DDDDDDD RRRRRRR WW WW WW EEEEEEEEE BBBBBBB DDDDDDDD RRRRRRRR WW WW WW EEEEEEEEE BBBBBBBB DD DD RR RR WW WW WW EE BB BB DD DD RR RR WW WW WW EE BB BB DD DD RRRRRRRR WW WW WW EEEEEEEEE BBBBBBBB DD DD RRRRRRR WW WW WW WW EEEEEEEEE BBBBBBBB DD DD RR RR WW WW WW WW EE BB BB DD DD RR RR .. WW WW WW WW EE BB BB DDDDDDDD RR RR .... WW WW WW WW EEEEEEEEE BBBBBBBB DDDDDDD RR RR .. WWW WWW EEEEEEEEE BBBBBBB Версия 1.04 от 26 сентября 1994 г. Лицензионное соглашение _______________________ Программа Dr. Web поставляется в форме "КАК ЕСТЬ", в соответствии с принципом "AS IS", общепринятым в международной компьютерной практике. Это означает, что за проблемы, возникаю- щие в процессе эксплуатации или инсталляции программы Dr. Web, разработчик и распространитель ответственности не несут. Комплект поставки Dr. Web _________________________ Имя файла │ Длина │ Описание файла ────────────┼───────┼───────────────────────────────────────────────────────── HISTORY.WEB │ 3915 │ История создания программы Dr. Web VIRLIST.WEB │ 80927 │ Каталог вирусов, определяемых и обезвреживаемых Dr. Web WEB.EXE │ 34816 │ Программа Dr. Web WEB.ICO │ 766 │ Файл-икона для MS-Windows WEB.INI │ 8 │ Файл конфигурации WEB.ME │ 12507 │ Руководство пользователя WEB.PIF │ 545 │ PIF-файл для MS-Windows Dr. Web. Описание работы ________________________ Dr. Web производит поиск и удаление известных ему вирусов в памяти и на дисках компьютера, а также Dr. Web производит эврис- тический анализ файлов и системных областей компьютера для обна- ружения новых и неизвестных ему вирусов и детектирует их. РЕКОМЕНДУЕТСЯ запускать программу Dr. Web для тестирования файлов, памяти и системных областей магнитных носителей с защищен- ного от записи диска поставки (или архивного диска), предваритель- но загрузив операционную систему с защищенной от записи системной дискеты. Командная строка для запуска Dr. Web выглядит следующим об- разом: Web [диск или путь] [ключи] Диск: X: - логическое устройство жесткого диска или физическое устройство гибкого диска, например F: или A:; * - все логические устройства на жестком диске; ?: - текущее устройство. Путь: путь или маска тестируемых файлов. Ключи: /A - диагностика всех файлов на заданном устройстве; /F - лечение дисков и файлов, удаление найденных ви- русов; /H - поиск вирусов в адресном пространстве от 0Kb до 1088Kb); /L - вывод сообщений на другом языке; /M - работа без поиска вирусов в памяти компьютера; /O - вывод сообщения "Ok" для неинфицированных файлов; /P - запись протокола работы в файл REPORT.WEB; /R - загрузка знакогенератора русского алфавита; /S - эвристический анализ файлов и поиск в них неизвестных вирусов; /U[W][диск:] - проверка файлов, упакованных LZEXE, DIET, PKLITE,... W - восстановление файла и удаление из него кода распаковщика. Диск: - устройство, на котором будет производиться распаковка файлов. /V - контроль за заражением тестируемых файлов резидентным вирусом. /? - вывод на экран краткой справки. Если в командной строке Dr. Web не указано ни одного ключа, то вся информация для текущего запуска будет считываться из фай- ла конфигурации WEB.INI, расположенного в том же каталоге, что и файл WEB.EXE. Формат файла конфигурации WEB.INI представлен в текстовом виде и полностью соответствует формату командной стро- ки программы Dr. Web. В файле WEB.INI можно задавать, как ключи, необходимые для текущего запуска, так и тестируемые диски или ус- тройства. В комплект поставки входит стандартный файл WEB.INI, который необходимо откорректировать под пользовательские задачи. Если файл конфигурации отсутствует и ключи в командной строке не указаны, то Dr. Web будет сканировать память компьюте- ра