home *** CD-ROM | disk | FTP | other *** search
/ MacWorld 1999 April / Macworld (1999-04).dmg / Shareware World / Anti-Virus / WormScanner 2.3 / Read Me < prev    next >
Text File  |  1999-01-01  |  9KB  |  103 lines

  1. WormScanner
  2. ©1999 by James W. Walker
  3.  
  4.  
  5. What WormScanner Does
  6.  
  7. This program scans your local drives for the AutoStart 9805 worms, variants A through F.  It is based on published descriptions of the activities of these worms.  It has not been tested on all variants of live worms.  At this writing, variants A through F of the worm are known. 
  8.  
  9. Besides the known worms, WormScanner will also tell you about “suspicious” files, namely autostart applications and invisible extensions.  Bear in mind that these suspicious files might have been installed by commercial software for innocent purposes, although I personally have difficulty imagining a legitimate purpose for making an extension invisible.  I do know of one case in which a demo version of a commercial application installs an invisible extension as part of a copy protection scheme.  However, in that case, the extension lacks a resource fork, and therefore will not really run as an extension.  WormScanner will not report such fake extensions.
  10.  
  11. Worms may lurk inside disk image files, but unless the disk image is mounted, WormScanner will not be able to look inside.
  12.  
  13. Please note that unlike some antivirus programs, WormScanner only scans when you tell it to, by clicking the Scan button or running the Auto-Scan script.  If you want each diskette or Zip disk to be scanned whenever it is inserted into the computer, you need some other program.
  14.  
  15. WormScanner requires Color QuickDraw, meaning that it will not run on machines that use the original 68000 processor.  However, the known autostart worms are said to only affect PowerPC Macintoshes, so this limitation should not be a big problem.
  16.  
  17.  
  18. Advice
  19.  
  20. In the QuickTime Settings control panel, you should turn off the option “Enable CD-ROM AutoPlay”.  That’s one of the mechanisms that the worm uses to reproduce itself, and is easy to live without.
  21.  
  22. If you know that you have a worm infection, it would be a good idea to restart with extensions disabled before trying to remove the infection.  That way, the worm won’t be trying to do its dirty work while you’re trying to get rid of it.
  23.  
  24.  
  25. WormScanner Options
  26.  
  27. WormScanner can run in three modes: Interactive, Automatic, and Passive.  Initially it will be in Interactive mode, but you can change it by choosing the Preferences menu item.
  28.  
  29. Interactive mode:
  30. • WormScanner will automatically delete known worm files, if possible.   If it is not possible to delete the file,  then WormScanner will attempt to make it visible and move it to the trash. 
  31. • When WormScanner finds a suspicious file (autostart application or invisible extension), WormScanner will ask you whether to delete it or not.
  32.  
  33. Automatic mode:
  34. • WormScanner will automatically delete known worm files, if possible.   If it is not possible to delete the file,  then WormScanner will attempt to make it visible and move it to the trash. 
  35. • When WormScanner finds a suspicious file (autostart application or invisible extension), WormScanner will note it in the transcript, but do nothing about it.
  36.  
  37. Passive mode:
  38. • When WormScanner finds a known worm file, WormScanner will note it in the transcript, but do nothing about it.
  39. • When WormScanner finds a suspicious file (autostart application or invisible extension), WormScanner will note it in the transcript, but do nothing about it.
  40.  
  41. There is also an option for how widely to search:
  42.  
  43. • In All Folders means that WormScanner will look everywhere that the worm has been known to copy itself. To be explicit, WormScanner looks for the extension form of the worm in all folders named Extensions, and looks for the application form of the worm in all folders.  This option is slower.
  44.  
  45. • Only In Trouble Spots means that only looks in places where the worm can run.  To be exact, WormScanner looks for the extension form in each volume’s System Folder and Control Panels and Extensions subfolders, and looks for the application form at the root of each volume.  This option is faster, and should suffice to protect you.
  46.  
  47. Finally, there is an option to scan remote volumes.  Most users should not turn on this option.  I added it because a few people complained about having no way to remove the worm from Windows NT servers.
  48.  
