home *** CD-ROM | disk | FTP | other *** search
/ Everything For A Hacker / 19990506-[HACK].iso / ANTIVIR / MICROSOF / MVTOOL40 / README.DOC (.txt) next >
Word Document  |  1996-05-10  |  47KB  |  462 lines
  1.  
  2.  
  3.  INFORMATION PROVIDED IN THIS DOCUMENT AND ANY SOFTWARE THAT MAY ACCOMPANY
  4.  THIS DOCUMENT (collectively referred to as an Application Note) IS PROVIDED
  5.  "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED,
  6.  INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY
  7.  AND/OR FITNESS FOR A PARTICULAR PURPOSE. The user assumes the entire risk
  8.  as to the accuracy and the use of this Application Note. This Application
  9.  Note may be copied and distributed subject to the following conditions:  1)
  10.  All text must be copied without modification and all pages must be
  11.  included;  2) If software is included, all files on the disk(s) must be
  12.  copied without modification (the MS-DOS┬«  utility diskcopy is appropriate
  13.  for this purpose);  3) All components of this Application Note must be
  14.  distributed together;  and  4) This Application Note may not be distributed
  15.  for profit.
  16.  
  17.                                                          Copyright ┬⌐ 1995
  18.  Microsoft Corporation.  All Rights Reserved.
  19.  Microsoft, MS-DOS, MSN, Windows and Windows NT are either registered
  20.  trademarks or trademarks of Microsoft Corporation in the U.S. and/or other
  21.  countries. America Online is a registered trademark of America Online, Inc.
  22.  Macintosh is a registered trademark of Apple Computer, Inc. CompuServe is a
  23.  registered trademark of CompuServe, Inc.
  24.                                                         This document was
  25.  created using Microsoft Word for Windows(.
  26.  
  27.  
  28.  
  29.  
  30.               Microsoft Word Macro Virus Protection Tool Readme
  31.                                 May 10, 1996
  32.  
  33. Please read this entire document for important information about the Macro
  34. Virus Protection tool, including problems you may encounter when running
  35. it.
  36.  
  37. Contents:
  38. 1. Installing the Macro Virus Protection Tool
  39. 2. Removing the Macro Virus Protection Tool Macros
  40. 3. Common Questions About the Macro Virus Protection Tool
  41. 4. Common Questions About Macro Viruses
  42. 5. Integrating the Protection Macros With Existing User Macros
  43.  
  44.  
  45.  
  46.                  Installing the Macro Virus Protection Tool
  47.  
  48. The Macro Virus Protection tool includes two files:
  49.  
  50.       scanprot.dot     The template which sets up the protection macros on
  51.       the userΓÇÖs machine
  52.       readme.doc  This file, which provides information about the tool and
  53.       its operation
  54.  
  55. To install the Macro Virus Protection tool, use WordΓÇÖs File Open command to
  56. open scanprot.dot. The protection tool will be automatically installed, and
  57. will prompt you for any additional input required.
  58.  
  59. This installation procedure is the same whether you run Word as a single-
  60. user setup, as a workstation install from the network, or if Word is run
  61. from the network directly.  In particular, since the setup requires
  62. changing the usersΓÇÖ Normal template on the local machine, there is no
  63. shortcut method of installing the protection macros on a large number of
  64. machines.  The macro must be run on each desktop which is to be protected
  65. against macro viruses.
  66.  
  67. If for any reason you need to re-install the protection tool, follow these
  68. steps:
  69.  
  70.      1. Bring up the list of macros by selecting the Tools Macro command.
  71.         If a macro called InstVer appears in the list, select it and press
  72.         the Delete button.
  73.  
  74.      2. Open the scanprot.dot template using File Open.
  75.  
  76.      3. The Warning alert will be displayed.  Choose ΓÇ£NoΓÇ¥ so that the
  77.         protection tool setup will run.
  78.  
  79. Now the protection tool will be re-installed completely.
  80.  
  81.  
  82.  
  83.  
  84.                Removing the Macro Virus Protection Tool Macros
  85.  
