home *** CD-ROM | disk | FTP | other *** search
/ InterCD 1999 March / marchl_1999.iso / Security / Tunderbyte / av9end.exe / APPNOTES.TX_ / APPNOTES.TX
Encoding:
Text File  |  1999-01-11  |  11.7 KB  |  234 lines
  1. AppNotes.Txt
  2. ============
  3.  
  4. In this file you can find teh following information:
  5.  
  6. 1)  Word 6.0/7.0 versus Template Problems
  7. 2)  Word 6.0/7.0 - Word 8.0 
  8. 3)  AllFiles versus AllExec
  9. 4)  De EZ-DRIVE driver
  10. 5)  DOS Append
  11.  
  12.  
  13. 1) Word 6.0/7.0 versus Template Problems
  14. ========================================
  15.  
  16. One of the effects of an infection with WordMacro viruses under Word 6.0 or
  17. 7.0(a) is that documents only can be stored as templates. The reason is 
  18. quite simple: only templates can become infected and therefore any document,
  19. which has been infected, will be changed to a template by the virus.
  20. Otherwise, the virus would never be executed. The distinction of a WordObject
  21. being a template or document is just one bit. 
  22. Nevertheless, this bit is the cause of all the problems.
  23.  
  24. What actually happens when you disinfect an infected Word 6.0 or Word 7.0(a)
  25. file? The macros disappear. So far, so good. The problem is what to do with
  26. the Template bit. Just resetting it will not do. Original templates will turn
  27. into a document and all template data (customizations, toolbars, usermacros,
  28. stylesheets, etc) will be lost.
  29.  
  30. The database used by TbScan has been updated where possible to take care of
  31. this problem. For about 50 percent of the viruses, the difference between an
  32. infected document and an infected template can be spotted on the actual 
  33. infection. When we encounter an infection where this is possible, we will
  34. reset the Template Bit if the infection was on a document (local infection),
  35. and if the infection was on a template (global infection), we will not touch
  36. the Template Bit.
  37.  
  38. There is also the possibility that we can not see the difference.
  39. In those cases, we apply the following rule: if the extension of the file is 
  40. .DOC (default document extension), we will reset the Template Bit, otherwise
  41. we will not touch it.
  42.  
  43.  
  44. 2) Word 6.0/7.0 versus Word 8.0
  45. ===============================
  46.  
  47. Many users are starting to use Word 8.0 now and our support people are 
  48. getting the same question repeatedly: 'We had an infected Word 6.0 or Word 
  49. 7.0(a) document which we disinfected with TbScan. When we load this document
  50. in Word 8.0, it claims that there are macros inside the document, which will
  51. be executed when the document is opened. Did we or didn't we disinfect the 
  52. document?'
  53.  
  54. To really understand this issue, let's explain a bit about the differences
  55. between Word 6.0 and Word 7.0(a) on the one hand and about Word 8.0 on the
  56. other. 
  57.  
  58. Word 6.0 and Word 7.0(a) make use of the macrolanguage WordBasic.
  59. Word 8.0 is using VBA5 (Visual Basic for Applications Version 5.0) and is 
  60. much more powerful than WordBasic, and not downwards compatible with WordBasic.
  61.  
  62. To insure maintenance for the users who have built their macros in Word 6.0
  63. or Word 7.0(a), Microsoft has built in a WordBasic to VBA5 translator.
  64. It is a one-way translator and functionality of the macros after translation
  65. is not guaranteed.
  66.  
  67. When a user loads a Word 6.0 or Word 7.0(a) document in Word 8.0, Word 8.0
  68. will automatically translate the previous Word format into the new Word
  69. format. However, if it detects the presence of macros, Microsoft's anti-virus
  70. techniques jump in and Word 8.0 will present a box which informs the user
  71. the document has macro's and asks the user if the macro's should be skipped.
  72.  
  73. We realize that the presence of this box may raise a few questions.
  74. TbScan did remove the macros from your infected document. Nevertheless, Word
  75. 8.0 does not know this. How is this possible?
