
FAQ
der FidoNet-Area
VIRUS.GER
(C) Copyright 1994 by Martin Rsler

Autor           : Malte Eppert
berarbeitung   : Martin Rsler
Version         : 2.1
Datum           : 17.11.1994


INHALTSVERZEICHNIS
==================

1.      Sinn der FAQ

2.      Arten gefhrlicher/strender Programme

   2.1.    Trojanische Pferde, "Trojaner"
   2.2.    Logische Bomben
   2.3.    Viren
   2.4.    Wrmer
   2.5.    Witzprogramme

3.      Virenarten auf MS-DOS-Rechnern

   3.1.    Klassifizierung nach Art des infizierten Wirtscodes

      3.1.1.  Boot- und Partition Table-Viren
      3.1.2.  File-Viren (Link-Viren)
      3.1.3.  Companion-Viren
      3.1.4.  Filesystem-Viren
      3.1.5.  Multipartite Viren

   3.2.    Klassifizierung nach Art und Weise der Infektion

      3.2.1.  "Direct action"-Viren
      3.2.2.  TSR-Viren in verschiedenen Variationen

   3.3.    Klassifizierung nach speziellen Tricks, Antivirus-Software zu
           umgehen

      3.3.1.  Stealth-Viren
      3.3.2.  Selbstverschlsselnde und polymorphe (mutierende) Viren
      3.3.3.  Tunnelnde Viren

4.      Arten von Antivirusprogrammen und ihre Funktion

   4.1.    Monitor-Programme (residente Wchter)
   4.2.    Scanner
   4.3.    Integrity Checker

5.      Infiziert! Was tun?

   5.1.    Generelle Hinweise
   5.2.    Vorgehensweise
   5.3.    Desinfektion von Stealth-Viren

6.      Hufig auftretende Fragen und ihre Antworten

   FRAGE  1: "Was ist eine ANSI-Bombe ?"
   FRAGE  2: "Ich habe den Liberty-II-Virus, aber nur der Scanner
              VIRX findet ihn!"
   FRAGE  3: "Ich habe lauter 71-Byte-Dateien in meinen
              Verzeichnissen. Was ist das?"
   FRAGE  4: "Wo gibt es eine Informations-Sammlung ber
              bekannte Viren?"
   FRAGE  5: "Ich habe einen Virus aus einem Programm gekillt.
              Trotzdem findet mein Scanner ihn nach der Ausfhrung
              aktiv im Speicher!"
   FRAGE  6: "Was ist heuristisches Scannen?"
   FRAGE  7: "Kann ein Virus Hardware beschdigen?"
   FRAGE  8: "Kann ein Virus einen Schreibschutz umgehen?"
   FRAGE  9: "Kann ein Virus sich ins CMOS-RAM einnisten?"
   FRAGE 10: "Gibt es einen harmlosen oder sogar gutartigen
              Virus?"
   FRAGE 11: "Welches ist das beste Antivirusprogramm?"
   FRAGE 12: "Mein Scanner findet einen Virus aktiv im Speicher,
              kann ihn aber nirgends in einer Datei oder in einem
              Bootsektor entdecken!"
   FRAGE 13: "Kann ein Virus durch DIR A: oder sonstiges Nur-
              Lesen einer Diskette aktiv werden?"
   FRAGE 14: "Warum sollen Original-Archive von
              Antivirusprogrammen, die mit sogenannten Security-
              Envelopes gepackt wurden, nicht umgepackt werden?"
   FRAGE 15: "Woher bekomme ich die neueste Antivirus-Share-
              und Freeware ?"
   FRAGE 16: "Knnen Bootsektor-Infektoren wie 'Stoned' auch
              Disketten infizieren, von denen man nicht booten
              kann?"
   FRAGE 17: "Kann ein Virus Daten-Dateien infizieren?"
   FRAGE 18: "Knnen Viren von einem Computertyp auf den
              anderen berspringen, also z.B. vom Amiga auf den
              PC?"
   FRAGE 19: "Stimmt es, da man Viren nicht desinfizieren
              sollte?"
   FRAGE 20: "Kann ich Virenbefall dadurch verhindern, da ich
              keine Shareware/PD und keine Spiele benutze?
   FRAGE 21: "Was ist ein Dropper?"
   FRAGE 22: "Reicht ein Warmstart aus, um einen Virus aus
              dem Speicher zu verbannen?"
   FRAGE 23: "Wie mache ich mir eine Bootdiskette fr den
              Notfall?"
   FRAGE 24: "Der 'Wunder-Befehl' FDISK /MBR killt einen
              Virus, den ich im MBR mit einem Scanner gefunden
              habe, nicht. Wieso?"
   FRAGE 25: "Mein Rechner zeigt bei CHKDSK pltzlich weniger
              Gesamtspeicher an. Was ist das?"
   FRAGE 26: "Welches ist die neueste Version von McAfee's
              SCAN?"
   FRAGE 27: "Ich habe einen vermutlich neuen Virus entdeckt.
              Wohin schicke ich eine befallene Datei zur
              Untersuchung?"
   FRAGE 28: "Was ist 'MtE'?  Was ist der 'DAME-Virus'? Was ist
              'Mut'?"
   FRAGE 29: "Mein System konnte pltzlich nicht mehr von
              Harddisk booten. Ein Scannen ergab, da ich auf
              meinem System einen MBR-Virus hatte. Als ich diesen
              entfernen wollte, war pltzlich ein anderer da (!),
              und nachdem ich diesen seinerseits entfernen wollte,
              war es wieder der erste. Wieso bekomme ich die beiden
              Viren nicht weg?
   FRAGE 30:  Kann mein Rechner infiziert werden, obwohl ich keine fremden
              Programme installiere ?
   FRAGE 31:  Kann man mit den heutigen AV-Programmen einen 100%igen
              Schutzschild aufbauen ?
   Frage 32:  Kann man sich durch Computer-Faxe einen Virus einhandeln ?
   Frage 33:  Ist es ratsam einen Virus mit einem Killer zu entfernen, oder
              soll man lieber die Festplatte neu formatieren und alle
              Programme neu installieren ?
   Frage 34:  Welcher Virenkiller rettet mglichst viele Programme und ist zu
              empfehlen ?
   Frage 35:  Gibt es schon Viren, die unter OS/2 laufen ?
   Frage 36:  Bei AV Programmen wird zwischen privater und kommerzieller
              Nutzung unterschieden. Wie sieht das bei teilweise
              geschftlich genutzten Rechnern aus ?
   Frage 37:  Ist bekannt, ob es Viren gibt, die den BIOS Virenschutz
              umgehen knnen ?
   Frage 38:  Was mu man beachten, wenn man Programme kauft, Daten
              austauscht ?
   Frage 39:  Kann es passieren, das Viren auf CD-ROMs sind ?
   Frage 40:  Gibt es Mglichkeiten, das Beschreiben seiner Festplatte
              unmglich zu machen, wenn man es nicht will ? So in etwa
              wie bei Disketten, wenn man den Schreibschutz aktiviert.
   Frage 41:  Weshalb programmiert jemand Viren, was hat er davon ?
   Frage 42:  Gibt es Programme, die auch Archive (ARJ, ZIP, ZOO usw.) und die
              darin enthaltenen Programme untersuchen und ggf. Viren aus
              diesen Archiven entfernen ?
   Frage 43:  Was taugen Shareware AV-Programme ?
   Frage 44:  Wen kann man fr Virenschden haftbar machen ?
   Frage 45:  Ich habe stndig wieder den Michelangelo auf der
              Festplatte, obwohl ich ihn schon 100 mal gefunden und
              entfernt habe. Ist mein AV-Programm eventuell nicht so gut
              ? P.S.: Habe auch alle Disketten gereinigt !
   Frage 46:  Knnen Computerabstrze dazu fhren, da Viren entstehen ?
   Frage 47:  Wie sicher ist die regelmige berprfung der Programmgre als
              Virencheckmethode ?
   Frage 48:  Kann man infizierte Disketten mit dem normalen DOS-Format-Befehl
              wieder clean bekommen ?
   Frage 50:  In letzter Zeit hrt man nicht mehr viel von neuen Viren, ist
              die Gefahr nun geringer geworden ?
   Frage 51:  Ab wann sollte man AV-Programme erneuern (Update) ?
   Frage 52:  Gibt es schon Virenprfprogramme fr UNIX ?
   Frage 53:  Gibt es AV-Programme, die Tapes lesen knnen ?
   Frage 54:  Knnte man wenigstens theoretisch ein Programm so programmieren,
              da es sich selbst schtzt oder von Computerviren gar nicht
              befallen werden kann ?
   Frage 55:  Gibt es Scanner die Viren erkennen knnen, die mit der
              Mutation Engine geschrieben wurden ?
   Frage 56:  Gibt es fr OS/2 V2.x ein Antivirenprogramm ?
   Frage 57:  Findet man Viren auch in gepackten Dateien ?
   Frage 58:  Wie bekommt man Norton Antivirus auf den neuesten Stand, oder
              wo bekommt man Updates fr Antivirenprogramme ?
   Frage 59:  Wie sicher ist der Virussafe von PC Tools 8.0 ?
   Frage 60:  Ein Virus hat eine Datei zerstrt, kann ein Antivirenprogramm
              den Virus entfernen und dabei die Datei reparieren ?
   Frage 61:  Gibt es wirkungsvolle Manahmen, um den Bootsektor zu schtzen ?
   Frage 62:  Worauf mu man bei Antivirenprogrammen in Verbindung mit
              Netzwerken achten ?
   Frage 63:  Nach der Installation meines Antivirenprogramms laufen andere
              Anwendungen nicht mehr, was soll ich tun ?
   Frage 64:  Wie erklrt es sich, da AV-Programme unterschiedlich
              reagieren ? Mit lterer McAfee-Version habe ich einen Virus
              gefunden, mit einer neueren nicht mehr.
   Frage 65:  Reichen die AV-Programme, die im Betriebssystem vorhanden
              sind, oder braucht man noch andere ?
   Frage 66:  Worauf mu man beim Kauf von AV-Programmen achten ?
   Frage 67:  Lohnen sich berhaupt Antivirenprogramme ? Es kommen doch
              stndig neue Viren auf den Markt.
   Frage 68:  Wenn man Originaldisketten kauft, die Viren enthalten, wie
              kann man gegen den Hersteller vorgehen ?
   Frage 69:  Warum sind die Antivirenprogramme fr PS's so teuer ? Fr
              Amiga-Rechner sind die fast kostenlos.
   Frage 70:  Knnen Viren berleben, wenn man die Festplatte neu formatiert ?
   Frage 71:  Stimmt es, da die Firmen, die Virenschutzprogramme
              herstellen, auch selbst Viren in Umlauf bringen ?
   Frage 72:  Beim Update von DOS 6.2 erscheint die Meldung: "Bootsector
              might possibly attacked by Virus; continue (y/n) ?". Ist das ein
Virus ?
   Frage 73:  Soll man ein Versicherung gegen Virusbefall abschlieen ? Fr
              mittelstndische Betriebe wre doch eine Versicherung gegen
              Datenverlust sinnvoll.


==========================================================================
1.      SINN DER FAQ

Unter FAQ, "Frequently Asked Questions", versteht man gewhnlich eine
Liste hufig gestellter Fragen in einer Echo-Area, die auf diese Weise
kollektiv beantwortet werden. Die FAQ der VIRUS.GER enthlt auer einer
solchen Liste eine Zusammenfassung von wissenswerten Fakten ber
zerstrerische Programme im MS-DOS-Bereich (zu denen ja nicht nur die
Viren zhlen). Auerdem ist ein Glossar vorhanden, in denen Fachausdrcke
kurz erlutert werden.

Die FAQ ist insbesondere an Newcomer gerichtet, und an Leute, die ihr
Wissen ber Computerviren und deren Abwehr ohne tiefergehende
Assemblerkenntnisse erweitern wollen. Sie soll prophylaktisch sogenannte
"dumme" Fragen verhindern helfen, die in der Area regelmig gestellt
werden.

An dieser Stelle richte ich Dank an den Herausgeber der FAQ des
internationalen Internet-Forums "VIRUS-L" fr die inspirierenden Beitrge,
die teilweise als Vorlage fr diese FAQ dienten. Ebenso danke ich auch den
Teilnehmern aller Antivirus-FIDO-Echos, die durch fachliche Beitrge zum
Aufbau dieser FAQ beigetragen haben. Besonderer Dank gilt hier Malte Eppert,
der die Version 1 der FAQ zusammengestellt und eingefhrt hat, sowie Robert
Hoerner und Stefan Kurtzhals, die beide bei der Erweiterung und berarbeitung
der FAQ Version 2 mitgeholfen haben.

Diese FAQ darf im FIDO frei weiterverteilt werden, eine Weiterverwertung,
Wiederverffentlichung oder anderweitige Verarbeitung, auch auszugsweise,
ist allerdings nicht gestattet und bedarf der ausdrcklichen Genehmigung
der Autoren.

Die FAQ wird laufend gepflegt. Falls jemand meint, da Erweiterungen
ntig sind oder auch einen Fehler entdeckt, der kann mir eine Mail schicken:

FIDO:       Martin Rsler 2:2480/149
Internet:   mrj@nemetschek.de


==========================================================================
2.      ARTEN GEFHRLICHER/STRENDER PROGRAMME


Zunchst sollen fnf grundlegende Arten solcher Programme unterschieden
werden. Sicherlich kann man diese auch anders klassifizieren und weitere
Unterarten hinzufgen. Es handelt sich hierbei um das ziemlich grbste
Schema:


2.1.    Trojanische Pferde, "Trojaner"

Ein trojanisches Pferd (kurz: Trojaner) ist ein Programm, welches vorgibt,
eine ntzliche Funktion zu haben, jedoch nach dem Aufruf sein wahres
Gesicht zeigt und sein meist zerstrerisches Werk beginnt.
Trojaner haben nicht die Fhigkeit, sich selber zu vermehren, was sie von
Viren und Wrmern unterscheidet. Die meisten Trojaner sind Programme,
die unmittelbar nach der Ausfhrung aktiv werden und z.B. die Platte
formatieren oder sonstwie Daten durcheinanderbringen.
Eine spezielle Art eines Trojaners ist ein Dropper. Diese Art wird im Punkt
6. unter "FRAGE 21: Was ist ein Dropper?" nher erlutert.


2.2.    Logische Bomben

Eine logische Bombe (kurz: Bombe) ist eine Spezialart eines trojanischen
Pferdes. Bomben sind Programmteile, die in ntzlichen Code eingebettet
sind und aus einem Trigger und einer "Nutzlast" (engl. payload) bestehen.
Ihre zerstrerischen Funktionen werden eine gewisse Zeit lang berhaupt
nicht aufgerufen. Spter, wenn irgend eine Triggerbedingung erfllt ist (z.B.
ist ein bestimmtes Datum erreicht oder das Programm wurde 100 mal
aufgerufen), "explodiert" die Bombe und ruft ihre Zerstrungsfunktion auf.
Im erweiterten Sinn kann man auch den zerstrerischen Teil eines Virus' als
logische Bombe bezeichnen, wenn der Virus auf die Erfllung einer
Triggerbedingung wartet, um dann aktiv zu werden.

Ein Spezialfall einer logischen Bombe ist eine sogenannte ANSI-Bombe.
Diese wird spter unter Punkt 5 nher erklrt.


2.3.    Viren

Ein Computervirus ist ein Programm, welches die Fhigkeit besitzt, sich
nach seinem Aufruf selbstttig an andere ausfhrbare Codefragmente auf
irgendeine Weise "anzuhngen", diese also zu "infizieren". Viren
vervielfltigen sich demnach selbst, was sie von den Trojanern und Bomben
unterscheidet. Dabei mssen sie nicht zwangslufig zerstrerische
Programmteile in sich tragen. Im Gegensatz zum Wurm bentigt ein
Computervirus grundstzlich fremden Code ("Wirtscode"), dessen Ablauf der
Virus durch das Infizieren verndert.

Im Gegensatz zum medizinischen Virus, der schlich ist ("das Virus"),
werden Computerviren umgangssprachlich mit dem mnnlichen Artikel
genannt ("der Virus").


2.4.    Wrmer

Der Begriff "Wurm" existiert in zwei Bedeutungen. Die erste Definition
lautet: "Programm, welches sich innerhalb von Netzwerken selbst
vervielfltigt und Rechenzeit stiehlt". Dies geschieht z.B. auf vernetzten
Mainframes durch Prozegabelung.

Die von mir bevorzugte Bedeutung des Wortes lt sich so umschreiben: Ein
Wurm ist ein Programm, welches sich selbst vervielfltigt, jedoch dabei
keinerlei Wirtscode infiziert. (Ein Beispiel wre ein Programm WURM.COM,
welches Befehle enthlt, sich selbst auf alle vorhandenen Laufwerke in die
aktiven Verzeichnisse zu kopieren.) Wrmer knnen somit nicht Bestandteil
anderer Programmablufe werden und sind wohl nur dann eine Gefahr,
wenn sie auf Multitaskingsystemen selber eine andere Task erzeugen und
sich darin auch selber aktivieren knnen, da sonst immer der Mensch an der
Verbreitung eines Wurms beteiligt sein mu, indem er ihn startet. An dieser
Stelle laufen die beiden Bedeutungen wieder zusammen.


2.5.    Witzprogramme

Der Vollstndigkeit halber seien hier noch die Witzprogramme erwhnt. Sie
sollen lediglich jemanden erschrecken und/oder zur allgemeinen Belustigung
dienen, ohne schdlich zu sein oder sich selbst zu vermehren. Meist fngt der
Computer nach dem Aufruf eines Witzprogramms irgendwann an, eine
Melodie zu spielen oder etwas Ungewohntes auf dem Bildschirm zu zeigen.
Aber Vorsicht! Alle Symptome von Witzprogrammen knnten auch von
einem Virus oder einem Trojaner stammen. Zumindest bekommt man aber
einen gehrigen Schreck oder richtet in Panik hinterher sogar tatschlichen
Schaden an.



