
TSCAN.TXT: Kurz-Info ueber Access-Macroviren, Programmdokumentation

Copyright (c) 1998 by GEGA-Software Andreas Marx, Virus Help Munich
(Weitere Informationen und Kontaktadressen am Ende dieser Datei.)


*** Inhalt: ***

- Access-Macroviren?
- Virensuche
- Programminformationen
- Allgemeine Hinweise zu TSCAN
- Neue Versionen - woher?
- Autor, Kontaktadresse
- PGP-Key des Autors


*** Access-Macroviren? ***

Kurz vor der CeBit '98 wurde ein Macrovirus entdeckt, der sich
auf Access '97 spezialisiert hatte: A97M/Accessiv.A. Er verwendet
dazu Visual Basic for Application (VBA), sowie Macrobefehle von
Access 2.0. Noch im gleichen Monat wurde vom selben Autor eine
gefaehrlichere Variante (A97M/Accessiv.B) nachgeschoben, die im
Maerz einen gefaehrlichen Datei-Virus freisetzt (droppt) sowie
eine Version des Virus fuer Access 2.0. Alle Varianten infizieren
alle im aktuellen Verzeichnis vorhandenen Tabellen von Microsoft
Access (Endung 'MDB') in der jeweiligen Version. Ob diese
Viren, die derzeit noch nicht verbreitet sind, jemals so weit
kommen werden wie ihre 'Kollegen' von Word und Excel darf
bezweifelt werden: Schliesslich werden Datenbanken wesentlich
seltener (z.B. via E-Mail - einem Hauptinfektionsweg der
Macroviren!) ausgetauscht, als Texte oder Tabellen.

Mittlerweile gibt es einen Macrovirus (A97M/Cross.A), der
zwischen mehreren VBA-faehigen Programmen hin- und herspringen
soll: Zwischen Access'97 und Word'97.

Auch der erste polymorphe Access-Virus (A97M/Poly.A) ist
aufgetaucht, ob er so funktioniert, wie sein Programmierer
es vorgesehen hat, ist aber noch ungeklaert.


*** Virensuche ***

Das beiliegende Programm (TSCAN.EXE mit der Datendatei TSCAN.DAT)
ist eine Special Edition des ActiveAntiVirus-Virenscanners der
Firma GEGA Software. Er kann *nur* die bisher bekannten Access-Viren
finden. Es ist damit das ersten Programme ueberhaupt, das (nur)
Access-Macroviren erkennen kann. Da das Format, in dem Access
seine Daten speichert, nicht durch Microsoft dokumentiert wurde
bzw. dem Autor keine Unterlagen darueber vorliegen, kann keine
Reinigungsfunktion zur Verfuegung gestellt werden. Das Risiko,
Daten zu zerstoeren, die nicht zum Virus gehoeren, ist zu gross,
da das "DB-Jet"-Format sehr komplex aufgebaut ist, wahrscheinlich
aehnlich komplex wie OLE (Object Linking and Embedding), in dem
Word und Excel ihre Daten speichern.

Es wird dabei nach verschiedenen Routinen (Macros, VBA, Texte) der
Viren mit einer klassichen Signatur (virustypischen Zeichenketten)
in der gesamten Datei gesucht (Brute Force Scanning). Die internen
Dateistrukturen werden nicht beruecksichtigt und geschickt umgangen,
um Fehlalarmen vorzubeugen und keine vorhandene Infektionen zu
uebersehen (Joker-Zeichen, gg-Signatur u.ae.). Zur Suche werden
optimierte Borland Pascal 7.0 Routinen verwendet (z.B. Hashing).



*** Programminformationen ***

Das Virensuchprogramm ist rein DOS-basierend, benoetigt weniger als
200 KB freien unteren DOS-Speicher waehrend der Virensuche und ist
problemlos unter Betriebssystemen wie Windows 3.x, '95, '98 und NT
oder OS/2 einsetzbar. Das Programm ist netzwerkfaehig und kann auch
Dateien auf CD-ROMs untersuchen. Es unterstuetzt jedoch keine langen
Dateinamen und kann derzeit noch nicht in Archiven (ZIP, ARJ u.ae.)
scannen. Solche Archive muessen vorher entpackt werden!

Das Programm testet sich selbst beim Start auf Veraenderungen und
Virenbefall und gibt ggf. einen entsprechenden Hinweis aus.

Bei Aufruf des Programms wird automatisch nach dem zu durchsuchenden
Laufwerk gefragt, falls keines in der Kommandozeile eingegeben wurde.
Eine Auflistung aller Kommandozeilenparameter erhaelt man mit der
Option "/?" oder "/HELP". Es kann festgelegt werden, ob alle Dateien
durchsucht werden sollen ("/ALL"), eine Virenliste ("/VLIST")
angezeigt werden, was mit infizierten Datein geschehen soll u.v.a.m.

