6 HÄUFIG AUFTRETENDE FRAGEN UND IHRE ANTWORTEN

Diese Trojanerart kann in Texten enthalten sein, die teilweise aus ANSI-Escape-Sequenzen bestehen. Solche Sequenzen kann der ANSI.SYS-Treiber von DOS oder ein verwandter Treiber "verstehen", sofern er in den Speicher geladen wurde. Der ANSI-Treiber fängt diese Sequenzen bei Ausgabe an den Bildschirm (z.B. bei Verwendung des TYPE-Befehls) ab und interpretiert sie.
Viele Programme benutzen ANSI-Sequenzen, um Bildschirmfarben einzustellen oder auch Melodien zu spielen. Jedoch können sie auch verwendet werden, um eine Taste der Tastatur derart umzudefinieren, daß bei ihrer Betätigung ein ganzer Befehl ausgeführt wird. Dieser Vorgang heißt "Key-Remapping". Nachdem der entsprechende Text mit TYPE angesehen wurde, passiert zunächst nichts, bis das nächste Mal die umgemappte Taste betätigt wird - danach kann der verdutzte Benutzer zusehen, wie z.B. seine Festplatte formatiert wird.
ANSI-Bomben können sehr klein sein. So können nicht nur Texte die Träger funktionsfähiger ANSI-Bomben sein, sondern auch z.B. Labels von Disketten. Ein simples "DIR A:" reicht in diesem Fall aus, um die Bombe "scharfzumachen"!
Es existieren bereits Programme, die diese Bomben finden und vernichten sollen. Jedoch gibt es wesentlich effizientere Lösungen zu ihrer Abwehr. Man braucht z.B. den ANSI.SYS-Treiber von DOS gar nicht erst zu verwenden, wenn man ihn nicht unbedingt braucht (Terminalprogramme benötigen ihn NICHT!). Statt dessen gibt es Shareware-Clones von ANSI.SYS, die Key-Remapping nicht zulassen. Man kann auch ein Filterprogramm (z.B. PKSFANSI) benutzen, welches die entsprechenden Sequenzen herausfiltert und deaktiviert. Die eleganteste Lösung ist das Patchen von ANSI.SYS, da das Key-Remap-Feature dadurch nicht völlig abgeschaltet wird. Hierzu eine kurze Anleitung für den ANSI.SYS von MS-DOS 5:
Ins DOS-Verzeichnis wechseln und "DEBUG ANSI.SYS" aufrufen. Danach "D" eingeben und sich die erste vierstellige Segmentadresse vor dem Doppelpunkt merken. Danach "E XXXX:0161" eingeben, wobei XXXX die eben gemerkte Segmentadresse ist. Es erscheint eine 70 und ein Punkt. Diese 70 Hex stellen das 'p' dar, mit dem Key-Remap-Sequenzen abgeschlossen werden. Nun gibt man einen anderen Wert ein. "6F" wäre z.B. ein 'o', "71" wäre ein 'q'. Man kann sich seinen privaten Code aussuchen!
Nach der Eingabe einer solchen zweistelligen Hex-Zahl speichert man das gepatchte File mit "w" ab und verläßt DEBUG mit "q". Nach dem nächsten Booten ist der gepatchte ANSI-Treiber aktiv. Eine ANSI-Bombe wird immer auf "p" enden und kann daher keinen Schaden mehr anrichten! Man selber jedoch kann in seinen eigenen Sequenzen statt des "p" sein privates Zeichen verwenden und so wie gehabt Keyboard-Makros definieren.

Dieses Phänomen tritt auf, wenn ausführbare Dateien irgendwann einmal mit der "Immunize"-Funktion von Carmel TNT Turbo Anti-Virus behandelt wurden. Das kann auch jemand gemacht haben, von dem die Dateien kopiert wurden. Carmel TNT hängt beim "Immunisieren" an jede Datei ein paar Daten an, die exakt den Scanstring enthalten, den VIRX für Liberty-II verwendet. Da TNT das mit allen ausführbaren Dateien machen kann, sieht es beim Scannen so aus, als ob die ganze Festplatte von Liberty-II befallen ist. Um das herauszufinden, sollte man sich eine "befallene" Datei einmal mit einem Editor in der Art von "Norton Disk Editor" ansehen. Ist Carmel TNT der "Schuldige", findet man am Ende der Datei im Klartext einen deutlichen Hinweis auf dieses Antivirusprogramm. In diesem Fall kann man, wenn man TNT besitzt, die Dateien wieder "desimmunisieren". Falls jedoch nicht, muß man damit leben. Ab der Version 8.30 von Carmel TNT gibt es Fehlalarme in Verbindung mit VIRX nur noch beim Speicherscannen bei geladenem TNT-Schutzmodul. Alle anderen Bugs wurden behoben.

Viele Antivirusprogramme mit Prüfsummenfunktion, insbesondere Integrity Checker, legen kleine Dateien in jedem Verzeichnis der Festplatte an, in denen Prüfsummeninformationen gespeichert werden. (Im Falle von 71- Byte-Dateien handelt es sich um ein Antivirusprogramm von Peter Norton.) Tauchen also regelmäßig solche Dateien mit seltsamem Namen wie ")(.ID" oder "000.IDX" oder "CHKDAT.VIR" oder ähnlichem auf und man wundert sich darüber, sollte man in den Dokumentationen seiner Antivirusprogramme nachlesen, ob nicht eines davon dafür verantwortlich ist.

Es gibt zwei bekannte Viren-Kataloge, die die MS-DOS-Virenwelt beschreiben. Der erste heißt VSUM und kommt von Patricia Hoffmann, die eng mit McAfee zusammenarbeitet. Es handelt sich um ein Hypertextsystem, welches häufig upgedated wird, recht bedienerfreundlich ist und einige gute Crossreferenzen enthält. Die Informationen in VSUM sind allerdings, insbesondere für exotische Viren, nicht immer korrekt. Dennoch ist VSUM eine nicht zu verachtende Informationsquelle. Der zweite Text ist der Computer-Virus-Catalog von Professor Brunnstein und Vesselin Bontchev, der von der Uni Hamburg als Datei herausgegeben wird. Downzuloaden ist er mittels anonymous FTP bei "ftp.informatik.uni- hamburg.de" bzw. "134.100.4.42" im Verzeichnis "/pub/virus/texts/catalog". Dieser enthält Informationen über weniger Viren als VSUM, die dafür jedoch präziser sein sollen.

Eine Möglichkeit ist, daß der Killer nicht vernünftig funktioniert hat. Falls man sich aber ganz sicher ist (z.B. zeigt ein Integrity-Check eine sauber wiederhergestellte Datei, und es tritt auch keine Neuinfektion mehr auf), so könnte es noch folgendes sein: Wenn ein gekillter Virus zwar aus einem File abgehängt ist, sein Code jedoch noch in der Slack-Area enthalten ist, kann es beim Lesen der Datei in den Speicher zu Fehlalarmen kommen, weil DOS Dateien sektorweise lädt und somit auch die Slack-Area mit in den Speicher liest. Der Viruscode ist also logisch aus der Datei abgehängt, physikalisch jedoch noch auf der Festplatte vorhanden, ohne Schaden anrichten zu können. Wer den Code auch physikalisch killen möchte, sollte sich ein Tool besorgen, mit dem man die Slack-Areas der ausführbaren Files löschen kann.

"Heuristisch" bedeutet soviel wie "abgeleitet nach Daumenregeln". Ein Scanner, der eine heuristische Komponente enthält, kann potentiellen Wirtscode auf virentypische Merkmale hin untersuchen. Wenn solch ein Scanner also z.B. herausfindet, daß ein Programm keinen Stack besitzt, sich selbst im Speicher hin- und herverschieben kann und eine Menge Müll- Instruktionen (z.B. NOPs) enthält, würde er vermutlich dem Benutzer ein verdächtiges Programm melden.Der fortgeschrittene Anwender wird diese Datei dann näher unter die Lupe nehmen und ggf. auf diese Weise einen neuen Virus entdecken. Für einen Anfänger ist ein normaler heuristischer Scanner jedoch fast wertlos, weil er nicht erkennen kann, ob die angeprangerten Operationen legitimerweise vom Programm ausgeführt werden oder von einem Virus stammen. Große Ausnahme ist hier die registrierte Version von SUSPICIOS, da der heuristische Scanner dieses Pakets gleichzeitig als Virenanalysator arbeitet und so dem Anwender nicht nur meldet, diese oder jene Datei seien verdächtig, sondern auch gleich die Begründung für den Verdacht mitliefert. Ein von heuristischen Scannern oft als verdächtig gekennzeichnetes Programm ist FORMAT.COM von DOS 5. Das liegt daran, daß es die Fähigkeit hat, direkt auf Sektoren zu schreiben ;-), ein undokumentiertes Features von DOS benutzt und außerdem offensichtlich von einem EXE- in ein COM-Programm umgewandelt wurde.

Die Frage kann so umgestellt werden: Kann Software Hardware beschädigen?
Prinzipiell nicht. Es gibt da vier häufig genannte 'Fälle':
a) Ein Monitor wird mit einem falschen Synchronisationssignal angesteuert, wodurch die Elektronik durchbrennt.
Dies war bei Uralt-Monitoren (Hercules) möglich. Ob es heute noch bei einigen Monitoren funktioniert, z.B. wenn man eine VGA-Karte im EGA-Modus an einem EGA-Monitor betreibt und eine Software dann auf VGA-Synchronisation stellt, bleibt dahingest. Bei zueinander passender Hardware sollte dies jedoch der Vergangenheit angehören.
b) Die Ablenkspannung des Monitors wird abgeschaltet, so daß sich ein Fleck auf dem Bildschirm einbrennt.
Dies ist ein Märchen, das sich aus der CBM PET-Zeit hält, wo dies tatsächlich möglich war. Beim PC ist das nicht zu erreichen.
c) Durch ständiges Ansteuern des Hard-Disk-Controllers in einer Weise, daß der Hard-Disk-Kopf ständig auf einen illegalen Track positioniert werden soll, schlägt dieser ständig gegen die Zentralspindel. So wird die Festplatte beschädigt. Uralte Festplattes und Controller konnten auf diese Weise beschädigt werden. Jeder normale MFM-, AT-Bus- und sonstwas-Controller fängt heutzutage solche Zugriffe ab.
d) Durch "korrekte" Programmierung des Controllers kann man den Festplatte-Kopf mit einer Frequenz schwingen lassen, die der Resonanzfrequenz entspricht. Die Schwingungsamplitude wird dadurch auch in vertikale Richtung so groß, daß der Kopf auf der Magnetoberfläche aufsetzt (Headcrash). Dies ist eine sehr abstruse Behauptung. Theoretisch wäre so etwas vielleicht denkbar, aber nur für eine einzige Baureihe von Festplattes unter Beachtung der Fertigungstoleranzen. Ich halte das für ziemlichen Blödsinn. Wer das Gegenteil beweisen kann, der tue es. Es sieht also alles danach aus, als ob die Behauptung, man könne moderne Hardware mit Software beschädigen, nicht haltbar ist. Falls jemand ein Programm besitzt, mit dem er nachweislich heute verwendete, zusammenpassende Hardware beschädigen kann, so möge er mir dies bitte mitteilen. Ich werde dieses Programm dann testen und das Ergebnis veröffentlichen.