==========================================================================
3.      VIRENARTEN AUF MS-DOS-RECHNERN


In der MS-DOS-Welt gibt es verschiedene Virenarten. Diese werden daran
unterschieden, welchen Code eines MS-DOS-Systems sie infizieren, auf
welche Art eine Infektion stattfindet und welche Tricks die Viren benutzen,
um Antivirus-Software zu umgehen. Folgende Arten kann man
unterscheiden:



==========================================================================
3.1.    Klassifizierung nach Art des infizierten Wirtscodes

3.1.1.  Boot- und Partition Table-Viren

Diese Sorte Viren benutzen den sogenannten Bootsektor als Wirt, in den sie
sich einklinken. Der DOS-Bootsektor ist der erste _logische_ Sektor einer
Diskette oder Partition auf Harddisk. Er enthlt ein kurzes Programm,
anhand dessen DOS das Betriebssystem laden kann, wenn die Partition bzw.
Diskette bootfhig ist. Dieses Programm wird nun von einem
Bootsektorvirus entweder an eine andere Stelle des Datentrgers kopiert,
whrend der Virus den Bootsektor berschreibt und eine Referenz auf das
Original-Bootprogramm erstellt, oder es wird Code im Original-
Bootprogramm umgepatcht, so da beim Booten zuerst der Viruscode
ausgefhrt wird und dieser hinterher zum Originalprogramm rckverzweigt.
Ein Beispiel fr diese Virenart ist z.B. der FORM-Virus. Die meisten lassen
sich durch Verwendung des SYS-Befehls entfernen/deaktivieren.

Viele Viren, die auf Diskette den Bootsektor befallen, infizieren auf der
Harddisk nicht den DOS-Bootsektor, den jede Partition besitzt, sondern den
Master-Boot-Record, im Sprachgebrauch "Partition Table", der sich auf dem
ersten physikalischen Sektor der Harddisk befindet. Die Partitionstabelle,
welche die Daten ber die einzelnen Plattenpartitionen enthlt, ist jedoch
nur ein Teil des MBR (Master-Boot-Records). Der MBR enthlt zustzlich
ein kleines Programm, welches direkt vom BIOS her aufgerufen wird und
den Rechner auf das Booten des eigentlichen Betriebssystems vorbereitet,
indem es ihm z.B. anhand der Partition Table mitteilt, von welcher Partition
das Betriebssystem gebootet werden soll. Dieses Programm wird nun von
einem MBR-Infektor ebenfalls entweder verschoben und ersetzt, oder
teilweise umgepatcht. Viren, die so verfahren, zhlen im Sprachgebrauch
ebenfalls zu den Bootsektor-Viren. Bekannte Beispiele sind Stoned,
Michelangelo und Pakistani Brain.

Eine generelle Entfernungsmethode fr diese Viren ist der undokumentierte
Befehl "FDISK /MBR" von DOS 5, welches auch auf Versionen mit
niedrigerer Versionsnummer funktioniert. Besser ist es jedoch, eine Kopie
des MBR, die man noch im uninfizierten Zustand erstellt hat,
zurckzufahren.

Es gibt auch Viren, die den MBR anders als hier beschrieben infizieren. Sie
verndern z.B. nur Teile des originalen MBR-Codes, legen fr sich selbst eine
neue Partition in der Partition Table an, von wo aus sie dann weiterbooten
lassen oder codieren den gesamten MBR samt Partition Table, so da dieser
nur bei geladenem Virus lesbar ist. ber diese Viren kann man im
Fragenteil unter der FRAGE 24 nachlesen.

Interessant ist ebenfalls die Mglichkeit, da durch eine Doppelinfektion mit
einem MBR-Virus ein System nicht bootfhig wird und man die beiden Viren
teilweise auch nicht mehr mit einem Viruskiller entfernen kann. Nheres
hierzu steht im Fragenteil unter der FRAGE 29.

3.1.2.  File-Viren (Link-Viren)

Die File-Viren sind die mit Abstand hufigsten Viren im MS-DOS-Bereich.
Ihre Art, sich zu vermehren, besteht darin, sich in ausfhrbare Dateien auf
Datentrgern in irgendeiner Form hineinzuklinken. Dabei mssen Link-
Viren beachten, ob es sich um COM- oder EXE-artige Dateien handelt, da
die beiden Arten ausfhrbarer Dateien eine grundverschiedene logische
Struktur aufweisen. Es gibt einige verschiedene Mglichkeiten, ausfhrbare
Dateien zu infizieren:

 a) Overwrite-Viren

Diese primitivste Virenart berschreibt schlicht und ergreifend einen Teil
des "Opfers", so da der Viruscode beim Aufruf ausgefhrt wird, das
Programm jedoch nicht mehr funktionsfhig ist. Weil derartige Viren auf
keine Lauffhigkeits- und Kompatibilittsaspekte Rcksicht zu nehmen
brauchen, knnen sie extrem kurz gehalten werden - der krzeste, bekannte
Overwrite-Virus ist ganze 30 Bytes lang. Die Dateilnge von befallenen
Dateien ndert sich durch die Infektion nicht. Diese Viren sind
verstndlicherweise sehr leicht zu entdecken; eine "Desinfektion" der
befallenen Dateien ist jedoch nicht mehr mglich. An dieser Stelle kann nur
ein gutes Backup weiterhelfen.

 b) Append-Viren

Die meisten File-Viren gehen nicht so rde mit dem Code ihres Wirtes um.
Sie hngen sich entweder an die bestehende Datei an oder schreiben sich
selbst vor den Code ihres Opfers. Meist wird der Startpunkt ("Entry Point")
des Wirtsprogramms gepatcht, so da zuerst der Virus, danach das
Programm ausgefhrt wird. Die Dateilnge befallener Dateien ndert sich,
auch wenn dies dem Benutzer verborgen bleiben kann (siehe "Stealth-Viren").
Solche Viren werden nicht immer gleich entdeckt, da sie - mehr oder weniger
gut - darauf bedacht sind, den Befall so unauffllig wie mglich zu gestalten,
indem das Wirtsprogramm hinterher ganz normal ausgefhrt wird. Durch
schlechte Programmierung/Bugs/"Inkompatibilitten" mit manchen
Techniken von Wirtsprogrammen jedoch gelingt das aber nicht immer. In
diesem Fall werden Wirtsprogramme korrumpiert, auch wenn der Virus
vielleicht nicht unbedingt dazu geschaffen wurde, Zerstrung anzurichten.
Bekannte Beispiele fr Append-Viren sind "Cascade/1704/BlackJack",
"Jerusalem", "Yankee Doodle", "Vienna" und "Vacsina".

 c) Slack-Area-Viren

Eine besondere Art, Files zu infizieren, ist die Technik, den Viren-Code
hinter das Programm in die sogenannte Slack-Area zu kopieren. Die Slack-
Area ist der Bereich des letzten logischen Sektors einer Datei, die nicht mehr
von den Daten dieser Datei belegt wird. Ist die Sektorgre auf einem
Medium z.B. 1024 Bytes und eines der dortigen Programme hat 1025 Bytes
Lnge, so belegt es zwangsweise 2 Sektoren, wobei jedoch nur das erste Byte
des zweiten Sektors wirklich belegt ist, der Rest ist "Slack-Area". Kopiert
sich ein Virus nun in diesen Bereich und erstellt Referenzen auf sich selbst
im Header der befallenen Datei, so ist kein Lngenzuwachs der Datei durch
die Infektion sichtbar.

Diese Viren sind nicht ungefhrlich, weil sie in vielen Fllen korrupte
Programme und querverkettete Dateien ("cross-linked files") erzeugen. Ist
die Slack-Area eines Opfers nmlich zu klein fr den Virus, so belegt dieser
auf dem Medium auch noch den nchsten Sektor, ohne da dafr jedoch ein
Eintrag in die FAT erfolgt. Ist oder wird dieser Sektor nun legitimerweise
von einer anderen Datei belegt, so entsteht ein querverketteter Sektor, und
das Wirtsprogramm ist nicht mehr startfhig, da der Viruscode
berschrieben wurde.

hnliches passiert hufig bei einer anderen verwendeten Technik, die
manchmal als "Zerohunting" bezeichnet wird (nach dem ZeroHunt-Virus, der
sie verwendet). Solche Viren suchen innerhalb von Wirtsfiles nach Ketten
gleicher Characters (gewhnlich nach Nullen) und berschreiben diesen
Bereich, wenn er lang genug ist, mit ihrem Code. Aufgrund des Crosslinkens
von Dateien und Korrumpieren von Wirtsprogrammen sind diese Viren oft
schnell zu entdecken.
Ein Beispiel fr einen Slack-Area-Virus der zweiten Art ist "DarthVader".
Fr die erste Art fllt mir auf Anhieb kein Beispiel ein ;-).

3.1.3. Companion-Viren

Eine bei der Betrachtung von Virenarten hufig bersehene Gattung sind
die Companion-Viren. Diese infizieren ein Wirtsprogramm, indem sie eine
neue, eigenstndig ausfhrbare Datei erzeugen, die nun beim Aufruf
aufgrund gewisser Umstnde vor dem gewnschten Programm ausgefhrt
wird. Sie enthlt den Virus, der hinterher das vom Benutzer gewnschte
Programm aufruft, so da dieser nichts davon mitbekommt, was er da
gestartet hat.Eine beliebte Technik solcher Viren ist es, EXE-Files zu
befallen, indem sie im gleichen Verzeichnis eine versteckte COM-Datei
gleichen Namens erzeugen. COM-Dateien werden von COMMAND.COM her
immer vor gleichnamigen EXE-Files ausgefhrt, so da der Virus beim
Aufruf zuerst aktiv wird.

Ebenso ist es fr solch einen Virus mglich, die PATH-Umgebungsvariable
zu lesen und seine ausfhrbaren Files in ein Verzeichnis zu schreiben,
welches im Pfad eingetragen ist. Auch in diesem Fall wrde der Virus vor
dem Wirtsprogramm gestartet, sofern sich das Wirtsprogramm nicht im
aktuellen Verzeichnis befindet.

Da diese Viren naturgem das eigentliche Wirtsfile vllig unangetastet
lassen, ist es nicht immer leicht, solch einen Virus zu entdecken.
Insbesondere Prfsummen-Software, die alle bisher genannten Viren (bis
auf die Slack-Area-Viren der ersten Art) finden wrde, wrde an dieser
Stelle keine Vernderungen der Datei bemerken. Gute Integrity Checker
testen auch auf das Vorhandensein von Companion-Viren.
Ein Beispiel fr einen Companion-Virus ist "Little Brother".

3.1.4.  Filesystem-Viren

Diese Virenart benutzt eine besonders tckische Methode, ein System zu
infizieren, die bislang ausschliesslich vom DIR-II/MG Series II/Creeping
Death-Virus und seinen Varianten ("CD..") und Nachfolgern (DIR-3,...)
benutzt wird. Die verwendete Technik lt DIR-II zugleich in die Gattung
der Stealth-Viren fallen.

Wird der Virus das erste Mal ausgefhrt, nistet er sich resident in den
Speicher ein, und zwar als Bestandteil des Betriebssystems, so da kein
verrterischer Eintrag eines neuen TSRs in eine TSR-Liste erfolgt. Der Virus
schreibt sich selber an eine nicht belegte Stelle auf der Harddisk. Nach und
nach verschlsselt er nun die Eintrge aller ausfhrbaren Dateien in der
FAT und kopiert diese in eine von ihm angelegte "virtuelle FAT" fr
ausfhrbare Dateien, whrend er den Original-Eintrag auf sich selbst
umlinkt. Ruft nun der Benutzer ein Programm auf, wird aufgrund des
umgelinkten Eintrags der Virus aufgerufen. Dieser sieht nun in seiner
"virtuellen FAT" nach, welches Programm der Benutzer starten wollte, und
ldt nun dieses von der Harddisk in den Speicher, wo es gestartet wird.
Der Benutzer merkt von alledem nichts: Solange der Virus im Speicher ist,
sehen alle Verzeichnisse und Eintrge vllig normal aus. Bootet man jedoch
von sauberer Diskette und schaut sich ein Verzeichnis auf der Harddisk an,
so haben alle ausfhrbaren Dateien die Lnge 1024 Bytes. Startet man
CHKDSK, werden alle diese Dateien als querverkettet gemeldet, und sehr
viele verlorene Cluster werden gefunden.

Dieser Virus ist so aggressiv, da er sich, einmal resident, bei bloen
Lesezugriffen auf nicht schreibgeschtzte Disketten kopiert und dort in
gleicher Weise verfhrt. Es gibt allerdings eine einfache, wenn auch geniale
Methode, ihn loszuwerden, indem man ihn gewissermaen gegen sich selbst
ausspielt. Diese Methode ist fr viele Stealth-Viren anwendbar und ist unter
dem Punkt "Stealth-Viren" beschrieben.

3.1.5.  Multipartite Viren

Viren, die mehrere der bisher genannten Techniken zugleich ausnutzen, also
z.B.  Companion-Viren sind, sich aber unter bestimmten Umstnden auch
an Files anhngen, werden englisch "multipartite" genannt. Ein Beispiel
dafr ist "Tequila", der sowohl den MBR als auch EXE-Files befllt.



==========================================================================
3.2.    Klassifizierung nach Art und Weise der Infektion

3.2.1.  "Direct action"-Viren

Diese Sorte Viren installiert sich beim Aufruf nicht resident im Speicher,
belegt also auch keinen Speicherplatz. Vielmehr durchsucht der Virus direkt
beim Anstarten die Laufwerke und Verzeichnisse, fr die er programmiert
wurde, nach Wirtsdateien und klinkt sich in diese ein. Danach luft das
Programm, was eigentlich gestartet werden sollte, ganz regulr an. Solche
Viren brauchen keine Interruptvektoren zu verbiegen und sind von einigen
residenten Wchterprogrammen (siehe 4.1., "Monitore"), die nur
Interruptvektoren kontrollieren, nicht zu entdecken. Sie verraten sich aber
oft durch lange Zugriffszeiten auf sonst recht schnell aufgerufene
Programme, weil das Suchen nach Wirtsdateien mitunter lange dauert.
"Direct-action"-Infektoren knnen keine herkmmlichen Stealth-Techniken
ausnutzen, weil dazu ein Virus resident im Speicher sein mu.
Beispiele fr "Direct-Action"-Viren sind der "Brainslayer/Slayer/5120"-Virus
sowie praktisch alle Viren mit einer Gre unter 100 Bytes.

3.2.2.  TSR-Viren in verschiedenen Variationen

TSR-Viren zeichnen sich dadurch aus, da sie sich resident im Speicher
installieren. Hierzu werden entweder Interruptvektoren verbogen
("Interrupt-Hooking"); oder der Virus deklariert sich als Bestandteil des
Betriebssystems selbst.

Es gibt verschiedene Pltze im Speicher, wo sich Viren einnisten. Manche
installieren sich als TSR im normalen Speicher zwischen 0 und 640 kB.
Diese kann man mit Speicher-Map-Utilities wie z.B. MEM von DOS
entdecken. Andere suchen nach nicht verwendeten Speicherbereichen im
DOS-Kernel oder anderen residenten Programmen und kopieren sich dort
hinein. Diese verndern die Gre des freien Speichers nicht, wodurch sie
schwierig zu finden sind. Die dritte Sorte setzt den TOM-Zeiger herunter, der
die Obergrenze des DOS-Speichers angibt, und installieren sich in den
Bereich, der fr DOS nicht mehr vorhanden zu sein scheint. Diese Technik
wird fast ausschlielich von Bootsektor-Viren verwendet. Man erkennt den
fehlenden Speicher daran, da beim CHKDSK fr den "Konventionellen
Arbeitsspeicher" nicht mehr 655360 Bytes, sondern ein niedrigerer Wert
angezeigt wird. Dies ist aber noch kein sicheres Zeichen fr eine Bootsektor-
Infektion, da manche Rechner diesen Bereich als Stack-Bereich benutzen.
Trotzdem sollte man in diesem Fall sehr vorsichtig sein.

Eine weitere Mglichkeit fr TSR-Viren ist, sich resident in sogenannte
UMBs oder in die HMA zu installieren. Aus diesem Grunde sollte man diese
Speicherbereiche immer mitscannen. Die meisten Scanner besitzen dafr
Kommandozeilenparameter.

Viren, die sich resident im Speicher befinden, knnen ihre potentiellen Wirte
auf andere Weise attackieren als "Direct-action"-Infektoren. So knnen sie
z.B. gewisse Stealth-Techniken ausbeuten (siehe 3.3.1., "Stealth-Viren"). Die
meisten warten darauf, da der Anwender eine potentielle Wirtsdatei
startet, um sie im selben Moment zu infizieren. Oft wird dabei der "Critical-
Error-Handler" von DOS ersetzt, damit bei milungener Infektion (z.B.
aufgrund eines Schreibschutzes bei Disketten) keine Fehlermeldung
erscheint.

Es gibt aber auch TSR-Viren, die jede aus irgendeinem Grunde geffnete
ausfhrbare Datei infizieren, oder z.B. schon beim Lesen eines
Verzeichnisses darin vorhandene Wirtsdateien infizieren. Diese Virenart
wird "Fast Infector", "schneller Infektor" genannt, weil sie sich mit rasanter
Geschwindigkeit in infizierten Systemen verbreitet. Scannt man zum
Beispiel die Platte mit einem Scanner, der den Virus nicht im Speicher
erkennt und den Scan-Vorgang daher nicht abbricht, so wird durch das
Scannen jede gescannte Datei infiziert!
Ein Beispiel fr einen "Fast Infector" ist "Dark Avenger", der nach seinem
Programmierer benannt wurde.

Eine weitere Variante von TSR-Viren sind die "slow infectors", die
"langsamen Infektoren". Ihre groe Gefahr liegt darin, da sie selbst einen
sonst narrensicheren Schutzmechanismus eines Integrity Checkers (siehe
4.3., "Integrity Checkers") umgehen knnen. Diese Viren infizieren eine
Wirtsdatei nur dann, wenn der Benutzer absichtlich in diese Datei schreibt
oder sie z.B. durch Kompilation neu erzeugt. Dadurch knnen
Vernderungen ausfhrbarer Dateien nicht mehr als illegitim erkannt
werden, weil dem Benutzer ja die  befallene Datei selbst verndert hat.
"Slow Infectors" vermehren sich, wie der Name schon sagt, sehr langsam.
Dem Benutzer fllt das Vorhandensein eines Virus' im System aber dafr
praktisch nicht auf.
Ein Beispiel fr einen "Slow Infector" ist "Starship".



