,---------------------------------------------------------------------.
|                                                                     |
|                           *** ViruVers ***                          |
|                                                                     |
|  Listkeeper         : Martin Roesler                                |
|                                                                     |
|  Die Liste der bekanntesten Free- und Shareware-Antivirusprogramme  |
|  mit Funktionsbeschreibung.                                         |
|                                                                     |
`---------------------------------------------------------------------'
 Folgende Software wird zur Zeit in dieser Liste unterstuetzt:
   1. Scan von McAfee
   2. F-Prot von Skularson
   3. VIRx von Datawatch (Glenn Jordan)
   4. TBAV von Thunderbyte (Frans Veldman)
   5. NEMESIS von Robert Hoerner und Christian Sy
   6. VSUM von Patty Hoffman
   7. Intergrity Master von Stiller Research (Wolfgang Stiller)
   8. CHKFILE von Wolfgang Stiller
   9. CHK-SAFE von Bill Lambdin
   10. AVP von Eugene Kaspersky
   11. SUSPICIOUS von Stefan Kurtzhals
-----------------------------------------------------------------------
                           I. AV-SOFTWARELISTE
                           ===================

1. SCAN      McAfee Associates SCANNER
--------------------------------------
McAfee's Scanner ist ein an sich gutes Produkt, welches viele Viren
erkennt, aber leider einige Exemplare haeufig falsch identifiziert.
Er ist empfehlenswert, wenn es wichtig ist, zu erfahren, OB man von einem
Virus befallen ist. SCAN sucht auch innerhalb von mit LZEXE und
PKLITE komprimierten ausfuerbaren Dateien nach Viren. Empfehlenswerte
Parameter beim Aufruf sind "/m /chkhi", wodurch der gesamte moegliche
TSR-Speicher nach allen Viren durchsucht wird.
Die zugehoerige Killerfunktion (ehemals CLEAN) sollte nicht verwendet
werden, da sowohl SCAN als auch CLEAN bekannte Viren nicht eindeutig
identifizieren und ein Entfernen des Virus dadurch sehr problematisch wird.
SCAN umgeht dieses Problem dadurch, das die infizierten Dateien sehr oft
einfach nur geloescht werden. SCAN laeuft nicht problemlos auf
LANtastic-Drives; es erkennt lokale Platten nicht als solche und scannt
keinen Bootsektor. Seit Version 104 kann SCAN aber hervorragend mit
Netzwerkplatten umgehen.
Beispiel: SCAN /a /sub /nopause /report scan.txt .

2. F-PROT    Fridrik Skulason  SCANNER/KILLER
---------------------------------------------
F-PROT ist eines der besten Package, welches in der Virenerkennung
(insbesondere bei Varianten) und -entfernung gute Dienste leistet. Im
Package sind VIRSTOP und andere Programme enthalten. F-PROT bietet
optional eine heuristische Suche, mit deren Hilfe Programme auf
virentypisches Verhalten untersucht werden. Wird nicht interaktiv mit
der Benutzeroberflaeche gearbeitet, so sind folgende Parameter
empfehlenswert: "/boot /file /packed /list /disinf".
Das Programm laeuft gut auf BANYAN- und PATHWORKS 4.1-Netzen. Probleme
gibt es unter LANtastic 4.1, und zwar auf lokalen Platten allgemein, und
auf Netzwerkplatten mit den DOS-Systemdateien.
VIRSTOP ist als Monitor ebenso von Viren, die mit Tunneltechniken
ausgestattet sind, zu umgehen wie die meisten Monitorprogramme.
Ansonsten ist es klein und kompakt.
VIRSTOP laeuft bei sachgemaesser Anwendung _NICHT_ sauber auf BANYAN-Netz-
Workstations, weil VIRSTOP nach den Netztreibern geladen werden muesste.
Auch gibt es offenbar Probleme auf einigen Systemen, wenn es von der
CONFIG.SYS aus geladen wird. VIRSTOP's Code scheint etwas unkonventionell
zu sein.
Fuer Leute mit Internetzugang: das jeweils aktuellste F-PROT kann direkt
bei complex.is angefordert werden. Dazu reicht eine Mail an f-prot@complex.is
Beispiel: F-PROT *.* /report=f-prot.txt /boot /file /packed /list