  86. To completely remove the Macro Virus Protection Tool, choose Macro from the
  87. Tools menu.  Select the AutoExit macro and press the Delete button.  Repeat
  88. this procedure to also delete the following macros: FileOpen, ShellOpen,
  89. and InstVer.  This will remove macro virus protection from your system.
  90.  
  91.  
  92.  
  93.            Common Questions About the Macro Virus Protection Tool
  94.  
  95. Q:  What are macro viruses?
  96. A:  Macro viruses are a new type of virus  that  use  an  applicationΓÇÖs  own
  97. macro  programming  language  to  distribute  themselves.  Unlike   previous
  98. viruses, macro viruses do not infect programs; they infect  documents.   For
  99. more information about macro viruses,  see  the  section  below  on  ΓÇ£Common
  100. Questions About Macro Viruses.ΓÇ¥
  101.  
  102.  
  103. Q:  What is the Macro Virus Protection tool?
  104. A:  The Macro Virus Protection tool is a free tool that installs a set of
  105. protective macros which detect suspicious Word files and alert customers to
  106. the potential risk of opening files with macros. Upon being alerted, users
  107. are given the choice of opening the file without executing the macros,
  108. thereby ensuring that no viruses are transmitted.  Although the primary
  109. purpose of the Macro Virus Protection tool is to alert users to the
  110. existence of macros in their documents and allow then to open their
  111. documents without macros, the tool also contains an updated version of the
  112. scanning code for the Concept virus and can be used to scan your hard disk
  113. for Word files that contain the Concept  virus.
  114.  
  115.  
  116. Q:  How does this new tool work?
  117. A:  The Macro Virus Protection tool installs a set of protective macros
  118. into the userΓÇÖs Normal template.  If the user opens a document containing
  119. macros, the protective macros are activated and the user is alerted to the
  120. potential risk of opening files containing macros. The user is given the
  121. choice of opening the file without executing the macros, opening the file
  122. as is, or canceling the file open operation. Opening the file without
  123. macros ensures that macro viruses are not transmitted and does not affect
  124. the content of the document.  Unless the user can verify that the macros
  125. contained in the document will not cause damage, Microsoft recommends
  126. opening the file without macros.
  127.  
  128.  
  129. Q:  What does the Macro Virus Protection tool protect against?
  130. A:  The Macro Virus Protection tool is a general alerting mechanism that
  131. will alert users to any macros found in a document.  Although the tool
  132. scans for the Concept virus, its primary purpose is not to detect or repair
  133. specific viruses, but to alert users to the fact that they are opening a
  134. document which contains macros and that these macros could contain viruses.
  135. Users are able to protect themselves against macro viruses by opening the
  136. file without the macros.
  137.  
  138.  
  139. Q:  Does the Macro Virus Protection tool change my files?
  140. A:  Upon installation, the tool offers to scan for any files which contain
  141. the Concept virus. If any infected files are found, the Concept virus is
  142. deleted from them and the files are re-saved.  After the tool is installed,
  143. if a document with macros is opened, the protection alert is displayed.  If
  144. a user cancels the File Open operation, or chooses ΓÇ£No,ΓÇ¥ then nothing in
  145. the file is changed and the operation continues as if the tool were not
  146. installed.  If the user chooses ΓÇ£YesΓÇ¥ and opens the file without the
  147. macros, a new document containing all of the documentΓÇÖs content but none of
  148. its macros is created.  The user can choose to save this new document with
  149. the same name as the original (thus overwriting the original and
  150. permanently removing the macros),  or they can close the new document
  151. without saving, to preserve the macros.
  152.  
  153.  
  154. Q:  What is the difference between the Macro Virus Protection tool  and
  155. Scan831.doc?
  156. A:  Scan831.doc is a tool that Microsoft made available to customers to
  157. allow them to scan and remove the Concept virus from their Word files.
