FRAGE 1: | "Was ist eine ANSI-Bombe ?" |
Diese Trojanerart kann in Texten enthalten sein, die teilweise aus
ANSI-Escape-Sequenzen bestehen. Solche Sequenzen kann der ANSI.SYS-Treiber von
DOS oder ein verwandter Treiber "verstehen", sofern er in den Speicher
geladen wurde. Der ANSI-Treiber fängt diese Sequenzen bei Ausgabe an den
Bildschirm (z.B. bei Verwendung des TYPE-Befehls) ab und interpretiert sie.
Viele Programme benutzen ANSI-Sequenzen, um Bildschirmfarben einzustellen oder
auch Melodien zu spielen. Jedoch können sie auch verwendet werden, um eine
Taste der Tastatur derart umzudefinieren, daß bei ihrer Betätigung
ein ganzer Befehl ausgeführt wird. Dieser Vorgang heißt "Key-Remapping".
Nachdem der entsprechende Text mit TYPE angesehen wurde, passiert zunächst
nichts, bis das nächste Mal die umgemappte Taste betätigt wird -
danach kann der verdutzte Benutzer zusehen, wie z.B. seine Festplatte formatiert
wird.
ANSI-Bomben können sehr klein sein. So können nicht nur
Texte die Träger funktionsfähiger ANSI-Bomben sein, sondern auch z.B.
Labels von Disketten. Ein simples "DIR A:" reicht in diesem Fall aus,
um die Bombe "scharfzumachen"!
Es existieren bereits Programme,
die diese Bomben finden und vernichten sollen. Jedoch gibt es wesentlich
effizientere Lösungen zu ihrer Abwehr. Man braucht z.B. den
ANSI.SYS-Treiber von DOS gar nicht erst zu verwenden, wenn man ihn nicht
unbedingt braucht (Terminalprogramme benötigen ihn NICHT!). Statt dessen
gibt es Shareware-Clones von ANSI.SYS, die Key-Remapping nicht zulassen. Man
kann auch ein Filterprogramm (z.B. PKSFANSI) benutzen, welches die
entsprechenden Sequenzen herausfiltert und deaktiviert. Die eleganteste Lösung
ist das Patchen von ANSI.SYS, da das Key-Remap-Feature dadurch nicht völlig
abgeschaltet wird. Hierzu eine kurze Anleitung für den ANSI.SYS von MS-DOS
5:
Ins DOS-Verzeichnis wechseln und "DEBUG ANSI.SYS" aufrufen.
Danach "D" eingeben und sich die erste vierstellige Segmentadresse vor
dem Doppelpunkt merken. Danach "E XXXX:0161" eingeben, wobei XXXX die
eben gemerkte Segmentadresse ist. Es erscheint eine 70 und ein Punkt. Diese 70
Hex stellen das 'p' dar, mit dem Key-Remap-Sequenzen abgeschlossen werden. Nun
gibt man einen anderen Wert ein. "6F" wäre z.B. ein 'o', "71"
wäre ein 'q'. Man kann sich seinen privaten Code aussuchen!
Nach der
Eingabe einer solchen zweistelligen Hex-Zahl speichert man das gepatchte File
mit "w" ab und verläßt DEBUG mit "q". Nach dem nächsten
Booten ist der gepatchte ANSI-Treiber aktiv. Eine ANSI-Bombe wird immer auf "p"
enden und kann daher keinen Schaden mehr anrichten! Man selber jedoch kann in
seinen eigenen Sequenzen statt des "p" sein privates Zeichen verwenden
und so wie gehabt Keyboard-Makros definieren.
FRAGE 2: | "Ich habe den Liberty-II-Virus, aber nur der Scanner VIRX findet ihn!" |
Dieses Phänomen tritt auf, wenn ausführbare Dateien irgendwann einmal mit der "Immunize"-Funktion von Carmel TNT Turbo Anti-Virus behandelt wurden. Das kann auch jemand gemacht haben, von dem die Dateien kopiert wurden. Carmel TNT hängt beim "Immunisieren" an jede Datei ein paar Daten an, die exakt den Scanstring enthalten, den VIRX für Liberty-II verwendet. Da TNT das mit allen ausführbaren Dateien machen kann, sieht es beim Scannen so aus, als ob die ganze Festplatte von Liberty-II befallen ist. Um das herauszufinden, sollte man sich eine "befallene" Datei einmal mit einem Editor in der Art von "Norton Disk Editor" ansehen. Ist Carmel TNT der "Schuldige", findet man am Ende der Datei im Klartext einen deutlichen Hinweis auf dieses Antivirusprogramm. In diesem Fall kann man, wenn man TNT besitzt, die Dateien wieder "desimmunisieren". Falls jedoch nicht, muß man damit leben. Ab der Version 8.30 von Carmel TNT gibt es Fehlalarme in Verbindung mit VIRX nur noch beim Speicherscannen bei geladenem TNT-Schutzmodul. Alle anderen Bugs wurden behoben.
FRAGE 3: | "Ich habe lauter 71-Byte-Dateien in meinen Verzeichnissen. Was ist das?" |
Viele Antivirusprogramme mit Prüfsummenfunktion, insbesondere Integrity Checker, legen kleine Dateien in jedem Verzeichnis der Festplatte an, in denen Prüfsummeninformationen gespeichert werden. (Im Falle von 71- Byte-Dateien handelt es sich um ein Antivirusprogramm von Peter Norton.) Tauchen also regelmäßig solche Dateien mit seltsamem Namen wie ")(.ID" oder "000.IDX" oder "CHKDAT.VIR" oder ähnlichem auf und man wundert sich darüber, sollte man in den Dokumentationen seiner Antivirusprogramme nachlesen, ob nicht eines davon dafür verantwortlich ist.
FRAGE 4: | "Wo gibt es eine Informations-Sammlung über bekannte Viren?" |
Es gibt zwei bekannte Viren-Kataloge, die die MS-DOS-Virenwelt beschreiben. Der erste heißt VSUM und kommt von Patricia Hoffmann, die eng mit McAfee zusammenarbeitet. Es handelt sich um ein Hypertextsystem, welches häufig upgedated wird, recht bedienerfreundlich ist und einige gute Crossreferenzen enthält. Die Informationen in VSUM sind allerdings, insbesondere für exotische Viren, nicht immer korrekt. Dennoch ist VSUM eine nicht zu verachtende Informationsquelle. Der zweite Text ist der Computer-Virus-Catalog von Professor Brunnstein und Vesselin Bontchev, der von der Uni Hamburg als Datei herausgegeben wird. Downzuloaden ist er mittels anonymous FTP bei "ftp.informatik.uni- hamburg.de" bzw. "134.100.4.42" im Verzeichnis "/pub/virus/texts/catalog". Dieser enthält Informationen über weniger Viren als VSUM, die dafür jedoch präziser sein sollen.
FRAGE 5: | "Ich habe einen Virus aus einem Programm gekillt. Trotzdem findet mein Scanner ihn nach der Ausführung aktiv im Speicher!" |
Eine Möglichkeit ist, daß der Killer nicht vernünftig funktioniert hat. Falls man sich aber ganz sicher ist (z.B. zeigt ein Integrity-Check eine sauber wiederhergestellte Datei, und es tritt auch keine Neuinfektion mehr auf), so könnte es noch folgendes sein: Wenn ein gekillter Virus zwar aus einem File abgehängt ist, sein Code jedoch noch in der Slack-Area enthalten ist, kann es beim Lesen der Datei in den Speicher zu Fehlalarmen kommen, weil DOS Dateien sektorweise lädt und somit auch die Slack-Area mit in den Speicher liest. Der Viruscode ist also logisch aus der Datei abgehängt, physikalisch jedoch noch auf der Festplatte vorhanden, ohne Schaden anrichten zu können. Wer den Code auch physikalisch killen möchte, sollte sich ein Tool besorgen, mit dem man die Slack-Areas der ausführbaren Files löschen kann.
FRAGE 6: | "Was ist heuristisches Scannen?" |
"Heuristisch" bedeutet soviel wie "abgeleitet nach Daumenregeln". Ein Scanner, der eine heuristische Komponente enthält, kann potentiellen Wirtscode auf virentypische Merkmale hin untersuchen. Wenn solch ein Scanner also z.B. herausfindet, daß ein Programm keinen Stack besitzt, sich selbst im Speicher hin- und herverschieben kann und eine Menge Müll- Instruktionen (z.B. NOPs) enthält, würde er vermutlich dem Benutzer ein verdächtiges Programm melden.Der fortgeschrittene Anwender wird diese Datei dann näher unter die Lupe nehmen und ggf. auf diese Weise einen neuen Virus entdecken. Für einen Anfänger ist ein normaler heuristischer Scanner jedoch fast wertlos, weil er nicht erkennen kann, ob die angeprangerten Operationen legitimerweise vom Programm ausgeführt werden oder von einem Virus stammen. Große Ausnahme ist hier die registrierte Version von SUSPICIOS, da der heuristische Scanner dieses Pakets gleichzeitig als Virenanalysator arbeitet und so dem Anwender nicht nur meldet, diese oder jene Datei seien verdächtig, sondern auch gleich die Begründung für den Verdacht mitliefert. Ein von heuristischen Scannern oft als verdächtig gekennzeichnetes Programm ist FORMAT.COM von DOS 5. Das liegt daran, daß es die Fähigkeit hat, direkt auf Sektoren zu schreiben ;-), ein undokumentiertes Features von DOS benutzt und außerdem offensichtlich von einem EXE- in ein COM-Programm umgewandelt wurde.
FRAGE 7: | "Kann ein Virus Hardware beschädigen?" |
Die Frage kann so umgestellt werden: Kann Software Hardware beschädigen?
Prinzipiell nicht. Es gibt da vier häufig genannte 'Fälle':
a)
Ein Monitor wird mit einem falschen Synchronisationssignal angesteuert, wodurch
die Elektronik durchbrennt.
Dies war bei Uralt-Monitoren (Hercules) möglich.
Ob es heute noch bei einigen Monitoren funktioniert, z.B. wenn man eine
VGA-Karte im EGA-Modus an einem EGA-Monitor betreibt und eine Software dann auf
VGA-Synchronisation stellt, bleibt dahingest. Bei zueinander passender Hardware
sollte dies jedoch der Vergangenheit angehören.
b) Die Ablenkspannung
des Monitors wird abgeschaltet, so daß sich ein Fleck auf dem Bildschirm
einbrennt.
Dies ist ein Märchen, das sich aus der CBM PET-Zeit hält,
wo dies tatsächlich möglich war. Beim PC ist das nicht zu erreichen.
c) Durch ständiges Ansteuern des Hard-Disk-Controllers in einer Weise,
daß der Hard-Disk-Kopf ständig auf einen illegalen Track
positioniert werden soll, schlägt dieser ständig gegen die
Zentralspindel. So wird die Festplatte beschädigt. Uralte Festplattes und
Controller konnten auf diese Weise beschädigt werden. Jeder normale MFM-,
AT-Bus- und sonstwas-Controller fängt heutzutage solche Zugriffe ab.
d) Durch "korrekte" Programmierung des Controllers kann man den
Festplatte-Kopf mit einer Frequenz schwingen lassen, die der Resonanzfrequenz
entspricht. Die Schwingungsamplitude wird dadurch auch in vertikale Richtung
so groß, daß der Kopf auf der Magnetoberfläche aufsetzt
(Headcrash). Dies ist eine sehr abstruse Behauptung. Theoretisch wäre so
etwas vielleicht denkbar, aber nur für eine einzige Baureihe von
Festplattes unter Beachtung der Fertigungstoleranzen. Ich halte das für
ziemlichen Blödsinn. Wer das Gegenteil beweisen kann, der tue es. Es sieht
also alles danach aus, als ob die Behauptung, man könne moderne Hardware
mit Software beschädigen, nicht haltbar ist. Falls jemand ein Programm
besitzt, mit dem er nachweislich heute verwendete, zusammenpassende Hardware
beschädigen kann, so möge er mir dies bitte mitteilen. Ich werde
dieses Programm dann testen und das Ergebnis veröffentlichen.
