home *** CD-ROM | disk | FTP | other *** search
/ CD Direkt 1996 #11 / CDD_11_96.ISO / cdd / avirus / fp-224c / f-macrow.doc < prev    next >
Encoding:
Text File  |  1996-09-08  |  9.2 KB  |  238 lines
  1.                                  F-MACROW
  2.  
  3. F-MACROW is a 16-bit Windows application. It has been tested
  4. successfully under Windows for Workgroups 3.11, Windows 95 and Windows
  5. NT (3.51 and 4.0 beta 2), although it should work under plain Windows
  6. 3.1 as well. It does not work under DOS - but then, if you do not run
  7. Windows the you do not have to worry about these viruses anyhow.
  8.  
  9. 1. Installation.
  10.  
  11. To install F-MACROW, follow the simple procedure described below. (Future
  12. versions will include an automatic installation program.)
  13.  
  14. 1) Copy the file CTL3DV2.DLL to your WINDOWS\SYSTEM directory, if it is
  15. not there already (the file is probably already in place). DO NOT keep a
  16. copy of CTL3DV2.DLL in the same directory where F-MACROW.EXE resides or
  17. you'll get an error message that the DLL is not properly installed.
  18.  
  19. 2) The program needs the file OLE2.DLL in the WINDOWS\SYSTEM directory
  20. too. However, if this file is not already on your system, WinWord 6.x or
  21. above will not run, so macro viruses are not your concern.
  22.  
  23. 3) Copy the files F-MACROW.EXE and MACRO.DEF in some directory (e.g.,
  24. in the same directory where you have installed F-PROT). It doesn't
  25. matter where they are placed but both of them must be in the same directory.
  26.  
  27. 4) Create an item in some Program Manager group and make it point to the
  28. file F-MACROW.EXE. (Alternatively, if you are using Windows 95, simply
  29. drag the file from the Explorer and drop it on the desktop.)
  30.  
  31.  
  32. 2. Using F-MACROW.
  33.  
  34. Once you have installed the required files you can launch the program by
  35. double-clicking the F-MACROW icon.  Windows 95 users can also launch it
  36. from the DOS prompt in a DOS box.
  37.  
  38. The program interface is very simple.  The user clicks on the Scan button to
  39. start the scanning.  This brings up a dialog box, where the user can select
  40. scanning options.
  41.  
  42. The following options are available:
  43.  
  44. Scan directory      - Selects the directory to be scanned.
  45. What to scan        - Selects whether to scan files with standard extensions
  46.                       for Word and Excel (*.DOC, *.DOT, *.XL?), or whether to
  47.                       scan files with any extension.
  48. Scan Subdirectories - Whether to scan the subdirectories of the specified
  49.                       directory.
  50. If a virus is found - Specifies what action should be taken if a virus is
  51.                       found. The following options are available:
  52.                         - Report only.  Just reports the virus.
  53.                         - Ask each time.  The user will be asked each time
  54.                           if the file should be disinfected.
  55.                         - Disinfect automatically. The virus will be
  56.                           automatically removed.
  57. Report all scanned
  58. documents           - Normally the program will report only the files in
  59.                       which a virus is found.  If this option is checked,
  60.                       all scanned files will be reported.
  61. Report file         - Check this option if you wish to save the report to a
  62.                       file, and use the next two fields to specify the name
  63.                       of the report file and whether the new report should
  64.                       overwrite an already existing file or append to it.
  65.  
  66. When the desired options have been selected, press the OK button to start
  67. the scan. The scanning can be stopped by pressing ESC or clicking the Stop
  68. button.
  69.  
  70. To exit the program click on the Exit button.
  71.  
  72. 3. Known problems.
  73.  
  74. - The Gangsterz virus is not disinfected perfectly: after disinfection,
  75.   the user has to open every disinfected document with Word, select
  76.   Tools/Customize/Keyboard/Reset All, and save the document back to
  77.   disk. This is because the virus makes somewhat unusual modifications
  78.   to the documents it infects. We know how to make the disinfection
  79.   perfect but just didn't have the time to implement it for this
  80.   release - the virus appeared just a couple of days before it.
  81.  
  82. - F-MACROW causes a GPF when scanning some documents. This is not our
  83.   problem. The documents are corrupted and Word (or any other
  84.   OLE2-enabled application) will crash when opening them too. The bug is
  85.   in Microsoft's STORAGE.DLL. A future version of F-MACROW will avoid
  86.   using this DLL.
  87.  
  88. - F-MACROW scans only OLE2 files. As a consequence, it will not detect
  89.   WordMacro viruses or Trojans in Word 2.0 documents. The format of
  90.   these documents is different than the format of the documents
  91.   produced by Word 6.0 and above, especially concerning the macro
  92.   structures. Microsoft still has not provided us with information
  93.   about these differences. If you don't like that F-MACROW cannot scan
  94.   for Word 2.0 viruses - complain to Microsoft.
  95.  
  96. - The user interface of F-MACROW is still rather rough and simplistic.
  97.   It cannot be run without user interaction, it cannot be told to scan
  98.   more than one subdirectory tree at a time, its window cannot be
  99.   resized, the on-line help has not been implemented yet and so on. All
  100.   this will be gradually fixed in the future versions.
