$Header: /home/CVS/asm/mbrkill/mbrkill_de.txt,v 1.10 2003/01/29 17:37:15 ralph Exp $
(C)opyright 1987-2003 (ALL RIGHTS RESERVED!)
 ------------------------------------------------------------------------
       _____ ____________________           ____  __.__.__  .__
      /     \\______   \______   \         |    |/ _|__|  | |  |
     /  \ /  \|    |  _/|       _/  ______ |      < |  |  | |  |
    /    Y    \    |   \|    |   \ /_____/ |    |  \|  |  |_|  |__
    \____|__  /______  /|____|_  /         |____|__ \__|____/____/
            \/       \/        \/                  \/

  ------------------------------------------------------------------------
         (C)opyright 1994-2003 by ROSE SWE, Dipl.-Ing. Ralph Roth




      MBR-Killer

      Das    Programm    MBR-Kill   dient    dazu,    einen   neuen    (sich
      selbstberprfenden)  Master  Boot  Record  (MBR)  auf  ein  System zu
      bertragen. Der neue MBR-Lader ist im Programm MBR-Kill integriert und
      wird von diesem auch auf  die Festplatte geschrieben. Es gibt  mehrere
      Mglichkeiten, MBR-Kill zu benutzen; bentigt wird jedoch ein 80386-SX
      Prozessor (oder besser) sowie DOS 3.3 (oder besser).

      Hinweis:  Das  Programm  MBR-Kill  verwendet  mehrere  undokumentierte
      Interrupt-Funktionen [Brow44], um eventuelle  Stealthviren umgehen  zu
      knnen. Diese undokumentierten Interrupt-Funktionen stehen bei  MS-DOS
      ab  Version  3.30  zur  Verfgung. DR-DOS 5+ und FreeDOS  untersttzen
      diese Interrupt-Funktionen ebenfalls.

      Es gibt mehrere Mglichkeiten MBR-Kill anzuwenden:

      1.  Impfen (immunisieren) eines virenfreien Systems: Einfach MBR-
          Kill starten und Sicherheitsabfragen besttigen.
      2.  Entfernen eines MBR-Virus aus dem MBR:
          + Falls es sich um einen Virus ohne Stealth-Eigenschaften handelt
            (z. B. Stoned), kann einfach MBR-Kill ausgefhrt werden und
            der Virus wird entfernt.
          + Sollte der MBR durch einen Stealth-Virus (z. B. Parity_Boot,
            AntiExe oder Ripper) infiziert sein, sollte zur Sicherheit von
            einer Systemdiskette gebootet werden und darauf direkt MBR-
            Kill ausgefhrt werden. Nach dem anschlieenden Kaltstart
            msste der Virus entfernt worden sein.
          + Sollte es sich um einen "berschreibenden" Stealth-Virus
            handeln (z. B. Neuroquila, Monkey.B oder Goldbug), sollte MBR-
            Kill direkt auf dem verseuchten System gestartet werden. Das
            Programm liest dann den MBR mit Hilfe des aktiven Virus ein
            und erhlt somit den ursprnglichen MBR! Anschlieend tunnelt
            und emuliert MBR-Kill sich durch den aktiven Virus hindurch
            und schreibt dann den neuen MBR-Lader mit den richtigen Werten
            zurck, ohne dass der Virus hiervon etwas "bemerkt".
      3.  Sichern und Rekonstruktion von Partitionsdaten und des
          zugehrigen MBR Laders auf Disketten.


      Untersttzte Funktionen

      Das  Programm  MBR-Kill  kann  mit  zustzlichen  Parametern gestartet
      werden. Parameter  knnen wahlweise  mit einem  Minuszeichen "-"  oder
      einem Schrgstrich "/" eingeleitet werden.  Der nachfolgende Buchstabe
      darf  klein  oder  gro  geschrieben  werden.  Zwischen  den einzelnen
      Optionen  muss ein  Leerzeichen stehen!  Die Reihenfolge der Parameter
      ist ohne Bedeutung.

      MBR-Kill liest und schreibt grundstzlich seine gesicherten Daten  nur
      auf  Disketten  im  Laufwerk A:,  damit der  Benutzer die  Daten nicht
      "versehentlich" auf  der Festplatte  speichert. Wenn  nmlich ein  MBR
      - Virus die  Festplatte infiziert hat,  kann beim Entfernen  des Virus
      oftmals nicht mehr auf die Festplatte zugegriffen werden. Dann ist  es
      ntzlich, wenn man  noch eine Kopie  des alten MBR  auf einer Diskette
      hat! Der gesicherte  MBR wird in  der Datei MBRPART?.DAT  gespeichert.
      Das  Fragezeichen  reprsentiert hierbei  das  physikalische Laufwerk,
      also "0" fr die erste Festplatte, eine "1" fr die zweite  Festplatte
      usw.

      Wird MBR-Kill ohne Parameter  gestartet, so versucht das  Programm den
      ursprnglichen  MBR  zu  lesen,  sichert  dessen  Partitionsdaten  und
      schreibt einen neuen sich selbstberprfenden MBR Lader zurck.