Es kommt darauf an, was mit Schreibschutz gemeint ist. Der "Schreibschutz" des Read-only Attributes von DOS wird von praktisch allen Viren umgangen. Ebenso unsicher ist ein softwaremäßiger Schreibschutz für Hard-Disks, der durch ein TSR gewährleistet wird. Tunnelnde Viren kümmern sich nicht um derartige TSRs. Der einzige Schreibschutz, den kein Virus der Welt umgehen kann, ist der schwarze(!) Aufkleber bei 5 1/4 Zoll und das Schiebeplättchen bei 3 1/2 Zoll- Disketten. Dieser Schreibschutz ist hundertprozentig, sofern die Hardware des Rechners in Ordnung ist. Da führt kein Weg dran vorbei, weder mit direkter Controllerprogrammierung noch mit irgendwelchen exotischen Tricks, und zwar aus folgendem Grunde: Der Schreibschutz auf Floppy besteht entweder aus einer Lichtschranke, einer Lichtschranke mit Spiegel (5 1/4 Zoll Disketten) oder einer mechanischen Abtastung (3 1/2 Zoll Disketten). (Die Lichtschrankentechnik erfordert einen undurchsichtigen und die Spiegel- Technik einen nicht reflektierenden Schreibschutz. Beides ist nur mit schwarzen, matten Schreibschützen gewährleistet!) Ist dieser Mechanismus nun unterbrochen, weil eine Diskette schreibgeschützt ist, so wird, vereinfacht ausgedrückt, über eine Gatterschaltung der Schreibstrom für die Diskette blockiert. Keine Software hat Einfluß auf diesen Schaltkreis. Er kann daher nicht umgangen werden. Fazit: Ein Rechner kann nur auf eine schreibgeschützte Diskette schreiben, wenn entweder die Hardware defekt ist, oder bei einem Lichtschrankensystem grelles Licht direkt in den Floppyschacht fällt. Ein Programm kann dem Benutzer jedoch vorgaukeln, es könne den Schreibschutz umgehen. Zunächst wird dazu der Controller angesprochen. Dieser bemüht sich und bemüht sich, aber er bekommt nichts auf die Diskette geschrieben. Daraufhin wird ein Fehlerinterrupt ausgelöst, der gewöhnlich "(A)bort, (R)etry, (I)gnore?" provoziert, aber in diesem Fall vom Programm abgefangen wird, indem es den Critical Error Handler von DOS ersetzt hat. Der Benutzer bekommt vom mißlungenen Schreibversuch nichts mit und glaubt, das Programm hätte Daten geschrieben.

Nein. Das CMOS RAM, in dem Systeminformationen aufbewahrt werden und welches von einer Batterie gepuffert wird, kann nur über I/O-Befehle angesprochen werden und ist nicht adressierbar. Das bedeutet, die dortigen Informationen befinden sich nicht im normalen Speicher und können nicht ausgeführt werden. Nichts in einer normalen Maschine lädt Daten aus dem CMOS und führt sie aus, so daß ein Virus, der das CMOS benutzt, immer noch ein ausführbares Objekt irgendeiner Art auf Festplatte oder im Speicher infizieren müßte, um Daten von dort zu holen und nach dort zu schreiben. Damit wäre er kein reiner CMOS-Virus mehr. Das heißt nicht, daß ein Virus das CMOS nicht verändern oder Daten nach dorthin auslagern kann. Es gibt einige Viren, die die Daten des CMOS verändern, z.B. um dafür zu Sorgen, das der Rechner immer von Festplatte bootet und nicht vom Floppy. Er kann sich bloß eben nicht ausschließlich über das CMOS verbreiten bzw. sich nicht ausschließlich dort befinden.

Nein. Die Natur eines Virus' ist es, ohne den Willen eines Benutzers normalerweise unveränderliche Daten auf dessen Festplatten zu ändern, indem er in die Abläufe beim Ausführen von Dateien eingreift - selbst dann, wenn er keine bösartige Zerstörungsfunktion in sich birgt. Berücksichtigt ein Virus als ziemliches Low-level-Programm dabei nicht jeden möglichen Aspekt einer eventuellen Störung der normalen Abläufe, so wird er auf diesem oder jenem System Probleme, Abstürze und/oder Datenverluste verursachen, selbst wenn er nicht darauf "angesetzt" ist. Welcher Virus "weiß" schon, welche TSRs alle von ihm "befallenen" PCs geladen haben und wie sie sich auf seine Funktion auswirken?
Man stelle sich nun vor, ein PC fällt einen Tag aus, bis ein Fachmann den Virus erkannt und vielleicht sogar gebannt hat. Ein Tag produktiver Arbeit ist recht teuer, und ich möchte nicht in der Haut des Virenprogrammierers stecken, wenn man ihn findet und zur Verantwortung für derartige Schäden zieht. Oder, man stelle sich vor, in einigen Krankenhäusern werden PCs tatsächlich zur Berechnung des Bestrahlungswinkels etc. bei Röntgengeräten eingesetzt, und ein Patient stirbt, weil er nicht rechtzeitig geröntgt werden kann... Abgesehen von diesen tatsächlich gefährlichen Situationen durch Inkompatibilitäten des Virus mit manchen Systemkonfigurationen halte ich es schlicht für moralisch verwerflich, Daten auf fremden Festplatten automatisch verändern zu lassen, ohne dem Benutzer eine Möglichkeit zu geben, dies zu verhindern. Selbst ein Hacker, der Information als freies Gut ansieht, wird sich vermutlich ärgern, wenn die Information auf seinem Privatrechner "freimütigerweise" unbrauchbar gemacht wird. Darum: Jeder auch noch so gut gemeinte Virus ist verwerflich - selbst, wenn er ebenso verwerfliche rassistische Programme löscht oder andere Viren "einfangen" soll. Es ist 'von Natur aus' eine schlechte Eigenschaft eines Programms, ein Virus zu sein.

Die Antwort ist leicht: Es gibt kein eigenständig bestes Programm. Jede derzeit verfügbare Antivirus-Applikation hat ihre Schwächen, die theoretisch von Viren ausgenutzt werden könnten. Man soll nicht den Fehler machen und jemandem, egal wem, glauben, sein Programm, seine Karte oder sein Rechner sei zu 100% virensicher, auch vor zukünftigen Viren. Ein interessanter und effektiver Ansatz ist die sogenannte "Thunderbyte- Karte". Sie stellt einen Hardwareschutz dar, der viele viralen Aktivitäten von vornherein blockiert. Inwieweit sich diese Karte in der neuesten Version mit Multitaskern, TSRs und anderer Software verträgt, ist mir nicht geläufig. Ebenso kann ich im Moment nichts dazu sagen, ob die Bedienerfreundlichkeit eines PCs mit eingebauter TB-Karte durch eventuelle Fehlalarme der Karte leidet. Tatsache ist aber, daß man auch mit rein softwaremäßigen Multi-Layer- Konzepten einen guten Prozentsatz an Sicherheit erreichen kann. Ein Multi- Layer-Konzept wäre z.B. der Einsatz eines Monitorprogramms, eines Integrity Checkers und mindestens zweier verschiedener Scanner, die alle gut zusammenarbeiten müssen. Ansonsten ist die Frage auch in vielen Aspekten nur philosophisch. Die Meinungen gehen oftmals auseinander. Jedoch gibt es gewisse Programme, die auch auf internationaler Ebene grundsätzlich mehr Lob als Kritik ernten. Eine Liste dieser meiner Meinung nach guten Antivirusprogramme wird im deutschen Fido-Echo VIRUS.GER wöchentlich unter dem Namen VIRUVERS veröffentlicht. Um aber trotzdem hier einmal ein paar Namen zu nennen, hier ein paar bewährte Programme:

Kommerzielle Programme (300-1200 DM):

• Dr. Solomons Antiviren Toolkit (FINDVIRU)
• Sophos Sweep
• ANTIVIR von H+BEDV

Shareware Programme (25-100 DM):

• F-Protect (F-PROT)
• Thunderbyte Antivirus (TBAV)
• Anti Virus Toolkit Professional (AVP)
• Suspicios
• Nemesis

Dieses Problem tritt häufig auf und kann verschiedene Ursachen haben. Die erste und schlimmste wäre die Präsenz eines Stealth-Virus im Speicher, den ein Scanner in Dateien nicht mehr entdecken kann, solange er aktiv im Speicher ist (siehe Abschnitt 3.3.1.). Aufschluß hierüber gibt ein erneutes Scannen nach Booten von einer sauberen, schreibgeschützten Systemdiskette, auf der sich der Scanner befindet. Kein Programm darf von der Festplatte aus gestartet werden! Findet der Scanner nun ein oder mehrere befallenen Programmobjekte auf der Festplatte, so kann man diese entweder löschen und von einem Backup zurückfahren (beste Lösung), oder desinfizieren. Ebenso ist es möglich, daß ein residenter Monitor oder Scanner geladen ist, der seine Scanstrings unverschlüsselt im Speicher aufbewahrt. Diese werden dann als sogenannte "Geister-Viren" von anderen Scannern gefunden :-( . Kandidaten dafür sind VSAFE und VDEFEND von CPAV, die dies erwiesenermaßen tun. Lösung dieses Problems ist es, diese TSRs nicht zu verwenden. Die dritte Möglichkeit ist, daß ein Scanner beim Scannen seine Scanstrings im Speicher puffert und diese nach dem Scannen bzw. nach einer Unterbrechung durch CTRL-Break nicht überschreibt. Auch hierdurch gibt es das Problem der "Geister-Viren". Solche Programme sollten nicht verwendet werden, um Fehlalarme zu vermeiden. Eines der Programme aus dem Carmel TNT Turbo AntiVirus-Package einer älteren Version steht z.B. im Verdacht, Scanstrings im Speicher zu hinterlassen. In neueren Versionen ab 8.30 gibt es Fehlalarme in bezug auf TNT nur noch mit VIRX bei geladenem TNT-Schutzmodul. Als letztes wäre es noch möglich, daß durch z.B. ein DIR A: ein Bootsektorvirus in einen DOS-Buffer geladen wurde, dort aber nicht aktiv ist. Ein Scanner findet ihn dort jedoch. Siehe dazu auch Frage 13.