  158. Since the release of Scan831.doc, all of the major anti-virus vendors have
  159. either shipped or committed to shipping tools which detect the Concept
  160. virus.  Although the Macro Virus Protection tool includes an updated
  161. version of the Scan831 scanning code, its primary function is to alert
  162. users to the existence of macros in their documents and allow then to open
  163. their documents without macros.
  164.  
  165.  
  166. Q:  Are there any known limitations of the Macro Virus Protection Tool?
  167. A:  The Protection Tool works by trapping File Open operations.  There are
  168. some methods of opening files that the tool cannot trap.  If  a user opens
  169. an infected document using one of these techniques, they will not be
  170. protected.  Microsoft recommends avoiding opening documents in the
  171. following manner unless the user is certain that the document is virus
  172. free.  The methods which bypass the Protection Tool include:
  173.       ΓÇó Selecting an item from the Most Recently Used files list on the
  174.         File menu.
  175.       ΓÇó Dragging a document and dropping it on the Word application window.
  176.       ΓÇó In the version for the Macintosh┬«, double-clicking on a Word file
  177.         in the Finder.
  178.       ΓÇó In the version for Windows┬« 95 or Window NTΓäó, double-clicking on
  179.         desktop scraps.
  180.       ΓÇó In the version of Word 6.0 for Windows or Windows NT, opening files
  181.         through Find File.
  182.       ΓÇó In the version for the Macintosh, choosing a file from the FinderΓÇÖs
  183.         Recent Files menu.
  184.  
  185.  
  186. Q:  Which versions of Microsoft Word does the tool run on?
  187. A:  The tool works with Word 6.0 for Windows 3.1, Word 6.0.1 for the
  188. Macintosh, Word 6.0 for Windows NT, Word for Windows 95 and Windows NT.
  189.  
  190. Q:  Does the tool work for international versions of Microsoft Word?
  191. A:  International versions of the tool exist and users should download the
  192. appropriate tool based on the international version they are using. The
  193. tool exists for the following international languages: English, German,
  194. French, Italian, Spanish, Swedish, Dutch, Brazilian, Danish, Norwegian,
  195. Portuguese, Finish Greek, Russian, Hungarian, Polish, Czech, Turkish and
  196. Slovenian.  International versions of the tool can be found on the
  197. Microsoft web site.
  198.  
  199. Q:  Where can I get the Macro Virus Protection tool?
  200. A:  The tool can be downloaded from the following on-line services:
  201.     ΓÇó The Microsoft World Wide Web site at http://www.microsoft.com/msoffice
  202.     ΓÇó MSNΓäó, The Microsoft Network using go word: macrovirustool
  203.     ΓÇó The Word forums on other on-line services such as CompuServe┬« and
  204.       America Online┬«
  205.     ΓÇó Customers can also get the tool by calling Microsoft's Product Support
  206.       Services at 206-462-9673 for Word for Windows, and 206-635-7200 for
  207.       Word for the Macintosh; or by sending Internet email to
  208.       wordinfo@microsoft.com
  209.  
  210.  
  211. Q:  How will you distribute updates to the tool?
  212. A:  Any updates which become necessary will be distributed on the following
  213. on-line services:
  214.     ΓÇó The Microsoft World Wide Web site at http://www.microsoft.com/msoffice
  215.     ΓÇó MSNΓäó, The Microsoft Network
  216.     ΓÇó The Word forums on other on-line services such as CompuServe┬« and
  217.       America Online┬«
  218.     ΓÇó Microsoft's Product Support Services at 206-462-9673 for Word for
  219.       Windows, and 206-635-7200 for Word for the Macintosh; or by sending
  220.       Internet email to wordinfo@microsoft.com
  221.  
  222.  
  223.                     Common Questions About Macro Viruses
  224.  
  225.  
  226. Q:  Does a box of Word or Office that I buy in the store contain macro
  227. viruses?
  228. A:  Macro viruses do not exist in any version of Word or Office that you
  229. would get in a store. You can only get macro viruses by opening a Word
  230. document or template that already contains the macro virus.
  231.  
  232.  
  233. Q:  Can macro viruses be transferred with documents created with or being
  234. read by Internet Assistant?