  101.  
  102. - F-MACROW is a Windows application. It does not run under DOS. Please
  103.   use F-MACROW to scan and disinfect macro viruses - *NOT* F-PROT. If
  104.   F-PROT and F-MACROW disagree on whether a document is infected or
  105.   not - trust F-MACROW, not F-PROT. Please stop asking us to implement
  106.   F-MACROW's capabilities in F-PROT - this is not going to happen. The
  107.   OLE2 files in which Word 6.0 and above stores its documents have an
  108.   incredibly complex structure - in fact, they are whole file systems
  109.   in a file; with their FATs, root directory, subdirectories (called
  110.   "storages") and files (called "streams"). F-MACROW uses the standard
  111.   DLLs available in every Windows installation to parse the structure of
  112.   these files. Microsoft has provided us with the source of most of the
  113.   important functions in these DLLs but they are huge - about 150 Kb
  114.   when compiled. There is simply no space to put them in F-PROT. This
  115.   is why F-PROT does not understand the format of these files and
  116.   simply scans them for a scan string. This is slow, insecure, and
  117.   troublesome. It is slow because F-PROT cannot use its modern virus
  118.   locating algorithms which are applicable only for executable files.
  119.   It is insecure because a stream in the OLE2 file system can become
  120.   fragmented just like a file in the DOS file system - parts of it
  121.   which are logically consequent can be physically scattered all over
  122.   the OLE2 file. In practice this means that, if the fragmentation
  123.   occurs in the middle of the code which F-PROT uses as a scan string,
  124.   the scanner will not detect the virus. Admittedly, the probability
  125.   for this to happen is extremely low - but it is greater than zero
  126.   nevertheless and we cannot permit ourselves to provide an insecure
  127.   anti-virus program to our customers. Finally, F-PROT's method of
  128.   handling macro viruses is troublesome, because when some scanners
  129.   (e.g., Microsoft's SCANPROT) delete the macros of a macro virus, they
  130.   just mark them as deleted but leave the "dead body" of the virus
  131.   lying on the unused parts of the OLE2 file. Since F-PROT has no
  132.   knowledge of the OLE2 file structure, it cannot figure out that these
  133.   parts are unused and the virus in them is never executed. Therefore,
  134.   it can cause ghost positives - if it finds the scan strings of some
  135.   deleted macro virus there. All this will force us to remove macro
  136.   virus support from F-PROT.EXE in the near future. The users should
  137.   use F-MACROW instead. If they consider using two scanners instead of
  138.   one too much of an inconvenience, they should buy the Professional
  139.   version of F-PROT for Windows - it has no memory problems, so it can
  140.   have scanning for both kinds of viruses in the same program.
  141.  
  142. If any bugs are found, please report them to bontchev@complex.is, and if
  143. you have any suggestions for improvements - feel free to e-mail to the
  144. above address.
  145.  
  146. 4. Version history.
  147.  
  148. Version 1.01:
  149.  
  150. - The report file changed to indicate how many infected files are still
  151.   left, how many files have been disinfected, and whether the user has
  152.   aborted the scanning process.
  153.  
  154. - A newer version of CTL3DV2.DLL included and the documentation
  155.   describing the installation process - updated.
  156.  
  157. - Some documents were reported as causing "Critical error". Fixed.
  158.  
  159. - Added detection, recognition, identification and removal for the
  160.   following new macro viruses:
  161.  
  162.         Atom.B
  163.         Bandung
  164.         Colors.E
  165.         Gangsterz
  166.         Hassle
  167.         Nuclear.C
  168.         Wazzu.E
  169.         Wazzu.F
  170.  
  171. Version 1.00 (Beta):
  172.  
  173. First version released for public testing.
  174.  
  175. 5. List of viruses detected by F-MACROW.
  176.  
  177. FormatC         (Trojan)
  178. Reflex.Dropper  (Trojan)
  179. Laroux          (Excel)
  180. Aliance
  181. Atom.A
  182. Atom.B
  183. Bandung
  184. Boom:De
  185. Buero:De
  186. Colors.A
  187. Colors.B
  188. Colors.C
  189. Colors.D
  190. Colors.E
  191. Clock:De
  192. Concept.A
  193. Concept.B:Fr
  194. Concept.C
  195. Concept.D
  196. Concept.E
  197. Concept.F
  198. Concept.G
  199. Concept.H
  200. Date
  201. Dietzel:De
  202. Divina
  203. DMV
  204. Doggie
  205. Friendly:De
  206. Gangsterz
  207. Goldfish
  208. Guess
  209. Hassle
  210. Hot
  211. Imposter.A
  212. Imposter.B
  213. Irish
  214. KillDLL
  215. LBYNJ:De
  216. MadDog
  217. MDMA
  218. NF
  219. NOP.A:De
  220. NOP.B:De
  221. Npad
  222. Nuclear.A
  223. Nuclear.B
  224. Nuclear.C
  225. PCW:De
  226. Pheeew:NL
  227. Polite
  228. Reflex
  229. Satanic
  230. Tedious
  231. Wazzu.A
  232. Wazzu.B
  233. Wazzu.C
  234. Wazzu.D
  235. Wazzu.E
  236. Wazzu.F
  237. Xenixos:De
  238.