3. VIRX      Datawatch Corp.   SCANNER/MONITOR/INTEGRITY
--------------------------------------------------------
VIRX ist seit der Version 2.7 nicht mehr Freeware! Das Package enthaelt
einen Scanner mit der Faehigkeit, auch in PKLITE/LZEXE-gepackten
Dateien nach Viren zu suchen. Ausserdem kann es von Executables und MBR/
Bootsektoren einen "Fingerabdruck" erstellen, so dass eine Veraenderung
erkannt und ggf. repariert werden kann.
Zusaetzlich ist ein Monitor-TSR enthalten, welches bei jedem Aufruf eines
Executables dieses nach bekannten Viren durchsucht und es beim Vorhanden-
sein eines "Fingerabdrucks" auf Veraenderungen ueberprueft.
Empfohlene Parameter: "-x".
Das Produkt vertraegt sich eventuell nicht mit Carmel TNT Turbo AntiVirus.
In aelteren Versionen gab es haeufig Fehlalarme mit dem "Liberty-II"-Virus.
Auch ist es nicht von Vorteil, dass der Name der beiden Files, die die
"Fingerabdruecke" enthalten, praktisch festgelegt ist, damit das
automatische Pruefen beim Scannen erfolgen kann. Viren koennten nach
dieser Datei suchen und entsprechende Gegenmassnahmen vornehmen.
Seit Version 2.8 ist versucht worden, Fehlalarme in Verbindung mit CPAV/
MSAV durch deren unverschluesselte Scanstrings im Speicher zu vermeiden.
Beispiel: VPCSCAN . -L -M -A -BI -R.\VPCSCAN.TXT