==========================================================================
3.3.    Klassifizierung nach speziellen Tricks, Antivirus-Software zu umgehen

3.3.1.  Stealth-Viren

Als "stealth" werden eine Gruppe von Viren bezeichnet, die Benutzern eines
infizierten Systems vortuschen, sie wren gar nicht im System. Sie tarnen
sich gewissermaen vor Antivirussoftware, die Vernderungen an Dateien
oder Dateieintrgen wahrnehmen soll. Ein Verzeichnis, was sich ein
Benutzer mit DIR ansieht, zeigt berhaupt keine Vernderungen der
Dateien, und auch Checksummenprogramme erkennen keinerlei
Modifikation, weil ein Stealth-Virus Zugriffe auf von ihm befallene Dateien
registriert und jedem zugreifenden Programm eine nicht infizierte Datei
vorgaukelt. Diese Technik verwenden z.B.  File-Infektoren wie
"4096/Frodo/100 Years" und "Tequila". Effektiv programmierte Arten solcher
Stealth-Viren lassen sich von Scannern tatschlich nur noch im Speicher
entdecken.
Ebenso interessant ist die Technik eines der ltesten Bootsektor-Viren,
"Pakistani Brain", Zugriffe auf einen von ihm befallenen Bootsektor nicht
zuzulassen. Auch Bootsektoren knnen also stealth sein.
Eine weitere Stealth-Technik ist diejenige von "DIR-II", wie sie unter 3.1.4.
beschrieben ist. Auch hier lenkt ein residenter Virus Zugriffe auf Dateien
um, jedoch auf Ebene des Verzeichniseintrags und nicht auf Dateiebene.

Eine verwandte Technik, die jedoch nicht unter "stealth" fllt, ist das
Verschlsseln von zum Beispiel DBF-Dateien. Nehmen wir als Beispiel den
DBASE-Virus: DBF-Dateien werden vom Virus bei der ersten Infektion des
Systems verschlsselt. Der Benutzer bemerkt dies jedoch berhaupt nicht,
solange der Virus aktiv im Speicher ist. Findet ihn jedoch jemand und killt
ihn, so sind alle verschlsselten DBF-Dateien wertlos, sofern man nicht den
Schlssel des Virus kennt und mit dessen Hilfe die Dateien wiederherstellen
kann.

Ein Stealth-Virus mu sich fr die hier beschriebenen Stealth-Tricks
resident im Speicher befinden, um Zugriffe auf befallenen Wirtscode
erkennen und umlenken zu knnen. Dieses Umlenken von Zugriffen ist nicht
leicht zu programmieren: Viele Stealth-Viren enthalten Bugs und
korrumpieren so von Zeit zu Zeit das Filesystem des befallenen Systems in
der Form, da Files querverkettet werden.

Angeblich existieren noch weitere Stealth-Tricks, bei denen der Virus nicht
mehr resident zu sein braucht, um den gewnschten Tarnungseffekt zu
erzielen. Ein Beispiel wren die unter 3.2.1. beschriebenen Slack-Area-Viren,
da auch an dieser Stelle keine Vernderung in der Dateilnge und am
Verzeichniseintrag zu bemerken ist. Jedoch wrde ein Checksummer oder
Integrity Checker diese Vernderung sofort bemerken, daher wrde ich die
Slack-Area-Viren nicht unbedingt zu den Stealth-Viren rechnen.

Eine spezielle Desinfektionsmethode fr Stealth-Viren, die ausfhrbare
Dateien befallen, ist im Abschnitt 5.2. beschrieben.

3.3.2.  Selbstverschlsselnde und polymorphe (mutierende) Viren

Selbstverschlsselnde Viren sind ein alter Hut. Schon
"1704/Cascade/BlackJack" verwendet einen variablen Schlssel, mit dem er
seinen virulenten Teil bei jeder Kopie neu codiert. Verbesserungen dieser
Technik sind vorgenommen worden, jedoch war es bis dato immer mglich,
einen Scanner nach der Ver-/Entschlsselungsroutine dieser Viren suchen zu
lassen.
In neuerer Zeit jedoch wurden sogenannte polymorphe Viren programmiert.
Diese vertauschen bei jeder Kopie einen Teil ihres Codes so geschickt mit
einem anderen Teil, da der Virus zwar lauffhig bleibt, jedoch in jeder
Kopie eine andere "Zusammensetzung" hat. Auerdem werden in jeder Kopie
fr gleiche Aufgaben verschiedene Befehlssequenzen verwendet. In
Verbindung mit variabel eingefgten Dummy-Instruktionen entstanden so
Viren, die sich von herkmmlichen Scannern nicht mehr finden lassen, da
schlicht kein Scanstring mehr aus ihnen ableitbar ist. Ein Beispiel fr einen
polymorphen Virus ist der "V2P6", der von Mark Washburn implementiert
wurde.

Seit einiger Zeit gibt es dann die sogenannte "Mutation Engine", kurz MtE,
deren Existenz die Menschheit dem Bulgaren "Dark Avenger" zu 'verdanken'
hat. Die MtE ist ein Programm, welches jeder Virenprogrammierer in seinen
Virus einbinden kann. Sie sorgt dafr, da nicht nur der Virus bei jeder
Kopie mit einem neuen Schlssel aus Billionen Varianten kodiert wird,
sondern verndert innerhalb des Entschlsselungsprogramms die
Instruktionen und ihre Folge in einer Weise, die es einem Scanner unmglich
macht, nach irgend etwas zu scannen. Fast jede neue Kopie des so
implementierten Virus hat einen vollstndig anderen Aufbau und eine
andere Lnge.
Beispiele fr Viren, die die MtE verwenden, sind "Dedicated", "Fear",
"Pogue" und "Coffee Shop". Die Tendenz ist, wie bei allen Viren, steigend.

Ein Nachfolger der MtE ist ebenfalls bereits gesichtet worden. Die TPE, eine
ebensolche 'Mutationsmaschine', erfllt die gleiche Aufgabe mit noch
ausgefeilteren Verschlsselungsmethoden.

Solche polymorphen Viren werden von Scannern nicht mehr mit festen
Bytefolgen oder "wildcard strings" gesucht, sondern mit Hilfe
algorithmischer Untersuchung. Das gescannte Programm wird auf
Techniken hin untersucht, die eindeutig von der MtE oder z.B. dem "V2P6"
stammen. Werden diese Techniken in einem Programm entdeckt, so spricht
der Scanner an. Jedoch ist es extrem schwer, Algorithmen zu schreiben, die
wirklich jeden Aspekt eines polymorphen Virus abdecken. So ist es auch
nicht hundertprozentig sicher, da ein Scanner wirklich alle von der
Mutation Engine erzeugten Mutationen eines Virus aufspren kann.

3.3.3.  Tunnelnde Viren

Mit "tunnelnden" Viren bezeichnet man eine Gruppe Viren, die versuchen,
um residente Monitorprogramme, wie sie unter 4.1. beschrieben sind,
herumzukommen. Diese Programme erkennen unter anderem, wenn illegal
Interrupts aufgerufen werden und warnen dann den Benutzer. Hierzu
belegen sie die berwachten Interrupts und warten auf einen Aufruf, den sie
dann zurckverfolgen knnen. Ein tunnelnder Virus verfolgt nun innerhalb
des Speichers den Weg, den ein Interruptaufruf nehmen wrde, und sucht
auf diese Weise im BIOS nach dem Anfang des Original-Interrupthandlers.
Hat er ihn gefunden, ruft er diese Adresse direkt auf. Dadurch wird das
Wchterprogramm umgangen, und der Virus hat sein Ziel erreicht.

Diese Technik, das sogenannte "Interrupt Tracing", wird von guten
residenten Monitoren mittels spezieller Methoden verhindert. Sehr viele
jedoch knnen so tatschlich umgangen werden.

Inzwischen sind weitere, leider sehr effektive Tunnel-Tricks in Viren
gefunden worden. Drei davon seien hier aufgefhrt: die Benutzung eines
undokumentierten DOS-Calls, der die Einsprungadresse des Interrupt-
Handlers im BIOS frei Haus liefert, das Verwenden des von kaum einem
Monitor berwachten Dateihandles CON und das Ersetzen des Block-
Device-Treibers fr die Laufwerke. Sicherlich sind viele mgliche Tunnel-
Methoden noch gar nicht entdeckt.



==========================================================================
4.      ARTEN VON ANTIVIRUSPROGRAMMEN UND IHRE FUNKTION


4.1.    Monitor-Programme (residente Wchter)

Viren-Monitore belegen als TSRs Speicher des Rechners. Sie "warten" im
Hintergrund auf virentypische Aktivitten auf dem Rechner wie z.B. das
Verndern von ausfhrbaren Dateien, Formatieren von Sektoren, Verbiegen
von Interruptvektoren etc. Der Monitor meldet diese dem Benutzer und fragt
ihn, ob die Aktion legitim ist. Die meisten knnen jedoch durch Interrupt-
Tracing und verwandte Tricks ausgeschaltet werden. Gute Monitore
"tarnen" sich vor solchen Aktionen und haben weitere Kniffen und Sperren
eingebaut, die Stealth-Viren (3.3.1.) und tunnelnden Viren (3.3.3.) das Leben
schwer machen.

Es drfen nie zwei Monitorprogramme zugleich auf einem Rechner
eingesetzt werden, da sie sich gegenseitig ins Gehege kommen!

Beispiele fr Monitorprogramme sind FluShot+, Secure (von Mark
Washburn) und Nemesis.


4.2.    Scanner

Die ursprngliche Philosophie von Scannern war es, befallenen Wirtscode
auf bekannte Scanstrings (Bytesequenzen, die in Viren vorkommen) zu
prfen und Alarm zu schlagen, wenn ein Programm einen solchen Scanstring
enthlt. Scanstrings knnen dabei auch "wildcarded" sein, d.h., sie enthalten
einen oder mehrere Jokerzeichen, so da flexibler auch nach Hacks und
neuen Varianten der Viren gesucht werden kann.

Scanner, die nur mit Scanstrings arbeiten, knnen natrlich nur bereits
bekannte und analysierte Viren finden. Auch ist es fr moderne, polymorphe
Viren (3.3.2.) nicht mehr mglich, einen Scanstring abzuleiten, da jede Kopie
des Virus anders aussieht. Daher erhalten viele Scanner noch
Erweiterungen, die Anstze der Knstlichen Intelligenz oder heuristische
Techniken benutzen, um "virentypischen Code" zu erkennen und so auch
unbekannte Viren aufzuspren. Nhere Informationen kann der Scanner in
solch einem Fall nicht liefern; der Benutzer enthlt z.B. die Meldung, da
dieses oder jenes Programm fhig ist, eine Spur eines Mediums zu
formatieren, einen Verschlsselungsalgorithmus beinhaltet und auerdem
ein nicht standardgemes EXE-Header enthlt. All dieses kann normal
sein; wenn jedoch mehrere Programme auf Festplatte die gleichen derartigen
"Symptome" zeigen, ist Vorsicht geboten - es knnte sich um einen
unbekannten Virus handeln.

Ebenso knnen Scanner "Viren-Killprogramme" enthalten, die befallene
Wirte wieder in den uninfizierten Zustand zurckzuversetzen versuchen,
indem sie den Virus gewissermaen herausschneiden. Diese Technik
funktioniert aber nur vernnftig, wenn der Scanner eine exakte
Variantenidentifikation vornehmen kann. Sehr viele Viren existieren in zig
Varianten, die man bei einer solchen Desinfektion nicht alle ber einen
Kamm scheren darf. Besser ist es daher grundstzlich, ein nichtinfiziertes
Backup zurckzufahren.

Beispiele fr Scanner sind F-PROT (von Fridrik Skulason), SCAN (McAfee),
VIRX (Microcom), TBSCAN (Thunderbyte) und HTSCAN (Harry Thijssen).

Um einen vernnftigen Grad an Sicherheit zu erreichen, mssen mindestens
zwei gute Scanner eingesetzt werden!

Eine spezielle Sorte Scanner sind die residenten oder TSR-Scanner. Diese
werden bei jedem Start oder Kopieren einer ausfhrbaren Datei aktiv und
scannen diese im Speicher. Wird ein Virus gefunden, so wird eine Meldung
ausgegeben, da das soeben ausgefhrte Programm infiziert ist, und das
Programm wird gestoppt. Es handelt sich also um eine Mischung aus
Scanner und residentem Monitor. Ein Beispiel hierfr wre VSHIELD von
McAfee. Solch ein Programm sollte ebenfalls nicht mit einem anderen
residenten Monitor "gemischt" werden.


4.3.    Integrity Checker

Diese Sorte von Antivirenprogrammen sind die Nachfolger der
Checksummenprogramme, mit denen von einem Datenabschnitt
(Bootsektor, Programm, Treiber, Sourcecode, Datendatei...) eine lineare oder
CRC-Prfsumme erstellt wird. Von Zeit zu Zeit wird dann diese Prfsumme
mit einer neu abgeleiteten verglichen und auf diese Weise festgestellt, ob
sich das geprfte Stck verndert hat. Diese Idee ist die Grundlage des
Integrity Checkings und wird von guten Checkern noch wesentlich erweitert.
So kann z.B. fr jede installierte Kopie eines Checkers eine andere Methode
gewhlt werden, wie die Prfsummen erstellt werden, um direkt gegen das
Produkt gerichtete Angriffe zu vermeiden. Auch kann zustzlich ein
Scanner, auch mit heuristischen Fhigkeiten, implementiert werden, der
beim Prfsummenbilden ausfhrbaren Code auf bekannte Viren bzw.
virentypisches Verhalten hin prft. Gute Integrity Checker testen auerdem
noch auf andere Sicherheitslcken in MS-DOS-Systemen wie z.B. dem
Vorhandensein von COM- und EXE-Dateien gleichen Namens, was auf einen
Companion-Virus (3.1.3.) hinweisen knnte.

Mit Integrity Checkern werden mehrere Sicherheitsaspekte zugleich
abgedeckt. So knnen bei korrekter Anwendung (Booten von Floppy!) nicht
nur Viren aller bekannten Arten erkannt werden, sondern auch aus
anderem Grunde korrupte Dateien (z.B. durch alternde Harddisk).
Auerdem knnen bei zumindest einem Integrity Checker Dateien auf
Rechnern, die als "offenes System" von mehreren Benutzern verwendet
werden, vor unbemerkten Manipulationen gesichert werden.

Beispiele fr Integrity Checker sind V-Analyst/The Untouchable (BRM
Technologies) und Integrity Master (Stiller Research).

Abgesehen davon gibt es ein Programm, welches ich fast als residenten
Integrity Checker bezeichnen mchte. Dieses beinhaltet als Monitorfunktion
(4.1.) einen Schutz von ausfhrbarem Code in Echtzeit, und zwar auf
Sektorebene. Sogar Stealth-Viren, die heute bliche Techniken verwenden,
werden von solchen Checkern erkannt, da sie nur auf Dateiebene arbeiten
und einen direkten Sektorschutz nicht erkennen knnen. Um tunnelnde
Viren zu blockieren, wird durch spezielle Tricks das Interrupt Tracing
verhindert; undokumentierte DOS-Calls werden berwacht sowie der eigene
Code gewissermaen im Speicher "versteckt", um Manipulationen zu
verhindern.
Diese innovative Technik ist leider mit vielen Programmen und
Betriebssystem-Aufstzen, die das offene Konzept von DOS in bezug auf
Interrupts intensiv nutzen (z.B. WINDOWS), inkompatibel.
Das Programm heit Nemesis und stammt von Robert Hrner und Christian
Sy.



==========================================================================
5.      INFIZIERT! WAS TUN?


5.1.    Generelle Hinweise

Bei einer kompletten Desinfektion eines befallenen Systems mu folgendes
beachtet werden:

- Keine Panik! Wer sich die Problemlsung nicht zutraut, sollte einen
  Fachmann zu Hilfe nehmen. Das System ein paar Tage stillzulegen ist
  ertrglicher als einen Fehler zu machen, den man in wochenlanger
  Arbeit wieder ausbgeln mu.

- Nie low- oder high-level formatieren! Das wre Overkill. Man kann
  Viren grundstzlich "sanfter" killen. Einzige Ausnahme ist das
  Formatieren einer Diskette bei Bootsektorbefall (nachdem man alle
  Dateien herunterkopiert hat), wenn man sonst keine Hilfsmittel hat.

- Ist der Virus neu bzw. wird von gngigen Scannern nicht erkannt,
  unbedingt eine Kopie des Virus fr einen bekannten Antivirenforscher
  aufbewahren und sie diesem schicken. Der Forscher mu bekannt und
  vertrauenswrdig sein. Auf gar keinen Fall "irgend jemandem" geben!
  Nheres steht im Fragenteil unter der FRAGE 27, "Ich habe einen
  vermutlich neuen Virus entdeckt...".

- Bevor irgendwie am Filesystem herumgedoktort wird, mu der Virus aus
  dem Speicher verschwinden! Dazu mu von sauberer Systemdiskette
  gebootet werden. Auerdem darf kein Programm von der Festplatte
  gestartet werden - auch kein Antivirusprogramm.
  Eine Ausnahme bildet das Killen der meisten Stealth-Viren, die
  Dateien infizieren. Nheres unter 5.3. .

- Niemals vergessen, nach dem Subern der Harddisk auch alle(!)
  Disketten, auch die Originale, zu untersuchen und ggf. zu subern.

- Nochmals: Das Zurckfahren von Dateien eines sauberen Backups ist
  immer besser als das Desinfizieren von Dateien.


Um bei der Desinfektion eines Systems keine Fehler zu machen, sollten
vorher Informationen eingeholt werden, z.B. durch Nachfrage in einem
ffentlichen Echo bzw. Forum. Dazu ist es notwendig, da man folgende
Informationen angibt:

- Was habe ich am Rechner gemacht, als die erste Fehlfunktion auftrat?
- Worin bestand die Fehlfunktion bzw. woran merkte ich, da ich den
  Virus hatte?
- Welche TSRs waren geladen, als die Fehlfunktion auftrat?
- Welches Programm lief gerade?
- Name des Virus, falls bekannt
- Namen und Version des Programms, welches ihn entdeckt hat
- Befallenes Programmobjekt, z.B. Partition Table (MBR)
- Systemkonfiguration: Computertyp, Floppydrives, Speichermenge und
  Konfiguration (extended, expanded etc.), Harddisk-Kodierung
  (MFM, RLL, AT-Bus, SCSI), Hinweis auf Onlinekomprimierer wie Stacker
  und SStor, DOS-Version. Am besten AUTOEXEC.BAT und CONFIG.SYS
  mitposten.