FRAGE 8: | "Kann ein Virus einen Schreibschutz umgehen?" |
Es kommt darauf an, was mit Schreibschutz gemeint ist. Der "Schreibschutz" des Read-only Attributes von DOS wird von praktisch allen Viren umgangen. Ebenso unsicher ist ein softwaremäßiger Schreibschutz für Hard-Disks, der durch ein TSR gewährleistet wird. Tunnelnde Viren kümmern sich nicht um derartige TSRs. Der einzige Schreibschutz, den kein Virus der Welt umgehen kann, ist der schwarze(!) Aufkleber bei 5 1/4 Zoll und das Schiebeplättchen bei 3 1/2 Zoll- Disketten. Dieser Schreibschutz ist hundertprozentig, sofern die Hardware des Rechners in Ordnung ist. Da führt kein Weg dran vorbei, weder mit direkter Controllerprogrammierung noch mit irgendwelchen exotischen Tricks, und zwar aus folgendem Grunde: Der Schreibschutz auf Floppy besteht entweder aus einer Lichtschranke, einer Lichtschranke mit Spiegel (5 1/4 Zoll Disketten) oder einer mechanischen Abtastung (3 1/2 Zoll Disketten). (Die Lichtschrankentechnik erfordert einen undurchsichtigen und die Spiegel- Technik einen nicht reflektierenden Schreibschutz. Beides ist nur mit schwarzen, matten Schreibschützen gewährleistet!) Ist dieser Mechanismus nun unterbrochen, weil eine Diskette schreibgeschützt ist, so wird, vereinfacht ausgedrückt, über eine Gatterschaltung der Schreibstrom für die Diskette blockiert. Keine Software hat Einfluß auf diesen Schaltkreis. Er kann daher nicht umgangen werden. Fazit: Ein Rechner kann nur auf eine schreibgeschützte Diskette schreiben, wenn entweder die Hardware defekt ist, oder bei einem Lichtschrankensystem grelles Licht direkt in den Floppyschacht fällt. Ein Programm kann dem Benutzer jedoch vorgaukeln, es könne den Schreibschutz umgehen. Zunächst wird dazu der Controller angesprochen. Dieser bemüht sich und bemüht sich, aber er bekommt nichts auf die Diskette geschrieben. Daraufhin wird ein Fehlerinterrupt ausgelöst, der gewöhnlich "(A)bort, (R)etry, (I)gnore?" provoziert, aber in diesem Fall vom Programm abgefangen wird, indem es den Critical Error Handler von DOS ersetzt hat. Der Benutzer bekommt vom mißlungenen Schreibversuch nichts mit und glaubt, das Programm hätte Daten geschrieben.
FRAGE 9: | "Kann ein Virus sich ins CMOS-RAM einnisten?" |
Nein. Das CMOS RAM, in dem Systeminformationen aufbewahrt werden und welches von einer Batterie gepuffert wird, kann nur über I/O-Befehle angesprochen werden und ist nicht adressierbar. Das bedeutet, die dortigen Informationen befinden sich nicht im normalen Speicher und können nicht ausgeführt werden. Nichts in einer normalen Maschine lädt Daten aus dem CMOS und führt sie aus, so daß ein Virus, der das CMOS benutzt, immer noch ein ausführbares Objekt irgendeiner Art auf Festplatte oder im Speicher infizieren müßte, um Daten von dort zu holen und nach dort zu schreiben. Damit wäre er kein reiner CMOS-Virus mehr. Das heißt nicht, daß ein Virus das CMOS nicht verändern oder Daten nach dorthin auslagern kann. Es gibt einige Viren, die die Daten des CMOS verändern, z.B. um dafür zu Sorgen, das der Rechner immer von Festplatte bootet und nicht vom Floppy. Er kann sich bloß eben nicht ausschließlich über das CMOS verbreiten bzw. sich nicht ausschließlich dort befinden.
FRAGE 10: | "Gibt es einen harmlosen oder sogar gutartigen Virus?" |
Nein. Die Natur eines Virus' ist es, ohne den Willen eines Benutzers
normalerweise unveränderliche Daten auf dessen Festplatten zu ändern,
indem er in die Abläufe beim Ausführen von Dateien eingreift - selbst
dann, wenn er keine bösartige Zerstörungsfunktion in sich birgt. Berücksichtigt
ein Virus als ziemliches Low-level-Programm dabei nicht jeden möglichen
Aspekt einer eventuellen Störung der normalen Abläufe, so wird er auf
diesem oder jenem System Probleme, Abstürze und/oder Datenverluste
verursachen, selbst wenn er nicht darauf "angesetzt" ist. Welcher
Virus "weiß" schon, welche TSRs alle von ihm "befallenen"
PCs geladen haben und wie sie sich auf seine Funktion auswirken?
Man stelle
sich nun vor, ein PC fällt einen Tag aus, bis ein Fachmann den Virus
erkannt und vielleicht sogar gebannt hat. Ein Tag produktiver Arbeit ist recht
teuer, und ich möchte nicht in der Haut des Virenprogrammierers stecken,
wenn man ihn findet und zur Verantwortung für derartige Schäden zieht.
Oder, man stelle sich vor, in einigen Krankenhäusern werden PCs tatsächlich
zur Berechnung des Bestrahlungswinkels etc. bei Röntgengeräten
eingesetzt, und ein Patient stirbt, weil er nicht rechtzeitig geröntgt
werden kann... Abgesehen von diesen tatsächlich gefährlichen
Situationen durch Inkompatibilitäten des Virus mit manchen
Systemkonfigurationen halte ich es schlicht für moralisch verwerflich,
Daten auf fremden Festplatten automatisch verändern zu lassen, ohne dem
Benutzer eine Möglichkeit zu geben, dies zu verhindern. Selbst ein Hacker,
der Information als freies Gut ansieht, wird sich vermutlich ärgern, wenn
die Information auf seinem Privatrechner "freimütigerweise"
unbrauchbar gemacht wird. Darum: Jeder auch noch so gut gemeinte Virus ist
verwerflich - selbst, wenn er ebenso verwerfliche rassistische Programme löscht
oder andere Viren "einfangen" soll. Es ist 'von Natur aus' eine
schlechte Eigenschaft eines Programms, ein Virus zu sein.
FRAGE 11: | "Welches ist das beste Antivirusprogramm?" |
Die Antwort ist leicht: Es gibt kein eigenständig bestes Programm. Jede derzeit verfügbare Antivirus-Applikation hat ihre Schwächen, die theoretisch von Viren ausgenutzt werden könnten. Man soll nicht den Fehler machen und jemandem, egal wem, glauben, sein Programm, seine Karte oder sein Rechner sei zu 100% virensicher, auch vor zukünftigen Viren. Ein interessanter und effektiver Ansatz ist die sogenannte "Thunderbyte- Karte". Sie stellt einen Hardwareschutz dar, der viele viralen Aktivitäten von vornherein blockiert. Inwieweit sich diese Karte in der neuesten Version mit Multitaskern, TSRs und anderer Software verträgt, ist mir nicht geläufig. Ebenso kann ich im Moment nichts dazu sagen, ob die Bedienerfreundlichkeit eines PCs mit eingebauter TB-Karte durch eventuelle Fehlalarme der Karte leidet. Tatsache ist aber, daß man auch mit rein softwaremäßigen Multi-Layer- Konzepten einen guten Prozentsatz an Sicherheit erreichen kann. Ein Multi- Layer-Konzept wäre z.B. der Einsatz eines Monitorprogramms, eines Integrity Checkers und mindestens zweier verschiedener Scanner, die alle gut zusammenarbeiten müssen. Ansonsten ist die Frage auch in vielen Aspekten nur philosophisch. Die Meinungen gehen oftmals auseinander. Jedoch gibt es gewisse Programme, die auch auf internationaler Ebene grundsätzlich mehr Lob als Kritik ernten. Eine Liste dieser meiner Meinung nach guten Antivirusprogramme wird im deutschen Fido-Echo VIRUS.GER wöchentlich unter dem Namen VIRUVERS veröffentlicht. Um aber trotzdem hier einmal ein paar Namen zu nennen, hier ein paar bewährte Programme:
Kommerzielle Programme (300-1200 DM):
Shareware Programme (25-100 DM):
FRAGE 12: | "Mein Scanner findet einen Virus aktiv im Speicher, kann ihn aber nirgends in einer Datei oder in einem Bootsektor entdecken!" |
Dieses Problem tritt häufig auf und kann verschiedene Ursachen haben. Die erste und schlimmste wäre die Präsenz eines Stealth-Virus im Speicher, den ein Scanner in Dateien nicht mehr entdecken kann, solange er aktiv im Speicher ist (siehe Abschnitt 3.3.1.). Aufschluß hierüber gibt ein erneutes Scannen nach Booten von einer sauberen, schreibgeschützten Systemdiskette, auf der sich der Scanner befindet. Kein Programm darf von der Festplatte aus gestartet werden! Findet der Scanner nun ein oder mehrere befallenen Programmobjekte auf der Festplatte, so kann man diese entweder löschen und von einem Backup zurückfahren (beste Lösung), oder desinfizieren. Ebenso ist es möglich, daß ein residenter Monitor oder Scanner geladen ist, der seine Scanstrings unverschlüsselt im Speicher aufbewahrt. Diese werden dann als sogenannte "Geister-Viren" von anderen Scannern gefunden :-( . Kandidaten dafür sind VSAFE und VDEFEND von CPAV, die dies erwiesenermaßen tun. Lösung dieses Problems ist es, diese TSRs nicht zu verwenden. Die dritte Möglichkeit ist, daß ein Scanner beim Scannen seine Scanstrings im Speicher puffert und diese nach dem Scannen bzw. nach einer Unterbrechung durch CTRL-Break nicht überschreibt. Auch hierdurch gibt es das Problem der "Geister-Viren". Solche Programme sollten nicht verwendet werden, um Fehlalarme zu vermeiden. Eines der Programme aus dem Carmel TNT Turbo AntiVirus-Package einer älteren Version steht z.B. im Verdacht, Scanstrings im Speicher zu hinterlassen. In neueren Versionen ab 8.30 gibt es Fehlalarme in bezug auf TNT nur noch mit VIRX bei geladenem TNT-Schutzmodul. Als letztes wäre es noch möglich, daß durch z.B. ein DIR A: ein Bootsektorvirus in einen DOS-Buffer geladen wurde, dort aber nicht aktiv ist. Ein Scanner findet ihn dort jedoch. Siehe dazu auch Frage 13.
FRAGE 13: | "Kann ein Virus durch DIR A: oder sonstiges Nur-Lesen einer Diskette aktiv werden?" |
Nein. Egal, was jemand anders sagt, es geht nicht. Allerdings könnte man auf den Gedanken kommen, daß es möglich ist :-), und zwar durch folgenden Sachverhalt: Wenn ein Benutzer ein DIR A: auf einer bootsektorinfizierten Diskette macht, wird der Bootsektor in einen DOS-Buffer geladen, um von DOS ausgewertet zu werden. Dadurch wird auch der Virus in den Speicher geladen, sein Code wird aber nie referenziert, d.h., er ist dort inaktiv. Ein Scanner jedoch findet seinen Scanstring im Speicher und schlägt Alarm. Auf der Festplatte findet der Scanner dann natürlich nichts, und nach einem Booten ist der Virus plötzlich nicht mehr da. Es handelt sich bei diesem Problem um einen sogenannten "Geister-Virus". Geisterviren werden auch in Frage 12 besprochen. Durch diesen Vorgang des Bootsektor-Ladens in einen DOS- Buffer wird ein PC also nicht infiziert. Es ist eben nicht möglich, einen PC durch DIR A: zu infizieren, wenn nicht vorher schon ein Virus aktiv war. Nur eine ANSI-Bombe kann durch DIR A: gezündet werden. Siehe dazu auch Frage 1.