4. TBAV      Thunderbyte       Komplettes Package, Multi-Layer-Schutz
---------------------------------------------------------------------
Die Thunderbyte Utilities stellen einen System-Komplettschutz dar. Das
faengt beim Antivirus-Masterboot-Record an, geht ueber residente, gut
gestaffelte Schuetze auf Interrupt-Ebene sowie Integrity-Checking weiter
und endet beim heuristischen Scanner und einem intelligenten Cleaner.
Die Utilities sind nach gelungener Konfiguration extrem arm an Fehlalarmen
und bieten trotzdem ein grosses Mass an Sicherheit.
Es wird dringend empfohlen, die DOC-Files zu den einzelnen Utilities
zu lesen. Die Kombinationsmoeglichkeiten sind derart vielfaeltig,
dass ich hier nicht naeher auf die Parameteruebergabe eingehen werde.
Naeheres zu den Utilities in den hier folgenden Einzelbeschreibungen:
TBSCAN enthaelt als besonderes Feature einen eingebauten Debugger,
der eine intelligente Suche ermoeglicht. Ausserdem besitzt TBSCAN die
Faehigkeit, heuristisch zu scannen. Durch Fehlerbuchstaben wird
so virentypisches Verhalten eines Programms diagnostiziert, wodurch in
begrenztem Masse auch unbekannte Viren und neue Varianten entdeckt
werden. Durch Bestimmen der Originalwerte fuer DOS und BIOS Entry
Point, sogenanntes Interrupt-Tracing, werden einige residente Viren
davor bewahrt, gescannte Files zu infizieren.
Laut einer Notiz von Vesselin Bontchev im VIRUS-L Digest hat TBSCAN
ab und zu Probleme, manche Viren per Signatur zu finden, weil er
'zu intelligent' sucht. HTSCAN arbeitet als Ganzfilescanner in
solchen Faellen zuverlaessiger, so Bontchev.
TBSCAN verwendet seit der Version 6.00 einen eigenen Filehandler und
uebergeht DOS dabei vollstaendig. Hierdurch werden viele Stealth-
Viren umgangen und koennen entdeckt werden.
Die heuristische Variantensuche wird mit "heuristic" aktiviert,
produziert aber eine Menge Fehlalarme. Man sollte sich ein
wenig mit seinen Programmen auskennen, um diese Optionen sinnvoll
einsetzen zu koennen. Wer das allerdings tut, dem bietet die heuristische
Suche mit hoher Zuverlaessigkeit die Moeglichkeit, auch unbekannte Viren
aufzuspueren.
TBSCAN sucht keine Viren innerhalb PKLITE/LZEXE-gepackter Dateien.
Beispiel: TBSCAN . af hr nm nh ba lo ln=tbav.txt ll=4
TBSCANX ist ein residenter Scanner, der beim Erstellen und Ausfuehren
eines ausfuehrbaren Files nach bekannten Signaturen scannt. Dies
geschieht keinesfalls langsam!
Empfohlene Switches: a,mx
TBSETUP ist ein Kommandozeilen-Integrity-Checker, der wichtige Daten
ueber alle ausfuehrbaren Dateien in einer kleinen Datei fuer jedes
Verzeichnis speichert. Diese Dateien bilden den Grundstock fuer andere
Programme des Packages, und mit ihrer Hilfe werden Aenderungen in
den ausfuehrbaren Files festgestellt.
Ebenfalls werden mit TBSETUP die "Genehmigungen" fuer ausfuerbare Files
verwaltet. So kann den Thunderbyte Utilities z.B. mitgeteilt werden,
welche Dateien TSR gehen duerfen, welche direkt ueber Interrupt 13h auf
Disk schreiben duerfen, usw. .
TBDRIVER ist der Treiber fuer alle Thunderbyte-Utilities, der bei ihrem
Einsatz geladen werden muss. Mit seiner Hilfe kann auch das gefuerchtete
Interrupt-Tracing (Tunneling) groesstenteils unterbunden werden. Nur dem
TBSCAN wird das Tracen nach wie vor gestattet.
TBCHECK ist ein residenter Integrity-Checker, der bei jeder Ausfuehrung
einer Datei ueber ihren Entry-Point eine Checksumme bildet. Falls der
Entry-Point veraendert wurde (dies wird ueber die von TBSETUP erzeugte
Integrity-Datei getestet), gibt TBCHECK eine Warnung aus. Auf Wunsch
kann auch die gesamte Datei CRC-geprueft werden, was jedoch langsam ist.
TBFILE bewahrt read-only und ausfuehrbare Files vor Veraenderungen auf
Dateiebene.
TBDISK verhindert in Verbindung mit TBDRIVER groesstenteils das
Interrupt-Tracing von Tunnel-Viren und schuetzt zugleich auf Interrupt-
Ebene vor Datenverlust durch direkten Diskzugriff. Es sollte in der
TSR-Kette ausnahmsweise moeglichst weit hinten geladen werden.
TBMEM ueberwacht den Speicher auf Programme, die sich unbefugt resident
zu machen versuchen. Seit der Version 6.02 erkennt das Programm auch
Veraenderungen im CMOS-RAM und restauriert dieses auf Wunsch.
TBCLEAN ist ein Killer, welcher die Faehigkeit hat, Code zu emulieren.
Dadurch kann es virulente Dateien disassemblieren/tracen und bis zum
Einsprung in das Original-Programm verfolgen. Anhand der so gewonnenen
Daten kann er eine virusbefallene Datei zuverlaessiger saeubern als ein
'blinder' Killer. Dies klappt besonders gut, wenn vorher Integrity-Dateien
von TBSETUP angelegt wurden. TBCLEAN kann so z.B. auch MtE-Viren beseitigen.
TBUTIL, frueher TBRESCUE, ist ein Tool, um Master Boot Records/Bootsektoren
zu sichern, bei Befall zurueckzufahren, eventuell neu zu erstellen, und zu
impfen. Eine Impfung besteht in diesem Fall im Erzeugen eines speziellen
MBRs, dessen Code gegen viele MBR-Viren resistent ist und ausserdem beim
Booten einige Systemwerte und den DOS-Bootsektor auf Korrektheit ueberprueft.
Die Thunderbyte Utilities sind Shareware. Bei Registrierung erhaelt der
Kunde einen Key, mit dessen Hilfe er u.a. auch die prozessor-optimierten
Versionen der Utilities aktivieren kann, die in einem separaten Archiv
verteilt werden. Diese sind vom Code her an alle Prozessortypen angepasst
und laufen daher schneller bzw. verbrauchen weniger Speicher.

