5 INFIZIERT! WAS TUN?

5.1 Generelle Hinweise

Bei einer kompletten Desinfektion eines befallenen Systems muß folgendes beachtet werden: - Keine Panik! Wer sich die Problemlösung nicht zutraut, sollte einen Fachmann zu Hilfe nehmen. Das System ein paar Tage stillzulegen ist erträglicher als einen Fehler zu machen, den man in wochenlanger Arbeit wieder ausbügeln muß. - Nie low- oder high-level formatieren! Das wäre Overkill. Man kann Viren grundsätzlich "sanfter" killen. Einzige Ausnahme ist das Formatieren einer Diskette bei Bootsektorbefall (nachdem man alle Dateien herunterkopiert hat), wenn man sonst keine Hilfsmittel hat. - Ist der Virus neu bzw. wird von gängigen Scannern nicht erkannt, unbedingt eine Kopie des Virus für einen bekannten Antivirenforscher aufbewahren und sie diesem schicken. Der Forscher muß bekannt und vertrauenswürdig sein. Auf gar keinen Fall "irgend jemandem" geben! Näheres steht im Fragenteil unter der FRAGE 27, "Ich habe einen vermutlich neuen Virus entdeckt...". - Bevor irgendwie am Filesystem herumgedoktort wird, muß der Virus aus dem Speicher verschwinden! Dazu muß von sauberer Systemdiskette gebootet werden. Außerdem darf kein Programm von der Festplatte gestartet werden - auch kein Antivirusprogramm. Eine Ausnahme bildet das Killen der meisten Stealth-Viren, die Dateien infizieren. Näheres unter 5.3. . - Niemals vergessen, nach dem Säubern der Festplatte auch alle(!) Disketten, auch die Originale, zu untersuchen und ggf. zu säubern. - Nochmals: Das Zurückfahren von Dateien eines sauberen Backups ist immer besser als das Desinfizieren von Dateien. Um bei der Desinfektion eines Systems keine Fehler zu machen, sollten vorher Informationen eingeholt werden, z.B. durch Nachfrage in einem öffentlichen Echo bzw. Forum. Dazu ist es notwendig, daß man folgende Informationen angibt: - Was habe ich am Rechner gemacht, als die erste Fehlfunktion auftrat? - Worin bestand die Fehlfunktion bzw. woran merkte ich, daß ich den Virus hatte? - Welche TSRs waren geladen, als die Fehlfunktion auftrat? - Welches Programm lief gerade? - Name des Virus, falls bekannt - Namen und Version des Programms, welches ihn entdeckt hat - Befallenes Programmobjekt, z.B. Partition Table (MBR) - Systemkonfiguration: Computertyp, Floppydrives, Speichermenge und Konfiguration (extended, expanded etc.), Festplatte-Kodierung (MFM, RLL, AT-Bus, SCSI), Hinweis auf Onlinekomprimierer wie Stacker und SStor, DOS-Version. Für Rückfragen sollte man am besten AUTOEXEC.BAT und CONFIG.SYS bereit halten.