FRAGE 14: | "Warum sollen Original-Archive von Antivirusprogrammen, die mit sogenannten Security-Envelopes gepackt wurden, nicht umgepackt werden?" |
Die Security-Envelopes sind eine Einrichtung, die es registrierten Benutzern von Shareware-Packern ermöglichen, ihre Pakete vor Veränderung zu sichern. Wird ein Programm innerhalb eines Pakets mit einem Envelope in irgendeiner Form verändert, so wird der Envelope verletzt, und der Hack kann erkannt werden. Der Sicherheitsmechanismus einiger Packer, z.B. PKZIP und ARJ, sind allerdings geknackt worden. Das bedeutet, daß die Envelopes bekannter Sharewarehersteller von dem, der's kann, nachgemacht werden können. Der Envelope hat dadurch zwar an Bedeutung verloren, meiner Meinung nach ist aber eine geringe Sicherheit immer noch besser als gar keine Sicherheit. Weil es eben etwas Aufwand erfordert, die Envelopes zu knacken, bilden sie immer noch einen geringen Sicherheitsaspekt. Da durch das Umpacken envelopegeschützter Software der Envelope verlorengeht, leidet die Sicherheit eines Pakets unter solch einer Aktion. Abgesehen davon verbieten viele Sharewarehersteller in der Dokumentation ihrer Software das Verteilen eines umgepackten Archivs. Im Endeffekt ist es eine Philosophiefrage, ob man die Envelopes zerstört und umpackt, um Platz zu sparen, oder der Sicherheit den Vorrang gibt und die Archive original läßt. Der Benutzer/Sauger entscheidet, ob er umgepackte Archive downloaded oder nicht.
FRAGE 15: | "Woher bekomme ich die neueste Antivirus-Share- und Freeware?" |
In diesem Bereich ist eine gewisse Fluktuation vorhanden. Neue Mailboxen
machen auf, andere wiederum schließen. Daher ist die Frage auf lange Sicht
nicht zu beantworten. Aus diesem Grunde wird eine Liste erwiesenermaßen
guter Antiviren-Software mit Bezugsquellen unter dem Thema VIRUVERS
regelmäßig in der FIDO-Area VIRUS.GER veröffentlicht. Aktuelle
Antivirensoftware bekommt man auf alle Fälle immer bei Virus Help Munich:
FIDO 2:2480/8849 (Mailbox: 08638/881108).
FRAGE 16: | "Können Bootsektor-Infektoren wie 'Stoned' auch Disketten infizieren, von denen man nicht booten kann?" |
Ja. Jede Diskette besitzt einen DOS-Bootsektor, auch wenn gar kein DOS darauf vorhanden ist! Wird nun von einer verseuchten, nicht bootfähigen Diskette gebootet, so erscheint zwar die Meldung "Non system disk or disk error" bzw. "Kein Betriebssystem auf Diskette" oder Ähnliches auf dem Bildschirm; der Virus ist jedoch bereits aktiv geworden und hat sich vermutlich in den MBR oder einen DOS-Bootsektor der Festplatte kopiert, so daß er beim nächsten Booten resident in den Speicher geladen wird.
FRAGE 17: | "Kann ein Virus Daten-Dateien infizieren?" |
Viele Viren (Frodo, Cinderella) enthalten Bugs, die bewirken, daß der Virus sich auch in nicht ausführbare Dateien hineinkopiert. Damit ein Virus sich jedoch vermehren kann, muß er jedoch ausgeführt werden. Eine nicht ausführbare Datei kann somit nicht als Wirt für einen Virus dienen. Selbst wenn der Virus darin enthalten ist, kann er nicht mehr ausgeführt werden. Der einzige Effekt ist eine korrupte Datei. Man sollte jedoch vorsichtig mit der Aussage sein, eine Datei wäre nicht ausführbar! Dateien, die einem Benutzer als Daten erscheinen, werden von einem anderen per Programm interpretiert und somit ausgeführt. So könnte ein Virus zum Beispiel Sourcecode infizieren, der - später kompiliert - den Virus wieder aktiviert.
FRAGE 18: | "Können Viren von einem Computertyp auf den anderen überspringen, also z.B. vom Amiga auf den PC?" |
Keiner der existierenden Viren ist dazu fähig. Auch wenn die Diskettenformate oder verwendeten Datenpakete zur Kommunikation der beiden Rechnertypen gleich sind, interpretieren verschiedene Prozessoren denselben Code anders. Ein Virus,der nur gemeinsame Konzepte zweier völlig verschiedener Rechnerfamilien ausnutzt, müßte auf einem so hohen Level geschrieben sein, daß er sich vermutlich gar nicht verbreiten könnte. Möglich sind allerdings "Dual-Platform"-Viren. So können MBR-Infektoren z.B. auf allen PCs laufen, egal, was der PC für ein Betriebssystem benutzt. Michelangelo infiziert so z.B. mühelos XENIX, UNIX, WINDOWS NT, OS/2 und DOS-PCs. Folglich besteht die Möglichkeit, das ein OS/2 System nicht mehr bootet, weil der MBR von einem DOS-Virus infiziert wurde. Weiterhin kann z.B. ein PC-UNIX-System beschädigt werden, weil ein DOS Bootsektor-Virus seine Daten in Bereichen des UNIX abgelegt hat.
FRAGE 19: | "Stimmt es, daß man Viren nicht desinfizieren sollte?" |
Desinfektion ist nur dann 100% sicher, wenn das befallene Programmobjekt hinterher denselben Zustand wie vor der Infektion wiedererhält. Dazu ist sehr genaue Kenntnis aller mit dem Wirtsprogramm und dem Virus verbundenen Umstände nötig. Kaum eines der existierenden Desinfektoren kann vollständig garantieren, daß eine desinfizierte Datei hinterher wieder absolut genau so läuft wie vorher. Daher ist es besser, befallene Dateien zu löschen und sie von einem Backup wieder zurückzufahren, als sie zu desinfizieren. Allerdings gibt es ein Programm eines deutschen Herstellers, ANTIVIR von H+BEDV, das speziell für die Desinfektion konzipiert wurde und gerade in diesem Bereich entsprechende Qualitäten aufweist.
FRAGE 20: | "Kann ich Virenbefall dadurch verhindern, daß ich keine Shareware/PD und keine Spiele benutze?" |
Nein. Es sind mehrere Fälle bekannt, wo kopier- und schreibgeschützte Software mit einem Virus "frei Haus" geliefert wurde. Krasseste Fälle sind "Michelangelo" und "FORM" in letzter Zeit gewesen. Man sollte also nicht zögern, auch Software-Originale "aus gutem Hause" mit der neuesten Antivirus-Software zu scannen. Und man soll nicht den Fehler machen und Shareware/PD von Mailboxen verteufeln. Allerdings geht Software aus Mailboxen durch viele Hände und die Infektionsgefahr ist dadurch natürlich ungemein größer. Gute Sysops besitzen jedoch immer die neuesten Antivirusprogramme und benutzen sie auch regelmäßig, was man bei vielen kommerziellen Anbietern leider nicht sagen kann.
FRAGE 21: | "Was ist ein Dropper?" |
Bei einem Dropper handelt es sich um ein Programm, welches Viruscode in sich trägt, der nicht von einer natürlichen Infektion stammt und oft kodiert ist. Meistens handelt es sich um den Code eines Bootsektorvirus'. Wird dieses Programm nun gestartet, so entläßt es den gespeicherten Virus ins System, so daß nach getaner 'Arbeit' das System mit dem Virus auf eine Art und Weise befallen ist, die einer natürlichen Infektion entspricht. Ein Beispiel wäre ein "Stoned"-Dropper namens z.B. LIESMICH.EXE, der - bevor er einen Hilfetext oder ähnliches anzeigt - den MBR der Hard-Disk an eine bestimmte Stelle kopiert und danach den "Stoned"-Virus in den Partition-Table-Sektor hineinschreibt. Dropper sind selbst keine Viren, auch wenn sie welche enthalten. Ein Dropper ist somit eine spezielle Art eines Trojanischen Pferdes.
FRAGE 22: | "Reicht ein Warmstart aus, um einen Virus aus dem Speicher zu verbannen?" |
Nein! Residente Viren können sich mühelos in den Tastatur- oder Reset- Interrupt hängen und einen Warmstart abfangen. Hinterher simulieren sie einen Bootvorgang mittels des Warmstart-Vektors, d.h., es sieht so aus, als ob der Rechner bootet, aber sämtliche TSRs, also auch der Virus, bleiben aktiv. Grundsätzlich sollte zum Entfernen eines TSR-Virus' aus dem Speicher also mindestens eine Sekunde lang der RESET-Knopf am Rechner betätigt werden - oder der Rechner muß kurz abgestellt werden.
FRAGE 23: | "Wie mache ich mir eine Bootdiskette für den Notfall?" |
FRAGE 24: | "Der 'Wunder-Befehl' FDISK /MBR killt einen Virus, den ich im MBR mit einem Scanner gefunden habe, nicht. Wieso?" |
FDISK /MBR schreibt das Masterboot-Programm neu und schaut nach, ob die
Einträge in die Partitionstabelle valide sind. Normalerweise killt das
einen MBR-Infektor, der den Masterboot-Loader verändert, die Partition
Table aber an der ursprünglichen Stelle beläßt, wie z.B. Stoned
oder Michelangelo.
Es gibt aber Viren, die diese Aktion unmöglich
machen. Eine Sorte sind die Viren, die eine neue Partition im hinteren Teil der
Festplatte anlegen und von dort aus weiterbooten lassen, nachdem sie sich
resident gemacht haben. Ein Beispiel dafür wäre der Starship-Virus.
Ein weiteres Beispiel ist Tequila, der nur ein paar Bytes im MBR ändert,
die von FDISK /MBR nicht behandelt werden. Als drittes und wohl gemeinstes
Beispiel wäre der Monkey-Virus zu nennen. Dieser überschreibt komplett
wichtige Werte des MBRs, die er verschlüsselt an anderer Stelle ablegt. So
ist ab dem Zeitpunkt der Infektion die gesamte Partitionstabelle nicht mehr
lesbar, ohne daß der Virus geladen ist - mit dem Erfolg, daß nach
einem Booten von sauberer DOS-Diskette die Festplatte nicht mehr ansprechbar
ist. Ein FDISK /MBR ist nicht möglich, weil die Struktur des MBRs total verändert
wurde und die Partitionstabelle nicht wiederhergestellt werden kann. Dieser
Virus ist etwas komplizierter zu killen; man müßte den MBR im
physikalischen Sektor-Modus zurückschreiben, nachdem man ihn bei aktivem
Virus gesichert hat. Monkey ist außerdem stealth, so daß das System
bei geladenem Virus ganz normal aussieht. Nach dem gleichen Prinzip arbeitet übrigens
auch der Neuroquila-Virus.
FRAGE 25: | "Mein Rechner zeigt bei CHKDSK plötzlich weniger Gesamtspeicher an. Was ist das?" |
Dieses Phänomen kann mehrere Gründe haben. Beispielsweise gibt es einige BIOS-Versionen, bei denen man einstellen kann, ob für die Stack-Area die BIOS-Stack-Area oder ein Teil des DOS-Speichers unterhalb der 640-k- Grenze benutzt werden soll. Ist dieser Parameter auf DOS-Speicher eingestellt, so reduziert sich die Speichermenge, die CHKDSK anzeigt, um 1 Kbyte. Ist jedoch die Menge des verlorenen Speichers größer, also z.B. 2k, 4k oder sogar 8k, oder liegt der obengenannte Grund nicht vor, so ist vermutlich ein MBR- oder Bootsektor-Infektor am Werk, der sich resident gemacht hat und den TOM-Return des Interrupts 12h so verändert hat, daß der Rechner glaubt, er habe weniger Speicher zur Verfügung. Dies macht solch ein Virus, um zu verhindern, daß er von Programmen im Speicher überschrieben wird. Es ist in diesem Fall also höchste Zeit, von sauberer DOS-Diskette zu booten und mal nach dem Rechten zu sehen.