5. NEMESIS   Robert Hoerner/Christian Sy   MONITOR
--------------------------------------------------
NEMESIS ist ein gutes Package, welches Nicht-Multitasker-Usern einen
effektiven Schutz vor Viren jeglicher Art bietet. Das Programm
entzieht sich durch spezielle Techniken dem Zugriff fast aller
anderen Programme und ist faehig, das Interrupt Tracing zu blockieren.
NEMESIS ist eines der sichersten Packages ueberhaupt. Gerade im Bereich
der Virusanalyse, wenn untersucht werden muss, ob sich ein Virus weiter-
verbreitet oder nicht, ist NEMESIS fast unschlagbar.
Es wird ausserdem eine Tabelle aller Sektoren erstellt, die von .COM, .EXE
etc. Files belegt sind. Dann wird auf BIOS - Ebene sichergestellt, dass
diese Sektoren nicht ueberschrieben bzw. veraendert werden, ohne dass der
Anwender seine Einverstaendnis gegeben hat. Dadurch werden z.B. Stealth-Viren
auch dann erkannt, wenn sie aktiv im Speicher sind.
NEMESIS erfordert in der sichersten Betriebsart EMS-Speicher. Das Programm
ist zu WINDOWS und anderen Multitaskern, die ueber kein eigenes
Betriebssystem verfuegen, nicht kompatibel. Lauffaehig ist das Programm
unter MS-DOS, DR-DOS5 und DR-DOS6, seit der Version 1.14 auch unter OS/2
und NOVELL-DOS.

6. VSUM      Patricia Hoffman  LEXIKON
--------------------------------------
VSUM ist das meistverbreitete Virenlexikon fuer PC-Viren. Es ist als
Hypertextsystem aufgebaut. Die Informationen darin sind oft nicht
sehr praezise und in einigen Faellen sogar falsch, jedoch werden sehr
viele Aspekte bekannter Viren dort beschrieben und in
uebersichtlicher Form zusammengefasst.

7. IM        Stiller Research  INTEGRITY/SCANNER
------------------------------------------------
Der Integrity Master von Wolfgang Stiller ist ein gutes Package,
welches im gewissen Rahmen generelle Datensicherheit bietet. Der
mitgelieferte, im Produkt eingebaute Scanner findet bekannte Viren,
der Integrity Check auch unbekannte, die natuerlich nicht
identifiziert werden koennen. Dieser Integrity Check basiert auf dem
CRC-Checksummenverfahren, wobei jedoch jede Kopie einen eigenen
Schluessel benutzt, um Manipulationen auszuschliessen. Dieser Test
findet jegliche Veraenderungen in Dateien und stellt daher einen
allgemeinen Schutzmechanismus dar. Zusaetzlich wird noch auf
besondere Sicherheitsluecken im DOS getestet, wie z.B. auf das
Vorhandensein gleichnamiger COM und EXE-Files (Companion-Viren!). Die
Installation ist leicht und benutzerfreundlich, die Menues jedoch
etwas gewoehnungsbeduerftig.
Beispiel: IM C:\check\im\im.prm /DC: /P\!VIRUS /NE /VL /NOB /1 /RF=im.txt