  76. Our research team has discovered, after some research, that Word 8.0 is
  77. 'not that smart' handling older types of documents. When it opens a Word 6.0
  78. or Word 7.0(a) document, it will look at the area where the Macro Table is 
  79. stored. In addition, when there are macros listed in that section, it will
  80. present the box above. Microsoft does not check whether the file is a template
  81. or not and does not check if the macros 'present' are deleted or not.
  82.  
  83. To prevent this box from popping up, we have added some functionality to the
  84. scanner when cleaning and erasing macros. In cases where, after cleaning a
  85. document, no further macros are present and no other Template Data are 
  86. present, we will remove the Macro Table from the document.
  87. The user will not be bothered again by Word 8.0 when the user loads a 
  88. previously infected Word 6.0 or Word 7.0(a) document.
  89.  
  90.  
  91. 3) AllFiles versus AllExec 
  92. ==========================
  93.  
  94. Release 8.03 of TbScan will have two 'at first glance' similar switches:
  95. AllExec (AE) and AllFiles (AF). There is an important difference between the
  96. two switches though. With the appearance of macro viruses everybody has
  97. started to scan using the old AllFiles switch because documents and templates
  98. can have any extension. The scan process slowed down and scan times increased.
  99.  
  100. TbScan is known, among other items, for its speed. The old AllFiles switch
  101. really was time consuming as All Files were scanned against All Viruses. Thus,
  102. any non-executable extension was scanned not only for macro viruses, the
  103. intention of the user, but also for all binary viruses. At that time the old
  104. AllFiles switch was appointed another function: Scan All Files for All Macro
  105. Viruses. Exactly what the users wanted and no redundant overhead in time.
  106.  
  107. In version 8.03, the functionality Scan All Files for All Viruses was
  108. reinstated and has been put behind the command line switch AllExec (AE).
  109.  
  110. By default, all executable files and OLE2 files (Word/Excel) are scanned.
  111.  
  112. Additional option: When To Use What Switch?
  113.  
  114.  - To scan all files for macro viruses, use the AllFiles (AF) switch. In the
  115.    Windows versions, this is the 'non executable scan', which can be found in
  116.    "Options"
  117.  - To scan all files for all viruses (macro and binary), use the AllExec
  118.    Switch, which is called 'scan all (non-executable) files as executables'
  119.    in "Advanced Options"
  120.  
  121. We expect the AllFiles switch to be used most frequently, since macro viruses
  122. have become increasingly important. As the spread of macro viruses grows each
  123. day, we offer updates on macro virus detection at least once a week on our
  124. web-site (http://www.norman.nl) and ftp-site (ftp://ftp.norman.nl) with the
  125. file TbScan.Def to ensure the most secure solution possible. But remember:
  126. even when you have updated your product with the latest definition file, there
  127. are at least a dozen macro viruses out there which nobody has seen yet and
  128. which are thus undetected.
  129.  
  130.  
  131. 4) EZ-DRIVE
  132. ===========
  133.  
  134.     Problem:
  135.         I have an enhanced IDE disk of 1 Gigabyte and I have created
  136.         one large partition on it. Afterwards my system got infected and
  137.         now I am unable to clean it.
  138.     Explanation:
  139.         The ROM BIOS is unable to support large disks. Most enhanced
  140.         IDE disks are able to act as two different drives, working
  141.         around the ROM limitations. However, if you create just ONE
  142.         but very large partition, this workaround can not be used
  143.         anymore. Instead, EZ-DRIVE puts a special resident program on
  144.         the first track of your disk. It takes care of the BIOS
  145.         translations necessary to access the disk. Since the first
  146.         track of a disk is supposed to contain the partition table and
  147.         master boot record, it features some stealth capabilities, by
  148.         hiding itself and acting as if these sectors are there.
  149.         Actually, it works exactly the same as some advanced bootsector
  150.         viruses. Now, supposed you get infected by a bootsector virus.
  151.         Several things may happen:
  152.  