FRAGE 26: | "Welches ist die neueste Version von McAfee's SCAN?" |
McAfee hat in letzter Zeit seine Kunden ein wenig durcheinandergebracht,
indem in kurzen Abständen viele Versionen von SCAN, darunter viele
Bugfixes, in Umlauf gebracht wurden. Zusätzlich erschienen noch Betas auf
dem Verteilungsmarkt, die eigentlich nicht verbreitet werden dürfen. Zur Lösung
dieses Problems gibt es die wöchentlich ins Fido-Echo VIRUS.GER gestellte
VIRUVERS-Liste, in denen die wichtigsten Shareware-Antivirus-Utilities kurz
beschrieben sind und in denen die jeweils neuesten Versionen zusammen mit einer
Kontroll-Checksumme für die Echtheit genannt werden.
Zur Beseitigung
von Unklarheiten aber nochmal die Namenskonventionen von McAfee:
SCN=Scan (DOS) | A = alpha test | 200=2.0.0 | E=Electronic distribution | |
WSC=Scan (Win) | B = beta test | 201=2.0.1 | I=Installable version | |
OSC=Scan (OS/2) | G = gamma test | 210=2.1.0 | R=Retail | |
NSH=NETShield | R = release candidate | and so forth | and so forth |
Alle Archive von McAfee, die nicht auf ZIP enden, sind keine Originale und sollten nicht gesaugt werden - es sei denn, sie enthalten das Original-ZIP und bilden gewissermaßen eine 'Umverpackung'.
FRAGE 27: | "Ich habe einen vermutlich neuen Virus entdeckt. Wohin schicke ich eine befallene Datei zur Untersuchung?" |
Eine gute Idee ist es, einen neuen Virus oder eine neue Variante nicht
gleich komplett zu killen, sondern ein befallenes Programmobjekt an einen
bekannten Virenforscher zu verschicken. So hilft man aktiv in der Virenforschung
mit. Tja, aber an wen soll man das Ding nun schicken? Grundsätzlich nicht
an jeden, der darum bittet! Ein Virus kann leicht als eine Art Waffe eingesetzt
werden, daher muß man sich genauestens überlegen, an wen man ihn
weitergibt. Unbedingt muß eine Person, der man Viren schickt, folgende
Eigenschaften haben: - Er muß etwas von ihrer Funktion verstehen (also
z.B. von dem, was hier so in der FAQ steht) und darf auf keinen Fall einfach
nur ein Sammler sein. - Er sollte als Virenforscher allgemein bekannt sein;
d.h., man sollte einige Leute auch von außerhalb kennen, die ihm
vertrauen würden. - Gut ist es, wenn er über Assemblerkenntnisse verfügt
und z.B. selber eine brauchbare Antivirus-Software programmiert hat.
Als
Beispiel sollen hier drei Ansprechpartner genannt werden:
Grundsätzlich darf Viruscode an die obigen FIDO-Systeme nur per Crashmail verschickt werden, und am besten in verschlüsselt gepackter Form, nachdem man mit dem dortigen Sysop ebenfalls per Crashmail ein Paßwort abgemacht hat. Die Gefahr eines Mißbrauchs ist sonst zu groß! Weitere Adressen international anerkannter Virenforschen sind unter dem Punkt Adressen zu finden.
FRAGE 28: | "Was ist 'MtE'? Was ist der 'DAME-Virus'? Was ist 'Mut'?" |
Alle drei Terme sind Bezeichnungen für die "Mutation Engine" - ein Programm, was, wenn man es in herkömmliche Viren einbaut, diese polymorph macht. Näheres über diese von "Dark Avenger" programmierte Engine steht oben unter dem Punkt 3.3.2., "Selbstverschlüsselnde und polymorphe Viren".
FRAGE 29: | "Mein System konnte plötzlich nicht mehr von Festplatte booten. Ein Scannen ergab, daß ich auf meinem System einen MBR-Virus hatte. Als ich diesen entfernen wollte, war plötzlich ein anderer da (!), und nachdem ich diesen seinerseits entfernen wollte, war es wieder der erste.Wieso bekomme ich die beiden Viren nicht weg?" |
Das System ist tatsächlich von beiden Viren infiziert, aber auf eine Art und Weise, die ein Killen stark erschwert. Als Beispiel bringe ich hier eine Doppelinfektion mit "Stoned" und "Bloody!": Bloody! verschiebt Track 0 Side 0 Sector 1, wo normalerweise der MBR steht, nach 0,0,6 ; Stoned verschiebt den Original-MBR dagegen nach 0,0,7. Dieser Umstand ergibt dann einen sehr ungünstigen Verlauf der Dinge. Das Ganze sei hier an einer kleinen Tabelle erklärt:
Sektor | 0-0-1 | 0-0-6 | 0-0-7 | ||
MBR | ----- | ----- | Vor der Infektion | ||
Stoned | ----- | MBR | Nach einer Stoned-Infektion | ||
Bloody! | Stoned | MBR | Nach einer zusätzlichen Bloody!-Infektion |
Stoned, der ja beim Booten auch resident geht, glaubt nun, daß der MBR
nicht mehr infiziert ist, weil er seine Kennung da nicht mehr findet (Bloody!
hat inzwischen zugeschlagen). Also infiziert Stoned den Sektor 0,0,0 neu auf die
bekannte Weise und merkt gar nicht, was er damit anrichtet:
Stoned | Stoned | Bloody! |
In diesem Augenblick ist das System nicht mehr bootfähig, weil der
Original- MBR weg ist! Ein Scanner findet nun Stoned. Wenn nun ein Killer auf
Stoned angesetzt wird, der ja weiß, daß Stoned den MBR nach 0,0,7
verschiebt, kopiert er diesen Sektor zurück nach 0,0,1. Dummerweise saß
dort nicht der echte MBR, sondern Bloody!. Der Killer überschreibt also
Sektor 0,0,1 erneut mit Bloody!:
Bloody! | Stoned | Bloody! |
Ein erneutes Scannen findet jetzt Bloody!. Der Killer weiß nun, daß Bloody! normalerweise den MBR nach 0,0,6 packt, und restauriert diesen Sektor, an dem sich jedoch lediglich Stoned befindet! Schon sieht es wieder so aus:
Stoned | Stoned | Bloody! |
Und das Spiel läßt sich leider beliebig oft wiederholen. Man lasse also in solch einem Fall die Finger von einem Killer, boote von sauberer DOS-5-Disk (egal welches System man hat), führe FDISK /MBR aus und nulle danach mit einem Sektor-Editor die Sektoren 0,0,6 und 0,0,7 aus. Aber - das klappt nicht nur mit Stoned und Bloody!. Ebenso 'effizient' funktioniert das Ganze mit Stoned und Michelangelo. Diese beiden Viren verschieben beide den Original-MBR nach 0,0,7 - so daß das System nach einer Doppelinfektion so aussieht:
0-0-1 | 0-0-7 | ||
MBR | --- | Vorher | |
Michael | MBR | Michelangelo infiziert | |
Stoned | Michael | Stoned infiziert danach - System nicht bootfähig |
Jetzt kommt ein Killer, der Stoned findet - und zu killen versucht: Michel <-- Michel und - wie sich der Killer auch dreht und wendet - der Michelangelo ist nicht mehr wegzubekommen! Wenn erst Stoned und danach Michelangelo kommt, bleibt nach der gleichen Prozedur Stoned übrig und ist ebensowenig zu entfernen. Auch hier ist wieder FDISK /MBR nach dem Booten von DOS-5-Disk angesagt, und danach sollte schleunigst Sektor 0,0,7 ausgenullt werden. Leider gibt es noch viele andere mögliche MBR-Virus-Doppelinfektionen, die einen ähnlichen Effekt haben. Auch bei DOS-Bootsektorviren wäre so etwas denkbar. Wenn das Programm F-PROT auf eine solche Mehrfachinfektion stößt, bricht es beim Cleanen ab und meldet "Circular Infection". Die meint, "wenn ich jetzt den originalen (vorher schon infizierten) MBR zurückspeichere, habe ich wieder eine Infektion ", da Programm würde sich also im Kreis bewegen. In solchen Fällen ist der Einsatz der Cleaner der VHM zu empfehlen (z.B. PBB-KILL von Stefan Kurtzhals, das diese den ersten Virus sauber entfernen. Im Anschluss kann dann mit F-PROT der zweite Virus entfernt werden.
FRAGE 30: | "Kann mein Rechner infiziert werden, obwohl ich keine fremden Programme installiere ?" |
Hier gibt es mehrere Antwortvarianten, aber generell kann man das so formulieren: Sobald irgend jemand oder irgend etwas Zugriff auf deinen Rechner hat, kann dein Rechner infiziert werden. Viren können dir via Modem geschickt werden, auf einer gekauften Originaldiskette sein oder über das Keyboard und einem Debugger direkt einprogrammiert werden. Dein Rechner ist nur dann vor Viren sicher, wenn niemand an ihn ran kann. Da das aber nicht Sinn deiner Anschaffung (Computerkauf) war, ist dein Rechner immer gefährdet. Um jetzt auf die Frage direkt einzugehen: 95% aller Infektionen erfolgen durch Bootsektorviren, also durch das meist versehentliche oder seltener absichtliche Booten von infizierten Disketten. Auf diesen Disketten müßen keine neuen Programme sein, es können sogar "leere", vorformatierte Disketten sein oder Disketten, mit Textdateien oder Dateien für eine Tabellenkalkulation. Einzig und allein maßgebend in diesen Fällen ist das Booten von einem infizierten Bootsektor, der Disketteninhalt ist unerheblich.
FRAGE 31: | "Kann man mit den heutigen AV-Programmen einen 100%igen Schutzschild aufbauen ?" |
Siehe hierzu auch Frage 11. Jedes Programm und auch
jede Hardwarelösung hat Schwachstellen, die von Viren ausgenutzt werden können
und auch ausgenützt werden. Deshalb empfehlen AV-Spezialisten auch immer
den Einsatz mehrerer verschiedener AV-Produkte. Bietet jedes AV-Produkt 95%
Sicherheit, so hat man beim Einsatz von 2 Produkten schon einen Wert nahe 100%
erreicht, nur leider wird der Wert 100% auch beim Einsatz von 100 AV Programmen
nicht erreicht (mathematisch ist 100% ein Grenzwert gegen Unendlich, der nicht
erreicht werden kann).
Ich persoenlich arbeite immer mit 3 verschiedenen
AV-Programmen, da dies in meinen Augen einen guten Kompromiss zwischen Aufwand
(=Kosten) und Sicherheitsbedürfnis (=Nutzen) darstellt.
FRAGE 32 | " Kann man sich durch Computer-Faxe einen Virus einhandeln?" |
Bei Computerverschickten Faxen handelt es sich, genauso wie beim normalen Faxen, um das verschicken von Texten oder Grafiken, nicht um das verschicken von binärem Code (=Programmen). Da Viren aber als ausführbare Programme vorliegen müßen um aktiviert werden zu können, kann man durch eingehende Faxe, die vom Computer angenommen werden, nicht infiziert werden. Enthält allerdings eine Fax den Sourcecode eines Virus und wird dieser Text entsprechend in Binärcode umgewandelt (z.B. durch einen Assembler), so kann dadurch ein scharfer, also ausführbarer Virus generiert werden. Dies erfordert aber manuelle Arbeit, kann also nicht ausversehen oder gar von alleine passieren.
