Der folgende Vortrag wurde anläßlich des VHM/VIRUS.GER-Treffens am 31.08.1996 gehalten.
von Rainer Link
Das Thema "Computer-Viren" erweckte in den Medien schon
immer ein besonderes Interesse, wobei sich dieser Vortrag nur auf Printmedien,
also Bücher und Zeitschriften/Zeitungen bezieht. Funk und Fernsehen wurde
aufgrund fehlender Belege ausgespart.
Bei den Büchern, wie man u.a. aus Howards Buchliste (1) entnehmen kann, gab es auch auf dem dt. Markt früher zahlreiche Publikationen - zu den bekanntesten gehört wohl das berühmt-berüchtigte Buch "Das große Computer-Viren-Buch" von Ralf Burger, erschienen im Data Becker-Verlag. Hier wurden u.a. Quellcodes verschiedener Viren abgedruckt. Sicher für Viele ein Anreiz, auch mal einen Virus zu programmieren - oder einfach eine (kleine) Änderung vorzunehmen und schon wieder hat man eine Virus-Variante mehr. Die ruß. Übersetzung soll auch in Rußland dazu beigetragen haben, daß vermehrt Varianten dort entwickelt wurden. Allerdings, die darin enthaltenen Viren sind (heutzutage) als extrem primitiv anzusehen. Andere Bücher widmeten sich dem Thema eher auf "allgemeine Art", d.h. ohne Wissen zur Virenprogrammierung weiterzugeben. Hier wäre z.B. der "Computer-Viren-Report" von Prof. Dr. Klaus Brunnstein von der Uni Hamburg zu nennen. Viele Bücher beinhalten allerdings auch etliche sachliche Fehler, z.T. werden auch falsche Tatsachen, die ich hier mal unter dem Begriff "Viren-Mythen" zusammenfassen möchte, wiedergegeben. Ein bekanntes Beispiel ist hier z.B. die Behauptung, daß beim bloßen Lesen einer Diskette ein Bootsektor-Virus aktiv wird. Auf die Problematik der "Viren-Mythen" möchte ich später noch ausführlicher zu sprechen kommen. Interessant ist, daß auf dem dt. Buchmarkt z.Z. kein aktuelles Buch über Computer-Viren verfügbar ist, und somit aktuelle Themen wie Makro-Viren, Retro-Viren usw. nicht behandelt werden. Was wohl der Grund dafür sein wird? Vielleicht die Novellierung dt. Gesetze, die ähnlich wie in der Schweiz die Veröffentlichung von Virenanleitungen o.ä. unter Strafe stellen soll? Anders sieht es z.B. auf dem amerikanischen Buchmarkt aus. Recht neu ist z.B. "Virus Detection and Elimination" von Rune Skardhamer aus dem Jahre 1996. Er ist der Meinung, daß Information "frei" sein muß - so heißt der zweite Teil des Buches auch "Einführung in die Virenprogrammierung". Neben dem Virus wird auch gleich das entsprechende Such- und Entfernungsprogramm abgedruckt. Weiterhin wären hier noch "Computer Virus Labs", "Black Book of Computer Viruses" und das "Giant Book of Computer Viruses" zu nennen; im neuesten Werk des Autors Mark Ludwigs werden zudem neue Windows und Windows95-Viren beschrieben. Und in elektronischer Form gibt es z.B. die "American Eagle Virus CD".
Auch für Zeitschriften ist und bleibt die Thematik interessant. Beispiele sind hier z.B. die "Viren-Hysterie" von Michelangelo oder auch in (etwas) abgeschwächter Form um den MediaMarkt, Win95.Boza-Virus oder recht aktuell: Hare.7610 Virus - nicht zuletzt durch z.T. übertriebene oder schlichtweg falsche Informationen in der Presse.