Nein. Egal, was jemand anders sagt, es geht nicht. Allerdings könnte man auf den Gedanken kommen, daß es möglich ist :-), und zwar durch folgenden Sachverhalt: Wenn ein Benutzer ein DIR A: auf einer bootsektorinfizierten Diskette macht, wird der Bootsektor in einen DOS-Buffer geladen, um von DOS ausgewertet zu werden. Dadurch wird auch der Virus in den Speicher geladen, sein Code wird aber nie referenziert, d.h., er ist dort inaktiv. Ein Scanner jedoch findet seinen Scanstring im Speicher und schlägt Alarm. Auf der Festplatte findet der Scanner dann natürlich nichts, und nach einem Booten ist der Virus plötzlich nicht mehr da. Es handelt sich bei diesem Problem um einen sogenannten "Geister-Virus". Geisterviren werden auch in Frage 12 besprochen. Durch diesen Vorgang des Bootsektor-Ladens in einen DOS- Buffer wird ein PC also nicht infiziert. Es ist eben nicht möglich, einen PC durch DIR A: zu infizieren, wenn nicht vorher schon ein Virus aktiv war. Nur eine ANSI-Bombe kann durch DIR A: gezündet werden. Siehe dazu auch Frage 1.

Die Security-Envelopes sind eine Einrichtung, die es registrierten Benutzern von Shareware-Packern ermöglichen, ihre Pakete vor Veränderung zu sichern. Wird ein Programm innerhalb eines Pakets mit einem Envelope in irgendeiner Form verändert, so wird der Envelope verletzt, und der Hack kann erkannt werden. Der Sicherheitsmechanismus einiger Packer, z.B. PKZIP und ARJ, sind allerdings geknackt worden. Das bedeutet, daß die Envelopes bekannter Sharewarehersteller von dem, der's kann, nachgemacht werden können. Der Envelope hat dadurch zwar an Bedeutung verloren, meiner Meinung nach ist aber eine geringe Sicherheit immer noch besser als gar keine Sicherheit. Weil es eben etwas Aufwand erfordert, die Envelopes zu knacken, bilden sie immer noch einen geringen Sicherheitsaspekt. Da durch das Umpacken envelopegeschützter Software der Envelope verlorengeht, leidet die Sicherheit eines Pakets unter solch einer Aktion. Abgesehen davon verbieten viele Sharewarehersteller in der Dokumentation ihrer Software das Verteilen eines umgepackten Archivs. Im Endeffekt ist es eine Philosophiefrage, ob man die Envelopes zerstört und umpackt, um Platz zu sparen, oder der Sicherheit den Vorrang gibt und die Archive original läßt. Der Benutzer/Sauger entscheidet, ob er umgepackte Archive downloaded oder nicht.

In diesem Bereich ist eine gewisse Fluktuation vorhanden. Neue Mailboxen machen auf, andere wiederum schließen. Daher ist die Frage auf lange Sicht nicht zu beantworten. Aus diesem Grunde wird eine Liste erwiesenermaßen guter Antiviren-Software mit Bezugsquellen unter dem Thema VIRUVERS regelmäßig in der FIDO-Area VIRUS.GER veröffentlicht. Aktuelle Antivirensoftware bekommt man auf alle Fälle immer bei Virus Help Munich:
FIDO 2:2480/8849 (Mailbox: 08638/881108).

Ja. Jede Diskette besitzt einen DOS-Bootsektor, auch wenn gar kein DOS darauf vorhanden ist! Wird nun von einer verseuchten, nicht bootfähigen Diskette gebootet, so erscheint zwar die Meldung "Non system disk or disk error" bzw. "Kein Betriebssystem auf Diskette" oder Ähnliches auf dem Bildschirm; der Virus ist jedoch bereits aktiv geworden und hat sich vermutlich in den MBR oder einen DOS-Bootsektor der Festplatte kopiert, so daß er beim nächsten Booten resident in den Speicher geladen wird.

Viele Viren (Frodo, Cinderella) enthalten Bugs, die bewirken, daß der Virus sich auch in nicht ausführbare Dateien hineinkopiert. Damit ein Virus sich jedoch vermehren kann, muß er jedoch ausgeführt werden. Eine nicht ausführbare Datei kann somit nicht als Wirt für einen Virus dienen. Selbst wenn der Virus darin enthalten ist, kann er nicht mehr ausgeführt werden. Der einzige Effekt ist eine korrupte Datei. Man sollte jedoch vorsichtig mit der Aussage sein, eine Datei wäre nicht ausführbar! Dateien, die einem Benutzer als Daten erscheinen, werden von einem anderen per Programm interpretiert und somit ausgeführt. So könnte ein Virus zum Beispiel Sourcecode infizieren, der - später kompiliert - den Virus wieder aktiviert.

Keiner der existierenden Viren ist dazu fähig. Auch wenn die Diskettenformate oder verwendeten Datenpakete zur Kommunikation der beiden Rechnertypen gleich sind, interpretieren verschiedene Prozessoren denselben Code anders. Ein Virus,der nur gemeinsame Konzepte zweier völlig verschiedener Rechnerfamilien ausnutzt, müßte auf einem so hohen Level geschrieben sein, daß er sich vermutlich gar nicht verbreiten könnte. Möglich sind allerdings "Dual-Platform"-Viren. So können MBR-Infektoren z.B. auf allen PCs laufen, egal, was der PC für ein Betriebssystem benutzt. Michelangelo infiziert so z.B. mühelos XENIX, UNIX, WINDOWS NT, OS/2 und DOS-PCs. Folglich besteht die Möglichkeit, das ein OS/2 System nicht mehr bootet, weil der MBR von einem DOS-Virus infiziert wurde. Weiterhin kann z.B. ein PC-UNIX-System beschädigt werden, weil ein DOS Bootsektor-Virus seine Daten in Bereichen des UNIX abgelegt hat.

Desinfektion ist nur dann 100% sicher, wenn das befallene Programmobjekt hinterher denselben Zustand wie vor der Infektion wiedererhält. Dazu ist sehr genaue Kenntnis aller mit dem Wirtsprogramm und dem Virus verbundenen Umstände nötig. Kaum eines der existierenden Desinfektoren kann vollständig garantieren, daß eine desinfizierte Datei hinterher wieder absolut genau so läuft wie vorher. Daher ist es besser, befallene Dateien zu löschen und sie von einem Backup wieder zurückzufahren, als sie zu desinfizieren. Allerdings gibt es ein Programm eines deutschen Herstellers, ANTIVIR von H+BEDV, das speziell für die Desinfektion konzipiert wurde und gerade in diesem Bereich entsprechende Qualitäten aufweist.

Nein. Es sind mehrere Fälle bekannt, wo kopier- und schreibgeschützte Software mit einem Virus "frei Haus" geliefert wurde. Krasseste Fälle sind "Michelangelo" und "FORM" in letzter Zeit gewesen. Man sollte also nicht zögern, auch Software-Originale "aus gutem Hause" mit der neuesten Antivirus-Software zu scannen. Und man soll nicht den Fehler machen und Shareware/PD von Mailboxen verteufeln. Allerdings geht Software aus Mailboxen durch viele Hände und die Infektionsgefahr ist dadurch natürlich ungemein größer. Gute Sysops besitzen jedoch immer die neuesten Antivirusprogramme und benutzen sie auch regelmäßig, was man bei vielen kommerziellen Anbietern leider nicht sagen kann.

Bei einem Dropper handelt es sich um ein Programm, welches Viruscode in sich trägt, der nicht von einer natürlichen Infektion stammt und oft kodiert ist. Meistens handelt es sich um den Code eines Bootsektorvirus'. Wird dieses Programm nun gestartet, so entläßt es den gespeicherten Virus ins System, so daß nach getaner 'Arbeit' das System mit dem Virus auf eine Art und Weise befallen ist, die einer natürlichen Infektion entspricht. Ein Beispiel wäre ein "Stoned"-Dropper namens z.B. LIESMICH.EXE, der - bevor er einen Hilfetext oder ähnliches anzeigt - den MBR der Hard-Disk an eine bestimmte Stelle kopiert und danach den "Stoned"-Virus in den Partition-Table-Sektor hineinschreibt. Dropper sind selbst keine Viren, auch wenn sie welche enthalten. Ein Dropper ist somit eine spezielle Art eines Trojanischen Pferdes.

Nein! Residente Viren können sich mühelos in den Tastatur- oder Reset- Interrupt hängen und einen Warmstart abfangen. Hinterher simulieren sie einen Bootvorgang mittels des Warmstart-Vektors, d.h., es sieht so aus, als ob der Rechner bootet, aber sämtliche TSRs, also auch der Virus, bleiben aktiv. Grundsätzlich sollte zum Entfernen eines TSR-Virus' aus dem Speicher also mindestens eine Sekunde lang der RESET-Knopf am Rechner betätigt werden - oder der Rechner muß kurz abgestellt werden.

1. Vergewissern, daß der Rechner virenfrei ist!
2. Die Diskette neu formatieren: FORMAT A: /S
3. Alle notwendigen Dateien auf die Diskette kopieren. Dazu gehören Virenscanner/Virenbeseitigungsprogramme, format, fdisk, sys, chkdsk, ein Reparaturprogramm wie NDD von Norton oder DiskFix von Central Point, ein Diskeditor und, falls auf der Festplatte eingesetzt, ein Integrity-Checker. Die Dateien country.sys, keyb.* und keyboard.sys sind im Hauptverzeichnis der Diskette nötig.
4. Die Konfigurationsdateien wie folgt erzeugen:
   A:\CONFIG.SYS : files=20 buffers=20 stacks=0,0 country=049,437,a:\country.sys shell=a:\command.com /e:256 /p
   A:\AUTOEXEC.BAT : @echo off set COMSPEC=A:\command.com path A:\ prompt $p$g keyb gr,437,a:\keyboard.sys ver
   In keiner Konfigurationsdatei Verweise auf Dateien der Festplatte eintragen! Die Diskette muß auch ohne Festplatte vollständig lauffähig sein!
5. Wenn alle Files auf die Diskette gelangt sind, einen Test machen, ob alles nach Wunsch klappt. Zwei Zugriffe auf die Festplatte sind während des Bootens normal. Der Partitionssektor und später der Bootsektor der Festplatte werden gelesen, aber nicht ausgeführt (!), um die Laufwerksbuchstaben zuzuordnen, also keine Panik.
6. Wer ein Tool wie Mirror benutzt (DOS5 oder Central Point), sollte den Partitionssektor der Festplatte ebenfalls auf der Diskette sichern, dazu natürlich dann das Programm zur Wiederherstellung. Aufruf: Mirror C: /partn und Eingabe von A: als Ziel. Gut sind z.B. auch Norton DiskTool, Integrity Master oder TBRESCUE von den TBAV. Falls man eins dieser Programme einsetzt, gehört es mit auf die Disk!
7. Die Diskette schreibschützen und testen, ob bei einem (bspw.) copy con A:\test.txt eine Fehlermeldung erscheint. So müßte es sein, wenn der Schutz intakt ist.
8. Bei einem Freund testen, ob alles ok ist. Nochmal auf einem virenfreien Rechner die Diskette auf Viren testen (möglichst mit einem anderen Testprogramm).
9. An einer sicheren Stelle aufbewahren und hoffen, daß sie nicht gebraucht wird!
10. Es ist ebenfalls sinnvoll, sich eine extra Diskette anzulegen, auf der man sein Backupprogramm (z.B. SYPLUS) inkl. der Restoreprozeduren abspeichert. Damit kann man dann im Falle eines Falles, nachdem man von der Notfalldiskette virenfrei gebootet hat, seinen letzten Backup wieder einspielen, ohne dabei die eventuell infizierten Backup und Restoreprogramme der Festplatte benützen zu müssen.
11. Optimal abgerundet wird das ganzen dann noch, wenn man sein Antiviren Programm, oder besser noch seine Antiviren Programme, ebenfalls auf einer dritten, separaten, Diskette vorhält. Da diese Programme regelmäßig upgedated werden ist es nicht sinnvoll, diese Programme auf der Bootdiskette abzuspeichern, da bei jedem Programmupdate die Notfalldiskette infiziert werden könnte und sie damit ihren Sinn verliert.