      Es stehen zur Zeit folgende Parameter (Optionen) zur Verfgung:


       Option        Beschreibung

       /?            Eine kurze Hilfestellung zum Programm
                     ausgeben.

       /cxx          Color - andere Farbe fr den MBR Lader bentzen.
                     Folgende Farben knnen Sie verwenden:

                       dunkle Farben 
                      (Vordergrund &   helle Farben
                       Hintergrund)   (nur Vordergrund)
                      -----------+---+--------------+----
                       Black      0  DarkGray       8
                       Blue       1  LightBlue      9
                       Green      2  LightGreen    10
                       Cyan       3  LightCyan     11
                       Red        4  LightRed      12
                       Magenta    5  LightMagenta  13
                       Brown      6  Yellow        14
                       LightGray  7  White         15

                     Durch Addition der Konstanten Blink (Blink =
                     128) zu einer Vordergrundfarbe werden die
                     Zeichen blinkend dargestellt.  Sie knnen Farben
                     in dezimal or hex angeben. /c15 ist gleich mit /cfh

       /l   /r       Laden des speicherten MBR von Diskette mit
                     anschlieendem Zurckschreiben.

       /s   /w       Speichern des MBR auf Diskette, bevor dieser
                     durch den neuen, sicheren MBR Lader ersetzt
                     wird.

       /n            Tunnle nicht durch den Festplatteninterrupt 13.
		     Ntzlich fr spezielle Viren und bei Emulatoren
                     wie Bochs oder VMWare.

       /q            Nur Laden oder Abspeichern auf Diskette und
                     anschlieend das Programm beenden. Ist z. B.
                     sinnvoll, wenn nur der MBR gespeichert oder
                     wiederhergestellt werden soll.

       px            Verwendet anstatt der standardmigen ersten
                     Festplatte im System die physikalische
                     Festplatte mit der Nummer x. Die Festplatten
                     werden mit Null beginnend aufsteigend
                     durchnumeriert. Untersttzt werden die Fest-
                     platten 0-9, was der BIOS Laufwerksnummer 80h-
                     89h entspricht.

                 Tabelle: Mgliche Aufrufoptionen fr MBR-Kill


      Einschrnkungen

      Siehe Datei MBRKill_Eng.txt


      Beispiel: mbrkill p1 -s -q

      Sichert den  MBR und  die Partitionsdaten  der zweiten  Festplatte auf
      Diskette und bricht danach ab.


      Wie kann ein MBR-Virus entfernt werden?

      Nachfolgend wird beschrieben, wie z. B. der Partiy_Boot Virus entfernt
      werden kann. In unserem Beispiel  hat der Virus zustzlich die  zweite
      Festplatte infiziert, kann aber von dieser nicht aktiviert werden.

      Generell empfehle ich  vor dem Einsatz  von MBR-Kill einen  Backup des
      Systems zu machen,  weil das berschreiben  des MBR und  der Partition
      durch MBR-Kill von einem Virus abgefangen werden knnte, der  speziell
      an MBR-Kill angepasst wurde, was zu Datenverlust fhren knnte! Ferner
      wird  eine  Diskette  ohne  Schreibschutz  bentigt,  die  unter   DOS
      formatiert wurde, um den alten MBR abspeichern zu knnen.

      Zuerst muss der Virus von  der ersten Festplatte entfernt werden. Dies
      wird   durch   folgenden  Befehl   erreicht   (Speichern  des   alten,
      [infizierten (1)] MBR  auf  Diskette  mit anschlieendem  Ersetzen des
      MBR):

                                   mbrkill -s

      Wurde  nicht von  einer virenfreien Diskette gebootet,  muss jetzt der
      Virus im  Arbeitsspeicher durch  einen Kaltstart  zerstrt werden  (in
      diesem Fall ist die Diskette mit dem gespeicherten alten MBR auch  vom
      Virus infiziert!).

      Anschlieend wird die zweite Festplatte gereinigt und vorher der  alte
      MBR  wieder auf  Diskette gespeichert.  Dies erfolgt  durch folgenden
      Befehl:

                                 mbrkill p1 -s

      Anschlieend  ist  das System  virenfrei.  Sollten Sie  nicht  von der
      Festplatte booten knnen so knnen Sie den alten MBR wiederherstellen.
      Dies  erfolgt analog  der obigen  Prozedur: Statt  des Parameters   -s
      wird dann der Parameter  -w  verwendet!


      Entfernen von "berschreibenden" Stealth-Viren

      Wie schon weiter oben erwhnt,  ist es fr das Programm  MBR-Kill kein
      Problem,  berschreibende  (aktive)  Tarnkappenviren  wie  Neuroquila,
      Goldbug oder Monkey zu entfernen. Hierzu  muss nur folgendes  beachtet
      werden:

      Das System wird  ganz normal gestartet,  der Virus ist  nun aktiv. MBR
      - Kill  wird gestartet  und liest  den MBR  ganz normal  ein. Weil der
      Virus aktiv ist,  wird der original  MBR an MBR-Kill  zurckgeliefert,
      der dann z. B. auch auf Diskette gespeichert werden kann. Anschlieend
      tunnelt  und  emuliert  sich  das  Programm  durch  den  aktiven Virus
      hindurch und schreibt einen sauberen MBR auf die Festplatte, ohne dass
      der  Virus  etwas  "bemerkt". Anschlieend  muss sofort  ein Kaltstart
      durchgefhrt werden, weil ansonsten der aktive Virus sofort wieder den
      MBR infizieren wird!


