home *** CD-ROM | disk | FTP | other *** search
/ Chip 1998 January / CHIP Turkiye Ocak 1998.iso / VIRUS / FMAC208 / FMACRO.EXE / F-MACRO.TXT < prev    next >
Encoding:
Text File  |  1997-05-05  |  7.5 KB  |  191 lines
  1. F-MACRO - Scanner and disinfector for MS Word document macro viruses
  2. Copyright (c) 1997 Data Fellows Ltd
  3.  
  4.  
  5. OVERVIEW
  6.  
  7. F-MACRO is a DOS program which searches Word 6.x and 7.x documents and
  8. Excel 6.x and 7.x documents for known Word and Excel macro viruses.
  9. F-MACRO is able to disinfect them by disabling and overwriting the
  10. viral macros. F-MACRO is able to parse the complex OLE2 file structure
  11. of document files making it very fast and accurate.
  12.  
  13.  
  14. TECHNOLOGY
  15.  
  16. This scanning and disinfection technology was developed by Data
  17. Fellows Ltd for the commercial F-PROT Professional package. F-PROT
  18. Professional for Windows, Windows 95, Windows NT and OS/2 as well as
  19. the realtime Windows VxD scanners have these macro scanning features
  20. built in to their normal scanners.
  21.  
  22. If you are running a VxD-based background protection from the F-PROT
  23. Professional suite, you will be notified on infected document files as
  24. soon as you try to open or copy them or when you are receiving such a
  25. document as an e-mail attachment or downloading it from www.
  26. Disinfection can also be done in realtime. A VxD-based solution
  27. provides significantly better protection than antivirus systems
  28. relying on the Word or Excel macro language.
  29.  
  30. For more information on the F-PROT Professional suite, see the web
  31. site of Data Fellows at http://www.datafellows.com/ or the web site of
  32. the US publisher, Command Software Systems at
  33. http://www.commandcom.com/.
  34.  
  35.  
  36. USAGE
  37.  
  38. Give scan path or drive as the first parameter.
  39.  
  40. Options:
  41.  
  42.  /ALL       Scan files with any extension
  43.  /APPEND    Used with /REPORT - append to existing report
  44.  /AUTO      Automatic disinfection, no prompting
  45.  /DISINF    Disinfect infected documents
  46.  /LIST      List all scanned filenames
  47.  /NOBREAK   Do not abort scan if ESC is pressed
  48.  /NOSUB     Do not recurse sub-directories
  49.  /NOXLS     Do not scan Excel worksheets
  50.  /REMNANTS  Remove all macros when a new or modified variant is found
  51.  /REMOVEALL Remove all macros from documents - infected or not
  52.  /REPORT=   Send the output to a file
  53.  /RERENAME  Rename previously renamed infected files (e.g. *.VOC -> *.DOC)
  54.  /SILENT    Do not generate any screen output.
  55.  
  56. Examples:
  57.  
  58.      F-MACRO C:
  59.      F-MACRO C:\DOCS /ALL /DISINF /AUTO
  60.      F-MACRO Z:\USER\INFECTED.DOC /DISINF
  61.  
  62. F-MACRO returns following errorlevels:
  63.  
  64.         0: No viruses found
  65.         1: Error during execution
  66.         3: Virus(es) found
  67.  
  68. Notes:
  69.  
  70. F-MACRO does NOT disinfect anything by default. You need to turn
  71. disinfection on by specifying the /DISINF parameter.
  72.  
  73. We recommend you make a backup copy of important document files before
  74. disinfecting them, just to be safe.
  75.  
  76. In order to be able to scan all document files, Word and Excel should
  77. be closed down before running F-MACRO: otherwise it will keep
  78. NORMAL.DOT and possibly other files locked. F-MACRO will give a
  79. warning message on locked files.
  80.  
  81. If you have document files with non-standard extensions (something
  82. else than DOC, DOT or XLS), use the /ALL parameter to check all files.
  83.  
  84. The difference between /REMOVEALL and /REMNANTS switch is that /REMOVEALL
  85. will remove macros from any documents that has macros. /REMNANTS does
  86. this only if it find a "New or modified variant" of a virus from the
  87. document. /REMOVEALL is used as a stand-alone parameter, /REMNANTS has
  88. to be used together with /DISINF. Do not run /REMOVEALL on all of your
  89. hard drive: it will remove all macros from all documents.
  90.  