FDISK /MBR schreibt das Masterboot-Programm neu und schaut nach, ob die Einträge in die Partitionstabelle valide sind. Normalerweise killt das einen MBR-Infektor, der den Masterboot-Loader verändert, die Partition Table aber an der ursprünglichen Stelle beläßt, wie z.B. Stoned oder Michelangelo.
Es gibt aber Viren, die diese Aktion unmöglich machen. Eine Sorte sind die Viren, die eine neue Partition im hinteren Teil der Festplatte anlegen und von dort aus weiterbooten lassen, nachdem sie sich resident gemacht haben. Ein Beispiel dafür wäre der Starship-Virus. Ein weiteres Beispiel ist Tequila, der nur ein paar Bytes im MBR ändert, die von FDISK /MBR nicht behandelt werden. Als drittes und wohl gemeinstes Beispiel wäre der Monkey-Virus zu nennen. Dieser überschreibt komplett wichtige Werte des MBRs, die er verschlüsselt an anderer Stelle ablegt. So ist ab dem Zeitpunkt der Infektion die gesamte Partitionstabelle nicht mehr lesbar, ohne daß der Virus geladen ist - mit dem Erfolg, daß nach einem Booten von sauberer DOS-Diskette die Festplatte nicht mehr ansprechbar ist. Ein FDISK /MBR ist nicht möglich, weil die Struktur des MBRs total verändert wurde und die Partitionstabelle nicht wiederhergestellt werden kann. Dieser Virus ist etwas komplizierter zu killen; man müßte den MBR im physikalischen Sektor-Modus zurückschreiben, nachdem man ihn bei aktivem Virus gesichert hat. Monkey ist außerdem stealth, so daß das System bei geladenem Virus ganz normal aussieht. Nach dem gleichen Prinzip arbeitet übrigens auch der Neuroquila-Virus.

Dieses Phänomen kann mehrere Gründe haben. Beispielsweise gibt es einige BIOS-Versionen, bei denen man einstellen kann, ob für die Stack-Area die BIOS-Stack-Area oder ein Teil des DOS-Speichers unterhalb der 640-k- Grenze benutzt werden soll. Ist dieser Parameter auf DOS-Speicher eingestellt, so reduziert sich die Speichermenge, die CHKDSK anzeigt, um 1 Kbyte. Ist jedoch die Menge des verlorenen Speichers größer, also z.B. 2k, 4k oder sogar 8k, oder liegt der obengenannte Grund nicht vor, so ist vermutlich ein MBR- oder Bootsektor-Infektor am Werk, der sich resident gemacht hat und den TOM-Return des Interrupts 12h so verändert hat, daß der Rechner glaubt, er habe weniger Speicher zur Verfügung. Dies macht solch ein Virus, um zu verhindern, daß er von Programmen im Speicher überschrieben wird. Es ist in diesem Fall also höchste Zeit, von sauberer DOS-Diskette zu booten und mal nach dem Rechten zu sehen.

McAfee hat in letzter Zeit seine Kunden ein wenig durcheinandergebracht, indem in kurzen Abständen viele Versionen von SCAN, darunter viele Bugfixes, in Umlauf gebracht wurden. Zusätzlich erschienen noch Betas auf dem Verteilungsmarkt, die eigentlich nicht verbreitet werden dürfen. Zur Lösung dieses Problems gibt es die wöchentlich ins Fido-Echo VIRUS.GER gestellte VIRUVERS-Liste, in denen die wichtigsten Shareware-Antivirus-Utilities kurz beschrieben sind und in denen die jeweils neuesten Versionen zusammen mit einer Kontroll-Checksumme für die Echtheit genannt werden.
Zur Beseitigung von Unklarheiten aber nochmal die Namenskonventionen von McAfee:

Alle Archive von McAfee, die nicht auf ZIP enden, sind keine Originale und sollten nicht gesaugt werden - es sei denn, sie enthalten das Original-ZIP und bilden gewissermaßen eine 'Umverpackung'.

Eine gute Idee ist es, einen neuen Virus oder eine neue Variante nicht gleich komplett zu killen, sondern ein befallenes Programmobjekt an einen bekannten Virenforscher zu verschicken. So hilft man aktiv in der Virenforschung mit. Tja, aber an wen soll man das Ding nun schicken? Grundsätzlich nicht an jeden, der darum bittet! Ein Virus kann leicht als eine Art Waffe eingesetzt werden, daher muß man sich genauestens überlegen, an wen man ihn weitergibt. Unbedingt muß eine Person, der man Viren schickt, folgende Eigenschaften haben: - Er muß etwas von ihrer Funktion verstehen (also z.B. von dem, was hier so in der FAQ steht) und darf auf keinen Fall einfach nur ein Sammler sein. - Er sollte als Virenforscher allgemein bekannt sein; d.h., man sollte einige Leute auch von außerhalb kennen, die ihm vertrauen würden. - Gut ist es, wenn er über Assemblerkenntnisse verfügt und z.B. selber eine brauchbare Antivirus-Software programmiert hat.
Als Beispiel sollen hier drei Ansprechpartner genannt werden:

• Vesselin Bontchev Viren-Test-Center Uni Hamburg Fachbereich Informatik-AGN (Raum 107c) Vogt-Kölln-Straße 30 2000 Hamburg 54 Voice: 040-54715224 Fax: 040-54715226
• Robert Hörner (Programmierer von NEMESIS) Fido 2:2476/8 Virus Help Service 9600,V32B,V42B,CM,XX VirNET 9:49/102 Usermade Software 9600,V32B,V42B,CM,XX
• Martin Rösler (Moderator VIRUS.GER) Fido 2:2480/8849 Virus Help Munich 9600,H14,V32B,V42B,CM,XA,MO VirNET 9:49/101 Virus Help Munich 9600,HST,V32B,V42B,CM,MO Voice: 08638/881106

Grundsätzlich darf Viruscode an die obigen FIDO-Systeme nur per Crashmail verschickt werden, und am besten in verschlüsselt gepackter Form, nachdem man mit dem dortigen Sysop ebenfalls per Crashmail ein Paßwort abgemacht hat. Die Gefahr eines Mißbrauchs ist sonst zu groß! Weitere Adressen international anerkannter Virenforschen sind unter dem Punkt Adressen zu finden.

Alle drei Terme sind Bezeichnungen für die "Mutation Engine" - ein Programm, was, wenn man es in herkömmliche Viren einbaut, diese polymorph macht. Näheres über diese von "Dark Avenger" programmierte Engine steht oben unter dem Punkt 3.3.2., "Selbstverschlüsselnde und polymorphe Viren".

Das System ist tatsächlich von beiden Viren infiziert, aber auf eine Art und Weise, die ein Killen stark erschwert. Als Beispiel bringe ich hier eine Doppelinfektion mit "Stoned" und "Bloody!": Bloody! verschiebt Track 0 Side 0 Sector 1, wo normalerweise der MBR steht, nach 0,0,6 ; Stoned verschiebt den Original-MBR dagegen nach 0,0,7. Dieser Umstand ergibt dann einen sehr ungünstigen Verlauf der Dinge. Das Ganze sei hier an einer kleinen Tabelle erklärt:

Stoned, der ja beim Booten auch resident geht, glaubt nun, daß der MBR nicht mehr infiziert ist, weil er seine Kennung da nicht mehr findet (Bloody! hat inzwischen zugeschlagen). Also infiziert Stoned den Sektor 0,0,0 neu auf die bekannte Weise und merkt gar nicht, was er damit anrichtet:

In diesem Augenblick ist das System nicht mehr bootfähig, weil der Original- MBR weg ist! Ein Scanner findet nun Stoned. Wenn nun ein Killer auf Stoned angesetzt wird, der ja weiß, daß Stoned den MBR nach 0,0,7 verschiebt, kopiert er diesen Sektor zurück nach 0,0,1. Dummerweise saß dort nicht der echte MBR, sondern Bloody!. Der Killer überschreibt also Sektor 0,0,1 erneut mit Bloody!:

Ein erneutes Scannen findet jetzt Bloody!. Der Killer weiß nun, daß Bloody! normalerweise den MBR nach 0,0,6 packt, und restauriert diesen Sektor, an dem sich jedoch lediglich Stoned befindet! Schon sieht es wieder so aus:

Und das Spiel läßt sich leider beliebig oft wiederholen. Man lasse also in solch einem Fall die Finger von einem Killer, boote von sauberer DOS-5-Disk (egal welches System man hat), führe FDISK /MBR aus und nulle danach mit einem Sektor-Editor die Sektoren 0,0,6 und 0,0,7 aus. Aber - das klappt nicht nur mit Stoned und Bloody!. Ebenso 'effizient' funktioniert das Ganze mit Stoned und Michelangelo. Diese beiden Viren verschieben beide den Original-MBR nach 0,0,7 - so daß das System nach einer Doppelinfektion so aussieht:

Jetzt kommt ein Killer, der Stoned findet - und zu killen versucht: Michel <-- Michel und - wie sich der Killer auch dreht und wendet - der Michelangelo ist nicht mehr wegzubekommen! Wenn erst Stoned und danach Michelangelo kommt, bleibt nach der gleichen Prozedur Stoned übrig und ist ebensowenig zu entfernen. Auch hier ist wieder FDISK /MBR nach dem Booten von DOS-5-Disk angesagt, und danach sollte schleunigst Sektor 0,0,7 ausgenullt werden. Leider gibt es noch viele andere mögliche MBR-Virus-Doppelinfektionen, die einen ähnlichen Effekt haben. Auch bei DOS-Bootsektorviren wäre so etwas denkbar. Wenn das Programm F-PROT auf eine solche Mehrfachinfektion stößt, bricht es beim Cleanen ab und meldet "Circular Infection". Die meint, "wenn ich jetzt den originalen (vorher schon infizierten) MBR zurückspeichere, habe ich wieder eine Infektion ", da Programm würde sich also im Kreis bewegen. In solchen Fällen ist der Einsatz der Cleaner der VHM zu empfehlen (z.B. PBB-KILL von Stefan Kurtzhals, das diese den ersten Virus sauber entfernen. Im Anschluss kann dann mit F-PROT der zweite Virus entfernt werden.