Hysterie ist bei Computer-Viren immer ein schlechter Berater; im Notfall sollte man sachlich und kühl, aber nicht überstürzt handeln. Nur, es sagt sich leichter als es getan ist; hier möchte ich mal eine Anekdote aus meiner eigenen Erfahrung anfügen: Als ich abends geschafft von der CeBIT nach Hause kam, meldeten mir sowohl AVP (2) als auch Stefans SSC (3) etwas "Verdächtiges" im Hauptspeicher (COM.TSR-Verdacht). Der Schreck saß erstmal tief - denn ich hatte auf der Messe etliche Disketten mit meinem Programm "CV-Info" verteilt. Sicher wurde jede Diskette vorher mit allen mir zur Verfügung stehenden AV-Programmen geprüft und auch sonst alle Vorsichtsmaßnahmen getroffen. Was tun? - Nun, nach dem Booten von meiner Notfall-Disk stellte sich heraus, daß auf den restlichen Disketten und auch auf der Master-Disk definitiv kein Virus war. Puhh - Glück gehabt. Schließlich war die Ursache gefunden: ein residentes Programm, das durch die Änderung an meiner Konfiguration geladen wurde. Manche, meist unerfahrene Anwender (wie auch immer man diese definieren möchte), geraten bei einem Virusverdacht erstmal in Panik - und erinnern sich an einen Tip, den sie irgendwann einmal gelesen haben, der besagt, daß eine (Low-Level) Formatierung der Festplatte nötig sei (notfalls via DEBUG durchzuführen). Dumm, wenn es sich um eine ältere IDE-Festplatte handelt, die so etwas nicht abfängt, dumm, wenn man kein (neues) Backup hat (wer macht das schon regelmäßig?) und schließlich absolut dumm, wenn das AV-Programm ein false positive gemeldet hat. Ok, das hier geschilderte "Szenario" ist sehr übertrieben.
Auch die "Virenmythen" werfen Probleme auf; so bekommt der Anwender den Eindruck, Viren seien etwas "über-menschliches", oder besser "über-technisches". Dabei handelt es sich eigentlich nur um ein (Stück) un-nützen Programmcodes (Software). Seltsamerweise lassen sich solche Virenmythen nur sehr schwer "ausrotten", diese "kommen" immer wieder hoch - wie z.B. die Zerstörung eines Monitors oder die Umgehung des Hardware-Schreibschutzes von Disketten (vorausgesetzt die Hardware ist in Ordnung) usw. Dabei kann man sich durch recht einfache Regeln und Mittel recht gut vor einer Virusinfektion schützen.
Eine große Problematik stellen auch die falschen Informationen dar: sei es bei einer Virenbeschreibung oder durch falsche oder einseitige Empfehlungen für AV-Software. Ein etwas ausführlicheres Beispiel für sowohl "Virenmythen" als auch für falsche Informationen findet sich in der Zeitschrift "DOS International", Ausgabe 6/95 und 8/95. "[...] Einer der tückischten 'Hardware-Viren' ist der 'Angelina GenP Virus', der sich in der FAT einnistet. Man kann 'Angelina' ein PC-Leben lang im System haben, ohne ihn zu entdecken: dieser Virus schlägt nie richtig zu, er stört nur, so oft er kann, die Systemstabilität [...] Das Schlimmste an Angelina (GenP): Er wird von vielen Virenscannern nicht erkannt. Wir stolperten mit McAfee's SCAN 9.24 über GenP [...] Gemein an GenP: er ist schnell, der geringste Zugriff auf eine verseuchte Diskette (auch beim Scan-Vorgang) überträgt ihn erneut auf die Platte. Wer einen solchen Viren-Fall erlebt, wird vorsichtig und besorgt sich schleunigst die neue Version des Virenscanners. Auch wir taten das und prüften den betroffenen Rechner regelmäßig mit der neusten Scan-Version. Nach Wochen, in denen Scan bei jedem Bootvorgang 'no virus found' bestätigte, traten die GenP-Störeffekte erneut auf. So wurde die inzwischen veraltete Scanversion 9.24 aus der Schublade gekramt, die das erneute Vorhandensein von Angelina bestätigte. Die Moral der Geschichte: Wenn Sie mit einem Virenscanner einen Virus entdecken, checken Sie das System regelmäßig exakt mit diesem Scanner (dieselbe Version). Hoffen Sie nicht, daß die Folgeversion den Virus ebenfalls findet!" "Angelina, Teil 2 [...] Viele betroffene Leser haben sich gemeldet, deshalb hier nochmals Infos zu GenP [...] Der weitverbreitete Virenscanner 'Scan' von McAfee ist beim Erkennen von GenP und