home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER02.ISO / Utils / ThunderByte Anti-Virus 803 / APPNOTES.TXT < prev    next >
Text File  |  1997-09-26  |  6KB  |  116 lines

  1. Word 6.0/7.0 versus Template Problems
  2. -------------------------------------
  3. One of the effects of an infection with WordMacro viruses under Word 6.0 or
  4. 7.0(a) is that documents only can be stored as templates. The reason is 
  5. quite simple: only templates can become infected and therefore any document,
  6. which has been infected, will be changed to a template by the virus.
  7. Otherwise, the virus would never be executed. The distinction of a WordObject
  8. being a template or document is just one bit. 
  9. Nevertheless, this bit is the cause of all the problems.
  10.  
  11. What actually happens when you disinfect an infected Word 6.0 or Word 7.0(a)
  12. file? The macros disappear. So far, so good. The problem is what to do with
  13. the Template bit. Just resetting it will not do. Original templates will turn
  14. into a document and all template data (customizations, toolbars, usermacros,
  15. stylesheets, etc) will be lost.
  16.  
  17. The database used by TbScan has been updated where possible to take care of
  18. this problem. For about 50 percent of the viruses, the difference between an
  19. infected document and an infected template can be spotted on the actual 
  20. infection. When we encounter an infection where this is possible, we will
  21. reset the Template Bit if the infection was on a document (local infection),
  22. and if the infection was on a template (global infection), we will not touch
  23. the Template Bit.
  24.  
  25. There is also the possibility that we can not see the difference.
  26. In those cases, we apply the following rule: if the extension of the file is 
  27. .DOC (default document extension), we will reset the Template Bit, otherwise
  28. we will not touch it.
  29.  
  30.  
  31.  
  32. Word 6.0/7.0 versus Word 8.0 
  33. ----------------------------
  34. Many users are starting to use Word 8.0 now and our support people are 
  35. getting the same question repeatedly: 'We had an infected Word 6.0 or Word 
  36. 7.0(a) document which we disinfected with TbScan. When we load this document
  37. in Word 8.0, it claims that there are macros inside the document, which will
  38. be executed when the document is opened. Did we or didn't we disinfect the 
  39. document?'
  40.  
  41. To really understand this issue, let's explain a bit about the differences
  42. between Word 6.0 and Word 7.0(a) on the one hand and about Word 8.0 on the
  43. other. 
  44.  
  45. Word 6.0 and Word 7.0(a) make use of the macrolanguage WordBasic.
  46. Word 8.0 is using VBA5 (Visual Basic for Applications Version 5.0) and is 
  47. much more powerful than WordBasic, and not downwards compatible with WordBasic.
  48.  
  49. To insure maintenance for the users who have built their macros in Word 6.0
  50. or Word 7.0(a), Microsoft has built in a WordBasic to VBA5 translator.
  51. It is a one-way translator and functionality of the macros after translation
  52. is not guaranteed.
  53.  
  54. When a user loads a Word 6.0 or Word 7.0(a) document in Word 8.0, Word 8.0
  55. will automatically translate the previous Word format into the new Word
  56. format. However, if it detects the presence of macros, Microsoft's anti-virus
  57. techniques jump in and Word 8.0 will present a box which informs the user
  58. the document has macro's and asks the user if the macro's should be skipped.
  59.  
  60. We realize that the presence of this box may raise a few questions.
  61. TbScan did remove the macros from your infected document. Nevertheless, Word
  62. 8.0 does not know this. How is this possible?
  63. Our research team has discovered, after some research, that Word 8.0 is
  64. 'not that smart' handling older types of documents. When it opens a Word 6.0
  65. or Word 7.0(a) document, it will look at the area where the Macro Table is 
  66. stored. In addition, when there are macros listed in that section, it will
  67. present the box above. Microsoft does not check whether the file is a template
  68. or not and does not check if the macros 'present' are deleted or not.
  69.  
  70. To prevent this box from popping up, we have added some functionality to the
  71. scanner when cleaning and erasing macros. In cases where, after cleaning a
  72. document, no further macros are present and no other Template Data are 
  73. present, we will remove the Macro Table from the document.
  74. The user will not be bothered again by Word 8.0 when the user loads a 
  75. previously infected Word 6.0 or Word 7.0(a) document.
  76.  
  77.  
  78.  
  79. AllFiles versus AllExec 
  80. -----------------------
  81. Release 8.03 of TbScan will have two 'at first glance' similar switches:
  82. AllExec (AE) and AllFiles (AF). There is an important difference between the
  83. two switches though. With the appearance of macro viruses everybody has
  84. started to scan using the old AllFiles switch because documents and templates
  85. can have any extension. The scan process slowed down and scan times increased.
  86.  
  87. TbScan is known, among other items, for its speed. The old AllFiles switch
  88. really was time consuming as All Files were scanned against All Viruses. Thus,
  89. any non-executable extension was scanned not only for macro viruses, the
  90. intention of the user, but also for all binary viruses. At that time the old
  91. AllFiles switch was appointed another function: Scan All Files for All Macro
  92. Viruses. Exactly what the users wanted and no redundant overhead in time.
  93.  
  94. In version 8.03, the functionality Scan All Files for All Viruses was
  95. reinstated and has been put behind the command line switch AllExec (AE).
  96.  
  97. By default, all executable files and OLE2 files (Word/Excel) are scanned.
  98.  
  99. Additional option: When To Use What Switch?
  100.  
  101.  - To scan all files for macro viruses, use the AllFiles (AF) switch. In the
  102.    Windows versions, this is the 'non executable scan', which can be found in
  103.    "Options"
  104.  - To scan all files for all viruses (macro and binary), use the AllExec
  105.    Switch, which is called 'scan all (non-executable) files as executables'
  106.    in "Advanced Options"
  107.  
  108. We expect the AllFiles switch to be used most frequently, since macro viruses
  109. have become increasingly important. As the spread of macro viruses grows each
  110. day, we offer updates on macro virus detection at least once a week on our
  111. web-site (http://www.norman.nl) and ftp-site (ftp://ftp.norman.nl) with the
  112. file TbScan.Def to ensure the most secure solution possible. But remember:
  113. even when you have updated your product with the latest definition file, there
  114. are at least a dozen macro viruses out there which nobody has seen yet and
  115. which are thus undetected.
  116.