Hier gibt es mehrere Antwortvarianten, aber generell kann man das so formulieren: Sobald irgend jemand oder irgend etwas Zugriff auf deinen Rechner hat, kann dein Rechner infiziert werden. Viren können dir via Modem geschickt werden, auf einer gekauften Originaldiskette sein oder über das Keyboard und einem Debugger direkt einprogrammiert werden. Dein Rechner ist nur dann vor Viren sicher, wenn niemand an ihn ran kann. Da das aber nicht Sinn deiner Anschaffung (Computerkauf) war, ist dein Rechner immer gefährdet. Um jetzt auf die Frage direkt einzugehen: 95% aller Infektionen erfolgen durch Bootsektorviren, also durch das meist versehentliche oder seltener absichtliche Booten von infizierten Disketten. Auf diesen Disketten müßen keine neuen Programme sein, es können sogar "leere", vorformatierte Disketten sein oder Disketten, mit Textdateien oder Dateien für eine Tabellenkalkulation. Einzig und allein maßgebend in diesen Fällen ist das Booten von einem infizierten Bootsektor, der Disketteninhalt ist unerheblich.

Siehe hierzu auch Frage 11. Jedes Programm und auch jede Hardwarelösung hat Schwachstellen, die von Viren ausgenutzt werden können und auch ausgenützt werden. Deshalb empfehlen AV-Spezialisten auch immer den Einsatz mehrerer verschiedener AV-Produkte. Bietet jedes AV-Produkt 95% Sicherheit, so hat man beim Einsatz von 2 Produkten schon einen Wert nahe 100% erreicht, nur leider wird der Wert 100% auch beim Einsatz von 100 AV Programmen nicht erreicht (mathematisch ist 100% ein Grenzwert gegen Unendlich, der nicht erreicht werden kann).
Ich persoenlich arbeite immer mit 3 verschiedenen AV-Programmen, da dies in meinen Augen einen guten Kompromiss zwischen Aufwand (=Kosten) und Sicherheitsbedürfnis (=Nutzen) darstellt.

Bei Computerverschickten Faxen handelt es sich, genauso wie beim normalen Faxen, um das verschicken von Texten oder Grafiken, nicht um das verschicken von binärem Code (=Programmen). Da Viren aber als ausführbare Programme vorliegen müßen um aktiviert werden zu können, kann man durch eingehende Faxe, die vom Computer angenommen werden, nicht infiziert werden. Enthält allerdings eine Fax den Sourcecode eines Virus und wird dieser Text entsprechend in Binärcode umgewandelt (z.B. durch einen Assembler), so kann dadurch ein scharfer, also ausführbarer Virus generiert werden. Dies erfordert aber manuelle Arbeit, kann also nicht ausversehen oder gar von alleine passieren.

Nun, das mit dem Festplatte neuformatieren ist die Holzhammermethode. Klar, einen Virus bekommt man damit weg, aber leider auch alle anderen Dateien, z.B. die Adressdateien usw, und die sind in der Regel nicht so leicht zu restaurieren, wenn man nicht einen aktuellen Backup hat. Idealerweise löscht man die infizierten Programme und ersetzt sie anschliessend durch saubere Originalprogramme. Nur wenn man die Originalprogramme nicht mehr hat, sollte man Viruscleaner einsetzen. Aber auch dann sollte man erst einen Backup machen, denn eventuell wird der Virus fehlerhaft gecleant, was dann zur Folge haben kann, das das "gereinigte" Programm gar nicht mehr läuft. Besonders das Programm CLEAN von McAfee sollte man mit Vorsicht genießen, den sehr häufig löscht dieses Programm einfach die infizierte Datei. Auf alle Fälle empfehle ich bei der Virenbekämpfung immer, zu allererst sollte ein kompletter Backup angelegt werden ! Sollte irgendwas schief gehen, kann man damit wenigstens den Zustand herstellen, bei dem man angefangen hat, den Virus zu jagen.

Siehe hierzu auch Frage 11. Die Frage nach dem besten Virenkiller ist identisch mit der Frage nach dem besten Virenscanner. Das beste Programm im AV Bereich ist und bleibt dein Backup-Programm. Aber wenn schon nach guten Viruskillern gefragt wird, dann empfehle ich F-PROT. Hat man TBAV komplett installiert, so ist auch der generische Virenkiller dieses Pakets sehr effektiv. Im kommerziellen Bereich empfehle ich immer ANTIVIR. Im Sharewarebereich gibt es von der VHM die Sammlung ITW*.ZIP, die gute Cleaner für die gängigsten Viren enthält. Ebenfalls ein sehr gutes Sharewareprogramm zur Virenbeseitigung ist AVP.

Ja, es gibt bereits Viren für OS/2, genauso wie es Viren für UNIX, Windows, Amiga usw. gibt. Allerdings sind bei all diesen Systemen verhältnismäßig wenig Viren bekannt, das Gros liegt eindeutig bei MS-DOS. Das liegt zum einen daran, daß DOS das verbreitetste Betriebssystem ist und zum anderen daran, das DOS das unsicherste, also am wenigsten geschütze Betriebssystem der Welt ist. Weiterhin funktionieren fast alle DOS-Dateiviren auch in der DOS-Box von OS/2, da allerdings nur abgeschirmt in dieser Box.

Diese Frage muß mit dem Hersteller des jeweiligen AV-Programms abgeklärt werden, prinzipiell würde ich aber einmal davon ausgehen, das das AV Programm ja nicht nur die privaten, sondern auch die geschäftlichen Daten schützt, ergo das AV Programm kommerziellen Zwecken dient.

Mir ist kein Virus bekannt, der gezielt den BIOS Virenschutz umgeht, doch es gibt Viren, die ganz generell Werte im BIOS verändern. Damit ist es auch ohne weiteres möglich, den BIOS Virenschutz auszuschalten und damit für eine Infektion zu umgehen.

Ganz allgemein gilt bei jeder neuen Software und bei jedem neuen Datenträger: Vor dem ersten Einsatz mit aktuellen AV-Programmen auf Viren überprüfen und eine Sicherungskopie anfertigen. Siehe hierzu auch Frage 20.

Ja, inzwischen sind eine ganze Reihe von CDs bekannt geworden, auch denen Viren gefunden wurden. Da CDs ein Read-Only Medium sind, müßen die Viren bereits bei der Herstellung der CD vorhanden gewesen sein. Eine nachträgliche Infektion einer CD ist unmöglich. In der FIDO-Area VIRUS.GER wird regelmäßig eine Liste der bekannt gewordenen Viren auf CD veröffentlicht.

Nun, prinzipiell gibt es schon die Möglichkeit, physikalisch das Schreiben auf einer Festplatte zu verhindern. Man muß eine entsprechende Schaltung einbauen die das Schreiben verhindert, aber dann kann man halt gar nicht mehr auf die Festplatte schreiben und das wird wohl nicht unbedingt das, sein, was du möchtest. Ich gehe eher mal davon aus, du meinst ein Programm, das Schreibzugriffe unterbindet. Da gibt es zwar das eine oder andere residente Tool, aber da es ein Stück Software ist, kann es von Viren unterlaufen werden, sprich es ist nicht sicher. Von solchen Lösungen würde ich persönlich die Finger lassen.

Diese Frage hat sich wohl schon jeder gestellt, der irgendwann einmal mit Viren konfrontiert war. Da es inzwischen auch bereits mehrere Fälle gibt, bei denen Viren-Programmierer bekannt bzw. sogar verhaftet wurden, gibt es auch einige Antworten zu dieser Frage. Im Grunde kann man zwei verschiedene Antworten geben, erstens aus Unzufriedenheit und zweitens aus Neugier. Zum Punkt Unzufriedenheit sind die Fälle zu zählen, bei denen jemand aus Frust (gegen Arbeitgeber, über ein politisches System usw.) mit böser Absicht einen Virus geschrieben hat, doch ist dies nur bei ca. 5% der Viren der Fall. 95% Prozent der Viren werden aus Neugier, Spieltrieb und vorpubertärer Geltungssucht geschrieben. Man kann immer wieder in den Echos lesen, wie manche Kids von Viren "fasziniert" sind und es "toll" finden, wie "trickreich" und "innovativ" diese Programme sind.

Es gibt Antivirenpakete, die behaupten, selbiges zu können. In der Praxis stellt sich aber immer heraus, daß nicht alle verschiedenen Packer aufgelöst werden können oder rekursiv gepackte Archive nicht vollständig untersucht werden. Es ist daher immer angebracht, Archive zu entpacken und dann erst mit den AV-Programmen zu arbeiten. Da dies aber bei Sysops von Mailboxen sehr oft gemacht werden müßte, wurden hierfür bereits entsprechende Tools geschrieben (z.B. MTA= Make Them Anything), die so konfiguriert werden können, das Archive komplett entpackt und anschließend untersucht werden. Im Sharewarebereich gibt es mit AVP auch ein Antivirenprogramm, das in den gängigsten Archiven suchen kann, aber eben leider auch nicht in allen.

Diese Frage ist falsch formuliert. Shareware ist kein Qualitästmerkmal eines Programms sondern ein Vertriebskonzept. Gerade für Privatpersonen rentiert es sich nicht, ein Programm zu vermarkten, also Werbung zu machen, es in Geschäften anzubieten usw. Statt dessen stellen sie die Software zu Verfügung und du kannst sie ausprobieren. Findest du das Programm gut, zahlst du dem Programmierer den Kaufpreis und verwendest das Programm weiter. Findest du es schlecht, löscht du das Programm einfach wieder. Der Author spart sich damit viel kaufmännische Arbeit, kann sich auf das wesentliche konzentrieren und du kannst das Programm in Ruhe ausprobieren und mußt nicht den Versprechungen eines eventuell inkompetenten Verkäufers vertrauen. In vielen Bereichen sind diese Shareware-Programme sogar deutlich besser als kommerzielle Produkte, z.B. bei Programmen aus dem DFÜ Bereich oder bei Antivirenprogrammen. Das liegt oft daran, das diese Programme viel häufiger eingesetzt werden als kommerzielle Produkte und daher Fehler schneller gefunden/ausgebaut werden und auch die Wünsche der Anwender besser berücksicht werden. Allerdings gibt es bei Shareware genauso Geschäftemacher, wie es sie bei kommerziellen Anbietern gibt.