seinen Mutationsformen nicht zuverlässig. Deshalb nochmals: Heben Sie die Version eines Virenscanners, mit der sie einen Virus entdeckt haben - stets gut auf - eine Folgeversion muß ihn nicht ebenfalls erkennen! Gute Erfahrungen beim Erkennen und Beseitigen haben wir indes mit dem F-Prot-Virenscanner gemacht" Zu beiden o.g. Zitaten, sei folgendes angemerkt: Angelina nistet sich nicht in der FAT (!) ein - wie sollte sich der Virus denn aktivieren? Hätte der Autor dieses Artikels gewußt, was GenP heißt, wäre er auf diesen Schwachfug nicht gekommen. In beiden Artikel wird GenP als Synonym für Angelina verwandt, was schlichtweg falsch ist - und bei etlichen Anwender für Verwirrung gesorgt haben wird. GenP steht einfach für einen Virus, der sich im Partitionssektor (MBR) "eingenistet" hat - das kann nun ein x-beliebiger MBR-Virus sein. Auch die Aussage, daß sich Angelina beim Zugriff auf eine Diskette verbreitet, trifft nicht genau zu - der Virus muß bereits resident im Hauptspeicher sein, damit er sich verbreiten kann. Zwar wird bei der Ausführung von "DIR A:" bei einer infizierten Diskette der Virus(code) vom Bootsektor in den Hauptspeicher eingelesen; der Code wird allerdings nicht ausgeführt! Einfache Signatur-Scanner (wie z.B. McAfee SCAN) erkennen aber den Scanstring des Virus im Hauptspeicher und melden, daß dieser "aktiv" sei; dies ist allerdings ein Fehlalarm. Daß Scan den Angelina-Virus in der Nachfolgeversion nicht findet, macht den Herren Redakteuren über die Qualität des Scanners keine Gedanken - sie raten einfach, eine "veraltete" Version einzusetzen; diese findet zwar Angelina, aber neue Viren wohl kaum. Auch hier gilt die alte Regel: nie auf einen einzigen Virenscanner vertrauen! Der Redakteur weiß im zweiten Artikel immer noch nicht, was GenP eigentlich bedeutet; dies erkennt man an der Aussage "... von GenP und seinen Mutationsformen ...": Angelina ist nicht polymorph und Scan hat andere BSI einfach als GenP deklariert, dies sind allerdings keine Mutationen, sondern schlicht und einfach andere Computer-Viren. Das einzig "sinnvolle" kommt im letzten Satz des zweiten Artikels: F-Prot! (dies sollte jetzt aber nicht als Schleichwerbung mißverstanden werden!)
Beispiele für falsche und/oder z.T. einseitige Empfehlung für AV-Software gibt es sicherlich viele; ich habe hier stellvertretend einige ausgewählt: Bei der Vorstellung von MS-DOS 6.x hieß es in (fast) allen Zeitschriften, daß der Kauf von AV-Software nun unnötig sei - es wird ja MSAV mitgeliefert. Daß das Pendant CPAV schon damals nicht besonders gut ist/war und es mit Updates sehr schlecht bestellt war, wurde in den meisten Fällen gänzlich vergessen. So wiegt sich der Anwender in falscher Sicherheit (mit MSAV kann mir ja nix mehr passieren) und er kümmert sich nicht mehr um diese Problematik und mißachtet auch die einfachsten Vorsichtsregeln. Oder: In der PC-Praxis 2/96 wurden zum Thema Schutz vor Computer-Viren nur die Produkte von McAfee vorgestellt - ob dies an der perfekt arbeitenden PR-Abteilung liegt? Erst in letzter Zeit gaben verschiedene Zeitschriften Empfehlung von Shareware-Programmen für die diversen Betriebssysteme u.a. auch für AV-Software. Empfohlen wurde, wie sollte es auch anders sein, McAfee SCAN - die Texte scheinen wohl direkt von der PR-Abteilung abgeschrieben zu sein. Ein Beispiel aus der DOS International 6/96: "ViruScan/VShield - ... ist ein leistungsfähiger Virenschutz. Als Standard in diesem Bereich ist der Name McAfee bereits aus der DOS-Welt ein Begriff. Und auch unter Windows ist es den Programmierern gelungen, die Vormachtstellung zu halten. ... Im ewigen Wettlauf mit den Virusprogrammierern liegt ViruScan dabei nur um Haaresbreite zurück. Die aktuelle Version prüft bereits Word-Text- und Formatdateien auf die Infektion mit Makro-Viren. [...] DOS-Urteil: Bewährtes und immer aktuelles Anti-Virenpaket." Anmerkung eines VHM-Mitglieds: "Wenn Du im Lexikon unter Mythen nachsiehst, wirst Du genau diesen Text abgedruckt finden."