  153.         1) A multipartite virus got active after the EZ-DRIVE driver was
  154.         executed. The virus made a copy of the master boot record (this
  155.         is what it sees since EZ-DRIVE is active and hides itself). Now,
  156.         if the system boots, the virus becomes resident and tries to
  157.         execute the original master boot record. It should however
  158.         execute the EZ-DRIVE driver, but doesn't know that. The system
  159.         now tries to boot without the necessary BIOS translations and
  160.         becomes inaccessable.
  161.         2) The virus executes after booting from a diskette and makes
  162.         correctly a copy of the EZ-DRIVE driver, and puts itself in the
  163.         space behind the master boot record, which is usually not used.
  164.         EZ-DRIVE however uses this space, but now it is overwritten.
  165.         When the system boots, EZ-DRIVE will be loaded by the virus, but
  166.         is partly overwritten and doesn't work anymore.
  167.         3) The virus contains its own bootsector loader. The virus
  168.         interprets the EZ-DRIVE driver as a partition table, and tries
  169.         to boot from the bootsector pointed by by the assumed partition
  170.         table. A system crash will be the result.
  171.  
  172.         An anti-virus system even makes things worse. Depending on the
  173.         anti-virus product, the virus, and the EZ-DRIVE version, it may
  174.         see one of the following sectors when it tries to read the
  175.         partition sector:
  176.         1) The original master boot record.
  177.         2) The EZ-DRIVE driver.
  178.         3) The virus.
  179.         Things will usually work OK when you scan the system for viruses,
  180.         but a problem will occur if you try to repair an infected system.
  181.  
  182.     Workaround:
  183.         Boot from a clean diskette. Do NOT use the EZ-DRIVE feature to
  184.         load the EZ-DRIVE driver before booting from the diskette. Put the
  185.         diskette into the drive and close the drive before switching on
  186.         the machine. Now use TbUtil to make a safety backup of your
  187.         partition table.
  188.  
  189.         An even better approach is to divide the drive into two (or more)
  190.         partitions and not use the EZ-DRIVE large partition feature.
  191.         This gives you additional benefits like a faster disk response,
  192.         less slack space (because of the smaller cluster sizes), and the
  193.         ability to separate the code from the data files, making maintenance
  194.         and disaster recovery much easier.
  195.  
  196.  
  197. MEMORY OPTIMIZERS
  198.     Problem:
  199.         Some memory optimizers, like MemMax, MemMaker and Optimize, will
  200.         not work properly if used in combination with the resident TBAV
  201.         utilities. The resident TBAV utilities can act as device drivers
  202.         as well as normal executables, depending on the way they are
  203.         loaded, and this confuses some memory optimizers. The TBAV
  204.         utilities also hook themselves into DOS for better virus
  205.         protection, and they can not be moved in memory once loaded. Any
  206.         attempt to do so will hang the machine.
  207.     Workaround:
  208.         Remove the TBAV utilities from the AutoExec.Bat file and/or
  209.         Config.Sys file and run the memory optimizer. Add the TBAV
  210.         utilities again to the AutoExec.Bat and Config.Sys file, and
  211.         highload them if desired.
  212.  
  213.  
  214. 5) DOS APPEND
  215. =============
  216.  
  217.     Problem:
  218.         The /X switch of the DOS APPEND command is very dangerous: if
  219.         you APPEND a directory with /X and then delete *.BAK when no
  220.         such files exist in the current directory, then the .BAK files
  221.         in the APPENDed directory will be deleted instead. APPEND is
  222.         able to 'fool' programs by accessing another file than the file
  223.         requested by the application, if a file with the same name
  224.         exists in another directory. This also applies when one of the
  225.         TBAV utilities needs to consult an Anti-Vir.Dat file: The
  226.         Anti-Vir.Dat file of another directory might be accessed instead
  227.         of the intended one.
  228.     Workaround:
  229.         TbSetup and TbScan switch off APPEND automatically if they
  230.         detect that it has been loaded, but the resident TBAV
  231.         utilities don't. It is therefore recommended to be very
  232.         careful if you need to use the APPEND /X option and to
  233.         switch it off as soon as you don't need it anymore.
  234.