Nun, das ist zuerst einmal abhängig von der jeweiligen Rechtsprechung. In einigen Ländern gibt es bereits Gesetze, die das Programmieren von Computerviren bzw. ihre bewußte Weitergabe verbieten (z.B. Italien oder England). In Deutschland ist es hier deutlich schwieriger, daß Computerviren vom Gesetz völlig ignoriert werden. Allerdings gibt es bei uns mit dem "2. Gesetz zur Bekämpfung der Wirtschaftskriminalität" ein Regelwerk, das für Computerviren Anwendung finden kann. Da heißt es sinngemäß, das Ausspähen oder Verändern von Daten sowie die Beeinflußung von Rechnersystemen ist verboten. Wenn also jemandem nachgewiesen (und das ist wohl das Problem) werden kann, das er mit Absicht einen Virus in ein System eingeschleust hat, so kann er entsprechend bestraft werden (sogar mit Freiheitsentzug). Laut Gravenreuth kann auch ein Kaufvertrag angefochten werden, z.B. wenn man einen Computer kauft, der bereits einen Virus preinstalled hat, da es sich einerseits um einen verdeckten Mangel handelt und andererseits das System nicht das tut, was es soll (einwandfrei arbeiten), und laut BGB hat man entsprechend auch die Rechte auf Wandelung, Minderung, Rücktritt und Schadensersatz, aber auch hier liegt das Problem wohl in der Beweislast. Siehe hierzu auch das Kapitel mit den Rechtsfragen.

Der Michelangelo gehört zu den Partitiontable-Viren, d.h. er infiziert eigentlich nur den von Bootsektor Disketten bzw. den MBR von Festplatten. Allerdings gibt es sogenannte Dropper, also Programme, die den eigentlichen Virus erst absetzen, ohne selbst infiziert zu sein. Eventuell findet Ihr Antivirenprogramm den Dropper nicht. Hier würde ich dann den Einsatz von NEMESIS empfehlen, denn da würde man soetwas sofort erkennen. Weiterhin ist es möglich, daß Sie den Virusdropper in einem Archiv haben und der Virus darin nicht entdeckt wird. Entpacken Sie aber das Archiv und starten den Dropper, ist der Virus logischerweise wieder da. Und schließlich gibt es noch die Möglichkeit des residenten Virus, d.h. Sie haben vor dem Cleanen mit dem AV Programm nicht von einer sauberen Diskette gebootet. Dann steht der Virus im Speicher und infiziert, wärend eifrig gecleant wird, gleich alle Datenträger wieder mit.

Nun, im Prinzip wäre soetwas eventuell denkbar, aber die Chancen sind genauso groß wie die Chance, das bei einem Computerabsturz eine Textverarbeitung entsteht. Anders ausgedrückt, deine Frage ist rein philosophischer Natur, de facto ist soetwas unmöglich.

Absolut unsicher. Siehe hierzu auch Kapitel 3.3. Aktiv im Speicher sitzende Stealth Viren haben die totale Kontrolle über einen Rechner und zeigen dem Anwender bzw. anderen Programmen nur die Dinge, die gesehen werden sollen. Das vortäuschen einer falschen Programmgröße gehört dabei zu den leichtesten Übungen.

Bei Disketten bewirkt der FORMAT Befehl ein physikalisches Löschen, d.h. infizierte Disketten, die mit dem Befehl FORMAT /U behandelt wurden, sind anschließend wieder clean (vorausgesetzt im Speicher des Computers sitzt kein Virus).

Die Zahl der neuen Viren nimmt exponentiell zu. Nur mal zur Verdeutlichung:

Vergleicht man nun die Mitteilungen der Medien, so kann man erkennen, das die Medien nicht auf die Anzahl der Viren reagieren, sondern nur auf Sensationsmeldungen. Bespiel hierfür ist Michelangelo oder die weltweite Junkie Hysterie, die genau im sogenannten Sommerloch auftrat. Ein Rückschluß aus dem Verhalten der Medien auf die Gefahr von Computerviren ist daher nicht sinnvoll.

Da AV-Programme durch die ständig zunehmende Zahl von Computerviren sehr schnell veralten, bietet nur ein einigermaßen aktuelles Antivirenprogramm Schutz. Die meisten Hersteller bieten Updates in einem Zeitraum von 4-8 Wochen an. Dies stellt meiner Meinung nach auch einen sinnvollen Kompromis zwischen Aufwand und Nutzen dar. Programme die älter als ein halbes Jahr sind, bieten kaum Schutz, noch ältere Programme gar keinen Schutz mehr.

Ja. Die ersten Viren wurden unter UNIX entwickelt, daher gibt es auch hier natürlich entsprechende Schutzmechanismen. Weil aber ein Virus von einem IBM UNIX (AIX) anders aussehen muß als ein Virus auf einem HP UNIX (HPUX), gibt es unter UNIX keine Scanner, wie wir sie von DOS Kennen, sondern nur Prüfsummenprogramme bzw. Integrity-Checker. Ein sehr gutes Programm aus diesem Bereich ist TRIPWIRE, ein Sharewareprogramm, das auf vielen FTP-Servern des Inteternets zu finden ist.

Mir ist keins bekannt.

Nein, siehe hierzu Frage 47 und Kapitel 3.3. Programme können erst dann sicher geschieben werden, wenn das zugehörige Betriebssystem ebenfalls virensicher ist, da Anwendungsprogramme ja immer auf das Betriebssystem aufsetzen. Solange aber ein Betriebssystem wie DOS im Einsatz ist, solange kann man keine virussicheren Programm erstellen.

Da die Mutation Engine (MTE) schon relativ alt ist, werden Viren, die mittels der MTE verschlüsselt sind, von jedem guten AV-Programm erkannt. Allerdings war die MTE Vorläufer einer ganzen Reihe von anderen Verschlüsselungsroutinen, z.B. der TPE, der DAME oder der DSME, und bei diesen schaut die Sache anders aus. Solcher Verschlüsselungs-Engines sind relativ komplexe Routinen, bei denen es nicht mehr ausreicht, eine konstante Virussignatur zu ermitteln, sondern die recht aufwendige Suchverfahren erfordern. Das Entwickeln solcher Suchverfahren dauert natürlich Zeit und benötigt weiterhin ein gewisses Maß an Erfahrung, weshalb auch nicht jeder x-beliebige Programmierer dafür eingesetzt werden kann. Aus all diesen Gründen wird klar, das nur ganz wenige AV-Programme wirklich effektiv gegen alle diese Verschlüsselungs-Engines gewappnet sind.

Ja, für OS/2 gibt es Antivirenprogramme, z.B. von McAfee. Allerdings suchen diese Programme auch wieder nach DOS-Viren, nur das diese Programmem unter OS/2 läuft. Das zur Zeit wohl beste AV-Programm unter OS/2 dürfte neben IBM-AV das Antivirentoolkit von Dr. Solomon sein.

Sollten mit gepackten Dateien Archive gemeint sein, sei auf die Frage 42 verwiesen. Bei EXE-gepackten Programmen, also komprimierten Programmen, die trotz der Komprimierung noch lauffähig sind, muß man verschiedene Dinge berücksichtigen. Es gibt zwar AV-Programme, die manche Kompressionsverfahren öffnen können und dann in der unkomprimierten Datei nach einem Virus suchen, aber es gibt die verschiedensten Komprimierungsverfahren und kein Programm kann alle diese Verfahren handhaben. Weiterhin gibt es Fälle, bei denen Virenprogrammierer ihre Viren mehrfach komprimiert haben und spätestens bei diesen Fällen versagt jedes AV-Programm. Um einem solchen Virus auf die Spur zu kommen, hat man nur 2 Möglichkeiten. Erstens durch Einsatzes eines residenten Wächters, z.B. NEMESIS, und zweitens in dem man solche komprimierten Programme selbst entpackt, z.B. mittels UNP, und die dekomprimierte Datei dann mit einem AV-Programm untersucht.

Hier muß man zuerst einmal Unterscheiden, um welche Art von Programm es sich handelt.
Sharewareprogramme wie F-PROT werden meist über die weltweiten Computernetzwerke verschickt. In diesen gibt es dann auch immer die neuesten Updates. Kommerzielle Programme dagegen bieten i.d.R. einen Updateservice, der entweder via Disketten oder spezielle Support- und Hotlinemailboxen abgewickelt wird. Genaueres hierzu kannst du entweder in der Dokumentation deines Programms nachlesen oder bei deinem Händler erfragen.

Jedes Programm hat Sicherheitslücken, das eine mehr, das andere weniger, und je älter ein Programm ist, desto unsicherer wird es natürlich, aber jedes einigermassen aktuelle AV Programm bietet in Verbindung mit regelmäßigen Backups einem Anwender guten Schutz. Hier soll keine Wertung vorgenommen werden, welches Programm gut und welches schlecht ist, dazu ist im Bereich des Softwaremarktes auch einfach zu viel Bewegung, sondern Sie als Anwender sollen in die Lage versetzt werden, sich ein für sich und ihre Bedürfnisse passendes Schutzkonzept zusammen zustellen. Um aber bei Virussafe zu bleiben: es gilt zumindest nach dem Stand 10/94 als nicht empfehlenswert, da es einige massive Sicherheitslücken enthält, die den Herstellern bereits seit längerem bekannt sind, allerdings immer noch nicht behoben wurden.

Wenn eine Datei erst einmal zerstört ist, kann sie nicht mehr repariert werden, denn kein AV Programm kann wissen, was vor der Zerstörung in der Datei gespeichert war. Anders ist es bei Dateien, an die sich Viren angehängt haben. Hier ist es sehr wohl möglich, den Originalzustand der Datei wieder herzustellen, sprich die Datei zu reparieren.

Es gibt Tools, mit denen der MBR und der BS einer Festplatte auf Diskette gesichert werden koennen (z.B. in TBAV oder auch in F-PROT Professional). Im Falle einers Infektion kann man dann bei Bedarf diese Sicherungen wieder einspielen. Ein echter Schutz, also in der Form, daß eine Infektion 100 prozentig verhindert wird, ist mir nicht bekannt. So lassen sich z.B. auch die in manchen BIOS implementierten Bootsektor-Schutzfunktionen deaktivieren, sprich auch dies läßt sich umgehen. Einen optimalen Schutz von MBR und BS erhält man aber z.B. durch den Einsatz von Hardware-Virenschutz (z.B. Thunderbyte-Karte), also Steckkarten, die den Zugriff auf die Festplatten kontrollieren, allerdings haben solche Lösungen wieder andere Nachteile.

Bei Netzwerken ist es in der Regel so, daß Netzwerkzugriff erst nach dem Booten des Betriebssystems und dem Laden der Netzwerktreiber möglich wird. Will man ein Netzwerk auf Viren untersuchen, muß man sich immer vor Augen halten, das man auf keinen Fall ein infiziertes Programm starten darf. Das bedeutet, alle für die Login-Prozedur nötigen Programme und Treiber müssen genauso auf der virenfreien Bootdiskette sein, wie das Betriebssystem der Workstation. Man bootet also eine Workstation von einer virenfreien Diskette und untersucht als allererstes mal die Workstation, auf der man arbeitet. Als nächstes lädt man die Netzwerktreiber von der virenfreien Diskette und startet das Login-Programm, ebenfalls von dieser Diskette (das Login-Programm auf dem Server ist das am häufigsten infizierte Programm eines Netzwerks). Dann kann man damit beginnen, den Server auf Viren zu untersuchen.