FRAGE 33 | " Ist es ratsam einen Virus mit einem Killer zu entfernen, der soll man lieber die Festplatte neu formatieren und alle Programme neu installieren ?" |
Nun, das mit dem Festplatte neuformatieren ist die Holzhammermethode. Klar, einen Virus bekommt man damit weg, aber leider auch alle anderen Dateien, z.B. die Adressdateien usw, und die sind in der Regel nicht so leicht zu restaurieren, wenn man nicht einen aktuellen Backup hat. Idealerweise löscht man die infizierten Programme und ersetzt sie anschliessend durch saubere Originalprogramme. Nur wenn man die Originalprogramme nicht mehr hat, sollte man Viruscleaner einsetzen. Aber auch dann sollte man erst einen Backup machen, denn eventuell wird der Virus fehlerhaft gecleant, was dann zur Folge haben kann, das das "gereinigte" Programm gar nicht mehr läuft. Besonders das Programm CLEAN von McAfee sollte man mit Vorsicht genießen, den sehr häufig löscht dieses Programm einfach die infizierte Datei. Auf alle Fälle empfehle ich bei der Virenbekämpfung immer, zu allererst sollte ein kompletter Backup angelegt werden ! Sollte irgendwas schief gehen, kann man damit wenigstens den Zustand herstellen, bei dem man angefangen hat, den Virus zu jagen.
FRAGE 34 | " Welcher Virenkiller rettet möglichst viele Programme und ist zu empfehlen ?" |
Siehe hierzu auch Frage 11. Die Frage nach dem besten Virenkiller ist identisch mit der Frage nach dem besten Virenscanner. Das beste Programm im AV Bereich ist und bleibt dein Backup-Programm. Aber wenn schon nach guten Viruskillern gefragt wird, dann empfehle ich F-PROT. Hat man TBAV komplett installiert, so ist auch der generische Virenkiller dieses Pakets sehr effektiv. Im kommerziellen Bereich empfehle ich immer ANTIVIR. Im Sharewarebereich gibt es von der VHM die Sammlung ITW*.ZIP, die gute Cleaner für die gängigsten Viren enthält. Ebenfalls ein sehr gutes Sharewareprogramm zur Virenbeseitigung ist AVP.
FRAGE 35 | "Gibt es schon Viren, die unter OS/2 laufen ?" |
Ja, es gibt bereits Viren für OS/2, genauso wie es Viren für UNIX, Windows, Amiga usw. gibt. Allerdings sind bei all diesen Systemen verhältnismäßig wenig Viren bekannt, das Gros liegt eindeutig bei MS-DOS. Das liegt zum einen daran, daß DOS das verbreitetste Betriebssystem ist und zum anderen daran, das DOS das unsicherste, also am wenigsten geschütze Betriebssystem der Welt ist. Weiterhin funktionieren fast alle DOS-Dateiviren auch in der DOS-Box von OS/2, da allerdings nur abgeschirmt in dieser Box.
FRAGE 36 | "Bei AV Programmen wird zwischen privater und kommerzieller Nutzung unterschieden. Wie sieht das bei teilweise geschäftlich genutzten Rechnern aus ?" |
Diese Frage muß mit dem Hersteller des jeweiligen AV-Programms abgeklärt werden, prinzipiell würde ich aber einmal davon ausgehen, das das AV Programm ja nicht nur die privaten, sondern auch die geschäftlichen Daten schützt, ergo das AV Programm kommerziellen Zwecken dient.
FRAGE 37 | "Ist bekannt, ob es Viren gibt, die den BIOS Virenschutz umgehen können ?" |
Mir ist kein Virus bekannt, der gezielt den BIOS Virenschutz umgeht, doch es gibt Viren, die ganz generell Werte im BIOS verändern. Damit ist es auch ohne weiteres möglich, den BIOS Virenschutz auszuschalten und damit für eine Infektion zu umgehen.
FRAGE 38 | "Was muß man beachten, wenn man Programme kauft, Daten austauscht ?" |
Ganz allgemein gilt bei jeder neuen Software und bei jedem neuen Datenträger: Vor dem ersten Einsatz mit aktuellen AV-Programmen auf Viren überprüfen und eine Sicherungskopie anfertigen. Siehe hierzu auch Frage 20.
FRAGE 39 | "Kann es passieren, das Viren auf CD-ROMs sind ?" |
Ja, inzwischen sind eine ganze Reihe von CDs bekannt geworden, auch denen Viren gefunden wurden. Da CDs ein Read-Only Medium sind, müßen die Viren bereits bei der Herstellung der CD vorhanden gewesen sein. Eine nachträgliche Infektion einer CD ist unmöglich. In der FIDO-Area VIRUS.GER wird regelmäßig eine Liste der bekannt gewordenen Viren auf CD veröffentlicht.
FRAGE 40 | " Gibt es Möglichkeiten, das Beschreiben seiner Festplatte unmöglich zu machen, wenn man es nicht will ? So in etwa wie bei Disketten, wenn man den Schreibschutz aktiviert." |
Nun, prinzipiell gibt es schon die Möglichkeit, physikalisch das Schreiben auf einer Festplatte zu verhindern. Man muß eine entsprechende Schaltung einbauen die das Schreiben verhindert, aber dann kann man halt gar nicht mehr auf die Festplatte schreiben und das wird wohl nicht unbedingt das, sein, was du möchtest. Ich gehe eher mal davon aus, du meinst ein Programm, das Schreibzugriffe unterbindet. Da gibt es zwar das eine oder andere residente Tool, aber da es ein Stück Software ist, kann es von Viren unterlaufen werden, sprich es ist nicht sicher. Von solchen Lösungen würde ich persönlich die Finger lassen.
FRAGE 41 | "Weshalb programmiert jemand Viren, was hat er davon ?" |
Diese Frage hat sich wohl schon jeder gestellt, der irgendwann einmal mit Viren konfrontiert war. Da es inzwischen auch bereits mehrere Fälle gibt, bei denen Viren-Programmierer bekannt bzw. sogar verhaftet wurden, gibt es auch einige Antworten zu dieser Frage. Im Grunde kann man zwei verschiedene Antworten geben, erstens aus Unzufriedenheit und zweitens aus Neugier. Zum Punkt Unzufriedenheit sind die Fälle zu zählen, bei denen jemand aus Frust (gegen Arbeitgeber, über ein politisches System usw.) mit böser Absicht einen Virus geschrieben hat, doch ist dies nur bei ca. 5% der Viren der Fall. 95% Prozent der Viren werden aus Neugier, Spieltrieb und vorpubertärer Geltungssucht geschrieben. Man kann immer wieder in den Echos lesen, wie manche Kids von Viren "fasziniert" sind und es "toll" finden, wie "trickreich" und "innovativ" diese Programme sind.
FRAGE 42 | "Gibt es Programme, die auch Archive (ARJ, ZIP, ZOO usw.) und die darin enthaltenen Programme untersuchen und ggf. Viren aus diesen Archiven entfernen ?" |
Es gibt Antivirenpakete, die behaupten, selbiges zu können. In der Praxis stellt sich aber immer heraus, daß nicht alle verschiedenen Packer aufgelöst werden können oder rekursiv gepackte Archive nicht vollständig untersucht werden. Es ist daher immer angebracht, Archive zu entpacken und dann erst mit den AV-Programmen zu arbeiten. Da dies aber bei Sysops von Mailboxen sehr oft gemacht werden müßte, wurden hierfür bereits entsprechende Tools geschrieben (z.B. MTA= Make Them Anything), die so konfiguriert werden können, das Archive komplett entpackt und anschließend untersucht werden. Im Sharewarebereich gibt es mit AVP auch ein Antivirenprogramm, das in den gängigsten Archiven suchen kann, aber eben leider auch nicht in allen.
FRAGE 43 | "Was taugen Shareware AV-Programme ?" |
Diese Frage ist falsch formuliert. Shareware ist kein Qualitästmerkmal eines Programms sondern ein Vertriebskonzept. Gerade für Privatpersonen rentiert es sich nicht, ein Programm zu vermarkten, also Werbung zu machen, es in Geschäften anzubieten usw. Statt dessen stellen sie die Software zu Verfügung und du kannst sie ausprobieren. Findest du das Programm gut, zahlst du dem Programmierer den Kaufpreis und verwendest das Programm weiter. Findest du es schlecht, löscht du das Programm einfach wieder. Der Author spart sich damit viel kaufmännische Arbeit, kann sich auf das wesentliche konzentrieren und du kannst das Programm in Ruhe ausprobieren und mußt nicht den Versprechungen eines eventuell inkompetenten Verkäufers vertrauen. In vielen Bereichen sind diese Shareware-Programme sogar deutlich besser als kommerzielle Produkte, z.B. bei Programmen aus dem DFÜ Bereich oder bei Antivirenprogrammen. Das liegt oft daran, das diese Programme viel häufiger eingesetzt werden als kommerzielle Produkte und daher Fehler schneller gefunden/ausgebaut werden und auch die Wünsche der Anwender besser berücksicht werden. Allerdings gibt es bei Shareware genauso Geschäftemacher, wie es sie bei kommerziellen Anbietern gibt.
FRAGE 44 | "Wen kann man für Virenschäden haftbar machen ?" |
Nun, das ist zuerst einmal abhängig von der jeweiligen Rechtsprechung. In einigen Ländern gibt es bereits Gesetze, die das Programmieren von Computerviren bzw. ihre bewußte Weitergabe verbieten (z.B. Italien oder England). In Deutschland ist es hier deutlich schwieriger, daß Computerviren vom Gesetz völlig ignoriert werden. Allerdings gibt es bei uns mit dem "2. Gesetz zur Bekämpfung der Wirtschaftskriminalität" ein Regelwerk, das für Computerviren Anwendung finden kann. Da heißt es sinngemäß, das Ausspähen oder Verändern von Daten sowie die Beeinflußung von Rechnersystemen ist verboten. Wenn also jemandem nachgewiesen (und das ist wohl das Problem) werden kann, das er mit Absicht einen Virus in ein System eingeschleust hat, so kann er entsprechend bestraft werden (sogar mit Freiheitsentzug). Laut Gravenreuth kann auch ein Kaufvertrag angefochten werden, z.B. wenn man einen Computer kauft, der bereits einen Virus preinstalled hat, da es sich einerseits um einen verdeckten Mangel handelt und andererseits das System nicht das tut, was es soll (einwandfrei arbeiten), und laut BGB hat man entsprechend auch die Rechte auf Wandelung, Minderung, Rücktritt und Schadensersatz, aber auch hier liegt das Problem wohl in der Beweislast. Siehe hierzu auch das Kapitel mit den Rechtsfragen.
FRAGE 45 | "Ich habe ständig wieder den Michelangelo auf
der Festplatte, obwohl ich ihn schon 100 mal gefunden und entfernt habe. Ist
mein AV-Programm eventuell nicht so gut? P.S.: Habe auch alle Disketten gereinigt !" |
Der Michelangelo gehört zu den Partitiontable-Viren, d.h. er infiziert eigentlich nur den von Bootsektor Disketten bzw. den MBR von Festplatten. Allerdings gibt es sogenannte Dropper, also Programme, die den eigentlichen Virus erst absetzen, ohne selbst infiziert zu sein. Eventuell findet Ihr Antivirenprogramm den Dropper nicht. Hier würde ich dann den Einsatz von NEMESIS empfehlen, denn da würde man soetwas sofort erkennen. Weiterhin ist es möglich, daß Sie den Virusdropper in einem Archiv haben und der Virus darin nicht entdeckt wird. Entpacken Sie aber das Archiv und starten den Dropper, ist der Virus logischerweise wieder da. Und schließlich gibt es noch die Möglichkeit des residenten Virus, d.h. Sie haben vor dem Cleanen mit dem AV Programm nicht von einer sauberen Diskette gebootet. Dann steht der Virus im Speicher und infiziert, wärend eifrig gecleant wird, gleich alle Datenträger wieder mit.
FRAGE 46 | "Können Computerabstürze dazu führen, daß Viren entstehen?" |
Nun, im Prinzip wäre soetwas eventuell denkbar, aber die Chancen sind genauso groß wie die Chance, das bei einem Computerabsturz eine Textverarbeitung entsteht. Anders ausgedrückt, deine Frage ist rein philosophischer Natur, de facto ist soetwas unmöglich.