5.2.    Vorgehensweise

Wenn man kein intaktes Backup hat, mu versucht werden, befallenen
Wirtscode zu desinfizieren. Hierzu gibt es gute und schlechte Utilities. Ein
gutes ist z.B. F-PROT von Fridrik Skulason. Bevor mit einem Desinfektor
gearbeitet wird, mu von schreibgeschtzter, virenfreier Systemdiskette
gebootet werden, auf der sich alle notwendigen Programme zum Subern des
Systems befinden!

Eine 100% perfekte Desinfektionsmethode existiert in vielen Fllen nicht. Es
kann auch bei guten Desinfektoren schon mal vorkommen, da Dateien
"kaputtrepariert" werden bzw. den Originalzustand nicht wiedererhalten.
Bei berschriebenem Wirtscode ist Desinfektion z.B. gar nicht mglich.

Infiziert werden knnen alle ausfhrbaren Dateien. Das sind jene, die binr
mit MZ oder ZM beginnen (diese werden wie EXE-Files behandelt), die
gltigen Maschinencode enthalten und krzer als 64k sind (diese werden als
COM-File ausgefhrt), und Batch-Dateien. Gewhnlich haben solche Dateien
folgende Endungen:

COM EXE BAT BTM SYS BIN OV? APP XT? PIF DLL TTF, oder eine Zahlenkombination.

Ausfhrbare Dateien sind oftmals nicht als solche zu erkennen. Man glaubt
es nicht, auch TrueType-Fontdateien von Windows 3.1 beginnen mit MZ! Es
ist daher wohl am besten, nach einer erkannten und beseitigten
Virusinfektion ALLE Dateien nochmals zu scannen oder, besser, auf ihre
Integritt zu berprfen - allein schon deshalb, falls der Virus eine
Zerstrungsfunktion beinhaltet und an irgendeiner Stelle Daten verndert
hat.

Bootsektorviren auf Festplatte wie z.B. der FORM-Virus lassen sich durch
ein simples SYS C: nach Booten von sauberer Diskette killen. Dies
funktioniert bei einem echten DOS-Bootsektorvirus IMMER, solange C: eine
bootfhige Festplatte ist. Falls der Virus noch andere Bootsektoren nicht
bootfhiger Partitionen befllt, sollte man ein Backup dieser Partitionen
ziehen und ihn dann versuchen, mit Hilfe von Desinfektionsprogrammen zu
killen. Ist das nicht mglich, formatiert man diese Partition mit FORMAT
von DOS und fhrt danach das Backup zurck. Besser ist es, vor einem
Virenbefall mit einem vernnftigen Tool die Bootsektoren und den MBR der
Festplatte zu sichern. NORTON's DiskTool ist bei mehreren physikalischen
Festplatten mit Vorsicht zu genieen, er kann eventuell den MBR und die
Bootsektoren der zweiten Platte nicht restaurieren!

Bei Bootsektorbefall von Disketten ist das hnlich einfach, wenn die
Festplatte und der RAM des PCs sauber sind. Bootdisks subert man immer
mit SYS A: (von C: aus). Bei nicht bootfhige Disketten sollte man, wenn
Desinfektoren nicht funktionieren, alle Daten und Verzeichnisse auf Platte
sichern, z.B. mit

   C:> MD TEMP
   C:> XCOPY A:\*.* C:\TEMP /S /E

Danach die Diskette formatieren und dann alle Daten mit XCOPY
zurckkopieren.

Partition Table-Infektionen killt man, indem man von Diskette bootet und
eine vorher mit einem vernnftigen Tool erstellte Kopie des MBR
zurckfhrt :-). Falls man mehrere physikalische Harddisks hat, kann man
dies auch mit der zweiten tun. Ist das nicht mglich, gibt es folgende anderen
Mglichkeiten:

1. Man setzt nach dem Booten von Disk z.B. F-PROT oder einen anderen
   Killer ein, der die Kopie des alten MBRs sucht und zurckfhrt
   (Finger weg von CLEAN.EXE!). Dies sollte zunchst versucht werden.
   Das Killprogramm mu von Diskette gestartet werden!

2. Falls 1. nicht sicher funktioniert, benutzt man den
   undokumentierten Switch von DOS 5's FDISK zum Killen eines Virus
   aus dem MBR der ersten Harddisk:

     A:> FDISK /MBR

   nach dem Booten von einer DOS-5.0-Diskette, auf der sich FDISK
   befindet. Dies rekonstruiert das Masterboot-Programm, lt aber die
   Partition-Table ganz. Der Befehl funktioniert bei einigen seltenen
   exotischen Viren nicht, die die Partition-Daten physikalisch auf
   Platte verschieben, aber hervorragend z.B. bei Stoned, No-Int oder
   Michelangelo.
   FDISK /MBR funktioniert auch dann, wenn die Harddisk nicht mit
   DOS 5 formatiert ist, solange man von einer DOS 5-Diskette bootet.
   Wichtig ist allerdings, da Sie vorher einen Backup Ihrer Festplatte
   machen, denn bei einigen Viren kann es passieren, das nach dem FDISK
   /MBR gar kein Zugriff auf die Festplatte mehr mglich ist.


5.3.    Desinfektion von Stealth-Viren

Wer sich die hier beschriebenen Desinfektionsmethoden nicht zutraut, mu
einen Fachmann zu Hilfe nehmen!

Stealth-Viren, die Files infizieren, kann man meistens mit einem einfachen,
aber wirkungsvollen Trick desinfizieren: mit dem COPY-Befehl von DOS.
Auch Stealth-Viren befallen nmlich nur Programme, die sie als ausfhrbar
erkennen. Praktisch alle tun dies, indem sie nach Dateiendungen wie COM,
EXE, SYS oder hnlichen suchen. Kopiert man nun, WAEHREND DER
VIRUS IM SPEICHER IST, eine infizierte Datei in eine andere Datei auf
Diskette mit einer Endung, die dem Virus nicht signalisiert, da sie
ausfhrbar ist, dann erhlt man eine nicht infizierte Kopie der Datei! Dies
soll am Beispiel erlutert werden:

Ein Benutzer findet beim Scannen den "4096" im Speicher. Ein Boot von
sauberer Systemdiskette mit nachfolgendem Scannen zeigt, da alle *.COM-
und *.EXE-Dateien infiziert sind.


Benutzeraktion                   Verhalten des Virus'
--------------                   --------------------

Booten von Harddisk              geht via COMMAND.COM resident in den
                                 Speicher

COPY \SOME.COM A:\SOME.111
(Datei SOME.COM wird geffnet)   Befallene Datei wird geffnet!
                                 Schnell eine nichtinfizierte
                                 Datei vorspiegeln.

(Datei wird gelesen)             wartet ab...

(Datei wird nach A:\ als         Eine Datei wird geschrieben! Sie
 SOME.111 geschrieben)           endet aber nicht auf COM oder EXE,
                                 also in Ruhe lassen.

Ebenso mit allen anderen COMs    Virus desinfiziert sich selbst, wie
verfahren. Danach alle EXEs      oben beschrieben, von allen kopierten
auf Disketten kopieren, mit      Dateien.
der Endung z.B. *.222 . Am
besten, man legt sich dafr auf
Diskette die gleiche Verzeich-
nisstruktur an wie auf Platte.

Booten von sauberer DOS-Disk     wird dadurch gekillt
und alle COM- und EXE-Dateien
auf C: lschen


Jetzt kopiert der Benutzer COMMAND.COM auf die Festplatte und bootet
danach von C:. Das System fhrt nun hoch, auch wenn von CONFIG.SYS
und AUTOEXEC.BAT geladene TSRs nicht gefunden werden. Anschlieend
werden alle ausfhrbaren Dateien von den Disketten unter dem
Originalnamen in die richtigen Verzeichnisse zurckkopiert. Damit ist der
Benutzer den "4096" los.

Statt dessen kann man auch mit einem Packer arbeiten. Hier ein Beispiel fr
einen ARJ-Aufruf, wenn man ein 1,2MB-Floppylaufwerk als A: hat (Virus mu
sich im Speicher befinden, und viele leere und formatierte Disketten
bereithalten!):

   c:\> arj a a:\execoms *.com *.exe /r /v1200

Dieser Befehl sollte alle COM- und EXE-Dateien in ein Multivolume-Archiv
auf A: packen. Auch hier erkennt der Virus nicht, da die geschriebenen
Daten ausfhrbar sind. Da er sich beim Lesen der Dateien selber versteckt,
wird er nicht mitgepackt.
Nach dem Booten von DOS-Disk und dem Lschen aller ausfhrbaren
Dateien auf C: mu natrlich eine saubere Kopie von ARJ auf der Boot-Disk
sein, die man nach C: kopieren kann, um das Archiv wieder auszupacken ;-).


==========================================================================
6.      HUFIG AUFTRETENDE FRAGEN UND IHRE ANTWORTEN


FRAGE 1:        "Was ist eine ANSI-Bombe ?"

Diese Trojanerart kann in Texten enthalten sein, die teilweise aus ANSI-
Escape-Sequenzen bestehen. Solche Sequenzen kann der ANSI.SYS-Treiber
von DOS oder ein verwandter Treiber "verstehen", sofern er in den Speicher
geladen wurde. Der ANSI-Treiber fngt diese Sequenzen bei Ausgabe an den
Bildschirm (z.B. bei Verwendung des TYPE-Befehls) ab und interpretiert sie.

Viele Programme benutzen ANSI-Sequenzen, um Bildschirmfarben
einzustellen oder auch Melodien zu spielen. Jedoch knnen sie auch
verwendet werden, um eine Taste der Tastatur derart umzudefinieren, da
bei ihrer Bettigung ein ganzer Befehl ausgefhrt wird. Dieser Vorgang
heit "Key-Remapping". Nachdem der entsprechende Text mit TYPE
angesehen wurde, passiert zunchst nichts, bis das nchste Mal die
umgemappte Taste bettigt wird - danach kann der verdutzte Benutzer
zusehen, wie z.B. seine Festplatte formatiert wird.

ANSI-Bomben knnen sehr klein sein. So knnen nicht nur Texte die Trger
funktionsfhiger ANSI-Bomben sein, sondern auch z.B. Labels von
Disketten. Ein simples "DIR A:" reicht in diesem Fall aus, um die Bombe
"scharfzumachen"!

Es existieren bereits Programme, die diese Bomben finden und vernichten
sollen. Jedoch gibt es wesentlich effizientere Lsungen zu ihrer Abwehr. Man
braucht z.B. den ANSI.SYS-Treiber von DOS gar nicht erst zu verwenden,
wenn man ihn nicht unbedingt braucht (Terminalprogramme bentigen ihn
NICHT!). Statt dessen gibt es Shareware-Clones von ANSI.SYS, die Key-
Remapping nicht zulassen. Man kann auch ein Filterprogramm (z.B.
PKSFANSI) benutzen, welches die entsprechenden Sequenzen herausfiltert
und deaktiviert.

Die eleganteste Lsung ist das Patchen von ANSI.SYS, da das Key-Remap-
Feature dadurch nicht vllig abgeschaltet wird. Hierzu eine kurze Anleitung
fr den ANSI.SYS von MS-DOS 5:
Ins DOS-Verzeichnis wechseln und "DEBUG ANSI.SYS" aufrufen. Danach
"D" eingeben und sich die erste vierstellige Segmentadresse vor dem
Doppelpunkt merken. Danach "E XXXX:0161" eingeben, wobei XXXX die
eben gemerkte Segmentadresse ist. Es erscheint eine 70 und ein Punkt.
Diese 70 Hex stellen das 'p' dar, mit dem Key-Remap-Sequenzen
abgeschlossen werden. Nun gibt man einen anderen Wert ein. "6F" wre z.B.
ein 'o', "71" wre ein 'q'. Man kann sich seinen privaten Code aussuchen!
Nach der Eingabe einer solchen zweistelligen Hex-Zahl speichert man das
gepatchte File mit "w" ab und verlt DEBUG mit "q".
Nach dem nchsten Booten ist der gepatchte ANSI-Treiber aktiv. Eine
ANSI-Bombe wird immer auf "p" enden und kann daher keinen Schaden
mehr anrichten! Man selber jedoch kann in seinen eigenen Sequenzen statt
des "p" sein privates Zeichen verwenden und so wie gehabt Keyboard-
Makros definieren.


FRAGE 2:        "Ich habe den Liberty-II-Virus, aber nur der Scanner
                 VIRX findet ihn!"

Dieses Phnomen tritt auf, wenn ausfhrbare Dateien irgendwann einmal
mit der "Immunize"-Funktion von Carmel TNT Turbo Anti-Virus behandelt
wurden. Das kann auch jemand gemacht haben, von dem die Dateien kopiert
wurden. Carmel TNT hngt beim "Immunisieren" an jede Datei ein paar
Daten an, die exakt den Scanstring enthalten, den VIRX fr Liberty-II
verwendet. Da TNT das mit allen ausfhrbaren Dateien machen kann, sieht
es beim Scannen so aus, als ob die ganze Platte von Liberty-II befallen ist.

Um das herauszufinden, sollte man sich eine "befallene" Datei einmal mit
einem Editor in der Art von "Norton Disk Editor" ansehen. Ist Carmel TNT
der "Schuldige", findet man am Ende der Datei im Klartext einen deutlichen
Hinweis auf dieses Antivirusprogramm. In diesem Fall kann man, wenn
man TNT besitzt, die Dateien wieder "desimmunisieren". Falls jedoch nicht,
mu man damit leben.

Ab der Version 8.30 von Carmel TNT gibt es Fehlalarme in Verbindung mit
VIRX nur noch beim Speicherscannen bei geladenem TNT-Schutzmodul. Alle
anderen Bugs wurden behoben.


FRAGE 3:        "Ich habe lauter 71-Byte-Dateien in meinen
                 Verzeichnissen. Was ist das?"

Viele Antivirusprogramme mit Prfsummenfunktion, insbesondere Integrity
Checker, legen kleine Dateien in jedem Verzeichnis der Festplatte an, in
denen Prfsummeninformationen gespeichert werden. (Im Falle von 71-
Byte-Dateien handelt es sich um ein Antivirusprogramm von Peter Norton.)
Tauchen also regelmig solche Dateien mit seltsamem Namen wie ")(.ID"
oder "000.IDX" oder "CHKDAT.VIR" oder hnlichem auf und man wundert
sich darber, sollte man in den Dokumentationen seiner
Antivirusprogramme nachlesen, ob nicht eines davon dafr verantwortlich
ist.


FRAGE 4:        "Wo gibt es eine Informations-Sammlung ber bekannte
                 Viren?"

Es gibt zwei bekannte Viren-Kataloge, die die MS-DOS-Virenwelt
beschreiben. Der erste heit VSUM und kommt von Patricia Hoffmann, die
eng mit McAfee zusammenarbeitet. Es handelt sich um ein
Hypertextsystem, welches hufig upgedated wird, recht bedienerfreundlich
ist und einige gute Crossreferenzen enthlt. Die Informationen in VSUM
sind allerdings, insbesondere fr exotische Viren, nicht immer korrekt.
Dennoch ist VSUM eine nicht zu verachtende Informationsquelle.

Der zweite Text ist der Computer-Virus-Catalog von Professor Brunnstein
und Vesselin Bontchev, der von der Uni Hamburg als Datei herausgegeben
wird. Downzuloaden ist er mittels anonymous FTP bei "ftp.informatik.uni-
hamburg.de" bzw. "134.100.4.42" im Verzeichnis "/pub/virus/texts/catalog".
Dieser enthlt Informationen ber weniger Viren als VSUM, die dafr jedoch
prziser sein sollen.


FRAGE 5:        "Ich habe einen Virus aus einem Programm gekillt.
                 Trotzdem findet mein Scanner ihn nach der Ausfhrung
                 aktiv im Speicher!"

Eine Mglichkeit ist, da der Killer nicht vernnftig funktioniert hat. Falls
man sich aber ganz sicher ist (z.B. zeigt ein Integrity-Check eine sauber
wiederhergestellte Datei, und es tritt auch keine Neuinfektion mehr auf), so
knnte es noch folgendes sein:

Wenn ein gekillter Virus zwar aus einem File abgehngt ist, sein Code
jedoch noch in der Slack-Area enthalten ist, kann es beim Lesen der Datei in
den Speicher zu Fehlalarmen kommen, weil DOS Dateien sektorweise ldt
und somit auch die Slack-Area mit in den Speicher liest.
Der Viruscode ist also logisch aus der Datei abgehngt, physikalisch jedoch
noch auf der Platte vorhanden, ohne Schaden anrichten zu knnen.

Wer den Code auch physikalisch killen mchte, sollte sich ein Tool besorgen,
mit dem man die Slack-Areas der ausfhrbaren Files lschen kann.


FRAGE 6:        "Was ist heuristisches Scannen?"

"Heuristisch" bedeutet soviel wie "abgeleitet nach Daumenregeln". Ein
Scanner, der eine heuristische Komponente enthlt, kann potentiellen
Wirtscode auf virentypische Merkmale hin untersuchen. Wenn solch ein
Scanner also z.B. herausfindet, da ein Programm keinen Stack besitzt, sich
selbst im Speicher hin- und herverschieben kann und eine Menge Mll-
Instruktionen (z.B. NOPs) enthlt, wrde er vermutlich dem Benutzer ein
verdchtiges Programm melden.Der fortgeschrittene Anwender wird diese
Datei dann nher unter die Lupe nehmen und ggf. auf diese Weise einen
neuen Virus entdecken. Fr einen Anfnger ist ein heuristischer Scanner
jedoch fast wertlos, weil er nicht erkennen kann, ob die angeprangerten
Operationen legitimerweise vom Programm ausgefhrt werden oder von
einem Virus stammen.

Ein von heuristischen Scannern oft als verdchtig gekennzeichnetes
Programm ist FORMAT.COM von DOS 5. Das liegt daran, da es die
Fhigkeit hat, direkt auf Sektoren zu schreiben ;-), ein undokumentiertes
Features von DOS benutzt und auerdem offensichtlich von einem EXE- in
ein COM-Programm umgewandelt wurde.