  49. I have provided an AppleScript application called Auto-Scan.  It will run WormScanner in automatic mode, searching only in trouble spots, in the background. If WormScanner finds anything, it will ask for your attention.  If WormScanner does not find anything noteworthy, it will quit silently.  You might want to put Auto-Scan in your Startup Items folder.  The first time it runs, it will ask you to locate WormScanner.  (For technical reasons, it won’t work in your Shutdown Items folder.)
  50.  
  51.  
  52. Distribution
  53.  
  54. WormScanner is copyrighted freeware, and may be distributed freely as long as it is unaltered.   That is, you need not ask my permission in order to post it on your web site or include it on a CD-ROM software collection.  Updates, if any, may be found at the author’s home page: <http://members.aol.com/jwwalker/>.  You can send feedback to me at <mailto:jwwalker@kagi.com>, however I cannot provide individual help with your worm or virus problems.
  55.  
  56.  
  57. Change History
  58.  
  59. Version 2.3 changes:
  60. • Previously, WormScanner identified worm variants only by name, which did not suffice to distinguish the A, E, and F variants from each other, nor to distinguish the C and D variants from each other.  Now WormScanner will also look at the file size to determine the variant, using file sizes published by Symantec at <http://www.symantec.com/avcenter/venc/data/autostart.9805.html>.  If a worm is still identified indefinitely, such as “type C or D”, it probably means that there was a typo on Symantec’s web page.
  61. • When a worm is found, its creation date and file size will be given in the transcript.
  62. • WormScanner attempts to find worms that have been deactivated by the benign D variant.
  63.  
  64. Version 2.2.1 changes:
  65. • Fixed a bug that caused version 2.2 to crash if you had a version of QuickTime earlier than 3.0 and had never changed your QuickTime settings.
  66. • If WormScanner put up a dialog asking for permission to delete something, and then fails to delete it, WormScanner will put up an alert saying so.
  67. • If a scan finds nothing of note, it will write “No problems found.” at the end of the transcript.
  68.  
  69. Version 2.2 changes:
  70. • Added the option to search everywhere or only in trouble spots.  Neither of these options is exactly what previous versions were doing.  Previously, WormScanner looked in all Extensions folders, but only looked for the application form at volume roots.
  71. • When WormScanner clears the autostart specification on a volume, it fixes the boot blocks so that Norton Disk Doctor won’t say that the boot blocks are damaged.
  72. • WormScanner’s AppleScript dictionary has been changed.
  73. • If CD-ROM autoplay is turned on and this is a PowerMac, WormScanner will warn you to turn the option off.
  74. • Added the option to scan remote volumes.
  75.  
  76. Version 2.1.1 changes:
  77. • The transcript once again uses the Osaka font when running under a Japanese system.  This was broken in version 2.1.
  78.  
  79. Version 2.1 changes:
  80. • WormScanner now checks System Folders other than the one on the startup disk, and checks Extensions folders other than those inside System Folders.
  81. • Fixed a bug that caused a crash when you ran off a locked    startup disk, such as a Mac OS installer CD.
  82. • The format of the transcript is improved.
  83. • Audio CDs are skipped.  (Formerly, a scan stopped the music from playing.)
  84. • Text can be dragged out of the window.
  85. • The scan window supports live scrolling.
  86. • The About box shows a version number, gives credit for CWASTEEdit, and shows proper apostrophes and copyright symbols when running on a Japanese system.
  87. • Fixed the Auto-Scan script so that it doesn’t keep asking where WormScanner is.
  88.  
  89. Version 2.0.1 changes:
  90. • Fixed a bug that caused crashes on systems earlier than Mac OS 8.
  91.  
  92. Version 2.0 changes:
  93. • Completely rewritten using CodeWarrior and PowerPlant.
  94. • Preference for Interactive, Automatic, or Passive mode.
  95. • The transcript can be saved as a text file.
  96. • Scans can be controlled with AppleScript.
  97. • When WormScanner finds a worm extension that is actually running as an application, it will try telling the extension to quit.
  98.  
  99. Version 1.0.1 changes:
  100. • When a file cannot be deleted, WormScanner attempts to make it visible and move it to the trash.
  101. • When running on a Japanese system, the transcript text will be in the Osaka font rather than Geneva, for proper display of Japanese file and folder names.
  102. • When there is an application that has the name of a known worm at root level of one of the disks, but it is not set to auto-start, you will be asked whether to delete it.
  103. • Added a note icon to the alert box that appears when you get a choice of whether to delete something.