FRAGE 47 | "Wie sicher ist die regelmäßige Überprüfung der Programmgröße als Virencheckmethode ?" |
Absolut unsicher. Siehe hierzu auch Kapitel 3.3. Aktiv im Speicher sitzende Stealth Viren haben die totale Kontrolle über einen Rechner und zeigen dem Anwender bzw. anderen Programmen nur die Dinge, die gesehen werden sollen. Das vortäuschen einer falschen Programmgröße gehört dabei zu den leichtesten Übungen.
FRAGE 48 | "Kann man infizierte Disketten mit dem normalen DOS-Format Befehl wieder clean bekommen ?" |
Bei Disketten bewirkt der FORMAT Befehl ein physikalisches Löschen, d.h. infizierte Disketten, die mit dem Befehl FORMAT /U behandelt wurden, sind anschließend wieder clean (vorausgesetzt im Speicher des Computers sitzt kein Virus).
FRAGE 49 | " In letzter Zeit hört man nicht mehr viel von neuen Viren, ist die Gefahr nun geringer geworden ?" |
Die Zahl der neuen Viren nimmt exponentiell zu. Nur mal zur Verdeutlichung:
Jahr | bekannte Viren | |
1989 | ca 15 | |
1990 | ca. 100 | |
1991 | ca 250 | |
1992 | ca 1000 | |
1993 | ca 1500 | |
1994 | ca 2500 |
Vergleicht man nun die Mitteilungen der Medien, so kann man erkennen, das die Medien nicht auf die Anzahl der Viren reagieren, sondern nur auf Sensationsmeldungen. Bespiel hierfür ist Michelangelo oder die weltweite Junkie Hysterie, die genau im sogenannten Sommerloch auftrat. Ein Rückschluß aus dem Verhalten der Medien auf die Gefahr von Computerviren ist daher nicht sinnvoll.
FRAGE 50 | "Ab wann sollte man AV-Programme erneuern (Update) ?" |
Da AV-Programme durch die ständig zunehmende Zahl von Computerviren sehr schnell veralten, bietet nur ein einigermaßen aktuelles Antivirenprogramm Schutz. Die meisten Hersteller bieten Updates in einem Zeitraum von 4-8 Wochen an. Dies stellt meiner Meinung nach auch einen sinnvollen Kompromis zwischen Aufwand und Nutzen dar. Programme die älter als ein halbes Jahr sind, bieten kaum Schutz, noch ältere Programme gar keinen Schutz mehr.
FRAGE 51 | "Gibt es schon Virenprüfprogramme für UNIX ?" |
Ja. Die ersten Viren wurden unter UNIX entwickelt, daher gibt es auch hier natürlich entsprechende Schutzmechanismen. Weil aber ein Virus von einem IBM UNIX (AIX) anders aussehen muß als ein Virus auf einem HP UNIX (HPUX), gibt es unter UNIX keine Scanner, wie wir sie von DOS Kennen, sondern nur Prüfsummenprogramme bzw. Integrity-Checker. Ein sehr gutes Programm aus diesem Bereich ist TRIPWIRE, ein Sharewareprogramm, das auf vielen FTP-Servern des Inteternets zu finden ist.
FRAGE 52 | "Gibt es AV-Programme, die Tapes lesen können ?" |
Mir ist keins bekannt.
FRAGE 53 | "Könnte man wenigstens theoretisch ein Programm so programmieren, daß es sich selbst schützt oder von Computerviren gar nicht befallen werden kann ?" |
Nein, siehe hierzu Frage 47 und Kapitel 3.3. Programme können erst dann sicher geschieben werden, wenn das zugehörige Betriebssystem ebenfalls virensicher ist, da Anwendungsprogramme ja immer auf das Betriebssystem aufsetzen. Solange aber ein Betriebssystem wie DOS im Einsatz ist, solange kann man keine virussicheren Programm erstellen.
FRAGE 54 | "Gibt es Scanner die Viren erkennen können, die mit der Mutation Engine geschrieben wurden ?" |
Da die Mutation Engine (MTE) schon relativ alt ist, werden Viren, die mittels der MTE verschlüsselt sind, von jedem guten AV-Programm erkannt. Allerdings war die MTE Vorläufer einer ganzen Reihe von anderen Verschlüsselungsroutinen, z.B. der TPE, der DAME oder der DSME, und bei diesen schaut die Sache anders aus. Solcher Verschlüsselungs-Engines sind relativ komplexe Routinen, bei denen es nicht mehr ausreicht, eine konstante Virussignatur zu ermitteln, sondern die recht aufwendige Suchverfahren erfordern. Das Entwickeln solcher Suchverfahren dauert natürlich Zeit und benötigt weiterhin ein gewisses Maß an Erfahrung, weshalb auch nicht jeder x-beliebige Programmierer dafür eingesetzt werden kann. Aus all diesen Gründen wird klar, das nur ganz wenige AV-Programme wirklich effektiv gegen alle diese Verschlüsselungs-Engines gewappnet sind.
FRAGE 55 | "Gibt es für OS/2 ein Antivirenprogramm ?" |
Ja, für OS/2 gibt es Antivirenprogramme, z.B. von McAfee. Allerdings suchen diese Programme auch wieder nach DOS-Viren, nur das diese Programmem unter OS/2 läuft. Das zur Zeit wohl beste AV-Programm unter OS/2 dürfte neben IBM-AV das Antivirentoolkit von Dr. Solomon sein.
FRAGE 56 | "Findet man Viren auch in gepackten Dateien ?" |
Sollten mit gepackten Dateien Archive gemeint sein, sei auf die Frage 42 verwiesen. Bei EXE-gepackten Programmen, also komprimierten Programmen, die trotz der Komprimierung noch lauffähig sind, muß man verschiedene Dinge berücksichtigen. Es gibt zwar AV-Programme, die manche Kompressionsverfahren öffnen können und dann in der unkomprimierten Datei nach einem Virus suchen, aber es gibt die verschiedensten Komprimierungsverfahren und kein Programm kann alle diese Verfahren handhaben. Weiterhin gibt es Fälle, bei denen Virenprogrammierer ihre Viren mehrfach komprimiert haben und spätestens bei diesen Fällen versagt jedes AV-Programm. Um einem solchen Virus auf die Spur zu kommen, hat man nur 2 Möglichkeiten. Erstens durch Einsatzes eines residenten Wächters, z.B. NEMESIS, und zweitens in dem man solche komprimierten Programme selbst entpackt, z.B. mittels UNP, und die dekomprimierte Datei dann mit einem AV-Programm untersucht.
FRAGE 57 | "Wie bekommt man Norton Antivirus auf den neuesten Stand, oder wo bekommt man Updates für Antivirenprogramme ?" |
Hier muß man zuerst einmal Unterscheiden, um welche Art von Programm
es sich handelt.
Sharewareprogramme wie F-PROT werden meist über die
weltweiten Computernetzwerke verschickt. In diesen gibt es dann auch immer die
neuesten Updates. Kommerzielle Programme dagegen bieten i.d.R. einen
Updateservice, der entweder via Disketten oder spezielle Support- und
Hotlinemailboxen abgewickelt wird. Genaueres hierzu kannst du entweder in der
Dokumentation deines Programms nachlesen oder bei deinem Händler erfragen.
FRAGE 58 | "Wie sicher ist der Virussafe von PC Tools 8.0 ?" |
Jedes Programm hat Sicherheitslücken, das eine mehr, das andere weniger, und je älter ein Programm ist, desto unsicherer wird es natürlich, aber jedes einigermassen aktuelle AV Programm bietet in Verbindung mit regelmäßigen Backups einem Anwender guten Schutz. Hier soll keine Wertung vorgenommen werden, welches Programm gut und welches schlecht ist, dazu ist im Bereich des Softwaremarktes auch einfach zu viel Bewegung, sondern Sie als Anwender sollen in die Lage versetzt werden, sich ein für sich und ihre Bedürfnisse passendes Schutzkonzept zusammen zustellen. Um aber bei Virussafe zu bleiben: es gilt zumindest nach dem Stand 10/94 als nicht empfehlenswert, da es einige massive Sicherheitslücken enthält, die den Herstellern bereits seit längerem bekannt sind, allerdings immer noch nicht behoben wurden.
FRAGE 59 | "Ein Virus hat eine Datei zerstört, kann ein Antivirenprogramm den Virus entfernen und dabei die Datei reparieren ?" |
Wenn eine Datei erst einmal zerstört ist, kann sie nicht mehr repariert werden, denn kein AV Programm kann wissen, was vor der Zerstörung in der Datei gespeichert war. Anders ist es bei Dateien, an die sich Viren angehängt haben. Hier ist es sehr wohl möglich, den Originalzustand der Datei wieder herzustellen, sprich die Datei zu reparieren.
FRAGE 60 | "Gibt es wirkungsvolle Maßnahmen, um den Bootsektor zu schützen ?" |
Es gibt Tools, mit denen der MBR und der BS einer Festplatte auf Diskette gesichert werden koennen (z.B. in TBAV oder auch in F-PROT Professional). Im Falle einers Infektion kann man dann bei Bedarf diese Sicherungen wieder einspielen. Ein echter Schutz, also in der Form, daß eine Infektion 100 prozentig verhindert wird, ist mir nicht bekannt. So lassen sich z.B. auch die in manchen BIOS implementierten Bootsektor-Schutzfunktionen deaktivieren, sprich auch dies läßt sich umgehen. Einen optimalen Schutz von MBR und BS erhält man aber z.B. durch den Einsatz von Hardware-Virenschutz (z.B. Thunderbyte-Karte), also Steckkarten, die den Zugriff auf die Festplatten kontrollieren, allerdings haben solche Lösungen wieder andere Nachteile.
FRAGE 61 | "Worauf muß man bei Antivirenprogrammen in Verbindung mit Netzwerken achten ?" |
Bei Netzwerken ist es in der Regel so, daß Netzwerkzugriff erst nach dem Booten des Betriebssystems und dem Laden der Netzwerktreiber möglich wird. Will man ein Netzwerk auf Viren untersuchen, muß man sich immer vor Augen halten, das man auf keinen Fall ein infiziertes Programm starten darf. Das bedeutet, alle für die Login-Prozedur nötigen Programme und Treiber müssen genauso auf der virenfreien Bootdiskette sein, wie das Betriebssystem der Workstation. Man bootet also eine Workstation von einer virenfreien Diskette und untersucht als allererstes mal die Workstation, auf der man arbeitet. Als nächstes lädt man die Netzwerktreiber von der virenfreien Diskette und startet das Login-Programm, ebenfalls von dieser Diskette (das Login-Programm auf dem Server ist das am häufigsten infizierte Programm eines Netzwerks). Dann kann man damit beginnen, den Server auf Viren zu untersuchen.
FRAGE 62 | "Nach der Installation meines Antivirenprogramms laufen andere Anwendungen nicht mehr. Was soll ich tun ?" |
Es gibt mehrere Möglichkeiten: Hat die Installation etwas an CONFIG.SYS oder AUTOEXEC.BAT geändert ? Falls ja, überprüfen Sie, ob diese Änderungen der Grund für den Fehler sind. Eventuell sind diese Änderungen ja gar nicht nötig gewesen (näheres entnehmen Sie der Dokumentation Ihres Antivirenprogramms). Haben Sie bei der Installation irgendwelche Dateien immunisiert ? Beim Immunisieren werden Dateien modifiziert und diese Modifikationen können ebenfalls der Grund für den Fehler sein. In allen Fällen sollten Sie sich aber an der Hersteller Ihres Antivirenprogrammes wenden, denn keiner weiß besser, was wärend der Installation passiert, als der Hersteller.