в адресном пространстве 0 - 640 Kb, а также файлы с расшире- ниями *.COM, *.EXE, *.SYS, *.BIN, *.DRV, *.BOO и *.OV? и выво- дить сообщения об их заражении известными вирусами. В процессе тестирования файла, в режиме /V (контроль за за- ражением тестируемых файлов резидентным вирусом), Dr. Web может выдать на экран сообщение типа: C:\DOS\COMMAND.COM ВНИМАНИЕ! При открытии данного файла, его размер изменился на +800 байт! В памяти компьютера может находиться АКТИВНЫЙ РЕЗИДЕНТНЫЙ ВИРУС! Продолжить работу? [Y, ENTER] - да, [N, ESC] - нет. Данное сообщение говорит о том, что перед открытием указан- ного файла на чтение, его длина имела одно значение, а после от- крытия - другое. Возможно, что в момент открытия этого файла средствами Dr. Web, в памяти находился неизвестный резидентный вирус, который произвел заражение данного файла. В данном случае приращение длины будет положительным. Или, возможен другой ва- риант, когда в памяти находится резидентный Stealth-вирус (ви- рус-невидимка), который пытается скрыть наличие своей копии в тестируемом файле. В этом случае приращение длины - отрицательное. В обоих случаях рекомендуется прекратить работу, перегру- зить компьютер с дискеты с "чистой" операционной системой и произвести детальный анализ подозрительных файлов (запуск Web /s с защищенного от записи дистрибутивного диска поставки). При использовании некоторых внешних кэш-драйверов, возмож- но появление данного сообщение для файла REPORT.WEB, если прог- рамма Dr. Web была запущена с ключами /A /V и /P. Если в режиме /F при попытке лечения загрузочного вируса на диске Dr. Web выдаст сообщение: Возможно некорректное лечение Boot-сектора! Продолжить лечение? [Y, ENTER] - да, [N, ESC] - нет то это означает, что оригинальный Master Boot Record или Boot Sector не обнаружены в секторе, в котором удаляемый вирус должен их "прятать". Это может произойти в том случае, если вирус яв- ляется слегка модифицированной версией известного вируса и исход- ный Boot-сектор он хранит где-то в другом месте диска, либо при заражении компьютера несколькими Boot-вирусами, которые в ре- зультате "накладываются" друг на друга. В этом варианте Dr. Web вместо исходного MBR в "тайнике" первого вируса находит "голову" следующего и т.д. А поскольку Web сразу не анализирует найденный им сектор MBR на наличие еще одного вируса, но он видит, что это не исходный MBR, то он и предупреждает Вас об этом. Если Вы раз- решите лечение, то Dr. Web по очереди излечит компьютер от извес- тных ему вирусов. Следует отметить, что при поражении диска нес- колькими Boot-вирусами иногда происходит потеря исходного Master Boot Record, если разные вирусы, заразившие компьютер, размещают MBR в одном и том же секторе диска. Как правило, в этом случае компьютер при загрузке системы с этого диска "зависает". Dr. Web при попытке лечения такого диска также может зациклиться, стре- мясь вылечить сначала один вирус, потом другой. В этом случае лучше отказаться от лечения и восстановить системные области дис- ка средствами Антивирусной Системы SpIDer's Web, либо командой SYS C: или FDISK /MBR, загрузив предварительно операционную сис- тему с системной дискеты. Режим /S (эвристический анализ файлов) характеризуется тем, что Dr. Web в этом режиме анализирует файлы и системные области компьютера (загрузочные сектора) на заданном устройстве и пытает- ся обнаружить новые или неизвестные ему вирусы по характерным для вирусов кодовым последовательностям. Если таковые будут найдены, то в этом случае выводится предупреждение о том, что объект воз- можно инфицирован неизвестным вирусом (COM.Virus, EXE.Virus, COM.EXE.Virus, COM.TSR.Virus, EXE.TSR.Virus, COM.EXE.TSR.Virus