FRAGE 7:        "Kann ein Virus Hardware beschdigen?"

Die Frage kann so umgestellt werden: Kann Software Hardware
beschdigen?

Prinzipiell nicht. Es gibt da vier hufig genannte 'Flle':

a) Ein Monitor wird mit einem falschen Synchronisationssignal
   angesteuert, wodurch die Elektronik durchbrennt.

Dies war bei Uralt-Monitoren (Hercules) mglich. Ob es heute noch bei
einigen Monitoren funktioniert, z.B. wenn man eine VGA-Karte im EGA-
Modus an einem EGA-Monitor betreibt und eine Software dann auf VGA-
Synchronisation stellt, bleibt dahingestellt. Bei zueinander passender
Hardware sollte dies jedoch der Vergangenheit angehren.

b) Die Ablenkspannung des Monitors wird abgeschaltet, so da sich ein
   Fleck auf dem Bildschirm einbrennt.

Dies ist ein Mrchen, was sich aus der CBM PET-Zeit hlt, wo dies
tatschlich mglich war. Beim PC ist das nicht zu erreichen.

c) Durch stndiges Ansteuern des Hard-Disk-Controllers in einer Weise,
   da der Hard-Disk-Kopf stndig auf einen illegalen Track
   positioniert werden soll, schlgt dieser stndig gegen die
   Zentralspindel. So wird die Harddisk beschdigt.

Uralte Harddisks und Controller konnten auf diese Weise beschdigt
werden. Jeder normale MFM-, AT-Bus- und sonstwas-Controller fngt
heutzutage solche Zugriffe ab.

d) Durch "korrekte" Programmierung des Controllers kann man den
   Harddisk-Kopf mit einer Frequenz schwingen lassen, die der
   Resonanzfrequenz entspricht.
   Die Schwingungsamplitude wird dadurch auch in vertikale Richtung
   so gro, da der Kopf auf der Magnetoberflche aufsetzt
   (Headcrash).

Dies ist eine sehr abstruse Behauptung. Theoretisch wre so etwas vielleicht
denkbar, aber nur fr eine einzige Baureihe von Harddisks unter Beachtung
der Fertigungstoleranzen. Ich halte das fr ziemlichen Bldsinn. Wer das
Gegenteil beweisen kann, der tue es.

Es sieht also alles danach aus, als ob die Behauptung, man knne moderne
Hardware mit Software beschdigen, nicht haltbar ist. Falls jemand ein
Programm besitzt, mit dem er nachweislich heute verwendete,
zusammenpassende Hardware beschdigen kann, so mge er mir dies bitte
mitteilen. Ich werde dieses Programm dann testen und das Ergebnis
verffentlichen.


FRAGE 8:        "Kann ein Virus einen Schreibschutz umgehen?"

Es kommt darauf an, was mit Schreibschutz gemeint ist. Der
"Schreibschutz" des Read-only Attributes von DOS wird von praktisch allen
Viren umgangen. Ebenso unsicher ist ein softwaremiger Schreibschutz fr
Hard-Disks, der durch ein TSR gewhrleistet wird. Tunnelnde Viren
kmmern sich nicht um derartige TSRs.

Der einzige Schreibschutz, den kein Virus der Welt umgehen kann, ist der
schwarze(!) Aufkleber bei 5 1/4 Zoll und das Schiebeplttchen bei 3 1/2 Zoll-
Disketten. Dieser Schreibschutz ist hundertprozentig, sofern die Hardware
des Rechners in Ordnung ist. Da fhrt kein Weg dran vorbei, weder mit
direkter Controllerprogrammierung noch mit irgendwelchen exotischen
Tricks, und zwar aus folgendem Grunde:
Der Schreibschutz auf Floppy besteht entweder aus einer Lichtschranke,
einer Lichtschranke mit Spiegel oder einer mechanischen Abtastung. (Die
Lichtschrankentechnik erfordert einen undurchsichtigen und die Spiegel-
Technik einen nicht reflektierenden Schreibschutz. Beides ist nur mit
schwarzen, matten Schreibschtzen gewhrleistet!)
Ist dieser Mechanismus nun unterbrochen, weil eine Diskette
schreibgeschtzt ist, so wird, vereinfacht ausgedrckt, ber eine
Gatterschaltung der Schreibstrom fr die Diskette blockiert. Keine Software
hat Einflu auf diesen Schaltkreis. Er kann daher nicht umgangen werden.
Fazit: Ein Rechner kann nur auf eine schreibgeschtzte Diskette schreiben,
wenn entweder die Hardware defekt ist, oder bei einem
Lichtschrankensystem grelles Licht direkt in den Floppyschacht fllt.

Ein Programm kann dem Benutzer jedoch vorgaukeln, es knne den
Schreibschutz umgehen. Zunchst wird dazu der Controller angesprochen.
Dieser bemht sich und bemht sich, aber er bekommt nichts auf die
Diskette geschrieben. Daraufhin wird ein Fehlerinterrupt ausgelst, der
gewhnlich "(A)bort, (R)etry, (I)gnore?" provoziert, aber in diesem Fall vom
Programm abgefangen wird, indem es den Critical Error Handler von DOS
ersetzt hat. Der Benutzer bekommt vom milungenen Schreibversuch nichts
mit und glaubt, das Programm htte Daten geschrieben.


FRAGE 9:        "Kann ein Virus sich ins CMOS-RAM einnisten?"

Nein. Das CMOS RAM, in dem Systeminformationen aufbewahrt werden
und welches von einer Batterie gepuffert wird, kann nur ber I/O-Befehle
angesprochen werden und ist nicht adressierbar. Das bedeutet, die dortigen
Informationen befinden sich nicht im normalen Speicher und knnen nicht
ausgefhrt werden. Nichts in einer normalen Maschine ldt Daten aus dem
CMOS und fhrt sie aus, so da ein Virus, der das CMOS benutzt, immer
noch ein ausfhrbares Objekt irgendeiner Art auf Platte oder im Speicher
infizieren mte, um Daten von dort zu holen und nach dort zu schreiben.
Damit wre er kein reiner CMOS-Virus mehr.

Das heit nicht, da ein Virus das CMOS nicht verndern oder Daten nach
dorthin auslagern kann. Es gibt einige Viren, die die Daten des CMOS
verndern, z.B. um dafr zu Sorgen, das der Rechner immer von Festplatte
bootet und nicht vom Floppy. Er kann sich blo eben nicht ausschlielich ber
das CMOS verbreiten bzw. sich nicht ausschlielich dort befinden.


FRAGE 10:       "Gibt es einen harmlosen oder sogar gutartigen Virus?"

Nein. Die Natur eines Virus' ist es, ohne den Willen eines Benutzers
normalerweise unvernderliche Daten auf dessen Festplatten zu ndern,
indem er in die Ablufe beim Ausfhren von Dateien eingreift - selbst dann,
wenn er keine bsartige Zerstrungsfunktion in sich birgt. Bercksichtigt ein
Virus als ziemliches Low-level-Programm dabei nicht jeden mglichen
Aspekt einer eventuellen Strung der normalen Ablufe, so wird er auf
diesem oder jenem System Probleme, Abstrze und/oder Datenverluste
verursachen, selbst wenn er nicht darauf "angesetzt" ist. Welcher Virus
"wei" schon, welche TSRs alle von ihm "befallenen" PCs geladen haben und
wie sie sich auf seine Funktion auswirken?

Man stelle sich nun vor, ein PC fllt einen Tag aus, bis ein Fachmann den
Virus erkannt und vielleicht sogar gebannt hat. Ein Tag produktiver Arbeit
ist recht teuer, und ich mchte nicht in der Haut des Virenprogrammierers
stecken, wenn man ihn findet und zur Verantwortung fr derartige Schden
zieht. Oder, man stelle sich vor, in einigen Krankenhusern werden PCs
tatschlich zur Berechnung des Bestrahlungswinkels etc. bei
Rntgengerten eingesetzt, und ein Patient stirbt, weil er nicht rechtzeitig
gerntgt werden kann...

Abgesehen von diesen tatschlich gefhrlichen Situationen durch
Inkompatibilitten des Virus mit manchen Systemkonfigurationen halte ich
es schlicht fr moralisch verwerflich, Daten auf fremden Festplatten
automatisch verndern zu lassen, ohne dem Benutzer eine Mglichkeit zu
geben, dies zu verhindern. Selbst ein Hacker, der Information als freies Gut
ansieht, wird sich vermutlich rgern, wenn die Information auf seinem
Privatrechner "freimtigerweise" unbrauchbar gemacht wird.

Darum: Jeder auch noch so gut gemeinte Virus ist verwerflich - selbst, wenn
er ebenso verwerfliche rassistische Programme lscht oder andere Viren
"einfangen" soll. Es ist 'von Natur aus' eine schlechte Eigenschaft eines
Programms, ein Virus zu sein.


FRAGE 11:       "Welches ist das beste Antivirusprogramm?"

Die Antwort ist leicht: Es gibt kein eigenstndig bestes Programm. Jede
derzeit verfgbare Antivirus-Applikation hat ihre Schwchen, die
theoretisch von Viren ausgenutzt werden knnten. Man soll nicht den Fehler
machen und jemandem, egal wem, glauben, sein Programm, seine Karte
oder sein Rechner sei zu 100% virensicher, auch vor zuknftigen Viren.
Ein interessanter und effektiver Ansatz ist die sogenannte "Thunderbyte-
Karte". Sie stellt einen Hardwareschutz dar, der viele viralen Aktivitten
von vornherein blockiert. Inwieweit sich diese Karte in der neuesten Version
mit Multitaskern, TSRs und anderer Software vertrgt, ist mir nicht
gelufig. Ebenso kann ich im Moment nichts dazu sagen, ob die
Bedienerfreundlichkeit eines PCs mit eingebauter TB-Karte durch
eventuelle Fehlalarme der Karte leidet.
Tatsache ist aber, da man auch mit rein softwaremigen Multi-Layer-
Konzepten einen guten Prozentsatz an Sicherheit erreichen kann. Ein Multi-
Layer-Konzept wre z.B. der Einsatz eines Monitorprogramms, eines
Integrity Checkers und mindestens zweier verschiedener Scanner, die alle
gut zusammenarbeiten mssen.

Ansonsten ist die Frage auch in vielen Aspekten nur philosophisch. Die
Meinungen gehen oftmals auseinander. Jedoch gibt es gewisse Programme, die
auch auf internationaler Ebene grundstzlich mehr Lob als Kritik ernten. Eine
Liste dieser meiner Meinung nach guten Antivirusprogramme wird im deutschen
Fido-Echo VIRUS.GER wchentlich unter dem Namen ** VIRUVERS **
verffentlicht. Um aber trotzdem hier einmal ein paar Namen zu nennen, hier
ein paar bewhrte Programme:

Kommerzielle Programme (300-1200 DM):
 - Dr. Solomons Antiviren Toolkit (FINDVIRU)
 - Sophos Sweep
 - ANTIVIR von H+BEDV

Shareware Programme (25-100 DM):
 - F-Protect (F-PROT)
 - Thunderbyte Antivirus (TBAV)
 - Anti Virus Toolkit Professional (AVP)
 - Suspicios
 - Nemesis


FRAGE 12:       "Mein Scanner findet einen Virus aktiv im Speicher,
                 kann ihn aber nirgends in einer Datei oder in einem
                 Bootsektor entdecken!"

Dieses Problem tritt hufig auf und kann verschiedene Ursachen haben. Die
erste und schlimmste wre die Prsenz eines Stealth-Virus im Speicher, den
ein Scanner in Dateien nicht mehr entdecken kann, solange er aktiv im
Speicher ist (siehe Abschnitt 3.3.1.). Aufschlu hierber gibt ein erneutes
Scannen nach Booten von einer sauberen, schreibgeschtzten
Systemdiskette, auf der sich der Scanner befindet. Kein Programm darf von
der Harddisk aus gestartet werden!
Findet der Scanner nun ein oder mehrere befallenen Programmobjekte auf
der Festplatte, so kann man diese entweder lschen und von einem Backup
zurckfahren (beste Lsung), oder desinfizieren.

Ebenso ist es mglich, da ein residenter Monitor oder Scanner geladen ist,
der seine Scanstrings unverschlsselt im Speicher aufbewahrt. Diese werden
dann als sogenannte "Geister-Viren" von anderen Scannern gefunden :-( .
Kandidaten dafr sind VSAFE und VDEFEND von CPAV, die dies
erwiesenermaen tun. Lsung dieses Problems ist es, diese TSRs nicht zu
verwenden.

Die dritte Mglichkeit ist, da ein Scanner beim Scannen seine Scanstrings
im Speicher puffert und diese nach dem Scannen bzw. nach einer
Unterbrechung durch CTRL-Break nicht berschreibt. Auch hierdurch gibt
es das Problem der "Geister-Viren". Solche Programme sollten nicht
verwendet werden, um Fehlalarme zu vermeiden. Eines der Programme aus
dem Carmel TNT Turbo AntiVirus-Package einer lteren Version steht z.B.
im Verdacht, Scanstrings im Speicher zu hinterlassen. In neueren Versionen
ab 8.30 gibt es Fehlalarme in bezug auf TNT nur noch mit VIRX bei
geladenem TNT-Schutzmodul.

Als letztes wre es noch mglich, da durch z.B. ein DIR A: ein
Bootsektorvirus in einen DOS-Buffer geladen wurde, dort aber nicht aktiv
ist. Ein Scanner findet ihn dort jedoch. Siehe dazu auch Frage 13.


FRAGE 13:       "Kann ein Virus durch DIR A: oder sonstiges Nur-Lesen
                 einer Diskette aktiv werden?"

Nein. Egal, was jemand anders sagt, es geht nicht. Allerdings knnte man
auf den Gedanken kommen, da es mglich ist :-), und zwar durch folgenden
Sachverhalt:
Wenn ein Benutzer ein DIR A: auf einer bootsektorinfizierten Diskette
macht, wird der Bootsektor in einen DOS-Buffer geladen, um von DOS
ausgewertet zu werden. Dadurch wird auch der Virus in den Speicher
geladen, sein Code wird aber nie referenziert, d.h., er ist dort inaktiv. Ein
Scanner jedoch findet seinen Scanstring im Speicher und schlgt Alarm. Auf
der Platte findet der Scanner dann natrlich nichts, und nach einem Booten
ist der Virus pltzlich nicht mehr da. Es handelt sich bei diesem Problem um
einen sogenannten "Geister-Virus". Geisterviren werden auch in Frage 12
besprochen. Durch diesen Vorgang des Bootsektor-Ladens in einen DOS-
Buffer wird ein PC also nicht infiziert. Es ist eben nicht mglich, einen PC
durch DIR A: zu infizieren, wenn nicht vorher schon ein Virus aktiv war. Nur
eine ANSI-Bombe kann durch DIR A: gezndet werden. Siehe dazu auch
Frage 1.


FRAGE 14:       "Warum sollen Original-Archive von Antivirusprogrammen,
                 die mit sogenannten Security-Envelopes gepackt wurden,
                 nicht umgepackt werden?"

Die Security-Envelopes sind eine Einrichtung, die es registrierten Benutzern
von Shareware-Packern ermglichen, ihre Pakete vor Vernderung zu
sichern. Wird ein Programm innerhalb eines Pakets mit einem Envelope in
irgendeiner Form verndert, so wird der Envelope verletzt, und der Hack
kann erkannt werden.
Der Sicherheitsmechanismus des Packers PKZIP ist allerdings geknackt
worden, der des Packers ARJ vermutlich auch. Das bedeutet, da die
Envelopes bekannter Sharewarehersteller von dem, der's kann,
nachgemacht werden knnen. Der Envelope hat dadurch zwar an Bedeutung
verloren, meiner Meinung nach ist aber eine geringe Sicherheit immer noch
besser als gar keine Sicherheit. Weil es eben etwas Aufwand erfordert, die
Envelopes zu knacken, bilden sie immer noch einen geringen
Sicherheitsaspekt. Da durch das Umpacken envelopegeschtzter Software
der Envelope verlorengeht, leidet die Sicherheit eines Pakets unter solch
einer Aktion. Abgesehen davon verbieten viele Sharewarehersteller in der
Dokumentation ihrer Software das Verteilen eines umgepackten Archivs.

Im Endeffekt ist es eine Philosophiefrage, ob man die Envelopes zerstrt und
umpackt, um Platz zu sparen, oder der Sicherheit den Vorrang gibt und die
Archive original lt. Der Benutzer/Sauger entscheidet, ob er umgepackte
Archive downloaded oder nicht.


FRAGE 15:       "Woher bekomme ich die neueste Antivirus-Share- und
                 Freeware ?"

In diesem Bereich ist eine gewisse Fluktuation vorhanden. Neue Mailboxen
machen auf, andere wiederum schlieen. Daher ist die Frage auf lange Sicht
nicht zu beantworten. Aus diesem Grunde wird eine Liste erwiesenermaen guter
Antiviren-Software mit Bezugsquellen unter dem Thema *** VIRUVERS ***
regelmig in der FIDO-Area VIRUS.GER verffentlicht. Aktuelle
Antivirensoftware bekommt man auf alle Flle immer bei Virus Help Munich,
FIDO 2:2480/149.


FRAGE 16:       "Knnen Bootsektor-Infektoren wie 'Stoned' auch
                 Disketten infizieren, von denen man nicht booten kann?"

Ja. Jede Diskette besitzt einen DOS-Bootsektor, auch wenn gar kein DOS
darauf vorhanden ist! Wird nun von einer verseuchten, nicht bootfhigen
Diskette gebootet, so erscheint zwar die Meldung "Non system disk or disk
error" bzw. "Kein Betriebssystem auf Diskette" oder hnliches auf dem
Bildschirm; der Virus ist jedoch bereits aktiv geworden und hat sich
vermutlich in den MBR oder einen DOS-Bootsektor der Festplatte kopiert,
so da er beim nchsten Booten resident in den Speicher geladen wird.


FRAGE 17:       "Kann ein Virus Daten-Dateien infizieren?"

Viele Viren (Frodo, Cinderella) enthalten Bugs, die bewirken, da der Virus
sich auch in nicht ausfhrbare Dateien hineinkopiert. Damit ein Virus sich
jedoch vermehren kann, mu er jedoch ausgefhrt werden. Eine nicht
ausfhrbare Datei kann somit nicht als Wirt fr einen Virus dienen. Selbst
wenn der Virus darin enthalten ist, kann er nicht mehr ausgefhrt werden.
Der einzige Effekt ist eine korrupte Datei.