  235. A:  Internet Assistant and documents created or read by it cannot be
  236. affected.  Internet Assistant  blocks the mechanism that distributes this
  237. type of macro.
  238.  
  239.  
  240. Q:  Can macro viruses be transferred with documents created with or being
  241. read by WordMail?
  242. A:  Word cannot send or receive this type of macro as a WordMail message.
  243. However, like many email editors, WordMail supports file attachments. If an
  244. infected document is sent as a file attachment, you can get infected when
  245. you open such an attachment.
  246.  
  247.  
  248. Q:  Can macro viruses be transferred by documents being read with the Word
  249. Viewer?
  250. A:  Since the Microsoft Word Viewer cannot save documents, it is unable to
  251. transmit macro viruses.
  252.  
  253.  
  254. Common Questions About the Concept Virus
  255.  
  256. Q: What is the Concept virus (also known as the Prank Macro)?
  257. A: The Concept virus is a macro virus which, once it installs itself, only
  258. lets you save documents as templates. The macro does not cause data loss or
  259. any other serious system, but it will replicate and distribute itself
  260. through Word documents.  The first time you open a document containing the
  261. macro you will see a dialog box that only contains the number "1" and an
  262. "OK" button. You can also verify whether or not the macro is installed by
  263. selecting the "Macro" command from the "Tools" menu -- if the list contains
  264. the following macros: AAAZAO and AAAZFS it has been installed.
  265.  
  266.  
  267. Q:  Does the Macro Virus Protection Tool protect me against the Concept
  268. virus?
  269. A:  Yes. Upon installation, the tool scans for the Concept virus.  If it
  270. finds the Concept virus, it deletes it and installs protective macros to
  271. prevent the Concept virus from installing in the future. The tool, however,
  272. does not detect infected files that are embedded in other OLE files or your
  273. mail file. Contact your Anti Virus vendor for an updated version of their
  274. scanning tools.
  275.  
  276.  
  277. Common Questions About the Nuclear Virus
  278.  
  279. Q:What is the Nuclear virus?
  280. A: The nuclear virus is the only macro virus currently known to cause
  281. damage to your print outs and DOS system files.  It uses the following
  282. macro names:
  283.       AutoExec
  284.       AutoOpen
  285.       DropSuriv
  286.       FileExit
  287.       FilePrint
  288.       FilePrintDefault
  289.       FileSaveAs
  290.       InsertPayload
  291.       Payload
  292.  
  293.    Possible damage:
  294.     ΓÇó  If you open the document between 55 seconds and the next minute, any
  295.       print job will have the text  STOP ALL FRENCH NUCLEAR TESTING IN THE
  296.       PACIFIC! appended to it.
  297.     ΓÇó  If you open the document between 5 and 6 PM, it will attempt to
  298.       infect your machine with the ph33r virus.  This part is not damaging
  299.       however, because it installs a Terminate and Stay Resident (TSR)
  300.       program in a DOS session that ceases to exist when the macro finishes.
  301.     ΓÇó On April 5 of any year, io.sys and msdos.sys are zeroed out, and
  302.       command.com is deleted from your root directory.   DOS can no longer
  303.       boot, and presumably, by zeroing out the crucial files, won't notify
  304.       you that DOS is gone at boot time.
  305.  
  306.  
  307. Q:  Does the Macro Virus Protection tool protect me against the Nuclear
  308. virus?
  309. A:  The macro virus protection tool alerts users any time a document
  310. containing macros is opened.  Since the Nuclear virus is spread through
  311. macros, users will be alerted when they try and open a document containing
  312. the Nuclear virus.  Users can protect themselves from the Nuclear virus by
  313. choosing to open the file without macros.
  314.  
  315. Common Questions About the DMV Virus
  316.  
  317. Q:What is the DMV virus?
  318. A:  This virus is very similar to the Concept virus.  Instead of using
  319. AutoOpen to start the replication it uses AutoClose to install the virus in
  320. the userΓÇÖs Normal (Global) template.  Other than replicating itself and
  321. changing the FileSave As command, it does not do any harm.