Auch hier wieder - der Anwender wiegt sich in einer trügerischen Sicherheit. Es bleibt anzumerken, daß McAfee SCAN zwar aufgeholt hat, aber noch lange nicht da Non-Plus-Ultra ist, um es als einzigstes AV-Programm zu empfehlen. Die Redakteure, die mit solchen Artikeln beauftragt werden, haben i.d.R. wohl zu wenig Sachkenntnis und kennen SCAN wohl deshalb, weil es als Ur-Vater gilt.
Ein weiteres Beispiel aus der PC-Praxis 5/96, aus dem "Praxis-Test - TopShareware" "[...] So arbeitet Doctor AntiVirus ... Bevor der eigentliche Check-Vorgang gestartet wird, durchsucht der Doctor den RAM-Speicher nach speicher-residenten Viren. Nach wenigen Sekunden hat der Doctor seine Arbeit getan, glücklicherweise wurde kein Virus gefunden. Dringend zu empfehlen sind regelmäßige Updates des Virenjägers; Fazit: Preisgünstiger und leistungsfähiger Virenscanner". Es stellt sich hier die Frage, nach welchen Kriterien hier getestet wurde - aus dem Testbericht ist nicht ersichtlich, daß Doctor AntiVirus gegen ein Virenset "gefahren" wurde. Oder, wenn ich hier mal ein Zitat anbringen darf: "die Software wird grob anhand der Anzahl der Farben der Oberfläche beurteilt".
Das Problem hierbei - die Leser sind viel zu leichtgläubig und hinterfragen solche Artikel nicht oder nur kaum. Allerdings, auch Martin's Artikel in der DOS wurde ja von manchen Lesern der VIRUS.GER angezweifelt - man kann am Artikel selbst nun mal nicht erkennen, ob dieser von einer kompetenten Person verfaßt wurde oder nicht.
In letzter Zeit konnte aber auch beobachtet werden, daß man das Thema Computer-Viren wohl gezielt zur Steigerung der Auflagen benutzt wird. Erstes Indiz ist hier die marktschreierische Aufmachung und die Berichte, die m.E. kaum mehr etwas mit seriöser Berichterstattung zu tun haben. Beste Beispiele sind hier die Reportagen über Makro-Viren oder die "Dirty Tricks" in der Zeitschrift "PC-Welt". Hier wurden sowohl Informationen zum Schreiben von Makro-Viren als auch Möglichkeiten zum Lahmlegen des PCs veröffentlicht. Dies alles unter dem Deckmantel der "Aufklärung" - doch wurde hierbei vergessen, daß hiermit mehr Schaden als Nutzen angerichtet wird. So wurde mehrere Makro-Viren entdeckt, die (wohl) eindeutig auf diesen Artikel zurückgehen. Ein Virus trägt sogar die drei Anfangsbuchstaben dieser Zeitschrift - ein sehr zweifelhafte "Ehre" für dieses PC-Magazin. Auch bei den "Dirty-Tricks" hätte es genügt, nur das ungefähre Vorgehen der (vermeintlichen?) Hacker zu veröffentlichen; Details wie bei dem Trick mit den recursive partitions sind absolut unnötig. Der Leser hätte sich so auch ausreichend schützen können, und es wäre von vornherein ausgeschlossen gewesen, daß jemand mit diesem Wissen auf "dumme Gedanken" kommt. Nun: Der Konkurrenz-Kampf unter den Zeitschriften ist groß, u.a. deswegen, weil das Leser-Interesse insgesamt sinkt. In letzter Zeit haben schon des öfteren Zeitschriften oder ganze Verlage fusioniert, z.B. der DMV und Franzis-Verlag. Auch wurden schon verschiedene Titel eingestellt. Allerdings, ob dieses Ziel "aufgeht"? Interessant ist, daß die Ausgabe der Zeitschrift, bei der das Thema "Makro-Viren" klar als "Aufhänger" diente nicht vergriffen ist - die Ausgaben, die z.B. einen Vergleichstest über die PC-Anbieter klar als "Aufhänger" haben, dagegen schon. Vielleicht ein Indiz dafür, daß Computer-Viren keine große Bedeutung beigemessen wird?!?