Man sollte jedoch vorsichtig mit der Aussage sein, eine Datei wre nicht
ausfhrbar! Dateien, die einem Benutzer als Daten erscheinen, werden von
einem anderen per Programm interpretiert und somit ausgefhrt. So knnte
ein Virus zum Beispiel Sourcecode infizieren, der - spter kompiliert - den
Virus wieder aktiviert.


FRAGE 18:       "Knnen Viren von einem Computertyp auf den anderen
                 berspringen, also z.B. vom Amiga auf den PC?"

Keiner der existierenden Viren ist dazu fhig. Auch wenn die
Diskettenformate oder verwendeten Datenpakete zur Kommunikation der
beiden Rechnertypen gleich sind, interpretieren verschiedene Prozessoren
denselben Code anders. Ein Virus,der nur gemeinsame Konzepte zweier
vllig verschiedener Rechnerfamilien ausnutzt, mte auf einem so hohen
Level geschrieben sein, da er sich vermutlich gar nicht verbreiten knnte.

Mglich sind allerdings "Dual-Platform"-Viren. So knnen MBR-Infektoren
z.B. auf allen PCs laufen, egal, was der PC fr ein Betriebssystem
benutzt. Michelangelo infiziert so z.B. mhelos XENIX, UNIX, WINDOWS NT,
OS/2 und DOS-PCs. Folglich besteht die Mglichkeit, das ein OS/2 System
nicht mehr bootet, weil der MBR von einem DOS-Virus infiziert wurde.
Weiterhin kann z.B. ein PC-UNIX-System beschdigt werden, weil ein DOS
Bootsektor-Virus seine Daten in Bereichen des UNIX abgelegt hat.


FRAGE 19:       "Stimmt es, da man Viren nicht desinfizieren sollte?"

Desinfektion ist nur dann 100% sicher, wenn das befallene Programmobjekt
hinterher denselben Zustand wie vor der Infektion wiedererhlt. Dazu ist
sehr genaue Kenntnis aller mit dem Wirtsprogramm und dem Virus
verbundenen Umstnde ntig. Kaum eines der existierenden Desinfektoren
kann vollstndig garantieren, da eine desinfizierte Datei hinterher
wieder absolut genau so luft wie vorher. Daher ist es besser, befallene
Dateien zu lschen und sie von einem Backup wieder zurckzufahren, als
sie zu desinfizieren. Allerdings gibt es ein Programm eines deutschen
Herstellers, das speziell fr die Desinfektion konzipiert wurde und
gerade in diesem Bereich entsprechende Qualitten aufweist.


FRAGE 20:       "Kann ich Virenbefall dadurch verhindern, da ich keine
                Shareware/PD und keine Spiele benutze?

Nein. Es sind mehrere Flle bekannt, wo kopier- und schreibgeschtzte
Software mit einem Virus "frei Haus" geliefert wurde. Krasseste Flle
sind "Michelangelo" und "FORM" in letzter Zeit gewesen. Man sollte also
nicht zgern, auch Software-Originale "aus gutem Hause" mit der neuesten
Antivirus-Software zu scannen. Und man soll nicht den Fehler machen und
Shareware/PD von Mailboxen verteufeln. Allerdings geht Software aus
Mailboxen durch viele Hnde und die Infektionsgefahr ist dadurch
natrlich ungemein grer. Gute Sysops besitzen jedoch immer die neuesten
Antivirusprogramme und benutzen sie auch regelmig, was man bei vielen
kommerziellen Anbietern leider nicht sagen kann.


FRAGE 21:       "Was ist ein Dropper?"

Bei einem Dropper handelt es sich um ein Programm, welches Viruscode in
sich trgt, der nicht von einer natrlichen Infektion stammt und oft kodiert
ist. Meistens handelt es sich um den Code eines Bootsektorvirus'. Wird
dieses Programm nun gestartet, so entlt es den gespeicherten Virus ins
System, so da nach getaner 'Arbeit' das System mit dem Virus auf eine Art
und Weise befallen ist, die einer natrlichen Infektion entspricht. Ein
Beispiel wre ein "Stoned"-Dropper namens z.B. LIESMICH.EXE, der -
bevor er einen Hilfetext oder hnliches anzeigt - den MBR der Hard-Disk an
eine bestimmte Stelle kopiert und danach den "Stoned"-Virus in den
Partition-Table-Sektor hineinschreibt.
Dropper sind selbst keine Viren, auch wenn sie welche enthalten. Ein
Dropper ist somit eine spezielle Art eines Trojanischen Pferdes.


FRAGE 22:       "Reicht ein Warmstart aus, um einen Virus aus dem
                 Speicher zu verbannen?"

Nein! Residente Viren knnen sich mhelos in den Tastatur- oder Reset-
Interrupt hngen und einen Warmstart abfangen. Hinterher simulieren sie
einen Bootvorgang mittels des Warmstart-Vektors, d.h., es sieht so aus, als
ob der Rechner bootet, aber smtliche TSRs, also auch der Virus, bleiben
aktiv.

Grundstzlich sollte zum Entfernen eines TSR-Virus' aus dem Speicher also
mindestens eine Sekunde lang der RESET-Knopf am Rechner bettigt
werden - oder der Rechner mu kurz abgestellt werden.


FRAGE 23:       "Wie mache ich mir eine Bootdiskette fr den Notfall?"


  1. Vergewissern, da der Rechner virenfrei ist!

  2. Die Diskette neu formatieren:  FORMAT A: /S

  3. Alle notwendigen Dateien auf die Diskette kopieren. Dazu gehren
     Virenscanner/Virenbeseitigungsprogramme, format, fdisk, sys, chkdsk,
     ein Reparaturprogramm wie NDD von Norton oder DiskFix von Central
     Point, ein Diskeditor und, falls auf der Harddisk eingesetzt, ein
     Integrity-Checker. Die Dateien country.sys, keyb.* und keyboard.sys
     sind im Hauptverzeichnis der Diskette ntig.

  4. Die Konfigurationsdateien wie folgt erzeugen:

     A:\CONFIG.SYS :

        files=20
        buffers=20
        stacks=0,0
        country=049,437,a:\country.sys
        shell=a:\command.com /e:256 /p

     A:\AUTOEXEC.BAT :

        @echo off
        set COMSPEC=A:\command.com
        path A:\
        prompt $p$g
        keyb gr,437,a:\keyboard.sys
        ver

     In keiner Konfigurationsdatei Verweise auf Dateien der Festplatte
     eintragen! Die Diskette mu auch ohne Festplatte vollstndig lauffhig
     sein!

  5. Wenn alle Files auf die Diskette gelangt sind, einen Test machen,
     ob alles nach Wunsch klappt. Zwei Zugriffe auf die Festplatte sind
     whrend des Bootens normal. Der Partitionssektor und spter der
     Bootsektor der Platte werden gelesen, aber nicht ausgefhrt (!), um
     die Laufwerksbuchstaben zuzuordnen, also keine Panik.

  6. Wer ein Tool wie Mirror benutzt (DOS5 oder Central Point), sollte
     den Partitionssektor der Platte ebenfalls auf der Diskette sichern,
     dazu natrlich dann das Programm zur Wiederherstellung.

     Aufruf: Mirror C: /partn und Eingabe von A: als Ziel.

     Gut sind z.B. auch Norton DiskTool, Integrity Master oder TBRESCUE von
     den TBAV. Falls man eins dieser Programme einsetzt, gehrt es mit auf
     die Disk!

  7. Die Diskette schreibschtzen und testen, ob bei einem (bspw.)

        copy con A:\test.txt

     eine Fehlermeldung erscheint. So mte es sein, wenn der Schutz
     intakt ist.

  8. Bei einem Freund testen, ob alles ok ist. Nochmal auf einem
     virenfreien Rechner die Diskette auf Viren testen (mglichst mit einem
     anderen Testprogramm).

  9. An einer sicheren Stelle aufbewahren und hoffen, da sie nicht
     gebraucht wird!

 10. Es ist ebenfalls sinnvoll, sich eine extra Diskette anzulegen, auf der
     man sein Backupprogramm (z.B. SYPLUS) inkl. der Restoreprozeduren
     abspeichert. Damit kann man dann im Falle eines Falles, nachdem man
     von der Notfalldiskette virenfrei gebootet hat, seinen letzten Backup
     wieder einspielen, ohne dabei die eventuell infizierten Backup und
     Restoreprogramme der Festplatte bentzen zu mssen.

 11. Optimal abgerundet wird das ganzen dann noch, wenn man sein Antiviren
     Programm, oder besser noch seine Antiviren Programme, ebenfalls auf einer
     dritten, separaten, Diskette vorhlt. Da diese Programme regelmig
     upgedated werden ist es nicht sinnvoll, diese Programme auf der
     Bootdiskette abzuspeichern, da bei jedem Programmupdate die
     Notfalldiskette infiziert werden knnte und sie damit ihren Sinn
     verliert.


FRAGE 24:       "Der 'Wunder-Befehl' FDISK /MBR killt einen Virus, den
                 ich im MBR mit einem Scanner gefunden habe, nicht. Wieso?"

FDISK /MBR schreibt das Masterboot-Programm neu und schaut nach, ob
die Eintrge in die Partitionstabelle valide sind. Normalerweise killt das
einen MBR-Infektor, der den Masterboot-Loader verndert, die Partition
Table aber an der ursprnglichen Stelle belt, wie z.B. Stoned oder
Michelangelo.

Es gibt aber Viren, die diese Aktion unmglich machen. Eine Sorte sind die
Viren, die eine neue Partition im hinteren Teil der Platte anlegen und von
dort aus weiterbooten lassen, nachdem sie sich resident gemacht haben. Ein
Beispiel dafr wre der Starship-Virus.

Ein weiteres Beispiel ist Tequila, der nur ein paar Bytes im MBR ndert, die
von FDISK /MBR nicht behandelt werden.

Als drittes und wohl gemeinstes Beispiel wre der Monkey-Virus zu nennen.
Dieser berschreibt komplett wichtige Werte des MBRs, die er verschlsselt
an anderer Stelle ablegt. So ist ab dem Zeitpunkt der Infektion die gesamte
Partitionstabelle nicht mehr lesbar, ohne da der Virus geladen ist - mit dem
Erfolg, da nach einem Booten von sauberer DOS-Diskette die Festplatte
nicht mehr ansprechbar ist. Ein FDISK /MBR ist nicht mglich, weil die
Struktur des MBRs total verndert wurde und die Partitionstabelle nicht
wiederhergestellt werden kann.
Dieser Virus ist etwas komplizierter zu killen; man mte den MBR im
physikalischen Sektor-Modus zurckschreiben, nachdem man ihn bei
aktivem Virus gesichert hat. Monkey ist auerdem stealth, so da das
System bei geladenem Virus ganz normal aussieht. Nach dem gleichen Prinzip
arbeitet brigens auch der Neuroquila-Virus.


FRAGE 25:       "Mein Rechner zeigt bei CHKDSK pltzlich weniger
                 Gesamtspeicher an. Was ist das?"

Dieses Phnomen kann mehrere Grnde haben. Beispielsweise gibt es einige
BIOS-Versionen, bei denen man einstellen kann, ob fr die Stack-Area die
BIOS-Stack-Area oder ein Teil des DOS-Speichers unterhalb der 640-k-
Grenze benutzt werden soll. Ist dieser Parameter auf DOS-Speicher
eingestellt, so reduziert sich die Speichermenge, die CHKDSK anzeigt, um 1
Kbyte.

Ist jedoch die Menge des verlorenen Speichers grer, also z.B. 2k, 4k oder
sogar 8k, oder liegt der obengenannte Grund nicht vor, so ist vermutlich ein
MBR- oder Bootsektor-Infektor am Werk, der sich resident gemacht hat und
den TOM-Return des Interrupts 12h so verndert hat, da der Rechner
glaubt, er habe weniger Speicher zur Verfgung. Dies macht solch ein Virus,
um zu verhindern, da er von Programmen im Speicher berschrieben wird.
Es ist in diesem Fall also hchste Zeit, von sauberer DOS-Diskette zu booten
und mal nach dem Rechten zu sehen.


FRAGE 26:       "Welches ist die neueste Version von McAfee's SCAN?"

McAfee hat in letzter Zeit seine Kunden ein wenig durcheinandergebracht,
indem in kurzen Abstnden viele Versionen von SCAN, darunter viele
Bugfixes, in Umlauf gebracht wurden. Zustzlich erschienen noch Betas auf
dem Verteilungsmarkt, die eigentlich nicht verbreitet werden drfen.

Zur Lsung dieses Problems gibt es die wchentlich ins Fido-Echo
VIRUS.GER gestellte VIRUVERS-Liste, in denen die wichtigsten
Shareware-Antivirus-Utilities kurz beschrieben sind und in denen die jeweils
neuesten Versionen zusammen mit einer Kontroll-Checksumme fr die
Echtheit genannt werden.
Zur Beseitigung von Unklarheiten aber nochmal die Namenskonventionen
von McAfee:

SCAN   B/V         90       B/C/D/E/...   .ZIP

Name   Beta-Flag   Version  Bugfix-Index  Archiv-Endung

Alle Archive von McAfee, die nicht auf ZIP enden, sind keine Originale und
sollten nicht gesaugt werden - es sei denn, sie enthalten das Original-ZIP
und bilden gewissermaen eine 'Umverpackung'.

Beispiele:

SCANB90.ZIP    wre eine Beta-Version. Diese sollte gelscht und nicht
               benutzt werden.

SCANV90.ZIP
   oder        wre die erste Release-Version 90. Diese kann man
SCAN90.ZIP     benutzen.

SCAN90B.ZIP    So kennzeichnet McAfee seine Bugfixes. Je hher der
SCAN90C.ZIP    Buchstabe, desto neuer die Version.
SCAN90D.ZIP    Man beachte: SCANB90.ZIP im Unterschied zu SCAN90B.ZIP!



FRAGE 27:       "Ich habe einen vermutlich neuen Virus entdeckt.
                 Wohin schicke ich eine befallene Datei zur Untersuchung?"

Eine gute Idee ist es, einen neuen Virus oder eine neue Variante nicht gleich
komplett zu killen, sondern ein befallenes Programmobjekt an einen
bekannten Virenforscher zu verschicken. So hilft man aktiv in der
Virenforschung mit. Tja, aber an wen soll man das Ding nun schicken?

Grundstzlich nicht an jeden, der darum bittet! Ein Virus kann leicht als
eine Art Waffe eingesetzt werden, daher mu man sich genauestens
berlegen, an wen man ihn weitergibt. Unbedingt mu eine Person, der man
Viren schickt, folgende Eigenschaften haben:

- Er mu etwas von ihrer Funktion verstehen (also z.B. von dem, was
  hier so in der FAQ steht) und darf auf keinen Fall einfach nur ein
  Sammler sein.

- Er sollte als Virenforscher allgemein bekannt sein; d.h., man sollte
  einige Leute auch von auerhalb kennen, die ihm vertrauen wrden.

- Gut ist es, wenn er ber Assemblerkenntnisse verfgt und z.B. selber
  eine brauchbare Antivirus-Software programmiert hat.


Als Beispiel hier drei Ansprechpartner genannt werden:

1. Vesselin Bontchev
   Viren-Test-Center Uni Hamburg
   Fachbereich Informatik-AGN (Raum 107c)
   Vogt-Klln-Strae 30
   2000 Hamburg 54

   Voice: 040-54715224
   Fax:   040-54715226

2. Robert Hrner (Programmierer von NEMESIS)
   Fido   2:2476/8    Virus Help Service  9600,V32B,V42B,CM,XX
   VirNET 9:49/102    Usermade Software   9600,V32B,V42B,CM,XX

3. Martin Rsler (Moderator VIRUS.GER)
   Fido   2:2480/149   Virus Help Munich   9600,H14,V32B,V42B,CM,XA,MO
   VirNET 9:49/101     Virus Help Munich   9600,HST,V32B,V42B,CM,MO
   Voice: 08084/3270

Grundstzlich darf Viruscode an die obigen FIDO-Systeme nur per
Crashmail verschickt werden, und am besten in verschlsselt gepackter Form,
nachdem man mit dem dortigen Sysop ebenfalls per Crashmail ein Pawort
abgemacht hat. Die Gefahr eines Mibrauchs ist sonst zu gro!


FRAGE 28:       "Was ist 'MtE'? Was ist der 'DAME-Virus'? Was ist 'Mut'?"

Alle drei Terme sind Bezeichnungen fr die "Mutation Engine" - ein
Programm, was, wenn man es in herkmmliche Viren einbaut, diese
polymorph macht. Nheres ber diese von "Dark Avenger" programmierte
Engine steht oben unter dem Punkt 3.3.2., "Selbstverschlsselnde und
polymorphe Viren".


FRAGE 29:       "Mein System konnte pltzlich nicht mehr von Harddisk
                 booten. Ein Scannen ergab, da ich auf meinem System einen
                 MBR-Virus hatte. Als ich diesen entfernen wollte, war
                 pltzlich ein anderer da (!), und nachdem ich diesen
                 seinerseits entfernen wollte, war es wieder der erste.
                 Wieso bekomme ich die beiden Viren nicht weg?"

Das System ist tatschlich von beiden Viren infiziert, aber auf eine Art und
Weise, die ein Killen stark erschwert. Als Beispiel bringe ich hier eine
Doppelinfektion mit "Stoned" und "Bloody!":

Bloody! verschiebt Track 0 Side 0 Sector 0, wo normalerweise der MBR
steht, nach 0,0,6 ; Stoned verschiebt den Original-MBR dagegen nach 0,0,7.
Dieser Umstand ergibt dann einen sehr ungnstigen Verlauf der Dinge. Das
Ganze sei hier an einer kleinen Tabelle erklrt:


Sektor 0,0,0    0,0,6   0,0,7

        MBR      ---     ---       Vor der Infektion

      Stoned     ---     MBR       Nach einer Stoned-Infektion

      Bloody!   Stoned   MBR       Nach einer zustzlichen Bloody!-
                                   Infektion


Stoned, der ja beim Booten auch resident geht, glaubt nun, da der MBR
nicht mehr infiziert ist, weil er seine Kennung da nicht mehr findet (Bloody!
hat inzwischen zugeschlagen). Also infiziert Stoned den Sektor 0,0,0 neu auf
die bekannte Weise und merkt gar nicht, was er damit anrichtet:

      Stoned    Stoned  Bloody!