  322.  
  323.  
  324. Q:  Does the Macro Virus Protection tool protect me against the DMV virus?
  325. A:  The macro virus protection tool alerts users anytime a document
  326. containing macros is opened.  Since the DMV virus is spread through macros,
  327. users will be alerted when they try and open a document containing the DMV
  328. virus.  Users can protect themselves from the DMV virus by choosing to open
  329. the file without macros.
  330.  
  331.  
  332.          Integrating the Protection Macros With Existing User Macros
  333.  
  334. In order to ensure strong anti-virus protection, the Macro Virus Protection
  335. tool will disable certain user macros when the tool is installed.  Because
  336. of the wide variety of user macros and the potential that they could be
  337. infected with a virus, it is not possible for the tool to automatically
  338. detect ΓÇ£goodΓÇ¥ user macros, and merge them in so that they coexist with the
  339. Protection tool.
  340.  
  341. This section describes how you can integrate any desired user macros with
  342. the macros that the Macro Virus Protection tool provides.  This is a
  343. technical process which requires knowledge of WordBasic.  If you do not
  344. have the technical skills required to complete this integration, then you
  345. have three options:
  346.       ΓÇó Keep the Macro Virus Protection Tool installed, and do without the
  347.         functionality that the conflicting user macros provided.
  348.       ΓÇó Remove the Macro Virus Protection tool and reinstall your original
  349.         user macros, and do without the anti-virus protection
  350.         functionality.
  351.       ΓÇó Seek technical assistance for the problem, either from your
  352.         internal help desk, knowledgeable in-house WordBasic users or the
  353.         original author of the user macros.  They should all be able to
  354.         follow the instructions below to solve the problem.
  355.  
  356. General Information
  357.  
  358. Q:  What macros are installed when the Macro Virus Protection tool is run
  359. and what happens if macros with the same name already exist?
  360. A:  During setup, the Macro virus Protection tool installs the following
  361. macros to the userΓÇÖs Normal template: AutoExit, FileOpen, InstVer, and
  362. ShellOpen.  If an AutoExit or FileOpen macro already exists, Setup renames
  363. the original macros by appending User to the end of the macro name.  For
  364. example ΓÇ£FileOpenΓÇ¥ becomes ΓÇ£FileOpenUserΓÇ¥.
  365.  
  366.  
  367. Q:  How can I tell if I need to do any macro integration work?
  368. A:  When ScanProt installs, it will look for FileOpen and AutoExit macros
  369. in your Normal template.  If it finds FileOpen, it will display the message
  370. ΓÇ£Your  FileOpen macro has been renamed to FileOpenUserΓÇ¥. You will see a
  371. similar message for AutoExit.  If you want to know whether this will happen
  372. before installing ScanProt, choose the Macro command on the Tools menu and
  373. look through the names of the macros in the Macro Name list.  If FileOpen
  374. or AutoExit appears in the list, then you will have some macro integration
  375. to do.  If you have already installed ScanProt and are unsure whether it
  376. renamed FileOpen and AutoExit, look in the Macro Name list for FileOpenUser
  377. and/or AutoExitUser. In addition, if you have any custom templates that
  378. have their own AutoExit or FileOpen macros, then you will have some macro
  379. integration to do.
  380.  
  381.  
  382. Q:  Is it always possible for me to integrate my existing macros with the
  383. protection macros?
  384. A:  Not always.  If any of the user macros are execute-only macros, then
  385. you will not be able to integrate the existing macros with the protection
  386. macros.  To determine if your macros are execute-only macros, follow these
  387. steps:
  388.    1. Choose the Macro command on the Tools menu.
  389.    2. Select each of the xxxxUser macros in turn.
  390.    3. As you select each macro, look to see whether the ΓÇ£EditΓÇ¥ button
  391.       becomes disabled.  If the ΓÇ£EditΓÇ¥ button becomes disabled when you
  392.       select one of the xxxxUser macros, it means that that macro is an
  393.       execute-only macro and it cannot be integrated with the protection
  394.       macro in its present state.
