home *** CD-ROM | disk | FTP | other *** search
/ Over 1,000 Windows 95 Programs / Over 1000 Windows 95 Programs (Microforum) (Disc 1).iso / 1474 / readme.txt < prev   
Text File  |  1997-02-15  |  4KB  |  93 lines
  1.                     Padgett's WORD Macro Antivirus v1.10
  2.  
  3. About all I can say is that it works though the popup display of the
  4. selected Macro code does not. You also may get some odd error messages.
  5. Am working on it.
  6.  
  7. This is FreeWare but I ask that you read the ABOUT and see the TRIALs page
  8. http://www.netmind.com/~padgett/trial.htm
  9.  
  10. Let me know if you have difficulty.
  11.  
  12. Note: While I have done an incredible amount of testing on many different
  13. platforms, both MAC and PC, I have had one major limitation: The English
  14. Language (American) version of WORD was all that I have had available. I
  15. know that there are many other versions and some may have different names
  16. for Built In functions whose names I have had to hardcode.
  17.  
  18. However the scripts are not protected in any way other than the PGP
  19. signatures I have provided for each macro to ensure authenticity. If
  20. using a different language version, some patching of string variable
  21. names may be necessary.
  22.  
  23. Version 1.10 adds three elements not found in version 1.00:
  24. 1) I have tried to group all "language sensitive" declarations near the
  25.    front to simplify conversion.
  26. 2) There is a new CLOSE DOC button for a safe exit from doubtful documents.
  27. 3) Key reassignment detection is also added.
  28.  
  29. Some Notes on WORD macros and viruses
  30.  
  31. The current plague of WORD macro viruses is the result of the defaults
  32. and extra "features" built into WORD version 6.0 and later. Prior to
  33. this version, the capabilities were not extensive enough to attract the
  34. attention of virus writers.
  35.  
  36. Fortunately, people who really understand all of the nuances of a
  37. language rarely write viruses, if they did, the world of computing and
  38. the Internet would be far different. WORD virus writers are no
  39. different, and fortunately few have access to the full range of
  40. equipment required to write a really dangerous virus. So far.
  41.  
  42. In any event, it is the macro capability of WORD which makes it such a
  43. "target rich" environment. That and the fact that WORD not only runs
  44. macros by default, it does so without any warning to the user.
  45.  
  46. Further, WORD being a binary file system of its own, one cannot just
  47. look inside a document and determine if it is infected. It is complex
  48. and Microsoft considers the format to be "proprietary". This factor
  49. alone as made if very difficult for anti-virus researchers to devise
  50. defenses.
  51.  
  52. I have no idea why Microsoft has decided to make life easy for virus
  53. writers and difficult for anti-virus researchers or even if it was a
  54. concious decision, but this is what they have accomplished.
  55.  
  56. Be that as it may, there are some things that can be done. The first
  57. is to determine whether a document has macros at all.  This fact is
  58. determined by the LSB of a byte at offset 0xA from the start of a
  59. paragraph which begins "DC A5" in American English versions of WORD
  60. (each language version is likely to be slightly different and
  61. undocumented, this makes life interesting).  There is an arcane method
  62. involving the internal FAT of a WORD document to find this exactly but I
  63. have not deciphered this. Yet.
  64.  
  65. The important thing is that unless this bit is set, WORD will neither
  66. look for nor be affected by macros in the document, it will act as if
  67. they are not there at all. Some early anti-virus programs simply turned
  68. this bit off leaving the viral macros intact but dormant needing only to
  69. have the bit turned on again.
  70.  
  71. However, so long as it is off, WORD will not recognize that any macros
  72. are present and neither will an macro such as mine which runs over WORD.
  73.  
  74. In this case, an extrnal scanner may find the signatures in a file even
  75. though they are dormant. At this point there is some question what
  76. should be done in this case.
  77.  
  78. A second case is that of false positives - the case when a scanner may
  79. find the remnamts of a previous infection that is not active and flag
  80. the document as infected even though it is not.
  81.  
  82. In these two cases, MacroList will not detect viral macros because there
  83. are none active in the document.
  84.  
  85. The best answer is to use SaveAs to make a new copy of the document and
  86. to check the new copy. If it is clean then delete the original and work
  87. from the copy.
  88.  
  89. This is release number 1.10. Last updated 5 Feb. 1997
  90.  
  91. A. Padgett Peterson
  92. padgett@hobbes.orl.mmc.com
  93.