Fazit: Es ist mit Sicherheit zu begrüßen, wenn PC-Zeitschriften über "Computer-Viren" berichten, denn nur so bleibt das Thema in den Köpfen der Anwender; die ja meistens dafür gar kein oder nur sehr geringes Interesse entgegenbringen. Und genauso ist es sinnvoll, wenn dem Anwender in diesem Artikel das 1x1 des "Safer Computing" (auch "Safer Hex" (4) genannt) immer und immer wieder "vorexerziert" wird - damit er dieses nicht nur (über)liest, sondern auch danach handelt. So bleibt insgesamt zu hoffen, daß in Zukunft seriöser und sachlicher über Computer-Viren in den Medien berichtet und das Thema nicht für Sensationen mißbraucht wird.
Bezugs- und Quellennachweis:
1 - Die Buchliste von Howard Fuhs wird über das Internet und CompuServe veröffentlicht. In diese Liste werden Bücher aufgenommen, die das Thema Computer-Viren, Datensicherheit, Netzwerk-sicherheit u.ä. behandeln. CompuServe: 100120,503; AOL: hfuhs@aol.com. Die Liste ist auch in der Mailbox "Security Information System", Tel-Nr: 0611/1860569 zu finden
2 - AntiViral Toolkit Pro (AVP) von KAMI Ltd, Rußland, gehört, wie zahlreiche Tests bewiesen haben, zu den besten Antiviren-Produkten. Testversionen finden Sie z.B. im WWW (http://www.avp.ch) oder in verschiedenen Mailboxen, wie z.B. "Security Informationen System" (0611/1860569). Die Vollversion und weitere Informationen erhalten Sie u.a. bei: Howard Fuhs Elektronik, Rheingaustr. 152, 65203 Wiesbaden, Tel: 0611/67713; Fax: 0611/603789; CompuServe: 100120,503, AOL: hfuhs@aol.com
3 - SSC ist ein Bestandteil aus Stefan Kurthals' heuristischem AV-Paket "Suspicious". Eine Shareware-Version finden Sie z.B. in der "Virus Help Munich"-BBS (Tel: 08638/881108), aber auch in zahlreichen weiteren Mailboxen. Im WWW z.B. bei http://www.cyberbox.north.de oder http://www.psnw.com/~joe Stefan Kurtzhals, Dörrenberg 42, 42899 Remscheid; Tel: 02191/55126; eMail:kurtzhal@wrcs3.urz.uni-wuppertal.de
4 - Dieser Begriff wurde dem Schlagwort "Praktizieren Sie 'Safer Hex'!" aus den sehr lesenswerten und interessanten Handbüchern zum AV-Programm "AntiVir V" entnommen. H+B EDV Datentechnik GmbH, Lindauer Str. 21, 88069 Tettnang; Tel: 07542/93040, Fax: 07542/52510; eMail: info@antivir.de
© by Rainer Link - VHM, 30.08.1996. Alle Rechte vorbehalten.