Es gibt mehrere Möglichkeiten: Hat die Installation etwas an CONFIG.SYS oder AUTOEXEC.BAT geändert ? Falls ja, überprüfen Sie, ob diese Änderungen der Grund für den Fehler sind. Eventuell sind diese Änderungen ja gar nicht nötig gewesen (näheres entnehmen Sie der Dokumentation Ihres Antivirenprogramms). Haben Sie bei der Installation irgendwelche Dateien immunisiert ? Beim Immunisieren werden Dateien modifiziert und diese Modifikationen können ebenfalls der Grund für den Fehler sein. In allen Fällen sollten Sie sich aber an der Hersteller Ihres Antivirenprogrammes wenden, denn keiner weiß besser, was wärend der Installation passiert, als der Hersteller.

Zwei Möglichkeiten: Erstens besteht die Möglichkeit, daß der Virenfund ein False Positiv, also ein Fehlalarm war, der in der neuen Version behoben wurde und zweitens kann es daran liegen, daß McAfee Ass. gerade sein Programm überarbeitet und die neue Version 2.x noch sehr fehlerhaft ist und deutlich weniger Viren erkennt, als z.B. die Version 117.

Die im Umfang des Betriebssystems mitgelieferten Programme reichen überhaupt nicht aus. In der Regel sind sie qualitativ minderwertig und nochdazu meist veraltet. Sie sind für Schutzzwecke genauso gut geeignet, wie EDLIN als Textverarbeitung.

Die für kommerzielle Angebote wichtigsten Kriterien sind die Qualität des Programms, also wieviele der "in the wild" vorkommenden Viren werden erkannt (nicht zu verwechseln mit der Werbeaussage: Wir erkennen über XXXX Viren, denn was nutzt ein Antivirenprogramm, das alle in Japan vorkommenden Viren findet, die in Europa verbreiteten Viren aber verpasst ?), die Verfügbarkeit von regelmäßigen Updates (gut sind Updates in Abständen von ca. 6-8 Wochen) sowie eine guter Support bzw. Anwenderhotline. Spätestens beim letzten Punkt trennt sich dann auch die Spreu vom Weizen und Sie werden erkennen, ob das Produkt, für das Sie sich interessieren, überhaupt zur Diskussion steht oder nicht.

Mal eine Gegenfrage: Lohnt sich denn ein Sicherheitsgurt? Ihr Auto könnte doch von einem Zug erfasst werden. Nun aber ganz ernsthaft! Ich denke schon, daß die Investition in die Sicherheit Ihrer Daten eine sinnvolle Ausgabe sind, zumal zu dieser Investition ja auch die Updates gehören. Ist das Antivirenpaket auch noch mit einer vernünftigen Backup-Strategie gekoppelt, kann Ihren Daten eigentlich nichts mehr passieren. Allerdings gebe ich Ihnen recht, kein Antivirenprogramm ist vollkommen, oder anders gesagt, Ihr bestes Antivirenprogramm ist und bleibt der BACKUP. Berücksichtigt man aber die Kosten zur Restaurierung eines Systems, trotz guter Backups, so hat sich ein Antivirenprogramm bereits bezahlt, wenn damit nur ein einziges mal ein Virus gefunden wurde, bevor er sich ausgebreitet hat und damit ein Restaurieren Ihres Rechnersystems überflüssig wurde.

Wenn man beweisen kann, daß der Virus bereits beim Kauf auf den Disketten war (z.B. mittels Zeugen), so handelt es sich nach der aktuellen Rechtseinschätzung um einen Mangel und alle Rechte nach BGB (Kaufvertrag bis hin zu Folgeschäden) können beim Händler geltend gemacht werden. Allerdings bleibt immer das Problem der Beweislast. Allerdings zeigen sich viele Händler kulant, da Ihnen Ihr Ruf sehr wichtig ist (logischerweise) und bieten neben dem kostenlosen Umtausch (Wandelung) meist noch eine kleine Zugabe (z.B. eine Maus), um den Kunden zu beruhigen und zufrieden zu stellen.

Berücksichtigt man die Zahl der bekannten Viren auf den einzelnen Plattformen, bei Amiga ca. 50, bei PC's etwa 4000, so ist für jeden sofort einsichtig, das Antivirenprogramme für PC's deutlich mehr können müssen, also auch mehr Man-Power beinhalten, als Antivirenprogramme für Amiga. Da Man-Power bekanntlich Geld kostet, steigen auch die Preise für die entsprechenden Programme. Außerdem werden PC's kommerziell eingesetzt, also in Firmen, die deutlich mehr Geld einsetzen können als die Benutzer von Homecomputern.

Im Speicher des Rechners ja, auf der Festplatte nicht. Bootet man den Rechner von einer virenfreien Diskette und fährt anschliessend einen Low-Level-Format, sind ausnahmslos alle Daten auf der Platte gelöscht. Auch ein Virus hat keine Chance, sowas zu überstehen. Allerdings reicht ein normaler Format, wie "FORMAT C: /U" hier nicht aus, denn MBR-Viren werden damit nicht überschrieben.

Es gab einmal einen Fall, bei dem ein holländischer Freak zuerst einen Virus in Umlauf brachte und dann hinterher einen Cleaner auf Markt warf. Dies ist aber der einzige Fall, der jemals bekannt wurde. Ich halte die obige Aussage für ein Gerücht, denn kein Hersteller würde es finanziell überleben, wenn Ihm so etwas nachgewiesen würde, die Konkurrenz und die Medien würden den Fall publik machen und dann würde wohl kaum ein Kunde noch ein Produkt dieses Herstellers kaufen.

Nein, diese Meldung stammt von Ihrem BIOS und weisst Sie darauf hin, daß der Bootsektor Ihrer Festplatte verändert werden soll. Wärend des Betriebssystemupdate muß aber der Bootsektor verändert werden, die alte Bootsequenz von DOS 6.0 soll doch ersetzt werden durch die neue Bootsequenz von DOS 6.2. Sie können also getrost diese Meldung ignorieren.

Eine Versicherung ist ja schön und nett, aber wie hoch wollen Sie sich denn versichern ? 10000 DM, 20000 DM, 100000 DM ? Können Sie heute sagen wie groß der Schaden eines Virus sein wird ? Und ganz nebenbei gefragt, glauben Sie wirklich, die Versicherung zahlt dann anstandslos ? Ich persönlich denke, Sie sollten das Geld lieber in gute Streamer oder DAT-Laufwerke investieren und damit sich selbst vor Datenverlust oder Datenmanipulation schützen. Diese Investition erscheint mir deutlich sinnvoller als der Abschluß einer Versicherung. Ganz nebenbei hilft Ihnen ein Backup auch, wenn Sie mal aus versehen ein File oder Directory gelöscht haben, was eine Versicherung nicht tut, und glauben Sie mir, sowas kommt viel häufiger vor, als eine Infektion durch einen Computervirus.

Zuerst werden alle Zugriffe auf den Sektor 0:0:1 abgefangen, welcher die MBR beinhaltet. Der Bootsektor ist aber weiterhin ungeschuetzt. Des weiteren werden Installationsversuche eines Virus in die TOM unterbunden. Weiterhin sucht das BIOS beim Diskettenzugriff nach MAGICS, was jedoch keine große Sicherheit darstellt, PBB wurde noch gefunden, GoldBug schon nicht mehr. Allerdings habe ich es auch schon erlebt, wenn ich manuell Partitionen aenderte, dass das Teil sich ueberhaupt nicht gemeldet hat.

VX ist die Abkürzung von Virus-eXchange, ein VX-BBS demnach eine Mailbox, in der man Viren downloaden/tauschen kann. Auf diese Weise werden die meisten Viren weltweit verbreitet und zugaenglich gemacht.

SCAN ist ein klassischer Signaturscanner. Wenn jetzt jemand "Testviren" erzeugt, dann enthalten diese Teile die Signaturen, die ein bestimmter Scanner sucht, ergo erkennt dieser die "Testviren", was ja auch erreicht werden soll. So weit so gut, aber ... andere Scanner suchen nach anderen Signaturen (die leider nicht in den "Testviren" drin sind) und finden daher nichts in diesen Files. F-Prot z.B. sucht nach jeweils 2 verschiedenen Signaturen, die beide gefunden werden muessen um einen Virus zu finden (daher auch die sehr gute Variantenerkennung).
Jetzt stellt sich natuerlich (fuer dich) die Frage: Ist SCAN gut, weil es 33 FEHLALARME produziert hat oder ist F_PROT schlecht, weil es 11 FEHLALARME produziert hat ?

Da immer wieder Fragen nach den Auswirkungen bestimmter Viren gestellt werden, haben die Mitglieder des Virus Help Munich, allen voran Stefan Kurtzhals und Uli Schäfer, Analysen und Beschreibungen zu den in Deutschland am meisten verbreiteten Viren erstellt. Diese Analysen werden in der In_the_wild-Liste veröffentlicht. U.a. finden sich dort Beschreibungen für PARTITY_BOOT.B, NEUROQILA, STONED, HONECKER, ONEHALF, ANTIEXE und TAI-PAN. Gleichzeitig erstellt die Virus Help Munich auch eine Sammlung zugehöriger Cleaner für diese Viren, die ebenfalls in dem Archiv zusammengefasst sind.

Das Programm SDSCAN wird leider nicht mehr weitergepflegt, daher gibt es dafür leider keine Updates mehr. Du solltest also sofort auf andere AV Programme wie AVP, TBAV, F-PROT, etc. umsteigen.