  91. IMPORTANT: If you find a new variant if macro virus, please send a
  92. sample of it for closer analysis so we can add direct support for it
  93. to future versions of F-MACRO. See part SUPPORT below for more
  94. information.
  95.  
  96. Infected DOC files are always templates in structure, regardless of the
  97. file extension (normal extension for templates is DOT). Only templates
  98. can contain macros. A side-effect of this is that infected files can
  99. usually be saved by Word only as templates and only to the default
  100. template directory.
  101.  
  102. When disinfecting infected files, F-MACRO will normally change the file
  103. back to a normal document. However, some files have originally been
  104. templates so F-MACRO tries to determine this and preserve them as
  105. templates after disinfection.
  106.  
  107. If the file contains extra macros after disinfection, it has probably
  108. been a template in the first place and will not be changed to a
  109. document by F-MACRO. The same will happen if:
  110.  
  111. - The document contains user-defined menus or toolbars
  112. - The filename extension of the file was DOT
  113. - The filename of the file was NORMAL
  114.  
  115. If you still get false alarms from another virus scanner after already
  116. disinfecting the virus, or if the file is still a template and you want
  117. to turn it to a normal document (templates can only be saved to the
  118. template directory), you can follow these steps:
  119.  
  120.  1) Double-check that you have already cleaned the document
  121.  2) Open it to Word
  122.  3) Select all (Ctrl-A)
  123.  4) Copy (Ctrl-C)
  124.  5) Close the file
  125.  6) Create a new file (Ctrl-N)
  126.  7) Paste (Ctrl-V)
  127.  8) Choose File/Save As and save the file over the original file
  128.  
  129.  
  130. SUPPORT AND VIRUS SAMPLES
  131.  
  132. For general info on macro viruses, see the macro section at
  133. http://www.datafellows.com/. For technical support, contact
  134. F-MACRO-Support@datafellows.com. To send samples of new or suspected
  135. viruses, send them to Samples@DataFellows.com or upload to our FTP
  136. site at
  137.  
  138.         ftp://ftp.Europe.DataFellows.com/incoming
  139.  
  140.  
  141. UPDATES
  142.  
  143. Updates, when available, can be downloaded from the Data Fellows WWW
  144. and ftp sites at these locations:
  145.  
  146.         http://www.datafellows.com/gallery/
  147.         http://www.europe/datafellows.com/gallery/
  148.         ftp://ftp.datafellows.com/pub/f-prot/tools/
  149.         ftp://ftp.europe.datafellows.com/pub/f-prot/tools/
  150.         (the filename is fmacxxx.zip, where xxx is the version number)
  151.  
  152. Normally only the MACRO.DEF definition file is updated, and it is enough
  153. to download this single file alone. Latest MACRO.DEF is also always
  154. available from ftp://ftp.complex.is/pub/macrodef.zip
  155.  
  156. The Data Fellows web site has up-to-date descriptions on the operation
  157. and effects of these macro viruses, see
  158.  
  159.         http://www.datafellows.com/macro/
  160.         http://www.datafellows.com/vir-info/
  161.  
  162.  
  163. HISTORY
  164.  
  165. Use "F-MACRO /IDENTIFICATION" for a full list of viruses identified by
  166. this version.
  167.  
  168. Version 2.07 fixes two problems with disinfection of the WordMacro/CAP.A
  169. virus. It should now be handled correctly in all cases.
  170.  
  171. LEGAL
  172.  
  173. F-MACRO is protected by international copyright laws. F-MACRO is (c)
  174. 1997 Data Fellows Ltd, and it is not in public domain or freeware, but
  175. you are free to use and share this software with no charges. You can
  176. not get the source code of this program. You are not allowed to
  177. decompile and reuse the program code of this application. You are not
  178. allowed to resell this software for your own profit (normal copying
  179. costs excluded) or claim to hold rights to this software. Although you
  180. may have the right to use F-MACRO, it will remain the exclusive
  181. property of Data Fellows. Data Fellows does not warrant that the
  182. software is error free and we will not cover any costs created by
  183. function or malfunction of this program. Data Fellows also disclaims
  184. liability for possible consequential damages. To purchase a license
  185. for the full F-PROT Professional antivirus toolkit, contact your local
  186. distributor listed in PRO.DOC. Please redistribute F-MACRO only with
  187. this documentation. If you cannot agree to these restrictions, you
  188. should not use F-MACRO.
  189.  
  190. Copyright (c) 1997 Data Fellows Ltd, Finland
  191.