In diesem Augenblick ist das System nicht mehr bootfhig, weil der Original-
MBR weg ist!

Ein Scanner findet nun Stoned. Wenn nun ein Killer auf Stoned angesetzt
wird, der ja wei, da Stoned den MBR nach 0,0,7 verschiebt, kopiert er
diesen Sektor zurck nach 0,0,0. Dummerweise sa dort nicht der echte
MBR, sondern Bloody!. Der Killer berschreibt also Sektor 0,0,0 erneut mit
Bloody!:

      Bloody!   Stoned  Bloody!
         ^-----------------'

Ein erneutes Scannen findet jetzt Bloody!. Der Killer wei nun, da Bloody!
normalerweise den MBR nach 0,0,6 packt, und restauriert diesen Sektor, an
dem sich jedoch lediglich Stoned befindet! Schon sieht es wieder so aus:

      Stoned    Stoned  Bloody!
          ^--------'

Und das Spiel lt sich leider beliebig oft wiederholen. Man lasse also in
solch einem Fall die Finger von einem Killer, boote von sauberer DOS-5-Disk
(egal welches System man hat), fhre FDISK /MBR aus und nulle danach
mit einem Sektor-Editor die Sektoren 0,0,6 und 0,0,7 aus.


Aber - das klappt nicht nur mit Stoned und Bloody!. Ebenso 'effizient'
funktioniert das Ganze mit Stoned und Michelangelo. Diese beiden Viren
verschieben beide den Original-MBR nach 0,0,7 - so da das System nach
einer Doppelinfektion so aussieht:


  0,0,0      0,0,7

   MBR       -----           Vorher

  Michel      MBR            Michelangelo infiziert

  Stoned     Michel          Stoned infiziert danach - System nicht
                             bootfhig


Jetzt kommt ein Killer, der Stoned findet - und zu killen versucht:

  Michel <-- Michel

und - wie sich der Killer auch dreht und wendet - der Michelangelo ist nicht
mehr wegzubekommen! Wenn erst Stoned und danach Michelangelo kommt,
bleibt nach der gleichen Prozedur Stoned brig und ist ebensowenig zu
entfernen.

Auch hier ist wieder FDISK /MBR nach dem Booten von DOS-5-Disk
angesagt, und danach sollte schleunigst Sektor 0,0,7 ausgenullt werden.

Leider gibt es noch viele andere mgliche MBR-Virus-Doppelinfektionen, die
einen hnlichen Effekt haben. Auch bei DOS-Bootsektorviren wre so etwas
denkbar.


FRAGE 30:       Kann mein Rechner infiziert werden, obwohl ich keine fremden
                Programme installiere ?

Hier gibt es mehrere Antwortvarianten, aber generell kann man das so
formulieren: Sobald irgend jemand oder irgend etwas Zugriff auf deinen
Rechner hat, kann dein Rechner infiziert werden. Viren knnen dir via Modem
geschickt werden, auf einer gekauften Originaldiskette sein oder ber das
Keyboard und einem Debugger direkt einprogrammiert werden. Dein Rechner ist
nur dann vor Viren sicher, wenn niemand an ihn ran kann. Da das aber nicht
Sinn deiner Anschaffung (Computerkauf) war, ist dein Rechner immer
gefhrdet.

Um jetzt auf die Frage direkt einzugehen: 95% aller Infektionen erfolgen
durch Bootsektorviren, also durch das meist versehentliche oder seltener
absichtliche Booten von infizierten Disketten. Auf diesen Disketten men
keine neuen Programme sein, es knnen sogar "leere", vorformatierte
Disketten sein oder Disketten, mit Textdateien oder Dateien fr eine
Tabellenkalkulation. Einzig und allein magebend in diesen Fllen ist das
Booten von einem infizierten Bootsektor, der Disketteninhalt ist
unerheblich.


FRAGE 31:       Kann man mit den heutigen AV-Programmen einen 100%igen
                Schutzschild aufbauen ?

Siehe hierzu auch Frage 11. Jedes Programm und auch jede Hardwarelsung hat
Schwachstellen, die von Viren ausgenutzt werden knnen und auch ausgentzt
werden. Deshalb empfehlen AV-Spezialisten auch immer den Einsatz mehrerer
verschiedener AV-Produkte. Bietet jedes AV-Produkt 95% Sicherheit, so hat
man beim Einsatz von 2 Produkten schon einen Wert nahe 100% erreicht, nur
leider wird der Wert 100% auch beim Einsatz von 100 AV Programmen nicht
erreicht (mathematisch ist 100% ein Grenzwert gegen Unendlich, der nicht
erreicht werden kann). Ich persoenlich arbeite immer mit 3 verschiedenen
AV-Programmen, da dies in meinen Augen einen guten Kompromiss zwischen
Aufwand (=Kosten) und Sicherheitsbedrfnis (=Nutzen) darstellt.


Frage 32:       Kann man sich durch Computer-Faxe einen Virus einhandeln ?

Bei Computerverschickten Faxen handelt es sich, genauso wie beim normalen
Faxen, um das verschicken von Texten oder Grafiken, nicht um das
verschicken von binrem Code (=Programmen). Da Viren aber als ausfhrbare
Programme vorliegen men um aktiviert werden zu knnen, kann man durch
eingehende Faxe, die vom Computer angenommen werden, nicht infiziert
werden. Enthlt allerdings eine Fax den Sourcecode eines Virus und wird
dieser Text entsprechend in Binrcode umgewandelt (z.B. durch einen
Assembler), so kann dadurch ein scharfer, also ausfhrbarer Virus generiert
werden. Dies erfordert aber manuelle Arbeit, kann also nicht ausversehen
oder gar von alleine passieren.


Frage 33:       Ist es ratsam einen Virus mit einem Killer zu entfernen, oder
                soll man lieber die Festplatte neu formatieren und alle
                Programme neu installieren ?

Nun, das mit dem Platte neuformatieren ist die Holzhammermethode. Klar,
einen Virus bekommt man damit weg, aber leider auch alle anderen Dateien,
z.B. die Adressdateien usw, und die sind in der Regel nicht so leicht zu
restaurieren, wenn man nicht einen aktuellen Backup hat. Idealerweise
lscht man die infizierten Programme und ersetzt sie anschliessend durch
saubere Originalprogramme. Nur wenn man die Originalprogramme nicht mehr
hat, sollte man Viruscleaner einsetzen. Aber auch dann sollte man erst
einen Backup machen, denn eventuell wird der Virus fehlerhaft gecleant, was
dann zur Folge haben kann, das das "gereinigte" Programm gar nicht mehr
luft. Besonders das Programm CLEAN von McAfee sollte man mit Vorsicht
genieen, den sehr hufig lscht dieses Programm einfach die infizierte
Datei.

Auf alle Flle empfehle ich bei der Virenbekmpfung immer, zu allererst
sollte ein kompletter Backup angelegt werden ! Sollte irgendwas schief
gehen, kann man damit wenigstens den Zustand herstellen, bei dem man
angefangen hat, den Virus zu jagen.


Frage 34:       Welcher Virenkiller rettet mglichst viele Programme und ist
                zu empfehlen ?

Siehe hierzu auch Frage 11. Die Frage nach dem besten Virenkiller ist
identisch mit der Frage nach dem besten Virenscanner. Das beste Programm im
AV Bereich ist un bleibt dein Backup-Programm. Aber wenn schon nach guten
Viruskillern gefragt wird, dann empfehle ich F-PROT. Hat man TBAV komplett
installiert, so ist auch der generische Virenkiller dieses Packets sehr
effektiv. Im kommerziellen Bereich empfehle ich immer ANTIVIR.


Frage 35:       Gibt es schon Viren, die unter OS/2 laufen ?

Ja, es gibt bereits Viren fr OS/2, genauso wie es Viren fr UNIX, Windows,
Amiga usw. gibt. Allerdings sind bei all diesen Systemen verhltnismig
wenig Viren bekannt, das Gros liegt eindeutig bei MS-DOS. Das liegt zum
einen daran, da DOS das verbreitetste Betriebssystem ist und zum anderen
daran, das DOS das unsicherste, also am wenigsten geschtze Betriebssystem
der Welt ist.


Frage 36:       Bei AV Programmen wird zwischen privater und kommerzieller
                Nutzung unterschieden. Wie sieht das bei teilweise
                geschftlich genutzten Rechnern aus ?

Diese Frage mu mit dem Hersteller des jeweiligen AV-Programms abgeklrt
werden, prinzipiell wrde ich aber einmal davon ausgehen, das das AV
Programm ja nicht nur die privaten, sondern auch die geschftlichen Daten
schtzt, ergo das AV Programm kommerziellen Zwecken dient.


Frage 37:       Ist bekannt, ob es Viren gibt, die den BIOS Virenschutz
                umgehen knnen ?

Mir ist kein Virus bekannt, der gezielt den BIOS Virenschutz umgeht, doch
es gibt Viren, die ganz generell Werte im BIOS verndern. Damit ist es auch
ohne weiteres mglich, den BIOS Virenschutz auszuschalten und damit fr
eine Infektion zu umgehen.


Frage 38:       Was mu man beachten, wenn man Programme kauft, Daten
                austauscht ?

Ganz allgemein gilt bei jeder neuen Software und bei jedem neuen
Datentrger: Vor dem ersten Einsatz mit aktuellen AV-Programmen auf Viren
berprfen und eine Sicherungskopie anfertigen. Siehe hierzu auch Frage 20.


Frage 39:       Kann es passieren, das Viren auf CD-ROMs sind ?

Ja, inzwischen sind eine ganze Reihe von CDs bekannt geworden, auch denen
Viren gefunden wurden. Da CDs ein Read-Only Medium sind, men die Viren
bereits bei der Herstellung der CD vorhanden gewesen sein. Eine
nachtrgliche Infektion einer CD ist unmglich. In der FIDO-Area VIRUS.GER
wird regelmig eine Liste der bekanntn gewordenen Viren auf CD
verffentlicht.


Frage 40:       Gibt es Mglichkeiten, das Beschreiben seiner Festplatte
                unmglich zu machen, wenn man es nicht will ? So in etwa
                wie bei Disketten, wenn man den Schreibschutz aktiviert.

Nun, prinzipiell gibt es schon die Mglichkeit, physikalisch das Schreiben
auf einer Festplatte zu verhindern. Man mu eine entsprechende Schaltung
einbauen die das Schreiben verhindert, aber dann kann man halt gar nicht
mehr auf die Platte schreiben und das wird wohl nicht unbedingt das, sein,
was du mchtest. Ich gehe eher mal davon aus, du meinst ein Programm, das
Schreibzugriffe unterbindet. Da gibt es zwar das eine oder andere residente
Tool, aber das es ein Stck Software ist, kann es von Viren unterlaufen
werden, sprich es ist nicht sicher. Von solchen Lsungen wrde ich
persnlich die Finger lassen.


Frage 41:       Weshalb programmiert jemand Viren, was hat er davon ?

Diese Frage hat sich wohl schon jeder gestellt, der irgendwann einmal mit
Viren konfrontiert war. Da es inzwischen auch bereits mehrere Flle gibt,
bei denen Viren-Programmierer bekannt bzw. sogar verhaftet wurden, gibt es
auch einige Antworten zu dieser Frage. Im Grunde kann man zwei verschiedene
Antworten geben, erstens aus Unzufriedenheit und zweitens aus Neugier. Zum
Punkt Unzufriedenheit sind die Flle zu zhlen, bei denen jemand aus Frust
(gegen Arbeitgeber, ber ein politisches Systems usw.) mit bser Absicht
einen Virus geschrieben hat, doch ist dies nur bei ca. 5% der Viren der
Fall. 95% Prozent der Viren werden aus Neugier, Spieltrieb und
vorpubertrer Geltungssucht geschrieben. Man kann immer wieder in den Echos
lesen, wie manche Kids von Viren "fasziniert" sind und es "toll" finden,
wie "trickreich" und "innovativ" diese Programme sind.


Frage 42:       Gibt es Programme, die auch Archive (ARJ, ZIP, ZOO usw.) und
                die darin enthaltenen Programme untersuchen und ggf. Viren aus
                diesen Archiven entfernen ?

Es gibt Antivirenpackete, die behaupten, selbiges zu knnen. In der Praxis
stellt sich aber immer heraus, das nicht alle verschiedenen Packer aufgelst
werden knnen oder rekursiv gepackte Archive nicht vollstndig untersicht
werden. Es ist daher immer angebracht, Archive zu entpacken und dann erst mit
den AV-Programmen zu arbeiten. Da dies aber bei Sysops von Mailboxen sehr oft
gemacht werden mte, wurden hierfr bereits entsprechende Tools geschrieben
(z.B. MTA= Make Them Anything), die so konfiguriert werden knnen, das Archive
komplett entpackt und anschlieend untersucht werden. Im Sharewarebereich gibt
es mit AVP auch ein Antivirenprogramm, das in den gngigsten Archiven suchen
kann, aber eben leider auch nicht in allen.


Frage 43:       Was taugen Shareware AV-Programme ?

Diese Frage ist falsch formuliert. Shareware ist kein Qualitstmerkmal
eines Programms sondern ein Vertriebskonzept. Gerade fr Privatpersonen
resntiert es sich nicht, ein Programm zu vermarkten, also Werbung zu
machen, es in Geschften anzubieten usw. Statt dessen stellen sie die
Software zu Verfgung und du kannst sie ausprobieren. Findest du das
Programm gut, zahlst du dem Programmierer den Kaufpreis und verwendest das
Programm weiter. Findest du es schlecht, lscht du das Programm einfach
wieder. Der Author spart sich damit viel kaufmnnische Arbeit, kann sich
auf das wesentliche konzentrieren und du kannst das Programm in Ruhe
ausprobieren und mut nicht den Versprechungen eines eventuell
inkompetenten Verkufers vertrauen.

In vielen Bereichen sind diese Shareware-Programme sogar deutlich besser
als kommerzielle Produkte, z.B. bei Programmen aus dem DF Bereich oder bei
Antivirenprogrammen. Das liegt oft daran, das diese Programme viel hufiger
eingesetzt werden als kommerzielle Produkte und daher Fehler schneller
gefunden/ausgebaut werden und auch die Wnsche der Anwender besser
bercksicht werden. Allerdings gibt es bei Shareware genauso
Geschftemacher, wie es sie bei kommerziellen Anbietern gibt.


Frage 44:       Wen kann man fr Virenschden haftbar machen ?

Nun, das ist zuerst einmal abhngig von der jeweiligen Rechtsprechung. In
einigen Lndern gibt es bereits Gesetze, die das Programmieren von
Computerviren bzw. ihre bewute Weitergabe verbieten (z.B. Italien oder
England). In Deutschland ist es hier deutlich schwieriger, das
Computerviren vom Gesetz vllig ignoriert werden. Allerdings gibt es bei
uns mit dem "2. Gesetz zur Bekmpfung der Wirtschaftskriminalitt" ein
Regelwerk, das fr Computerviren Anwendung finden kann. Da heit es
sinngem, das Aussphen oder Verndern von Daten sowie die Beeinfluung
von Rechnersystemen ist verboten. Wenn also jemandem nachgewiesen (und das
ist wohl das Problem) werden kann, das er mit Absicht einen Virus in ein
System eingeschleut hat, so kann er entsprechend bestraft werden (sogar
mit Freiheitsentzug). Laut Gravenreuth kann auch ein Kaufvertrag
angefochten werden, z.B. wenn man einen Computer kauft, der bereits einen
Virus preinstalled hat, da es sich einerseits um einen verdeckten Mangel
handelt und andererseits das System nicht das tut, was es soll (einwandfrei
arbeiten), und laut BGB hat man entsprechend auch die Rechte auf Wandelung,
Minderung, Rcktritt und Schadensersatz, aber auch hier liegt das Problem
wohl in der Beweislast.


Frage 45:       Ich habe stndig wieder den Michelangelo auf der
                Festplatte, obwohl ich ihn schon 100 mal gefunden und
                entfernt habe. Ist mein AV-Programm eventuell nicht so
                gut ? P.S.: Habe auch alle Disketten gereinigt !

Der Michelangelo gehrt zu den Partitiontable-Viren, d.h. er infiziert
eigentlich nur den von Bootsektor Disketten bzw. den MBR von Festplatten.
Allerdings gibt es sogenannte Dropper, also Programme, die den eigentlichen
Virus erst absetzen, ohne selbst infiziert zu sein. Eventuell findet Ihr
Antivirenprogramm den Dropper nicht. Hier wrde ich dann den Einsatz von
NEMESIS empfehlen, denn da wrde man soetwas sofort erkennen. Weiterhin ist es
mglich, da Sie den Virusdropper in einem Archiv haben und der Virus darin
nicht entdeckt wird. Entpacken Sie aber das Archiv und starten den Dropper,
ist der Virus logischerweise wieder da. Und schlielich gibt es noch die
Mglichkeit des residenten Virus, d.h. Sie haben vor dem Cleanen mit dem AV
Programm nicht von einer sauberen Diskette gebootet. Dann steht der Virus im
Speicher und infiziert, wrend eifrig gecleant wird, gleich alle Datentrger
wieder mit.


Frage 46:       Knnen Computerabstrze dazu fhren, da Viren entstehen ?

Nun, im Prinzip wre soetwas eventuell denkbar, aber die Chancen sind
genauso gro wie die Chance, das bei einem Computerabsturz eine
Textverarbeitung entsteht. Anders ausgedrckt, deine Frage ist rein
philosophischer Natur, de facto ist soetwas unmglich.


Frage 47:       Wie sicher ist die regelmige berprfung der Programmgre
                als Virencheckmethode ?

Absolut unsicher. Siehe hierzu auch Kapitel 3.3. Aktiv im Speicher sitzende
Stealth Viren haben die totale Kontrolle ber einen Rechner und zeigen dem
Anwender bzw. anderen Programmen nur die Dinge, die gesehen werden sollen.
Das vortuschen einer falschen Programmgre gehrt dabei zu den
leichtesten bungen.