Das Verfahren, Viren anhand ihrer selbstgelegten Spuren aufzuspueren, ist zwar originell, aber weitgehend umstritten. Grundlage ist eine Eigenschaft, die fast alle nicht-residenten und residenten Fileviren haben: Vor einer Infektion wird nachgesehen, ob die Zieldatei schon infiziert, bzw. eine Viruskopie schon im Speicher ist. Diese virulente Fuersorge hat jedoch nichts mit Anwenderfreundlichkeit zu tun. Mehrfachbefall einer Datei oder des Speichers wuerde nicht nur sehr schnell auffallen, sondern koennte sogar das System zum Abschmieren bringen. Dies wuerde aber dem Grundauftrag des Virus, sich unbemerkt reichlich zu vermehren, widersprechen. Die befallenen Dateien und der Rechnerspeicher werden also vom Infektor fast immer in irgendeiner ganz eigentuemlichen Weise "markiert", und zwar so, dass die Markierung schnell und ziemlich zuverlaessig abzupruefen ist.
Die Virus- Routine, die den Test auf Selbstbefall durchfuehrt, wird als "Are You There"- Check bezeichnet. Und weil es sich ja um eine absichtliche Markierung handelt, muss sie auch zugaenglich bleiben, wenn der Virus alle anderen Anzeichen der Infektion mit Stealth-Methoden verborgen hat. So schön das klingt, leider sind die Markierungen selten genau genug, um den Virenbefall sicher zu erkennen oder gar eine Variantenbestimmung zu erlauben.
Einige Beispiele fuer Filemarkierungen:
Byte X an Position Y.
Der Virus sucht in der Datei eine Art Mini-Signatur. Butterfly markiert z.B. eine infizierte COM-Datei an vierter Stelle nach Dateianfang durch das Byte '01'. Der alte Jerusalem lässt COM-Files in Ruhe, wenn an ihrem Dateiende ein magisches "MsDos" auftaucht (bei EXE-Files geht ihm das aber irgendwie in die Hose :-) Zeit- und Datumsstempel der Datei. Uralt, beliebt und wirkungsvoll wird der Umstand ausgenutzt, dass das DOSen-Kommando 'DIR' ungenaue Angaben liefert. Schon der alte Vienna markierte seine Opfer durch eine ungueltige File Creation Time in der Sekundenstelle, hier mit dem Wert '62'. Tremor addiert einfach '100' zur Jahreszahl, was wenigstens im Dateimanager von Windows zur Anzeige 19c5 statt 1995 fuehrt. Fuer Viren hat diese Art der Markierung den Vorteil, dass die Datei zur Prüfung nicht einmal geöffnet werden muß. Für Virenscanner viel wichtiger als markierte Dateien sind jedoch die Viren- Selbstkennungen im Speicher. Eine Datei mit ungültigem Erstellungsdatum bietet zwar Anlass zu Misstrauen, aber sehr vielsagend ist so ein Vorkommen nicht. Anders sieht es mit magischen Nummern und Aufrufen im Speicher aus, die oft wenigstens einen ziemlich sicheren Rückschluss auf die Virenfamilie zulassen.
Beispiele:
Magische Zahl X an Adresse Y.
Soetwas benutzt z.B. der Uralt-Klassiker "Icelandic", der laufend HD-Sektoren 'bad' markiert und auch als "Disk-Eater" in die Geschichte einging. Ein Wert von ffh an Adresse 0000:037f dient zur Speichermarkierung und verrät den alten Ungustl.
Magischer Aufruf X liefert Magische Zahl Y.
Ein BIOS- oder Systeminterrupt wird mit eigenartigen Werten in den Prozessorregistern aufgerufen; der Virus antwortet seinerseits mit sonderbaren Werten. Auf diese Weise kann er verhindern, das eine Viruskopie zweimal in den Speicher gelangt. Natas z.B. beantwortet eine harmlose Abfrage der DOS-Version (int 21h, ah=30h) unter der Bedingung, daß das Register bx=f99ah ist, mit der Dos-Versionsnummer NULL.
Illegaler Funktionsaufruf ohne Fehler. Virentypische Aufrufe erstrecken sich auch weit in den Bereich der reservierten oder illegalen Systemaufrufe hinein. Oft wird eine Virus-Antwort nur daran erkannt, dass nach dem illegalen Aufruf einer bestimmten Funktion das Fehler-Flag (bei Interrupts meistens Carry) _nicht_ gesetzt ist. Neuroquila z.B. beantwortet die Funktion f2h des Interrupt 13h, die es nun wirklich nicht gibt, durch ein unerwarteterweise geloeschtes Carry- Flag.
Tatsaechlich gibt es sogar Listen bzw. Tabellen mit solchen "Are You There"- Calls. Ihre Anwendung ist zwar schnell und elegant, jedoch aus naheliegenden Gruenden diffizil und umstritten. Einem Virusprogrammierer ist es egal, ob ein sonderbarer Systemcall bei Vorliegen besonderer Umstaende zum Crash fuehrt oder nicht. Hier gibt es z.B. Ueberschneidungen mit dem API von Novells Netware. Nur ein Beispiel: Der Are-You-There-Call von Jerusalem, Funktion ah=e0h des int 21h, mit Antwort ax=0300h, wird auf einer Novell-Workstation den Print-Spooler ansprechen und das System crashen. Ein Virenscanner-Programm darf sich so eine Abfrage (zumindest ungesichert:-) nicht leisten.

Ein allgemeines Signaturverfahren ist langsam und unsicher. Es haben sich deshalb verschiedene Verfeinerungen der Signaturmethode entwickelt. Spezialisierte Signaturen. Hier wird festgelegt, in welchem Bereich des Computersystems nach der Signatur zu suchen ist (also z.B. nur in EXE-Dateien). Andere Bereiche des Rechners (z.B. das Memory) brauchen nicht mit dieser Sig verglichen werden. Fuer das Memory gibt es dann eine andere Sig, u.s.w. Hier ein Auszug aus der Datei VIRSCAN.DAT, einer Signatursammlung eines gewissen Martin Roesler :-) aus dem Jahr 1994:
; ...
Formiche Virus
COM EXE
BCD21746313431244C75F8
;
Formiche Virus Resident
LOW HIGH
BFAA552EC40637018CCACF
; ...
Hier ist also mit der oberen Signatur (Hex-Schreibweise, 11 Byte) nur in Dateien des Typs *.COM und *.EXE zu suchen, die untere Signatur soll nur zur Suche im unteren oder oberen (Mem > A0000) Speicherbereich eingesetzt werden. Beide Signaturen weisen auf den Virus Formiche hin. Keine der beiden Zeichenfolgen traegt den Vermerk "BOOT", d. h. die Sigs sind nicht fuer die Suche in Bootsektoren einsetzbar. (Das waere auch Unsinn, weil Formiche keine Bootsektoren befaellt.) Die obere Signatur ist hier z.B. ein abgeklammertes Stueckchen Viruscode, eine Schleife zum Ver(Ent-)schluesseln eines Codebereichs, die so nur in den befallenen Dateien vorkommt:
mov sp,17d2h
garble:
inc si
xor [si],si
xor [si],sp
dec sp
jnz garble
Wird also dieser kleine Loop in einer Programmdatei COM/EXE entdeckt, dann liegt wahrscheinlich ein Befall mit Formiche vor.
Co-Signaturen oder Subsignaturen. Der Scanner sucht zunaechst mit einer Hauptsignatur. Wenn es einen Treffer gibt, wird in der befallenen Datei mit einem Satz Subsignaturen weitergesucht. Die Subsignaturen geben dann genauen Aufschluss ueber die Variante z.B. "Vienna.648.Reboot.A". Wird eine Hauptsignatur fuendig, ohne dass sich ein Treffer in den Subsignaturen finden laesst, koennen Meldungen wie "New or modified variant of Vienna virus" entstehen. Signaturposition. Neben der Signatur selbst wird ein Offset (mit Vorzeichen) gespeichert. Referenzpunkt ist der Instruction Pointer CS:IP beim Einsprung in die Programmdatei. Das Verfahren erhoeht vor allem die Scangeschwindigkeit und -Sicherheit. Hier wird der Umstand ausgenutzt, dass der Viruscode in den allermeisten Faellen zeitlich vor Beginn des Wirtsprogramms ausgefuehrt wird. Der erste Sprung im COM-Programm oder CS:IP im EXE-Header zeigen also meistens direkt auf den Beginn des Viruscodes, oder nur einen Jump davon versetzt. Signaturumfeld. Die meisten Dateiviren checken vor der Infektion bestimmte Eigenschaften einer Wirtsdatei ab. Eine der wesentlichsten dieser Eigenschaften ist die Dateigroesse. Dies ist also eine weitere Moeglichkeit, die Signatursuche einzugrenzen: Z.B. Signatur nicht anwenden bei Dateigroesse < 600 Byte, oder Dateigroesse > 64000 Byte...

Das ist ein klassischer False Positive oder auch Fehlalarm. Logischerweise muß natürlich das Programm von McAfee Informationen über Viren beinhalten, in diesem Fall in dem Datenfile CLEAN.DAT. Wenn jetzt da nun zufällig die selbe Signatur enthalten ist, die auch F-PROT zur Suche nach dem November_17th verwendet (intern arbeitet F-PROT mit 2 Signaturen, weil nur eine gefunden wird kommt die Meldung "Possibly a variant of ..."), muß logischerweise dieser Fehlalarm entstehen.

Die CPU kann in den Einzelschrittmodus geschaltet werden. In diesen wird nach jeden CPU-Befehl ein INT 1 ausgelöst. Der Virus installiert eine eigene INT 1-Behandlung, schaltet die CPU in den Einzelschritt-Modus und ruft INT 13 mit irgendeiner unwichtigen Funktion auf. Die INT 1-Routine prüft nach jeden CPU-Befehl, ob der zuletzt bearbeitete Befehl bereits im BIOS (also bei F000:????) liegt. Ist das der Fall, war der Tracer erfolgreich und wird abgebrochen.

Früher, als es noch keine Stealthviren und Polymorphic Engines gab, wurde ausschliesslich mit Signaturscannern gearbeitet. SCAN war zu dieser Zeit das Produkt mit den höchsten Trefferquoten, außerdem war es via DFÜ sehr leicht erhältlich und hatte daher einen hohen Verbreitungsgrad. Während nun aber andere Hersteller ihre AV-Programme permanent weiterentwickelt haben (z.B. in Sachen Heuristic, Performance, ...) haben die Jungs bei McAfee einfach nur ihre Signaturdatenbank erweitert. Erst als sich zunehmend User beschwerten, weil keine polymorphen Viren erkannt wurden und gleichzeitig auch noch massive Memoryprobleme durch die grosse Signaturdatenbank entstanden, begannen die Entwickler bei McAfee, der zwischenzeitlich die Firma verlassen hat, ueber ein Redesign des Programms nachzudenken. Erste Prototypen dieser neuen Programmversin (genannt V2.x) sind heute verfuegbar. Das Memoryproblem hat man z.B. dadurch geloesst, das man die Strings verkürzte und mit einigen Wildcards versah. Das hat zur Folge, das nun Viren nicht mehr eindeutig identifiziert werden (klassisches Beispiel ist die Meldung "GenB - generic Bootsectorvirus", die praktisch bei jedem Bootsektorvirus ausgegeben wird. SCAN kann die Viren gar nicht mehr auseinander halten. Die bisher ebenfalls in die V2 integrierten Algorithmischen Suchprozeduren, mit denen Polymorphe Viren gefunden werden sollen, versagen kläglich, SCAN kann bis heute TREMOR nicht zuverläßig finden (Trefferquote um die 60%).
Zusammengefaßt: SCAN war füher einmal der Standard, heute ist es nur noch ein Relikt aus alten Zeiten. Wer sich auf SCAN verläßt, der ist verlassen, oder wie Stefan Kurtzhals mal meinte, "SCAN ist Sondermüll".

© by Martin Rösler, 1994-1997 - Alle Rechte vorbehalten