FRAGE 63 | "Wie erklärt es sich, daß AV-Programme
unterschiedlich reagieren ? Mit älterer McAfee-Version habe ich einen Virus gefunden, mit einer neueren nicht mehr." |
Zwei Möglichkeiten: Erstens besteht die Möglichkeit, daß der Virenfund ein False Positiv, also ein Fehlalarm war, der in der neuen Version behoben wurde und zweitens kann es daran liegen, daß McAfee Ass. gerade sein Programm überarbeitet und die neue Version 2.x noch sehr fehlerhaft ist und deutlich weniger Viren erkennt, als z.B. die Version 117.
FRAGE 64 | "Reichen die AV-Programme, die im Betriebssystem vorhanden sind, oder braucht man noch andere ?" |
Die im Umfang des Betriebssystems mitgelieferten Programme reichen überhaupt nicht aus. In der Regel sind sie qualitativ minderwertig und nochdazu meist veraltet. Sie sind für Schutzzwecke genauso gut geeignet, wie EDLIN als Textverarbeitung.
FRAGE 65 | "Worauf muß man beim Kauf von AV-Programmen achten ?" |
Die für kommerzielle Angebote wichtigsten Kriterien sind die Qualität des Programms, also wieviele der "in the wild" vorkommenden Viren werden erkannt (nicht zu verwechseln mit der Werbeaussage: Wir erkennen über XXXX Viren, denn was nutzt ein Antivirenprogramm, das alle in Japan vorkommenden Viren findet, die in Europa verbreiteten Viren aber verpasst ?), die Verfügbarkeit von regelmäßigen Updates (gut sind Updates in Abständen von ca. 6-8 Wochen) sowie eine guter Support bzw. Anwenderhotline. Spätestens beim letzten Punkt trennt sich dann auch die Spreu vom Weizen und Sie werden erkennen, ob das Produkt, für das Sie sich interessieren, überhaupt zur Diskussion steht oder nicht.
FRAGE 66 | "Lohnen sich überhaupt Antivirenprogramme ? Es kommen doch ständig neue Viren auf den Markt." |
Mal eine Gegenfrage: Lohnt sich denn ein Sicherheitsgurt? Ihr Auto könnte doch von einem Zug erfasst werden. Nun aber ganz ernsthaft! Ich denke schon, daß die Investition in die Sicherheit Ihrer Daten eine sinnvolle Ausgabe sind, zumal zu dieser Investition ja auch die Updates gehören. Ist das Antivirenpaket auch noch mit einer vernünftigen Backup-Strategie gekoppelt, kann Ihren Daten eigentlich nichts mehr passieren. Allerdings gebe ich Ihnen recht, kein Antivirenprogramm ist vollkommen, oder anders gesagt, Ihr bestes Antivirenprogramm ist und bleibt der BACKUP. Berücksichtigt man aber die Kosten zur Restaurierung eines Systems, trotz guter Backups, so hat sich ein Antivirenprogramm bereits bezahlt, wenn damit nur ein einziges mal ein Virus gefunden wurde, bevor er sich ausgebreitet hat und damit ein Restaurieren Ihres Rechnersystems überflüssig wurde.
FRAGE 67 | "Wenn man Originaldisketten kauft, die Viren enthalten, wie kann man gegen den Hersteller vorgehen ?" |
Wenn man beweisen kann, daß der Virus bereits beim Kauf auf den Disketten war (z.B. mittels Zeugen), so handelt es sich nach der aktuellen Rechtseinschätzung um einen Mangel und alle Rechte nach BGB (Kaufvertrag bis hin zu Folgeschäden) können beim Händler geltend gemacht werden. Allerdings bleibt immer das Problem der Beweislast. Allerdings zeigen sich viele Händler kulant, da Ihnen Ihr Ruf sehr wichtig ist (logischerweise) und bieten neben dem kostenlosen Umtausch (Wandelung) meist noch eine kleine Zugabe (z.B. eine Maus), um den Kunden zu beruhigen und zufrieden zu stellen.
FRAGE 68 | "Warum sind die Antivirenprogramme für PC's so teuer ? Für Amiga-Rechner sind die fast kostenlos." |
Berücksichtigt man die Zahl der bekannten Viren auf den einzelnen Plattformen, bei Amiga ca. 50, bei PC's etwa 4000, so ist für jeden sofort einsichtig, das Antivirenprogramme für PC's deutlich mehr können müssen, also auch mehr Man-Power beinhalten, als Antivirenprogramme für Amiga. Da Man-Power bekanntlich Geld kostet, steigen auch die Preise für die entsprechenden Programme. Außerdem werden PC's kommerziell eingesetzt, also in Firmen, die deutlich mehr Geld einsetzen können als die Benutzer von Homecomputern.
FRAGE 69 | "Können Viren überleben, wenn man die Festplatte neu formatiert ?" |
Im Speicher des Rechners ja, auf der Festplatte nicht. Bootet man den Rechner von einer virenfreien Diskette und fährt anschliessend einen Low-Level-Format, sind ausnahmslos alle Daten auf der Platte gelöscht. Auch ein Virus hat keine Chance, sowas zu überstehen. Allerdings reicht ein normaler Format, wie "FORMAT C: /U" hier nicht aus, denn MBR-Viren werden damit nicht überschrieben.
FRAGE 70 | "Stimmt es, daß die Firmen, die Virenschutzprogramme herstellen, auch selbst Viren in Umlauf bringen ?" |
Es gab einmal einen Fall, bei dem ein holländischer Freak zuerst einen Virus in Umlauf brachte und dann hinterher einen Cleaner auf Markt warf. Dies ist aber der einzige Fall, der jemals bekannt wurde. Ich halte die obige Aussage für ein Gerücht, denn kein Hersteller würde es finanziell überleben, wenn Ihm so etwas nachgewiesen würde, die Konkurrenz und die Medien würden den Fall publik machen und dann würde wohl kaum ein Kunde noch ein Produkt dieses Herstellers kaufen.
FRAGE 71 | "Beim Update von DOS 6.2 erscheint die Meldung: "Bootsector might possibly attacked by Virus; continue (y/n) ?". Ist das ein Virus ?" |
Nein, diese Meldung stammt von Ihrem BIOS und weisst Sie darauf hin, daß der Bootsektor Ihrer Festplatte verändert werden soll. Wärend des Betriebssystemupdate muß aber der Bootsektor verändert werden, die alte Bootsequenz von DOS 6.0 soll doch ersetzt werden durch die neue Bootsequenz von DOS 6.2. Sie können also getrost diese Meldung ignorieren.
FRAGE 72 | "Soll man ein Versicherung gegen Virusbefall abschließen ? Für mittelständische Betriebe wäre doch eine Versicherung gegen Datenverlust sinnvoll." |
Eine Versicherung ist ja schön und nett, aber wie hoch wollen Sie sich denn versichern ? 10000 DM, 20000 DM, 100000 DM ? Können Sie heute sagen wie groß der Schaden eines Virus sein wird ? Und ganz nebenbei gefragt, glauben Sie wirklich, die Versicherung zahlt dann anstandslos ? Ich persönlich denke, Sie sollten das Geld lieber in gute Streamer oder DAT-Laufwerke investieren und damit sich selbst vor Datenverlust oder Datenmanipulation schützen. Diese Investition erscheint mir deutlich sinnvoller als der Abschluß einer Versicherung. Ganz nebenbei hilft Ihnen ein Backup auch, wenn Sie mal aus versehen ein File oder Directory gelöscht haben, was eine Versicherung nicht tut, und glauben Sie mir, sowas kommt viel häufiger vor, als eine Infektion durch einen Computervirus.
FRAGE 73 | "Ich hab jetzt schon in mehreren Rechnern gesehen, dass es eine Virusprotection im Bios gibt. Es wuerde mich mal interessieren, wie diese funktioniert !" |
Zuerst werden alle Zugriffe auf den Sektor 0:0:1 abgefangen, welcher die MBR beinhaltet. Der Bootsektor ist aber weiterhin ungeschuetzt. Des weiteren werden Installationsversuche eines Virus in die TOM unterbunden. Weiterhin sucht das BIOS beim Diskettenzugriff nach MAGICS, was jedoch keine große Sicherheit darstellt, PBB wurde noch gefunden, GoldBug schon nicht mehr. Allerdings habe ich es auch schon erlebt, wenn ich manuell Partitionen aenderte, dass das Teil sich ueberhaupt nicht gemeldet hat.
FRAGE 74 | "Was ist denn ein VX-Board ?" |
VX ist die Abkürzung von Virus-eXchange, ein VX-BBS demnach eine Mailbox, in der man Viren downloaden/tauschen kann. Auf diese Weise werden die meisten Viren weltweit verbreitet und zugaenglich gemacht.
FRAGE 75 | "Ich habe den Virensimulator 7.01T (Shareware) mit ungefährlichen Virenkennungen installiert. Das Programm legt 40 Pseudoviren an. Nun fanden F-Prot und TBAV nur 11 von 40. Das vielgepruegelte McAffee aber 33. Wie ist das wohl möglich ?" |
SCAN ist ein klassischer Signaturscanner. Wenn jetzt jemand "Testviren"
erzeugt, dann enthalten diese Teile die Signaturen, die ein bestimmter Scanner
sucht, ergo erkennt dieser die "Testviren", was ja auch erreicht
werden soll. So weit so gut, aber ... andere Scanner suchen nach anderen
Signaturen (die leider nicht in den "Testviren" drin sind) und finden
daher nichts in diesen Files. F-Prot z.B. sucht nach jeweils 2 verschiedenen
Signaturen, die beide gefunden werden muessen um einen Virus zu finden (daher
auch die sehr gute Variantenerkennung).
Jetzt stellt sich natuerlich (fuer
dich) die Frage: Ist SCAN gut, weil es 33 FEHLALARME produziert hat oder ist
F_PROT schlecht, weil es 11 FEHLALARME produziert hat ?
FRAGE 76 | "Was macht der XXX-Virus ?" |
Da immer wieder Fragen nach den Auswirkungen bestimmter Viren gestellt werden, haben die Mitglieder des Virus Help Munich, allen voran Stefan Kurtzhals und Uli Schäfer, Analysen und Beschreibungen zu den in Deutschland am meisten verbreiteten Viren erstellt. Diese Analysen werden in der In_the_wild-Liste veröffentlicht. U.a. finden sich dort Beschreibungen für PARTITY_BOOT.B, NEUROQILA, STONED, HONECKER, ONEHALF, ANTIEXE und TAI-PAN. Gleichzeitig erstellt die Virus Help Munich auch eine Sammlung zugehöriger Cleaner für diese Viren, die ebenfalls in dem Archiv zusammengefasst sind.
FRAGE 77 | "Ich bin auf der Suche nach einem Update fuer den beim Novell DOS 7 beigepackten Virenscanner SDSCAN . Wer kann weiterhelfen ?" |
Das Programm SDSCAN wird leider nicht mehr weitergepflegt, daher gibt es dafür leider keine Updates mehr. Du solltest also sofort auf andere AV Programme wie AVP, TBAV, F-PROT, etc. umsteigen.
FRAGE 78 | "Was ist ein ARE_YOU_THERE Call und wie wird er genutzt?" |
Das Verfahren, Viren anhand ihrer selbstgelegten Spuren aufzuspueren, ist
zwar originell, aber weitgehend umstritten. Grundlage ist eine Eigenschaft, die
fast alle nicht-residenten und residenten Fileviren haben: Vor einer Infektion
wird nachgesehen, ob die Zieldatei schon infiziert, bzw. eine Viruskopie schon
im Speicher ist. Diese virulente Fuersorge hat jedoch nichts mit
Anwenderfreundlichkeit zu tun. Mehrfachbefall einer Datei oder des Speichers
wuerde nicht nur sehr schnell auffallen, sondern koennte sogar das System zum
Abschmieren bringen. Dies wuerde aber dem Grundauftrag des Virus, sich unbemerkt
reichlich zu vermehren, widersprechen. Die befallenen Dateien und der
Rechnerspeicher werden also vom Infektor fast immer in irgendeiner ganz
eigentuemlichen Weise "markiert", und zwar so, dass die Markierung
schnell und ziemlich zuverlaessig abzupruefen ist.