Frage 48:       Kann man infizierte Disketten mit dem normalen
                DOS-Format-Befehl wieder clean bekommen ?

Bei Disketten bewirkt der FORMAT Befehl ein physikalisches Lschen, d.h.
infizierte Disketten, die mit dem Befehl FORMAT /U behandelt wurden, sind
anschlieend wieder clean (vorausgesetzt im Speicher des Computers sitzt
kein Virus).


Frage 50:       In letzter Zeit hrt man nicht mehr viel von neuen Viren, ist
                die Gefahr nun geringer geworden ?

Die Zahl der neuen Viren nimmt eponentiell zu. Nur mal zur Verdeutlichung:

     Jahr        bekannte Viren
     --------------------------
     1989        ca 15
     1990        ca 100
     1991        ca 250
     1992        ca 1000
     1993        ca 1500
     1994        ca 2500

Vergleicht man nun die Mitteilungen der Medien, so kann man erkennen, das
die Medien nicht auf die Anzahl der Viren reagieren, sondern nur auf
Sensationsmeldungen. Bespiel hierfr ist Michelangelo oder die weltweite
Junkie Hysterie, die genau im sogenannten Sommerloch auftrat. Ein
Rckschlu aus dem Verhalten der Medien auf die Gefahr von Computerviren
ist daher nicht sinnvoll.


Frage 51:       Ab wann sollte man AV-Programme erneuern (Update) ?

Da AV-Programme durch die stndig zunehmende Zahl von Computerviren sehr
schnell veralten, bietet nur ein einigermaen aktuelles Antivirenprogramm
Schutz. Die meisten Hersteller bieten Updates in einem Zeitraum von 4-8
Wochen an. Dies stellt meiner Meinung nach auch einen sinnvollen Kompromis
zwischen Aufwand und Nutzen dar. Programme die lter als ein halbes Jahr
sind, bieten kaum Schutz, noch ltere Programme gar keinen Schutz mehr.


Frage 52:       Gibt es schon Virenprfprogramme fr UNIX ?

Ja. Die ersten Viren wurden unter UNIX entwickelt, daher gibt es auch hier
natrlich entsprechende Schutzmechanismen. Weil aber ein Virus von einem
IBM UNIX (AIX) anders aussehen mu als ein Virus auf einem HP UNIX (HPUX),
gibt es unter UNIX keine Scanner, wie wir sie von DOS Kennen, sondern nur
Prfsummenprogramme bzw. Integrity-Checker. Ein sehr gutes Programm aus
diesem Bereich ist TRIPWIRE, ein Sharewareprogramm, das auf vielen
FTP-Servern des Inteternets zu finden ist.


Frage 53:       Gibt es AV-Programme, die Tapes lesen knnen ?

Mir ist keins bekannt.


Frage 54:       Knnte man wenigstens theoretisch ein Programm so
                programmieren, da es sich selbst schtzt oder von
                Computerviren gar nicht befallen werden kann ?

Nein, siehe hierzu Frage 47 und Kapitel 3.3. Programme knnen erst dann
sicher geschieben werden, wenn das zugehrige Betriebssystem ebenfalls
virensicher ist, da Anwendungsprogramme ja immer auf das Betriebssystem
aufsetzen. Solange aber ein Betriebssystem wie DOS im Einsatz ist, solange
kann man keine virussicheren Programm erstellen.


Frage 55:       Gibt es Scanner die Viren erkennen knnen, die mit der
                Mutation Engine geschrieben wurden ?

Da die Mutation Engine (MTE) schon relativ alt ist, werden Viren, die
mittels der MTE verschlsselt sind, von jedem guten AV-Programm erkannt.
Allerdings war die MTE Vorlufer einer ganzen Reihe von anderen
Verschlsselungsroutinen, z.B. der TPE, der DAME oder der DSME, und bei
diesen schaut die Sache anders aus. Solcher Verschlsselungs-Engines sind
relativ komplexe Routinen, bei denen es nicht mehr ausreicht, eine
konstante Virussignatur zu ermitteln, sondern die recht aufwendige
Suchverfahren erfordern. Das Entwickeln solcher Suchverfahren dauert
natrlich Zeit und bentigt weiterhin ein gewisses Ma an Erfahrung,
weshalb auch nicht jeder x-beliebige Programmierer dafr eingesetzt werden
kann. Aus all diesen Grnden wird klar, das nur ganz wenige AV-Programme
wirklich effektiv gegen alle diese Verschlsselungs-Engines gewappnet sind.


Frage 56:       Gibt es fr OS/2 V2.x ein Antivirenprogramm ?

Ja, fr OS/2 gibt es Antivirenprogramme, z.B. von McAfee. Allerdings suchen
diese Programme auch wieder nach DOS-Viren, nur das das Programm unter OS/2
luft.


Frage 57:       Findet man Viren auch in gepackten Dateien ?

Sollten mit gepackten Dateien Archive gemeint sein, sei auf die Frage 42
verwiesen. Bei EXE-gepackten Programmen, also komprimierten Programmen, die
trotz der Komprimierung noch lauffhig sind, mu man verschiedene Dinge
bercksichtigen. Es gibt zwar AV-Programme, die manche
Kompressionsverfahren ffnen knnen und dann in der unkomprimierten Datei
nach einem Virus suchen, aber es gibt die verschiedensten
Komprimierungsverfahren und kein Programm kann alle diese Verfahren
handhaben. Weiterhin gibt es Flle, bei denen Virenprogrammierer ihre Viren
mehrfach komprimiert haben und sptestens bei diesen Fllen versagt jedes
AV-Programm. Um einem solchen Virus auf die Spur zu kommen, hat man nur 2
Mglichkeiten. Erstens durch Einsatzes eines residenten Wchters, z.B.
NEMESIS, und zweitens in dem man solche komprimierten Programme selbst
entpackt, z.B. mittels UNP, und die dekomprimierte Datei dann mit einem
AV-Programm untersucht.


Frage 58:       Wie bekommt man Norton Antivirus auf den neuesten Stand, oder
                wo bekommt man Updates fr Antivirenprogramme ?

Hier mu man zuerst einmal Unterscheiden, um welche Art von Programm es
sich handelt. Sharewareprogramme wie F-PROT werden meist ber die
weltweiten Computernetzwerke verschickt. In diesen gibt es dann auch immer
die neuesten Updates. Kommerzielle Programme dagegen bieten i.d.R. einen
Updateservice, der entweder via Disketten oder spezielle Support- und
Hotlinemailboxen abgewickelt wird. Genaueres hierzu kannst du entweder in
der Dokumentation deines Programms nachlesen oder bei deinem Hndler
erfragen.


Frage 59:       Wie sicher ist der Virussafe von PC Tools 8.0 ?

Jedes Programm hat Sicherheitslcken, das eine mehr, das andere weniger,
und je lter ein Programm ist, desto unsicherer wird es natrlich, aber
jedes einigermassen aktuelle AV Programm bietet in Verbindung mit
regelmigen Backups einem Anwender guten Schutz. Hier soll keine Wertung
vorgenommen werden, welches Programm gut und welches schlecht ist, dazu ist
im Bereich des Softwaremarktes auch einfach zu viel Bewegung, sondern Sie
als Anwender sollen in die Lage versetzt werden, sich ein fr sich und ihre
Bedrfnisse passendes Schutzkonzept zusammen zustellen. Um aber bei Virussafe
zu bleiben: es gilt zumindest nach dem Stand 10/94 als nicht empfehlenswert,
das es einige massive Sicherheitslcken enthlt, die den Herstellern bereits
seit lngerem bekannt sind, allerdings immer noch nicht behoben wurden.


Frage 60:       Ein Virus hat eine Datei zerstrt, kann ein Antivirenprogramm
                den Virus entfernen und dabei die Datei reparieren ?

Wenn eine Datei erst einmal zerstrt ist, kann sie nicht mehr repariert
werden, denn kein AV Programm kann wissen, was vor der Zerstrung in der
Datei gespeichert war. Anders ist es bei Dateien, an die sich Viren
angehngt haben. Hier ist es sehr wohl mglich, den Originalzustand der
Datei wieder herzustellen, sprich die Datei zu reparieren.


Frage 61:       Gibt es wirkungsvolle Manahmen, um den Bootsektor zu
                schtzen ?

Es gibt Tools, mit denen der MBR und der BS einer Platte auf Diskette
gesichert werden koennen (z.B. in TBAV oder auch in F-PROT Professional).
Im Falle einers Infektion kann man dann bei Bedarf diese Sicherungen wieder
einspielen. Ein echter Schutz, also in der Form, da eine Infektion 100
prozentig verhindert wird, ist mir nicht bekannt. So lassen sich z.B. auch
die in manchen BIOS implementierten Bootsektor-Schutzfunktionen
deaktivieren, sprich auch dies lt sich umgehen. Einen optimalen Schutz
von MBR und BS erhlt man aber z.B. durch den Einsatz von
Hardware-Virenschutz (z.B. Thunderbyte-Karte), also Steckkarten, die den
Zugriff auf die Festplatten kontrollieren, allerdings haben solche Lsungen
wieder andere Nachteile.


Frage 62:       Worauf mu man bei Antivirenprogrammen in Verbindung mit
                Netzwerken achten ?

Bei Netzwerken ist es in der Regel so, da Netzwerkzugriff erst nach dem
Booten des Betriebssystems und dem Laden der Netzwerktreiber mglich wird.
Will man ein Netzwerk auf Viren untersuchen, mu man sich immer vor Augen
halten, das man auf keinen Fall ein infiziertes Programm starten darf. Das
bedeutet, alle fr die Login-Prozedur ntigen Programme und Treiber mssen
genauso auf der virenfreien Bootdiskette sein, wie das Betriebssystem der
Workstation. Man bootet also eine Workstation von einer virenfreien
Diskette und untersucht als allererstes mal die Workstation, auf der man
arbeitet. Als nchstes ldt man die Netzwerktreiber von der virenfreien
Diskette und startet das Login-Programm, ebenfalls von dieser Diskette (das
Login-Programm auf dem Server ist das am hufigsten infizierte Programm
eines Netzwerks). Dann kann man damit beginnen, den Server auf Viren zu
untersuchen.


Frage 63:       Nach der Installation meines Antivirenprogramms laufen andere
                Anwendungen nicht mehr, was soll ich tun ?

Es gibt mehrere Mglichkeiten: Hat die Installation etwas an CONFIG.SYS
oder AUTOEXEC.BAT gendert ? Falls ja, berprfen Sie, ob diese nderungen
der Grund fr den Fehler sind. Eventuell sind diese nderungen ja gar nicht
ntig gewesen (nheres entnehmen Sie der Dokumentation Ihres
Antivirenprogramms). Haben Sie bei der Installation irgendwelche Dateien
immunisiert ? Beim Immunisieren werden Dateien modifiziert und diese
Modifikationen knnen ebenfalls der Grund fr den Fehler sein. In allen
Fllen sollten Sie sich aber an der Hersteller Ihres Antivirenprogrammes
wenden, denn keiner wei besser, was wrend der Installation passiert, als
der Hersteller.


Frage 64:       Wie erklrt es sich, da AV-Programme unterschiedlich
                reagieren ? Mit lterer McAfee-Version habe ich einen Virus
                gefunden, mit einer neueren nicht mehr.

Zwei Mglichkeiten: Erstens besteht die Mglichkeit, da der Virenfund ein
False Positiv, also ein Fehlalarm war, der in der neuen Version behoben
wurde und zweitens kann es daran liegen, da McAfee Ass. gerade sein
Programm berarbeitet und die neue Version 2.x noch sehr fehlerhaft ist und
deutlich weniger Viren erkennt, als z.B. die Version 117.


Frage 65:       Reichen die AV-Programme, die im Betriebssystem vorhanden
                sind, oder braucht man noch andere ?

Die im Umfang des Betriebssystems mitgelieferten Programme reichen
berhaupt nicht aus. In der Regel sind sie qualitativ minderwertig und
nochdazu meist veraltet. Sie sind fr Schutzzwecke genauso gut geeignet,
wie EDLIN als Textverarbeitung.


Frage 66:       Worauf mu man beim Kauf von AV-Programmen achten ?

Die fr kommerzielle Angebote wichtigsten Kriterien sind die Qualitt des
Programms, also wieviele der "in the wild" vorkommenden Viren werden
erkannt (nicht zu verwechseln mit der Werbeaussage: Wir erkennen ber XXXX
Viren, denn was nutzt ein Antivirenprogramm, das alle in Japan vorkommenden
Viren findet, die in Europa verbreiteten Viren aber verpasst ?), die
Verfgbarkeit von regelmigen Updates (gut sind Updates in Abstnden von
ca. 6-8 Wochen) sowie eine guter Support bzw. Anwenderhotline. Sptestens
beim letzten Punkt trennt sich dann auch die Spreu vom Weizen und Sie
werden erkennen, ob das Produkt, fr das Sie sich interessieren, berhaupt
zur Diskussion steht oder nicht.


Frage 67:       Lohnen sich berhaupt Antivirenprogramme ? Es kommen doch
                stndig neue Viren auf den Markt.

Mal eine Gegenfrage, lohnt sich denn ein Sicherheitsgurt, Ihr Auto knnte
doch von einem Zug erfasst werden. Nun aber ganz ernsthaft! Ich denke
schon, da die Investition in die Sicherheit Ihrer Daten eine sinnvolle
Ausgabe sind, zumal zu dieser Investition ja auch die Updates gehren. Ist
das Antivirenpacket auch noch mit einer vernnftigen Backup-Strategie
gekoppelt, kann Ihren Daten eigentlich nichts mehr passieren. Allerdings
gebe ich Ihnen recht, kein Antivirenprogramm ist vollkommen, oder anders
gesagt, Ihr bestes Antivirenprogramm ist und bleibt der BACKUP.
Bercksichtigt man aber die Kosten zur Restaurierung eines Systems, trotz
guter Backups, so hat sich ein Antivirenprogramm bereits bezahlt, wenn
damit nur ein einziges mal ein Virus gefunden wurde, bevor er sich
ausgebreitet hat und damit ein Restaurieren Ihres Rechnersystems
berflssig wurde.


Frage 68:       Wenn man Originaldisketten kauft, die Viren enthalten, wie
                kann man gegen den Hersteller vorgehen ?

Wenn man beweisen kann, da der Virus bereits beim Kauf auf den Disketten
war (z.B. mittels Zeugen), so handelt es sich nach der aktuellen
Rechtseinschtzung um einen Mangel und alle Rechte nach BGB (Kaufvertrag
bis hin zu Folgeschden) knnen beim Hndler geltend gemacht werden.
Allerdings bleibt immer das Problem der Beweislast. Allerdings zeigen sich
viele Hndler kulant, da Ihnen Ihr Ruf sehr wichtig ist (logischerweise)
und bieten neben dem kostenlosen Umtausch (Wandelung) meist noch eine
kleine Zugabe (z.B. eine Maus), um den Kunden zu beruhigen und zufrieden zu
stellen.


Frage 69:       Warum sind die Antivirenprogramme fr PS's so teuer ? Fr
                Amiga-Rechner sind die fast kostenlos.

Bercksichtigt man die Zahl der bekannten Viren auf den einzelnen
Plattformen, bei Amiga ca. 50, bei PC's etwa 4000, so ist fr jeden sofort
einsichtig, das Antivirenprogramme fr PC's deutlich mehr knnen mssen,
also auch mehr Man-Power beinhalten, als Antivirenprogramme fr Amiga. Da
Man-Power bekanntlich Geld kostet, steigen auch die Preise fr die
entsprechenden Programme.


Frage 70:       Knnen Viren berleben, wenn man die Festplatte neu
                formatiert ?

Im Speicher des Rechners ja, auf der Platte nicht. Bootet man den Rechner
von einer virenfreien Diskette und fhrt anschliessend einen
Low-Level-Format, sind ausnahmslos alle Daten auf der Platte gelscht. Auch
ein Virus hat keine Chance, sowas zu berstehen.


Frage 71:       Stimmt es, da die Firmen, die Virenschutzprogramme
                herstellen, auch selbst Viren in Umlauf bringen ?

Es gab einmal einen Fall, bei dem ein hollndischer Freak zuerst einen
Virus in Umlauf brachte und dann hinterher einen Cleaner auf Markt warf.
Dies ist aber der einzige Fall, der jemals bekannt wurde. Ich halte die
obige Aussage fr ein Gercht, denn kein Hersteller wrde es finanziell
berleben, wenn Ihm so etwas nachgewiesen wrde, die Konkurrenz und die
Medien wrden den Fall publik machen und dann wrde wohl kaum ein Kunde
noch ein Produkt dieses Herstellers kaufen.


Frage 72:       Beim Update von DOS 6.2 erscheint die Meldung: "Bootsector
                might possibly attacked by Virus; continue (y/n) ?". Ist das
                ein Virus ?

Nein, diese Meldung stammt von Ihrem BIOS und weisst Sie darauf hin, da
der Bootsektor Ihrer Festplatte verndert werden soll. Wrend des
Betriebssystemupdate mu aber der Bootsektor verndert werden, die alte
Bootsequenz von DOS 6.0 soll doch ersetzt werden durch die neue Bootsequenz
von DOS 6.2. Sie knnen also getrost diese Meldung ignorieren.


Frage 73:       Soll man ein Versicherung gegen Virusbefall abschlieen ? Fr
                mittelstndische Betriebe wre doch eine Versicherung gegen
                Datenverlust sinnvoll.

Eine Versicherung ist ja schn und nett, aber wie hoch wollen Sie sich denn
versichern ? 10000 DM, 20000 DM, 100000 DM ? Knnen Sie heute sagen wie
gro der Schaden eines Virus sein wird ? Und ganz nebenbei gefragt, glauben
Sie wirklich, die Versicherung zahlt dann anstandslos ?
Ich persnlich denke, Sie sollten das Geld lieber in gute Streamer oder
DAT-Laufwerke investieren und damit sich selbst vor Datenverlust oder
Datenmanipulation schtzen. Diese Investition erscheint mir deutlich
sinnvoller als der ABschlu einer Versicherung. Ganz nebenbei hilft Ihnen
ein Backup auch, wenn Sie mal aus versehen ein Files oder Directory
gelscht haben, was eine Versicherung nicht tut, und glauben Sie mir, sowas
kommt viel hufiger vor, als eine Infektion durch einen Computervirus.


==========================================================================