      History

      Siehe MBRKILL_ENG.TXT

      ____________________
      1) Der Parity_Boot Virus ist ein Tarnkappenvirus, deshalb erhalten wir
         den original MBR vom Virus zurck!

-----------------------------------------------------------------------------
 _____ _    ___
|  ___/ \  / _ \
| |_ / _ \| | | |
|  _/ ___ \ |_| |
|_|/_/   \_\__\_\
-----------------------------------------------------------------------------

> Brauch man das Programm MBR-Kill eigentlich lediglich nur auf einer beliebigen
> Partition ausfhren? Der MBR ist ja nach meinem Wissenstand auf einer Festplatte
> im Normalfall nur einmal vorhanden!

Richtig, PRO physikalischer Festplatte einmal, nmlich auf Spur 0,0,0. Die
Option p? ist interessant, wenn Sie mehrere Platten in Ihrem System eingebaut
haben. Standardmig wird die erste Festplatte von MBR-Kill gereinigt
(entspricht p0), egal auf welchem logischen Laufwerk Sie sich befinden (z.B. E:).

> Was bedeutet der Punkt 2. ) bzw. 3. ). Darf gar kein Bootmanager verwendet
> werden? Muss dieser lediglich deaktiviert oder sogar deinstalliert werden?

Bootmanager, die Ihren Code selbst in Spur 0,0,0 schreiben mssen VORHER
deinstalliert werden, weil MBR-Kill den kompletten MBR-Loader mit Ausnahme
der Partitionstabelle "reinigt".

> Noch eine Frage zu den Programmen MBR-Kill und K_Delwin 1.20:
> Ist nach der Desinfektion des MBRs und den Dateien Windows noch betriebsbereit
> bzw. sind die desinfizierten der Dateien die Dateien noch fehlerfrei zu laden?
> Mssen die Partitionen neu formatiert werden?

Nach unseren Tests und Anwender Tests kann eine Infektion mit DelWin damit
komplett rckgngig gemacht werden. Hierfr knnen wir Ihnen natrlich keine
Garantie und Produkthaftung geben. Wenn DelWin aus infizierten Dateien und
aus dem MBR gereinigt wurde, ist eine Neuformatierung der Partitionen nicht
notwendig!

> Wie sie in dieser E-Mail schreiben, brauch man ja den MBR-Killer nur auf einer
> Partition ausfhren. Wie ist es jedoch mit dem Programm Delwin Killer?
> Dieser muss doch eigentlich auf allen Partitionen einzeln ausgefhrt werden,
> oder? Bei einer primren Partition und eine oder mehrer logische Partitionen ist
> dies noch ganz einfach. Wenn jedoch der Bootmanager deinstalliert wurde, kommt
> man ja an die anderen primren Partitionen nicht mehr heran.
> Ist dies soweit richtig???

Richtig. DelWin muss fr jedes _logische_ Laufwerk seperat gestartet werden.
Wenn Sie z.B. Ihre Festplatte 0 in vier logische Laufwerke aufgeteilt  haben
(C,D,E,F) dann mssen Sie pro Laufwerk K_DelWin starten.

Wenn  ein Boot-Manager  installiert ist,  muss bei  Verwendung von  MBR-Kill
dieser deinstalliert werden. MBR-Kill liest nur die Partitionstabelle  Ihres
Bootmanagers (durch  den aktiven  DelWin Virus)!  und schreibt  anschlieend
einen sauberen, universellen, virenresistenten MBR Lader zurck.

> Werden eigentlich beim Ausfhren von MBR-Kill alle Partitionsbegrenzungen
> aufgehoben oder muss man seine Festplatte neu im BIOS anmelden???
> """Zerstren"""" die Programme Delwin Killer bzw. MBR-Kill irgend etwas???

MBR-Kill "zerstrt" den MBR Lader, lsst aber die Definition der
Partitionstabelle unangetastet. Sprich die Partitionsbegrenzungen OHNE
Bootmanager gelten dann wieder.


__________ ________    ____________________   ___________      _____________
\______   \\_____  \  /   _____/\_   _____/  /   _____/  \    /  \_   _____/
 |       _/ /   |   \ \_____  \  |    __)_   \_____  \\   \/\/   /|    __)_
 |    |   \/    |    \/        \ |        \  /        \\        / |        \
 |____|_  /\_______  /_______  //_______  / /_______  / \__/\  / /_______  /
        \/         \/        \/         \/          \/       \/          \/

 -------------------------------------=-----------------------------------
     ROSE SWE                           See ROSEBBS.TXT for
     Dipl.-Ing. Ralph Roth              full address, FAX and PGP keys.
     http://come.to/rose_swe
     rose_swe@hotmail.com               All Rights Reserved!
 -------------------------------------=-----------------------------------


/* ende */