5.2 Vorgehensweise

Wenn man kein intaktes Backup hat, muß versucht werden, befallenen Wirtscode zu desinfizieren. Hierzu gibt es gute und schlechte Utilities. Ein gutes ist z.B. F-PROT von Fridrik Skulason. Bevor mit einem Desinfektor gearbeitet wird, muß von schreibgeschützter, virenfreier Systemdiskette gebootet werden, auf der sich alle notwendigen Programme zum Säubern des Systems befinden! Eine 100% perfekte Desinfektionsmethode existiert in vielen Fällen nicht. Es kann auch bei guten Desinfektoren schon mal vorkommen, daß Dateien "kaputtrepariert" werden bzw. den Originalzustand nicht wiedererhalten. Bei überschriebenem Wirtscode ist Desinfektion z.B. gar nicht möglich. Infiziert werden können alle ausführbaren Dateien. Das sind jene, die binär mit MZ oder ZM beginnen (diese werden wie EXE-Files behandelt), die gültigen Maschinencode enthalten und kürzer als 64k sind (diese werden als COM-File ausgeführt), und Batch-Dateien. Gewöhnlich haben solche Dateien folgende Endungen:
COM EXE BAT BTM SYS BIN OV? APP XT? PIF DLL TTF, oder eine Zahlenkombination.
Ausführbare Dateien sind oftmals nicht als solche zu erkennen. Man glaubt es nicht, auch TrueType-Fontdateien von Windows 3.1 beginnen mit MZ! Es ist daher wohl am besten, nach einer erkannten und beseitigten Virusinfektion ALLE Dateien nochmals zu scannen oder, besser, auf ihre Integrität zu überprüfen - allein schon deshalb, falls der Virus eine Zerstörungsfunktion beinhaltet und an irgendeiner Stelle Daten verändert hat.
Bootsektorviren auf Festplatte wie z.B. der FORM-Virus lassen sich durch ein simples SYS C: nach Booten von sauberer Diskette killen. Dies funktioniert bei einem echten DOS-Bootsektorvirus IMMER, solange C: eine bootfähige Festplatte ist. Falls der Virus noch andere Bootsektoren nicht bootfähiger Partitionen befällt, sollte man ein Backup dieser Partitionen ziehen und ihn dann versuchen, mit Hilfe von Desinfektionsprogrammen zu killen. Ist das nicht möglich, formatiert man diese Partition mit FORMAT von DOS und fährt danach das Backup zurück. Besser ist es, vor einem Virenbefall mit einem vernünftigen Tool die Bootsektoren und den MBR der Festplatte zu sichern. NORTON's DiskTool ist bei mehreren physikalischen Festplatten mit Vorsicht zu genießen, er kann eventuell den MBR und die Bootsektoren der zweiten Festplatte nicht restaurieren! Bei Bootsektorbefall von Disketten ist das ähnlich einfach, wenn die Festplatte und der RAM des PCs sauber sind. Bootdisks säubert man immer mit SYS A: (von C: aus). Bei nicht bootfähige Disketten sollte man, wenn Desinfektoren nicht funktionieren, alle Daten und Verzeichnisse auf Festplatte sichern, z.B. mit

C:> MD TEMP
C:> XCOPY A:\*.* C:\TEMP /S /E

Danach die Diskette formatieren und dann alle Daten mit XCOPY zurückkopieren. Partition Table-Infektionen killt man, indem man von Diskette bootet und eine vorher mit einem vernünftigen Tool erstellte Kopie des MBR zurückfährt :-). Falls man mehrere physikalische Festplattes hat, kann man dies auch mit der zweiten tun. Ist das nicht möglich, gibt es folgende anderen Möglichkeiten:

1. Man setzt nach dem Booten von Disk z.B. F-PROT oder einen anderen Killer ein, der die Kopie des alten MBRs sucht und zurückfährt (Finger weg von CLEAN.EXE!). Dies sollte zunächst versucht werden. Das Killprogramm muß von Diskette gestartet werden!
   
2. Falls 1. nicht sicher funktioniert, benutzt man den undokumentierten Switch von DOS 5's FDISK zum Killen eines Virus aus dem MBR der ersten Festplatte:
   A:> FDISK /MBR nach dem Booten von einer DOS-5.0-Diskette, auf der sich FDISK befindet.