Es gibt nach der Suche eine Statistik ueber durchsuchte und befallene
Dateien aus. Folgende Errorlevels gibt das Programm nach der
Ausfuehrung zurueck, die z.B. in BAT-Dateien weiterverarbeitet
werden koennen:  0   --> Alles OK, keine Viren gefunden.
                 1   --> Viren gefunden!
                 255 --> Fehler aufgetreten, z.B. TSCAN.DAT unauffindbar


*** Allgemeine Hinweise zu TSCAN ***

Die Engine Version 2.x ist derzeit in Planung und Entwicklung.
Es wird sie nur als 32-Bit-Version fuer DOS (spaeter: Windows '95)
geben, die Hardwarevorraussetzungen steigen also etwas: 386er mit
min. 2 MB RAM (was hoffentlich kein Problem mehr darstellt ;-) ).

Hinweis: Ich suche nach Fehlern und Fehlalarmen aller Art. Falls
Sie einen Virus haben sollten - egal, ob er von TSCAN bereits erkannt
werden kann oder nicht - schicken Sie ihn mir bitte zur Analyse zu.
Vielen Dank fuer Ihre Hilfe!

Fuer das Programm gelten die gleichen Lizenzbestimmungen wie fuer die
Vollversion des Programms CGL (siehe dort 'lizenz.txt'). Das bedeutet
u.a. einen kompletten Haftungsausschluss fuer die Verwendbarkeit
und/oder Nichtverwendbarkeit des Programmes und eventuell durch die
Benutzung entstehende Schaeden! Die Special Edition von TSCAN ist
Freeware und darf kostenlos genutzt werden. Sie unterliegt aber
allen Bestimmungen des Urheberrechtes!

Alle im Programm und in diesem Text genannten Warenzeichen und
Firmemnamen sind durch ihre jeweiligen Eigentuemer/Inhaber geschuetzt.


*** Neue Versionen - woher? ***

Das Programm ist u.a. in folgenden Mailboxen verfuegbar:
o RegioCorner Breisgau,    Breisgau,  ISDN         unter  0761 / 15 60 063
o SunnyBBS Magdeburg,      Magdeburg, ISDN & V.34+ unter  0391 / 62 30 399
o Virus Help Munich (VHM), Freising,         V.34  unter 08161 / 93 82 20
o Sowie allen VirNet-Systemen (kommt durch das Fileecho VIR_GER)

Ausserdem ist das Programm im Internet und Online-Diensten erhaeltlich.


*** Autor, Kontaktadresse ***

TSCAN-Engine (allgemein):

Virenforschung, Konzeption und Programmierung: Andreas Marx (VHM)
Tel: 0391/613303 * E-Mail (privat): amarx@boerde.de * Fax: 0391/6218501
Fido: 2:2480/8849.17 (Virus Help Munich)
Snail-Mail: Andreas Marx, Frderstedter Str. 11, 39112 Magdeburg

Technische Unterstuetzung: Stefan Kurtzhals (VHM) und Ralph Roth (VHM)
Beta-Tester: Ralf Borgmann, Marc Schneider und Thomas Moenkemeier
Vielen Dank an: Felix Mannewitz (VHM) und Lukas-Fabian Moser (VHM)
Danke auch an: Thomas Sahlmann, Dennis Schmedtje und Heiko Schoenfeld
Gruesse an: Toralv Dirro (VHM), Gerald Scheidl (VHM), Raimund
Genes (VHM), Rainer Link (VHM), Dr. Dirk Hochstrate, Petr Odehnal,
Petr Zahradnicek und alle, die ich jetzt vergessen habe... ;-)


Fuer diese Spezial-Version gegen Access-Viren:

Mitte Maerz 1998 wurde durch die Firma Trend Micro der erste
Macro-Virus fuer Microsoft Access entdeckt. Daraufhin entstand
dieses Programm.

Autor: Andreas Marx (VHM)
Beta-Test: Dr. Karlhorst Klotz (Redaktion CHIP), Ralf Borgmann
Danke an: Stefan Kurtzhals (VHM), Oliver Marx, Siegfried Wendt


*** PGP-Key des Autors ***

Typ  Bits/ID       Datum      Benutzer
ff  1024/3410BB65 1995/08/21 Andreas Marx <amarx@boerde.de>

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.3i

mQCNAzA46O4AAAEEAOq2GWnkCfWJ0jiyB7rfmXfrUxdI8XrPsVazP4ZTVuqfSjES
svOaVORKifYudi7ThfpbwXwxSeVQJhUK+QcaCRCtefskew9qlOJKJc8LxN0BixMy
XnuEKIW+hIjBPcyUVT3bRn6PuLJogRdzJzBB7nT5knVXppELsE+5IGs0ELtlAAUT
tB5BbmRyZWFzIE1hcnggPGFtYXJ4QGJvZXJkZS5kZT6JAJUDBRA0GbCKT7kgazQQ
u2UBAWFMBADpGHLu1JEgrFVx7iSaxO3Ha3wDqeWL80QnHPDbSbnEtOSyDJWY7w6K
maJ4yGTkoZJT/lvZl5nA4K0J6TI8yQ8ET7oebZy8Q45nqsqANIr1AN78PlqJivAD
LLC9C5Y1S+nJN615bYWulGdiN0cH+fCQNvIEYN/YD3hOP4JFmHpwDA==
=6+0g
-----END PGP PUBLIC KEY BLOCK-----


*** Ende der Datei ***