или Boot.Virus). Данный режим позволяет определять неизвестные вирусы, даже, в сложношифруемых или полиморфных вирусах (уровней полиморфизма 1-5), код, которых от копии к копии, может не совпа- дать ни на один байт! Процент определения неизвестных вирусов, при практическом тестировании на коллекции вирусов, состоящих из 1500 различных экземпляров, составил около 82 процентов! В дан- ном режиме возможны ЛОЖНЫЕ СРАБАТЫВАНИЯ! Если у Вас на каком-ли- бо файле произойдет ложное срабатывание, то, убедительная просьба, прислать нам для анализа данный файл. В настоящее время, для данной версии, ложные срабатывания обнаружены на следующих файлах: MIRROR.COM Central Point Software, RK.COM А.Страхов AcademySoft, RCVFAX.COM ZyXEL Communications Corp., MVT.COM Martin Kupchs. BOOT_B.EXE Scott A. Numbers Примечание: Данный режим эффективен при тестировании прог- раммного обеспечения, появившегося у Вас впервые. Время тестирования объектов на указанных устройствах в дан- ном режиме может быть больше в 3 раза, чем время тестирова- ния без режима эвристического анализа. Режим /U (Unpacked) позволяет тестировать файлы, упакован- ные утилитами LZEXE, PKLITE, DIET, а также вакцинированные анти- вирусом CPAV. С помощью данного режима можно восстановить упако- ванные файлы, если задать режим /UW (Unpacked and reWrite). В данном режиме /U Dr. Web производит восстановление упако- ванного файла во временный файл, после тестирования которого, ес- ли не был установлен режим /UW, временный файл будет удален. Вре- менный файл создается на том устройстве, где находится программа Dr. Web, но можно задать для своппинга любое устройство или диск, например /UWC: или /UD:. Где C: и D: - имена дисков, на которых будут создаваться временные файлы. Примечание: Диск, используемый для создания временных фай- лов должен иметь необходимое свободное пространство. Реко- мендуется, в качестве устройства для распаковки, использо- вать виртуальный RAM - диск, т.к., скорость работы Dr. Web в этом случае будет намного выше, чем при использовании, в качестве устройства для распаковки, логического диска "винчестера". В режиме /P происходит запись протокола работы Dr. Web в файл REPORT.WEB, который находится или будет создан в том же ка- талоге, где находится программа Web.exe Режим /O характерен тем, что для всех файлов, в которых во время тестирования не найден вирусный код, будет выведено сообще- ние "Ok". Например, "C:\NC\NC.EXE - Ok". Режим /L позволяет выводить все сообщения Dr. Web на другом языке. Данная версия поддерживает английский язык. При включении режима /H производится дополнительное тести- рование верхних адресов памяти (640Kb - 1088Kb) для выявления ре- зидентных вирусов в данной области. Этот режим актуален, если на Вашем компьютере существует возможность загрузки программ в вер- хнюю память, выше 640Kb в область ПЗУ (Upper Memory Blocks - UMB и High Memory Area - HMA). Dr. Web создан с помощью: Turbo Assembler Version 4.0 Copyright (c) 1988, 1993 Borland International, Turbo Link Version 5.1 Copyright (c) 1991 Borland International, Turbo Debugger Version 3.1 Copyright (c) 1988,91 Borland International, Quaid Analyzer Copyright (c) 1990 Quaid Software Limited, Robert T McQuaid. Спасибо данным фирмам за высокое качество перечисленных программных продуктов. Об условиях распространения Dr. Web можно узнать по адресу: антивирусный отдел АО "Диалогаука", Москва тел./факс (095) 135-6253, 938-2970, 137-0150 (10.00-18.00) BBS (095) 938-2856 (14400/V.32bis) E-mail: lyu@dials.msk.su FidoNet: 2:5020/69 Связь с автором: Данилов Игорь Анатольевич тел.(812) 298-86-24 (10.00-18.00) E-mail: id@sald.spb.su FidoNet: 2:5020/69.14