  232. 3-Rename file
  233.   Renames file to *.VI?
  234. 4-Ignore all
  235.   Do nothing with all files. Like 1, but for any next file
  236. 5-Automatically remove all macros
  237.   Like 2, but for any next file
  238. 6-Automatically rename all files
  239.   Like 3, but for any next file
  240.  
  241. 3.   WHAT ARE MACRO VIRUSES :)
  242. ──────────────────────────────────────────────────────────────────────────
  243.  
  244. If you don't know what are macro viruses, you have big chance to be
  245. a potential victim of macro viruses :)
  246. Don't worry, HMVS is here to solve your problems (we hope ...)
  247.  
  248. 4.   HEURISTIC FLAGS DISPLAYED BY HMVS
  249. ──────────────────────────────────────────────────────────────────────────
  250.  
  251. Current version of HMVS can detect the following flags:
  252. (Currently we do not plan to add new flags in next version)
  253.  
  254. ! Copies macros into the template ('MacroCopy')
  255. + Might copy macros to template with using 'Organizer .Copy'
  256. ! Copies macros to template with using 'Organizer .Copy'
  257. ! Adds a template or WLL to the list of global templates ('AddAddIn')
  258. + Contains execute-only (encrypted) macros
  259. + Detects if macro is execute-only ('IsExecuteOnly()')
  260. + Uses the 'FileSaveAs' macro command
  261. + Disables global template write access warnings
  262. + Enables the fast save option 'FastSaves'
  263. - Might enable auto macro processing ('DisableAutoMacro')
  264. + Enables auto macro processing ('DisableAutoMacro')
  265. - Might prevent the ESC key from interrupting a macro ('DisableInput')
  266. + Prevents the ESC key from interrupting a macro ('DisableInput')
  267. + Detects number of macros in template or document ('CountMacros()')
  268. + Detects macros names in template or document ('MacroName$()')
  269. - Sets up a background timer that runs a macro at the specified time ('OnTime')
  270. - Gets parameters from WIN.INI or WINWORD6.INI ('GetProfileString$()')
  271. - Sets parameters in WIN.INI or WINWORD6.INI ('SetProfileString$()')
  272. - Gets parameters from initiating file ('GetPrivateProfileString$()')
  273. - Sets parameters in initiating file ('SetPrivateProfileString$()')
  274. + Removes document protection ('LockDocument')
  275. - Manipulates with protection for form fields
  276. - Removes protection for form fields
  277. - Renames menu items ('RenameMenu')
  278. ! Executes other DOS or Windows programs ! ('Shell')
  279. ! Deletes other files ! ('Kill')
  280. ! Writes directly to a sequential file ! ('Write')
  281. ! Writes directly to a sequential file ! ('Print #')
  282. + Removes directory ('RmDir')
  283. + Changes DOS attributes of other files ('SetAttr')
  284. - Detects number of subdirectories ('CountDirectories')
  285. - Changes current directories ('ChDir')
  286. - Opens a sequential file for input or output of text ('Open #')
  287. - Closes an open sequential file ('Close #')
  288. + Makes available a routine stored in DLL or WLL 4 use in a macro ('Declare')
  289. - Detects environment variable ('Environ$')
  290. + Contains macros but is named *.DOC
  291. - Detect whether the active document was changed ('IsDocumentDirty()')
  292. + Converts document to the template ('FileSaveAs .Format = 1')
  293. + Sets a password for opening the document ('FileSaveAs .Password = ')
  294. ! Creates or edits macro ('ToolsMacro .Edit')
  295.  
  296. !   means dangerous operation
  297. +   means warning (suspect)
  298. -   only for your information
  299.  
  300. Sorry, we haven't time to explain these messages. We thinking for AV
  301. researchers and experienced users it is sufficient.
  302.  
  303. We can add detailed descriptions in next release, if we'll get lot of
  304. requests and questions.
  305.  
  306.      ───────────────────────   that's all    ───────────────────────────
  307.  
  308. BTW, We don't like user's manual writting ...
  309.