  395.  
  396. If the macros are execute-only, customers have two options:  They can
  397. either 1)contact the author/vendor of the original macros and ask for
  398. editable versions of the macros or for a new version of the execute-only
  399. macros which are integrated with the protection tool, or 2) decide to
  400. install the protection tool macros and forgo the features of the original
  401. macros or vice versa.
  402.  
  403. Specific Information
  404.  
  405. If youΓÇÖve gotten to this point in the instructions, then youΓÇÖve determined
  406. that the Macro Virus Protection tool has renamed at least one of your user
  407. macros, and that none of the renamed user macros are execute-only macros.
  408. Depending on which user macros have been renamed, you will have to follow
  409. different steps. The two sets of steps are described below.
  410.  
  411. Integrating with FileOpen
  412. The FileOpen code that the Macro Virus Protection Tool installs simply
  413. makes a call into the ShellOpen macro.  Therefore, in order to integrate
  414. your code in the FileOpenUser macro, you need to copy and paste the
  415. appropriate code into the ShellOpen macro (instead of the FileOpen macro.)
  416. Examine the code in your FileOpenUser macro and determine which parts of
  417. the code are to run before the actual FileOpen operation, and which parts
  418. of the code should run after the FileOpen operation.  Once you determine
  419. which code goes before and which code goes after, you need to copy and
  420. paste the ΓÇ£beforeΓÇ¥ code, into the ShellOpen macro at the first point in the
  421. ShellOpen code where the comment reads ΓÇ£INSERT YOUR  CODE HERE.ΓÇ¥  Then copy
  422. and paste the ΓÇ£afterΓÇ¥ code at the second point in the ShellOpen code where
  423. the comment reads ΓÇ£INSERT YOUR CODE HERE.ΓÇ¥  Note that copying your macro
  424. code into other points in the macro could cause the protection macros to
  425. lose their protection capabilities.  In many cases you will have to do
  426. additional coding or bug fixing to make the integration seamless, but the
  427. steps above give the general guidelines to follow.
  428.  
  429. IMPORTANT: The steps above will let you integrate with any custom FileOpen
  430. macro you might have had in the Normal template.  However, you also need to
  431. integrate with your custom templates that have FileOpen macros in them.
  432. Completing this procedure involves 1) copying the ShellOpen macro from the
  433. Normal template to each of your custom templates which contain FileOpen
  434. macros, 2) integrating the existing FileOpen macro in the template with the
  435. ShellOpen macro you just copied into the template, and 3) copying over the
  436. original FileOpen macro in your template with the FileOpen macro from your
  437. Normal template.  If you do not complete these steps on a template which
  438. contains a FileOpen macro, then a macro virus could escape detection when a
  439. user does a File Open operation when the active document is either the
  440. template with the FileOpen macro or a document attached to that template.
  441.  
  442. Integrating with AutoExit
  443. To integrate with the AutoExit macro, you need to examine the code in your
  444. AutoExitUser macro and determine which parts of the code are to run before
  445. the actual FileExit operation, and which parts of the code should run after
  446. the FileExit operation.  Once you determine which code goes before and
  447. which code goes after, you need to copy the ΓÇ£beforeΓÇ¥ code, and paste it
  448. into the AutoExit macro at the first point in the AutoExit code where the
  449. comment reads ΓÇ£INSERT YOUR CODE HERE.ΓÇ¥  Next copy and paste the ΓÇ£afterΓÇ¥
  450. code at the second point in the AutoExit code where the comment reads
  451. ΓÇ£INSERT YOUR CODE HERE.ΓÇ¥  Note that copying your macro code into other
  452. points in the macro could cause the protection macros to lose their
  453. protection capabilities. In many cases you will have to do additional
  454. coding or bug fixing to make the integration seamless, but the steps above
  455. give the general guidelines to follow.
  456.  
  457. Once you have completed all of your macro integration, you can delete all
  458. of the xxxxUser macros in the Normal template, since they wonΓÇÖt actually
  459. ever get called.
  460.  
  461.  
  462.