╔════════╤════════════════════════════════════════════════════╤══════════╤═══╗
║Okt 1999│NF представляет электронный журнал MooN BuG issue 11│ Duke/SMF │016║
╟────────┴────────────────────────────────────────────────────┴──────────┴───╢
║                              BAT Checker 1.3                               ║
╚════════════════════════════════════════════════════════════════════════════╝

About
-----

   Что толкнуло меня, вирусописателя, на создание этого антивируса?
А то, что ни AVP, ни Dr.Web, ни многие другие антивирусы не имеют
эвристического анализа BAT-вирусов (по крайней мере, он ни разу не всплыл :).
[Исключение составляют лишь сканеры NOD и RHBVS, но число правильных
срабатываний оставляет желать лучшего...] А ведь число BAT-вирусов постоянно
растет (не без моей помощи ;).
   Антивирус сканирует указанный путь (с подкаталогами) и проверяет
встречающиеся на его пути BAT'ники (по маске *.BAT). Если вы хотите, чтобы
программа тестировала файлы других расширений, добавьте это расширение
в файл BATCHECK.CFG.
   Детектирует новые вирусы из числа:
        всех BAT-вирусов : >90%
        паразитических   : >98%
        червей           : >50%
        тривиалов        : >85%
Способен детектировать 100% BAT-троянцев, созданных при помощи конструктора
Random Batch Trojan Generator v1.0 ;-)))
   Помимо эвристики способен детектировать 274 BAT-вирусов по сигнатурам.

Комплект
--------

BATCHECK.EXE - исполнимый антивирусный модуль
BATCHECK.CFG - конфигурационный файл программы для задания нестандартных
               файловых расширений
BATCHECK.TXT - документация на русском (эта документация ;)
BATCHECK.ENG - документация на английском
FILE_ID.DIZ  - описание для BBS


History
-------

11/02/99 - "BAT Checker v0.01"
Программа умела детектировать и лечить BAT-вирусы из числа имеющихся в
антивирусной базе. Любой новый вирус мог быть добавлен пользователем в
антивирусную базу программы для последующего детектирования и лечения.
Помимо полностью определенных вирусов, программа выдавала сообщения о
найденных модификациях вирусов и (если вирус в файле не найден) проводила
эвристический анализ файла. Уровень эвристики выше чем у сканера NOD32.

15/09/99 - "BAT Heuristic v1.0"
Программа занимается только эвристикой BAT-вирусов (без антивирусной базы
и возможности лечения). Полностью изменена техника анализа вирусов,
значительно увеличен процент срабатываний. Добавлен поиск троянцев.

23/09/99 - "BAT Checker v1.1"
Программа детектирует BAT-вирусы по базе сигнатур и проводит эвристический
анализ файлов. Для исключения ложных срабатываний убран флаг "ASM" из
эвристического алгоритма. Программа поддерживает два языка общения с
пользователем - русский и английский. Известных вирусов - 216.

25/09/99 - "BAT Checker v1.2"
Исправлены некорректные сигнатуры, добавлены новые вирусы, расширена
документация. Добавлен английский вариант документации.
Известных вирусов - 270.

03/10/99 - "BAT Checker v1.3"
Изменена (в лучшую сторону ;) DEGUG эвристика, добавлены новые вирусы.
Известных вирусов - 274.

Параметры запуска
-----------------

   Антивирус "BAT Checker" (BC) управляется через параметры командной строки.
Для использования BC запустите его с параметрами :
         BATCHECK.EXE [/options] [path] [/options]
где path    - путь для тестирования. Если путь не задан, то будет тестироваться
              текущая директория.
    options - одна или более опций из списка :
         /? - выдает на экран подсказку об опциях
         /H - только эвристика, без поиска по сигнатуре
         /S - только поиск по сигнатурам, без эвристики
         /R - русский язык общения с пользователем (по умолчанию)
         /E - английский язык общения с пользователем

Классификация детектируемых вирусов
-----------------------------------

   Все вирусы, детектируемые сигнатурным поиском, для удобства классификации
разбиты на семейства. Основные семейства :
         Multi.*      - многоплатформенные вирусы
         mIRC_Worm.*  - сетевые IRC-черви
         BAT.Trojan.* - "троянские кони"
         BAT.ND.*     - вирусы, недетектируемые программой AVP
         BAT.*        - все прочие ;-))
При именовании BAT.* вирусов я стараюсь придерживаться классификации AVP
(чтобы избежать излишней путаницы в умах коллекционеров), но иногда
специально отступаю от нее.

   Если эвристик нашел в файле подозрительный участок кода, то он сообщает
об этом выдавая сообщение вида :
         D:\VIRUSES\NEW.BAT - suspected BAT.xxxxx.Virus
где вместо "xxxxx" может стоять одно или несколько следующих слов :
         PARASITIC - подозрение на паразитический вирус
         TRIVIAL   - подозрение на оверврайтовй вирус
         TROJAN    - подозрение на троянец
         DEBUG     - вирус, использующий утилиту DEBUG

   Иногда возможны неточности при отнесении вирусов к тому или иному классу.
Например, companion вирус может определяться эвристикой как
BAT.PARASITIC.Virus ;) На это следует смотреть с улыбкой, поскольку
вирус все-таки обнаружен, а для точного отнесения вируса к тому или иному
классу нужно более детальное его изучение.
   Эвристик не ловит большинство чисто WORM вирусов (чтобы избежать ложных
срабатываний), но некоторые из них детектируются как BAT.PARASITIC.Virus .
   В этой версии не реализовано детектирование вирусов, использующих
командный процессор для запуска своей копии, и поврежденных копий вирусов.

Спасибо
-------

Daniel Morehead, Buddy Music - за новые вирусы
Lubos Vrtik                  - за тестирование и комментарии

Заключение
----------

Все отклики прошу направлять по адресу : [email protected]
Приветствуются любые предложения и критика. Если у вас есть вирус,
который не детектируется программой, пришлите его мне и он будет добавлен
в антивирусную базу.