8. CHKFILE       Stiller Research  INTEGRITY/CRC
------------------------------------------------
Mit diesem Utility werden alle Files dieser Liste verifiziert.
Syntax: CHKFILE <filename> /1 /2
Man koennte prinzipiell dieses kleine Utility auch als Integrity-Checker
einsetze, allerdings wird davon abgeraten, da werder eine entsprechende
Vergleichsdatenbank, noch eine entsprechende Benutzeroberflaeche integriert
sind. Das Programm ist im Archiv CHKFILE.ZIP bei 2:2480/149 reuqestbar.
Beispiel:  CHKFILE *.com /1 /2 > LOGFILE

9. CHK-SAFE      Bill Lambdin   INTEGRITY/CRC
---------------------------------------------
Ebenfalls ein sehr gutes Integrity-Utility, das im Gegensatz zu CHKFILE
nicht mit 16 Bit CRCs, sondern mit MD5, bekannt aus PGP, arbeitet. Vorteil
gegenueber CHKFILE ist weiterhin die Tatsache, dass mehrere Filespecs
gleichzeitig bearbeitet werden koennen. Das Programm ist im Archiv CHK-SAFE.ZIP
u.a. bei 2:2480/149 requestbar.
Beispiel: CHK-SAFE *.com *.exe *.-vb > LOGFILE

10. Anti Virustoolkit Professional   Eugen Kaspersky
----------------------------------------------------
Das Antiviral Toolkit Pro ist ein sehr umfassendes Packet.
Es enthaelt neben einem Scanner auch einen residenten
Virenmonitor und einen Toolkit zum Untersuchen und Beobachten
des Speichers.
Der Scanner ist recht aktuell und hat viele Features die anderen
Scannern fehlen oder nicht in dieser Kombination vorhanden sind:
- Komprimierte Programme und Archive zum Scannen entpacken
- Pruefsummen anlegen/vergleichen
- Gute Reinigungsfunktion (Bug mit EMM386/DOS 6.2 ?!)
- Heuristische Virensuche (besser als F-PROT)
- Speicherkontrolle auch nach unbekannte Viren
- Ausschalten bereits aktiver Viren im Speicher
- Erstellen/Zuruecklesen einer Rettungsdiskette
- Virusdatenbank mit detailierten Infos und Effektdemos von Viren
Die Reinigungsfunktion ist sehr gut, im Test wurden alle gefundenen
Virus problemlos gereinigt. (Auch Tremor, V2Px, Whale)
Aergerlich ist nur das sich die Autoren in keinster Weise an
bestehende Standards fuer Virennamesgebung gehalten haben.
Es besteht auch die Moeglichkeit die Virendatenbank selber um
Scancodes und Reinigungsregeln zu erweitern. Allerdings ist diese
Funktion sehr komplex und eher fuer Profis gedacht.
Fuer den Scanner wird ca. 1 MB freier XMS-Speicher benoetigt.
Der residente Virenmonitor faengt virentypische Aktionen ab und
ist auch optional in der Lage nach bekannten Viren zu suchen.
Der Monitor faengt kein Tracing ab und erlaubt vielen Viren
sich zu installieren. Allerdings werden die Viren spaetestens
beim Versuch Dateien zu infizieren abgefangen.
Wenn auch nach bekannten Viren gesucht werden soll wird die gesamte
Datenbank in den Speicher gelesen. (TSR mit 130000+ Bytes !)
Trotz eingeladenen Heuristikmodul ist das TSR nicht in der Lage
die im Scanner entdeckten unbekannten Viren festzustellen.
Polymorphe Viren werden erst durch ihre Infektionsversuche bemerkt.
Mit dem Toolkit koennen Speicher, Interruptvektoren, Dateien und
Sektoren betrachtet werden. Interessant ist die Funktion zu einen
beliebigen Interrupt einen Interceptor zu installieren der jeden
Funktionsaufruf anzeigt. Das Toolkit ist eher fuer Virenforscher
interessant.
Das Antivirus Toolkit Pro ist Shareware.
Beispiel: -V.EXE /M /P /B /S /Y /Q /W .

