From : Miguel Rodriguez Mui/os 15-May-97 11:15:00 66:666/1.54 Subj : XSCAN La pega que yo le veo al XSCAN es que carga las cadenas de b£squeda en memoria. Supongo que lo har  para ganar velocidad de escaneo... Esto produce un problema cuando (por ejemplo) llamas la ejecuci¢n del programa desde Windows 95 (Inicio, Ejecutar, ...) puesto que al hacerlo de esta manera la primera vez funciona correctamente (ver el ejemplo m s abajo). Al terminar nos queda la ventana de DOS (Finalizado XSCAN) que tenemos que cerrar .. al hacer esto no se limpian las cadenas de la memoria... y la segunda vez (consecutiva) que escaneamos con el XSCAN nos empieza a cantar que ha encontrdo un virus en memoria. Lo alucinante es que si repetimos esta operaci¢n empieza a darnos FALSOS POSITIVOS del primer virus que encuentra de los que tine cargados, con lo que estamos 'infectados' por tantos virus distintos como veces ejecutemos el programa... y te puedes pasar toda la ma¤ana encontrando virus distintos en memoria! :-) Fijaos: ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º XSCAN 3.00 Copyright (C)1989-97 ANYWARE SEGURIDAD INFORMATICA, S.A. º ÇÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄĶ º Detector: Versi¢n 3.00 (Rev:27/Ene/97) º º Fecha : Jueves, 15 de Mayo de 1997 a las 11:25:52 º º Opciones: e:\virus\xscan º ÌÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ͹ º BASE DE INFORMACION DEL SISTEMA EXPERTO º ÌÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ͹ º Modelo : Compatible AT º º Internal: N 01FC 00 01/01/94 º º Nivel de revisi¢n BIOS : 00 º º Canal 3 de DMA usado : No º º Existe 8259 esclavo : S¡ º º Reloj en tiempo real : S¡ º º Intercepci¢n de teclado : S¡ º º Espera eventos externos : No º º Area de datos extendida BIOS : S¡ Segmento 0207 º º Arquitectura Microcanal : No º ÌÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ͹ º BIOS : No encontrado º º Fecha : 01/01/94 º º º º Han sido encontradas las siguientes extensiones a la BIOS: º º º º SEGM TAM. COPYRIGHT º º E000 40K Copyright (C) 1994 Chips and Technologies, Inc. All Rights Rº º EF00 3K Copyright SystemSoft Corp. 1992-1993. All Rights Reserved º ÌÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ͹ º Memoria convencional total : 655360 (640K) º º Memoria convencional libre : 610800 (596K) º º Memoria extendida (seg£n BIOS) : 0 (0K) º ÇÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄĶ º Driver XMS presente : S¡ º º Versi¢n XMS : 3.00 Versi¢n XMM : 3.5? Linea A20 : Habilitada º º Memoria XMS libre : 11100K Bloque m s largo disponible : 2048K º º Memoria superior (UMB) : Soportada pero no disponible º º Memoria alta (HMA) : S¡ (En uso) º ÇÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄĶ º Driver DPMI presente : No º ÇÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄĶ º Driver EMS presente : S¡ º º Vector de interrupci¢n : 0841:0040 º º Driver : EMMXXXX0 Estado : Disponible Version : 4.0 º º Segmento de paginaci¢n : C400 º º Memoria EMS total : 11792K Disponible : 11792K º º Capacidad VCPI : No º º º º HANDLE TAM. NOMBRE º º 0000 592K º ÌÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ͹ º MCB PSP Padre Tama¤o Ent Propietario Interrupciones º ÇÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄĶ º 0205 0008 00CA 14528 DOS º º 0592 0008 00CA 64 DOS º º 0597 075D 075D 16 COMMAND.COM º º 0599 075D 075D 208 þ COMMAND.COM º º 05A7 0838 075D 32 K=ý] º º 05AA 05AB 9D3B 6928 (libre) D6 E0 F4 º º 075C 075D 075D 3488 COMMAND.COM F3 º º 0837 0838 075D 3200 K=ý] 33 5C 67 º º 0900 0910 0910 224 COMMAND.COM º º 090F 0910 0910 5712 COMMAND.COM 22 23 24 2E 2F E5 º º 0A75 0910 0910 1424 þ COMMAND.COM º º 0ACF 0AE1 0910 256 þ XSCAN.EXE º º 0AE0 0AE1 0910 610800 XSCAN.EXE 09 CE CF D1 D3 D4 D7 D9 DE E1 º º E3 E4 E8 E9 EC ED F0 F1 F8 F9 º º FB FC FD FE FF º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º Explorando E:\VIRUS\XSCAN\*.