Die Virus- Routine, die
den Test auf Selbstbefall durchfuehrt, wird als "Are You There"- Check
bezeichnet. Und weil es sich ja um eine absichtliche Markierung handelt, muss
sie auch zugaenglich bleiben, wenn der Virus alle anderen Anzeichen der
Infektion mit Stealth-Methoden verborgen hat. So schön das klingt, leider
sind die Markierungen selten genau genug, um den Virenbefall sicher zu erkennen
oder gar eine Variantenbestimmung zu erlauben.
Einige Beispiele fuer
Filemarkierungen:
Byte X an Position Y.
Der Virus sucht in der Datei
eine Art Mini-Signatur. Butterfly markiert z.B. eine infizierte COM-Datei an
vierter Stelle nach Dateianfang durch das Byte '01'. Der alte Jerusalem lässt
COM-Files in Ruhe, wenn an ihrem Dateiende ein magisches "MsDos"
auftaucht (bei EXE-Files geht ihm das aber irgendwie in die Hose :-) Zeit- und
Datumsstempel der Datei. Uralt, beliebt und wirkungsvoll wird der Umstand
ausgenutzt, dass das DOSen-Kommando 'DIR' ungenaue Angaben liefert. Schon der
alte Vienna markierte seine Opfer durch eine ungueltige File Creation Time in
der Sekundenstelle, hier mit dem Wert '62'. Tremor addiert einfach '100' zur
Jahreszahl, was wenigstens im Dateimanager von Windows zur Anzeige 19c5 statt
1995 fuehrt. Fuer Viren hat diese Art der Markierung den Vorteil, dass die Datei
zur Prüfung nicht einmal geöffnet werden muß. Für
Virenscanner viel wichtiger als markierte Dateien sind jedoch die Viren-
Selbstkennungen im Speicher. Eine Datei mit ungültigem Erstellungsdatum
bietet zwar Anlass zu Misstrauen, aber sehr vielsagend ist so ein Vorkommen
nicht. Anders sieht es mit magischen Nummern und Aufrufen im Speicher aus, die
oft wenigstens einen ziemlich sicheren Rückschluss auf die Virenfamilie
zulassen.
Beispiele:
Magische Zahl X an Adresse Y.
Soetwas
benutzt z.B. der Uralt-Klassiker "Icelandic", der laufend HD-Sektoren
'bad' markiert und auch als "Disk-Eater" in die Geschichte einging.
Ein Wert von ffh an Adresse 0000:037f dient zur Speichermarkierung und verrät
den alten Ungustl.
Magischer Aufruf X liefert Magische Zahl Y.
Ein
BIOS- oder Systeminterrupt wird mit eigenartigen Werten in den
Prozessorregistern aufgerufen; der Virus antwortet seinerseits mit sonderbaren
Werten. Auf diese Weise kann er verhindern, das eine Viruskopie zweimal in den
Speicher gelangt. Natas z.B. beantwortet eine harmlose Abfrage der DOS-Version
(int 21h, ah=30h) unter der Bedingung, daß das Register bx=f99ah ist, mit
der Dos-Versionsnummer NULL.
Illegaler Funktionsaufruf ohne Fehler.
Virentypische Aufrufe erstrecken sich auch weit in den Bereich der reservierten
oder illegalen Systemaufrufe hinein. Oft wird eine Virus-Antwort nur daran
erkannt, dass nach dem illegalen Aufruf einer bestimmten Funktion das
Fehler-Flag (bei Interrupts meistens Carry) _nicht_ gesetzt ist. Neuroquila z.B.
beantwortet die Funktion f2h des Interrupt 13h, die es nun wirklich nicht gibt,
durch ein unerwarteterweise geloeschtes Carry- Flag.
Tatsaechlich gibt es
sogar Listen bzw. Tabellen mit solchen "Are You There"- Calls. Ihre
Anwendung ist zwar schnell und elegant, jedoch aus naheliegenden Gruenden
diffizil und umstritten. Einem Virusprogrammierer ist es egal, ob ein
sonderbarer Systemcall bei Vorliegen besonderer Umstaende zum Crash fuehrt oder
nicht. Hier gibt es z.B. Ueberschneidungen mit dem API von Novells Netware. Nur
ein Beispiel: Der Are-You-There-Call von Jerusalem, Funktion ah=e0h des int 21h,
mit Antwort ax=0300h, wird auf einer Novell-Workstation den Print-Spooler
ansprechen und das System crashen. Ein Virenscanner-Programm darf sich so eine
Abfrage (zumindest ungesichert:-) nicht leisten.
FRAGE 79 | "Wie funktioniert eigentlich ein guter Signatur-Scanner?" |
Ein allgemeines Signaturverfahren ist langsam und unsicher. Es haben sich
deshalb verschiedene Verfeinerungen der Signaturmethode entwickelt.
Spezialisierte Signaturen. Hier wird festgelegt, in welchem Bereich des
Computersystems nach der Signatur zu suchen ist (also z.B. nur in EXE-Dateien).
Andere Bereiche des Rechners (z.B. das Memory) brauchen nicht mit dieser Sig
verglichen werden. Fuer das Memory gibt es dann eine andere Sig, u.s.w. Hier ein
Auszug aus der Datei VIRSCAN.DAT, einer Signatursammlung eines gewissen Martin
Roesler :-) aus dem Jahr 1994:
; ...
Formiche Virus
COM EXE
BCD21746313431244C75F8
;
Formiche Virus Resident
LOW HIGH
BFAA552EC40637018CCACF
; ...
Hier ist also mit der oberen Signatur
(Hex-Schreibweise, 11 Byte) nur in Dateien des Typs *.COM und *.EXE zu suchen,
die untere Signatur soll nur zur Suche im unteren oder oberen (Mem > A0000)
Speicherbereich eingesetzt werden. Beide Signaturen weisen auf den Virus
Formiche hin. Keine der beiden Zeichenfolgen traegt den Vermerk "BOOT",
d. h. die Sigs sind nicht fuer die Suche in Bootsektoren einsetzbar. (Das waere
auch Unsinn, weil Formiche keine Bootsektoren befaellt.) Die obere Signatur ist
hier z.B. ein abgeklammertes Stueckchen Viruscode, eine Schleife zum
Ver(Ent-)schluesseln eines Codebereichs, die so nur in den befallenen Dateien
vorkommt:
mov sp,17d2h
garble:
inc si
xor [si],si
xor
[si],sp
dec sp
jnz garble
Wird also dieser kleine Loop in einer
Programmdatei COM/EXE entdeckt, dann liegt wahrscheinlich ein Befall mit
Formiche vor.
Co-Signaturen oder Subsignaturen. Der Scanner sucht zunaechst
mit einer Hauptsignatur. Wenn es einen Treffer gibt, wird in der befallenen
Datei mit einem Satz Subsignaturen weitergesucht. Die Subsignaturen geben dann
genauen Aufschluss ueber die Variante z.B. "Vienna.648.Reboot.A". Wird
eine Hauptsignatur fuendig, ohne dass sich ein Treffer in den Subsignaturen
finden laesst, koennen Meldungen wie "New or modified variant of Vienna
virus" entstehen. Signaturposition. Neben der Signatur selbst wird ein
Offset (mit Vorzeichen) gespeichert. Referenzpunkt ist der Instruction Pointer
CS:IP beim Einsprung in die Programmdatei. Das Verfahren erhoeht vor allem die
Scangeschwindigkeit und -Sicherheit. Hier wird der Umstand ausgenutzt, dass der
Viruscode in den allermeisten Faellen zeitlich vor Beginn des Wirtsprogramms
ausgefuehrt wird. Der erste Sprung im COM-Programm oder CS:IP im EXE-Header
zeigen also meistens direkt auf den Beginn des Viruscodes, oder nur einen Jump
davon versetzt. Signaturumfeld. Die meisten Dateiviren checken vor der
Infektion bestimmte Eigenschaften einer Wirtsdatei ab. Eine der wesentlichsten
dieser Eigenschaften ist die Dateigroesse. Dies ist also eine weitere
Moeglichkeit, die Signatursuche einzugrenzen: Z.B. Signatur nicht anwenden bei
Dateigroesse < 600 Byte, oder Dateigroesse > 64000 Byte...
FRAGE 80 | "F-Prot v2.17 findet in MC'AFEE\CLEAN.DAT Possibly a variant of November_17th, was soll ich tun ?" |
Das ist ein klassischer False Positive oder auch Fehlalarm. Logischerweise muß natürlich das Programm von McAfee Informationen über Viren beinhalten, in diesem Fall in dem Datenfile CLEAN.DAT. Wenn jetzt da nun zufällig die selbe Signatur enthalten ist, die auch F-PROT zur Suche nach dem November_17th verwendet (intern arbeitet F-PROT mit 2 Signaturen, weil nur eine gefunden wird kommt die Meldung "Possibly a variant of ..."), muß logischerweise dieser Fehlalarm entstehen.
FRAGE 81 | "In der ITW steht bei einer Beschreibung was von Interrupttracen. Wie funktioniert dieses Tracen?" |
Die CPU kann in den Einzelschrittmodus geschaltet werden. In diesen wird nach jeden CPU-Befehl ein INT 1 ausgelöst. Der Virus installiert eine eigene INT 1-Behandlung, schaltet die CPU in den Einzelschritt-Modus und ruft INT 13 mit irgendeiner unwichtigen Funktion auf. Die INT 1-Routine prüft nach jeden CPU-Befehl, ob der zuletzt bearbeitete Befehl bereits im BIOS (also bei F000:????) liegt. Ist das der Fall, war der Tracer erfolgreich und wird abgebrochen.
FRAGE 82 | "SCAN ist doch so verbreitet, wieso heißt es jetzt immer, das Programm taugt nichts ?" |
Früher, als es noch keine Stealthviren und Polymorphic Engines gab,
wurde ausschliesslich mit Signaturscannern gearbeitet. SCAN war zu dieser Zeit
das Produkt mit den höchsten Trefferquoten, außerdem war es via DFÜ
sehr leicht erhältlich und hatte daher einen hohen Verbreitungsgrad. Während
nun aber andere Hersteller ihre AV-Programme permanent weiterentwickelt haben
(z.B. in Sachen Heuristic, Performance, ...) haben die Jungs bei McAfee einfach
nur ihre Signaturdatenbank erweitert. Erst als sich zunehmend User beschwerten,
weil keine polymorphen Viren erkannt wurden und gleichzeitig auch noch massive
Memoryprobleme durch die grosse Signaturdatenbank entstanden, begannen die
Entwickler bei McAfee, der zwischenzeitlich die Firma verlassen hat, ueber ein
Redesign des Programms nachzudenken. Erste Prototypen dieser neuen
Programmversin (genannt V2.x) sind heute verfuegbar. Das Memoryproblem hat man
z.B. dadurch geloesst, das man die Strings verkürzte und mit einigen
Wildcards versah. Das hat zur Folge, das nun Viren nicht mehr eindeutig
identifiziert werden (klassisches Beispiel ist die Meldung "GenB - generic
Bootsectorvirus", die praktisch bei jedem Bootsektorvirus ausgegeben wird.
SCAN kann die Viren gar nicht mehr auseinander halten. Die bisher ebenfalls in
die V2 integrierten Algorithmischen Suchprozeduren, mit denen Polymorphe Viren
gefunden werden sollen, versagen kläglich, SCAN kann bis heute TREMOR nicht
zuverläßig finden (Trefferquote um die 60%).
Zusammengefaßt:
SCAN war füher einmal der Standard, heute ist es nur noch ein Relikt aus
alten Zeiten. Wer sich auf SCAN verläßt, der ist verlassen, oder wie
Stefan Kurtzhals mal meinte, "SCAN ist Sondermüll".