11. SUSPICIOUS Virensuche-/analyse & residenter Blocker
------------------------------------------------------
SSC/SVS      Stefan Kurtzhals    Heuristik  1.00
                                 & Monitor
SUSPICIOUS besteht aus zwei Programmteilen:
  SSC : Heuristische Virensuche-/analyse
  SVS : Residenter Virenblocker
Im Gegensatz zu anderen Antivirenprogrammen arbeitet SSC rein heuristisch,
und benutzt Scanstrings nur in einem minimalen Umfang zur Erkennung von stark
verbreiteten Viren. SSC findet mit seiner heuristische Suchmethode bekannte wie
unbekannte Viren und ist damit nicht so extrem Updateabhaengig wie andere
Signatur-Scanner.
Zu jedem gefundenen verdaechtigen Programm gibt SSC, wenn moeglich, einen
detailierten Bericht ueber Virustyp, Groesse, Techniken (Speicherbelegung,
Stealthfaehigkeiten usw.) und Schaden bzw. Schadensausloeser an.
SSC ist fuer fortgeschrittene Benutzer gedacht, und eigentlich nicht als
Scanner konzipiert, weil die Heuristik recht "scharf" eingestellt ist und
"Falschmeldungen" je nach System und Software haeufiger auftreten koennen.
Besonders trickreich verschluesselte Programme werden gelegentlich als
verschluesselter Dateivirus erkannt.
SVS arbeitet ebenfalls ohne Signaturen und faengt virentypische Aktionen ab oder
verhindert das Starten von verdaechtigen Programmen. SSC ist von der Sicherheit
her zwischen NEMESIS und den Virenmonitoren von TBAV einzuordnen.
Es erreicht nicht die Sicherheit von NEMESIS, das vor allem wegen seines
Sektorschutzes unschlagbar ist, und ist aehnlich komfortabel, aber sicherer
als die TBAV TSR's.
SVS bietet neben dem ueblichen Abfangen von Datei- und Sektormanipulationen auch
das Abfangen von Tracern, Directory-Viren, Kernel-Patchern, eine Lern- funktion
und das Deaktivieren von aktiven Bootviren mit Reinigung der
Partition und des Bootsektors. (MS-DOS 5.0-6.2 empfohlen !)
SUSPICIOUS ist Shareware.
Beispiel: ssc . /report=ssc.log /detail=0 /summary /level=2 /false /batch
----------------------------------------------------------------------
                           II. BEZUGSQUELLEN
                           =================

Bei folgenden 3 Nodes (Adressen siehe Nodelist) kann garantiert virenfreie und
original gepackte AV-Software requestet werden:

Malte Eppert   (FIDO 2:2437/412, VirNet 9:49/100)
Robert Hoerner (FIDO 2:2476/8, VirNet 9:49/102)
Martin Roesler (FIDO 2:2480/149, VirNet 9:49/101, Intern. mrj@nemetschek.de)
Weiterhin gibt es die meisten AV Programme natuerlich auch bei allen ans
VirNet angeschlossenen Nodes, z.B. bei Hitchhiker's Point (2:2449/507),
Joerg Bettin (2:241/535) oder Peter Graf (2:247/161).
Im Internet kann man fast alle in diesem Dokument besprochenen Programme u.a.
von ftp.leo.org (fuer WEB-Fans auch www.leo.org) oder ftp.uni-koeln.de
beziehen.
---------------------------- ENDE VIRUVERS ----------------------------
