╔════════╤════════════════════════════════════════════════════╤══════════╤═══╗
║Okt 1999│NF представляет электронный журнал MooN BuG issue 11│ Duke/SMF │016║
╟────────┴────────────────────────────────────────────────────┴──────────┴───╢
║ BAT Checker 1.3 ║
╚════════════════════════════════════════════════════════════════════════════╝
About
-----
Что толкнуло меня, вирусописателя, на создание этого антивируса?
А то, что ни AVP, ни Dr.Web, ни многие другие антивирусы не имеют
эвристического анализа BAT-вирусов (по крайней мере, он ни разу не всплыл :).
[Исключение составляют лишь сканеры NOD и RHBVS, но число правильных
срабатываний оставляет желать лучшего...] А ведь число BAT-вирусов постоянно
растет (не без моей помощи ;).
Антивирус сканирует указанный путь (с подкаталогами) и проверяет
встречающиеся на его пути BAT'ники (по маске *.BAT). Если вы хотите, чтобы
программа тестировала файлы других расширений, добавьте это расширение
в файл BATCHECK.CFG.
Детектирует новые вирусы из числа:
всех BAT-вирусов : >90%
паразитических : >98%
червей : >50%
тривиалов : >85%
Способен детектировать 100% BAT-троянцев, созданных при помощи конструктора
Random Batch Trojan Generator v1.0 ;-)))
Помимо эвристики способен детектировать 274 BAT-вирусов по сигнатурам.
Комплект
--------
BATCHECK.EXE - исполнимый антивирусный модуль
BATCHECK.CFG - конфигурационный файл программы для задания нестандартных
файловых расширений
BATCHECK.TXT - документация на русском (эта документация ;)
BATCHECK.ENG - документация на английском
FILE_ID.DIZ - описание для BBS
History
-------
11/02/99 - "BAT Checker v0.01"
Программа умела детектировать и лечить BAT-вирусы из числа имеющихся в
антивирусной базе. Любой новый вирус мог быть добавлен пользователем в
антивирусную базу программы для последующего детектирования и лечения.
Помимо полностью определенных вирусов, программа выдавала сообщения о
найденных модификациях вирусов и (если вирус в файле не найден) проводила
эвристический анализ файла. Уровень эвристики выше чем у сканера NOD32.
15/09/99 - "BAT Heuristic v1.0"
Программа занимается только эвристикой BAT-вирусов (без антивирусной базы
и возможности лечения). Полностью изменена техника анализа вирусов,
значительно увеличен процент срабатываний. Добавлен поиск троянцев.
23/09/99 - "BAT Checker v1.1"
Программа детектирует BAT-вирусы по базе сигнатур и проводит эвристический
анализ файлов. Для исключения ложных срабатываний убран флаг "ASM" из
эвристического алгоритма. Программа поддерживает два языка общения с
пользователем - русский и английский. Известных вирусов - 216.
25/09/99 - "BAT Checker v1.2"
Исправлены некорректные сигнатуры, добавлены новые вирусы, расширена
документация. Добавлен английский вариант документации.
Известных вирусов - 270.
03/10/99 - "BAT Checker v1.3"
Изменена (в лучшую сторону ;) DEGUG эвристика, добавлены новые вирусы.
Известных вирусов - 274.
Параметры запуска
-----------------
Антивирус "BAT Checker" (BC) управляется через параметры командной строки.
Для использования BC запустите его с параметрами :
BATCHECK.EXE [/options] [path] [/options]
где path - путь для тестирования. Если путь не задан, то будет тестироваться
текущая директория.
options - одна или более опций из списка :
/? - выдает на экран подсказку об опциях
/H - только эвристика, без поиска по сигнатуре
/S - только поиск по сигнатурам, без эвристики
/R - русский язык общения с пользователем (по умолчанию)
/E - английский язык общения с пользователем
Классификация детектируемых вирусов
-----------------------------------
Все вирусы, детектируемые сигнатурным поиском, для удобства классификации
разбиты на семейства. Основные семейства :
Multi.* - многоплатформенные вирусы
mIRC_Worm.* - сетевые IRC-черви
BAT.Trojan.* - "троянские кони"
BAT.ND.* - вирусы, недетектируемые программой AVP
BAT.* - все прочие ;-))
При именовании BAT.* вирусов я стараюсь придерживаться классификации AVP
(чтобы избежать излишней путаницы в умах коллекционеров), но иногда
специально отступаю от нее.
Если эвристик нашел в файле подозрительный участок кода, то он сообщает
об этом выдавая сообщение вида :
D:\VIRUSES\NEW.BAT - suspected BAT.xxxxx.Virus
где вместо "xxxxx" может стоять одно или несколько следующих слов :
PARASITIC - подозрение на паразитический вирус
TRIVIAL - подозрение на оверврайтовй вирус
TROJAN - подозрение на троянец
DEBUG - вирус, использующий утилиту DEBUG
Иногда возможны неточности при отнесении вирусов к тому или иному классу.
Например, companion вирус может определяться эвристикой как
BAT.PARASITIC.Virus ;) На это следует смотреть с улыбкой, поскольку
вирус все-таки обнаружен, а для точного отнесения вируса к тому или иному
классу нужно более детальное его изучение.
Эвристик не ловит большинство чисто WORM вирусов (чтобы избежать ложных
срабатываний), но некоторые из них детектируются как BAT.PARASITIC.Virus .
В этой версии не реализовано детектирование вирусов, использующих
командный процессор для запуска своей копии, и поврежденных копий вирусов.
Спасибо
-------
Daniel Morehead, Buddy Music - за новые вирусы
Lubos Vrtik - за тестирование и комментарии
Заключение
----------
Все отклики прошу направлять по адресу : [email protected]
Приветствуются любые предложения и критика. Если у вас есть вирус,
который не детектируется программой, пришлите его мне и он будет добавлен
в антивирусную базу.