* º ÇÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄĶ º No se detectaron virus. º ÌÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ͹ º Han sido explorados 1 directorios. º º Han sido explorados 5 ficheros. º º º º RESUMEN DE LAS INCIDENCIAS PRODUCIDAS EN FICHEROS VALIDADOS º ÇÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄĶ º ³ CORRECTOS³ NUEVOS ³ CAMBIADOS³FECHA 0 ³VALIDACION 0 º ÇÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄĶ ºFICHEROS³ 1 ³ 4 ³ 0 ³TAMA¥O 0 ³DETECTOR 0 º ÇÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÄÄÄÄÄÄÄÁÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄĶ º º º EXPLORACION DE VIRUS EN LOS FICHEROS NUEVOS O CON CAMBIOS º ÇÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄĶ º ³EXPLORADOS³ CORRECTOS³INFECTADOS³ BORRADOS ³RENOMBRADO³ VALIDADOSº ÇÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄĶ ºFICHEROS³ 4 ³ 4 ³ 0 ³ 0 ³ 0 ³ 4 º ÈÍÍÍÍÍÍÍÍÏÍÍÍÍÍÍÍÍÍÍÏÍÍÍÍÍÍÍÍÍÍÏÍÍÍÍÍÍÍÍÍÍÏÍÍÍÍÍÍÍÍÍÍÏÍÍÍÍÍÍÍÍÍÍÏÍÍÍÍÍÍÍÍÍͼ ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ» º INFORME DEL SISTEMA EXPERTO º º º º Test f¡sicos hardware : 100% Test l¢gico memoria : 100% º º Anomal¡as detectadas : 0% Anomal¡as detectadas : 0% º º Cadenas MCB an¢malas : 0% Interrupciones an¢malas : 1% º º Bloques RAM an¢malos : 0% Validaciones rotas : 0% º º Deteccion de cadenas : 0% º º º º Probabilidad de que exista alg£n virus : 0% REMOTA º ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍͼ Veis que no detecta nada la primera vez que lo ejecutamos... Ahora os pondr‚ lo que ocurre despu‚s... Este es un fragmneto de lo que pas¢ la segunda vez... --- >----------------------------------------------------------------------+ Segmento de paginación : C400 ¦ Memoria EMS total : 11792K Disponible : 11792K ¦ Capacidad VCPI : No ¦ ANTIVIRUS ANYWARE - XSCAN _ _ !! ATENCION ¡¡ _ -- _ MC _ -- Encontrado el virus DNR _ 02 _ 05 en memoria. _ 05 _ 05 Apague el ordenador inmediatamente, arranque desde un disco de _ 05 sistema operativo sin contaminar y utilice ANYCLEAN para eliminarlo. _ 05 _ 07 _ 08 Pulse una tecla para continuar. _ 09 _ 091_______________________________________________________________________ E3 E4 E5 E8 E9 EB EC ED F0 F1 ¦ F8 F9 FB FC FD FE FF ¦ --- >----------------------------------------------------------------------+ Veis que encuentra un virus en memoria. El DNR. Si vuelvo a escanear, pasa lo siguiente... --- >----------------------------------------------------------------------+ Driver : EMMXXXX0 Estado : Disponible Version : 4.0 ¦ Segmento de paginación : C400 ¦ Memoria EMS total : 11792K Disponible : 11792K ¦ Capacidad VCPI : No ¦ ANTIVIRUS ANYWARE - XSCAN _ _ !! ATENCION ¡¡ _ -- _ MC _ -- Encontrado el virus VSW.5063 _ 02 _ 05 en memoria. _ 05 _ 05 Apague el ordenador inmediatamente, arranque desde un disco de _ 05 sistema operativo sin contaminar y utilice ANYCLEAN para eliminarlo. _ 05 _ 07 _ 08 Pulse una tecla para continuar. _ 09 _ 091_______________________________________________________________________ E3 E4 E5 E8 E9 EB EC ED F0 F1 ¦ F8 F9 FB FC FD FE FF ¦ --- >----------------------------------------------------------------------+ Otro! :-) Seguimos? :-)''' --- >-----------------------------------------------------------------------+ Driver : EMMXXXX0 Estado : Disponible Version : 4.0 ¦ Segmento de paginación : C400 ¦ Memoria EMS total : 11792K Disponible : 11792K ¦ Capacidad VCPI : No ¦ ANTIVIRUS ANYWARE - XSCAN _ _ !! ATENCION ¡¡ _ --- > _ MC _ --- > Encontrado el virus PAZ _ 02 _ 05 en memoria. _ 05 _ 05 Apague el ordenador inmediatamente, arranque desde un disco de _ 05 sistema operativo sin contaminar y utilice ANYCLEAN para eliminarlo. _ 05 _ 07 _ 08 Pulse una tecla para continuar. _ 09 _ 091_______________________________________________________________________ E3 E4 E5 E8 E9 EB EC ED F0 F1 ¦ F8 F9 FB FC FD FE FF ¦ --- >-----------------------------------------------------------------------+ PAZ ... :-) Bueno.. pues eso! Tened cuidado con las cadenas de virus en memoria... el XSCAN cae en su propia trampa! Para comprobar esto podeis utilizar el AVPUTIL... haceis un FIND a un trozo de cadena que venga en el fichero de firmas del XSCAN (es el .SIG, creo recordar) o incluso a un nombre de un virus :-) Un Saludo, XXX