Dies rekonstruiert das Masterboot-Programm, läßt aber die Partition-Table ganz. Der Befehl funktioniert bei einigen seltenen exotischen Viren nicht, die die Partition-Daten physikalisch auf Festplatte verschieben, aber hervorragend z.B. bei Stoned, No-Int oder Michelangelo. FDISK /MBR funktioniert auch dann, wenn die Festplatte nicht mit DOS 5 formatiert ist, solange man von einer DOS 5-Diskette bootet. Wichtig ist allerdings, daß Sie vorher einen Backup Ihrer Festplatte machen, denn bei einigen Viren kann es passieren, das nach dem FDISK /MBR gar kein Zugriff auf die Festplatte mehr möglich ist. Um das vorher schon auszuschließen, reicht es, von sauberer Diskette zu booten und mit einem DIR C: zu prüfen, ob die Festplatte noch ansprechbar ist. Falls ja, droht kein unmittelbarer Datenverlust. Falls bei dem DIR C: kein Zugriff auf die Festplatte möglich ist, kann der Virus wie folgt entfernt werden:

1. Backup der Platte machen (man kann nie wissen) !!!
2. Booten von infizierter Festplatte, der Virus ist nun aktiv. Greift man nun auf den infizierten MBR zu, so spiegelt der Virus dem Anwender einen unverseuchten MBR vor und genau das nutzen wir nun aus:
3. Mit einem Programm (z.B. Nortons Disk doctor oder den Utilities von TBAV) nun den MBR auf Diskette sichern. Da der Virus uns hier einen sauberen MBR liefert ist die erstellte Kopie auf der Diskette ebenfalls virenfrei.
4. Nun den Rechner ausschalten und anschliessend mit sauberen Bootdisketten booten.
5. Jetzt den vorhin gesicherten, sauberen, MBR auf die Platte zurückkopieren.
6. Mit DIR C: prüfen, ob die Platte nun wirklich wieder sauber angesprochen werden kann.

5.3 Desinfektion von Stealth-Viren

Wer sich die hier beschriebenen Desinfektionsmethoden nicht zutraut, muß einen Fachmann zu Hilfe nehmen! Stealth-Viren, die Files infizieren, kann man meistens mit einem einfachen, aber wirkungsvollen Trick desinfizieren: mit dem COPY-Befehl von DOS. Auch Stealth-Viren befallen nämlich nur Programme, die sie als ausführbar erkennen. Praktisch alle tun dies, indem sie nach Dateiendungen wie COM, EXE, SYS oder ähnlichen suchen. Kopiert man nun, WAEHREND DER VIRUS IM SPEICHER IST, eine infizierte Datei in eine andere Datei auf Diskette mit einer Endung, die dem Virus nicht signalisiert, daß sie ausführbar ist, dann erhält man eine nicht infizierte Kopie der Datei! Dies soll am Beispiel erläutert werden:
Ein Benutzer findet beim Scannen den "4096" im Speicher. Ein Boot von sauberer Systemdiskette mit nachfolgendem Scannen zeigt, daß alle *.COM- und *.EXE-Dateien infiziert sind.

Jetzt kopiert der Benutzer COMMAND.COM auf die Festplatte und bootet danach von C:. Das System fährt nun hoch, auch wenn von CONFIG.SYS und AUTOEXEC.BAT geladene TSRs nicht gefunden werden. Anschließend werden alle ausführbaren Dateien von den Disketten unter dem Originalnamen in die richtigen Verzeichnisse zurückkopiert. Damit ist der Benutzer den "4096" los.

Statt dessen kann man auch mit einem Packer arbeiten. Hier ein Beispiel für einen ARJ-Aufruf, wenn man ein 1,2 MB-Floppylaufwerk als A: hat (Virus muß sich im Speicher befinden, und viele leere und formatierte Disketten bereithalten!):
c:\> arj a a:\execoms *.com *.exe /r /v1200 Dieser Befehl sollte alle COM- und EXE-Dateien in ein Multivolume-Archiv auf A: packen. Auch hier erkennt der Virus nicht, daß die geschriebenen Daten ausführbar sind. Da er sich beim Lesen der Dateien selber versteckt, wird er nicht mitgepackt. Nach dem Booten von DOS-Disk und dem Löschen aller ausführbaren Dateien auf C: muß natürlich eine saubere Kopie von ARJ auf der Boot-Disk sein, die man nach C: kopieren kann, um das Archiv wieder auszupacken ;-).

© by Martin Rösler, 1994-1997 - Alle Rechte vorbehalten