ViBa-Virendatenbank Willkommen bei der SAA Virendatenbank ViBa! Um in der Online Hilfe zu bl ttern, verwenden Sie bitte die Pfeiltasten oder klicken mit der Maus auf die Rollbalken. Diesen Bildschirm verlassen Sie mit ESC. Um einen Hilfepunkt (Hypertext-Link) anzuw hlen, dr cken Sie bitte die TAB-Taste (Shift-TAB f r einen Eintrag zur ck) oder klicken mit der Maus zweimal darauf! Dr cken Sie die F5-Taste, um diese Hilfestellung zu maximieren! 2 Weitere Onlinehilfen Antivirentools Fenster Liste bekannter Viren Parameter Sharewarekonzept Systemanforderungen Tastatur Virengattungen Viren identifizieren Virus suchen Wie Virus funktioniert Das Haupt-Men erreicht Sie ber Alt-Leertaste, alle anderen Men s mit Alt-Z, wobei Z f r den ersten Buchstaben des Men s steht. Z. B. erreicht man das Men "Datenbank" mit Alt-D. Wollen Sie weitere Informationen zum Programm ViBa erhalten, so lesen Sie bitte das Handbuch VIBA.DOC! Das Handbuch k nnen Sie auch mit dem Befehl 'Sonstiges-Handbuch ausdrucken' ausdrucken lassen! J Einsetzen von Men s und Befehlen Verwenden Sie die im oberen Bildschirmbereich befindliche Men leiste, um Men s und Befehle zu w hlen. Bitte Vergr ern Sie dieses Hilfefenster auf maximale Gr e um die folgenden Verfahren anschauen zu k nnen! Klicken Sie hierzu auf das Pfeilsymbol [^] im rechten obere Fensterrahmen oder dr cken Sie die F5-Taste. P aktion Mit der Maus Mit der Tastatur Anzeigen eines Verschieben Sie den Maus- Dr cken Sie die ALT-TASTE, s zeiger auf den Men namen, damit die Men buchstaben und klicken Sie diesen an. hervorgehoben erscheinen; dr cken Sie dann die Buch- stabentaste des Men s, das Sie anzeigen m chten. hlen eines Klicken Sie den Befehls- Dr cken Sie die Befehls- Befehls namen an. taste, die dem hervorgeho- benen Buchstaben des Be- fehls entspricht. Abbrechen eines Klicken Sie eine au er- Dr cken Sie die ESC-TASTE. hlten Befehls halb des Men s liegende Stelle an. So zeigen Sie ein Men Mit der Maus Mit der Tastatur Bewegen Sie den Mauszei- Dr cken Sie die ALT-TASTE, um ger auf den Men namen, die Men buchstaben hervorzuheben; und klicken Sie dann auf dr cken Sie dann die den Men namen. Buchstabentaste f r das Men das Sie anzeigen m chten. So w hlen Sie einen Befehl Mit der Maus Mit der Tastatur Klicken Sie auf den Be- Dr cken Sie die Buchstabentaste, fehlsnamen. die dem hervorgehobenen Buchstaben im Befehl entspricht. Dialogfelder Dialogfeldaktion Mit der Maus Mit der Tastatur hlen eines Text- Bewegen Sie den Mauszei- Dr cken Sie solange die feldes ger in das Textfeld, und TABULATORTASTE, bis sich klicken Sie dann darauf. der Cursor in dem Textfeld befindet. hlen einer Klicken Sie auf die Option. Verschieben Sie die Mar- Option kierung mit den Richtungs- tasten auf die gew nschte Option. Aktivieren/Deak- Klicken Sie das Kontroll- Verschieben Sie den Cursor tivieren eines k stchen an. mit der TABULATORTASTE in Kontrollk stchens das Kontrollk stchen, und dr cken Sie die LEERTASTE. hlen einer Be- Klicken Sie die Befehls- Verschieben Sie den Cursor fehlsschaltfl che schaltfl che an. mit der TABULATORTASTE auf die Befehlsschaltfl und dr cken Sie die EIN- GABETASTE. Dateibetrachter Der File Viewer zeigt den Inhalt einer Textdatei. Mit den Pfeiltasten setzen Sie den Cursor an die Stelle der Datei, die Sie sehen wollen. 1 ltige Pfeil-Tasten f r den Dateienbetrachter: Hoch Eine Zeile aufw Runter Eine Zeile abw Rechts Eine Spalte nach rechts Links Eine Spalte nach links PgUp Eine Seite aufw PgDn Eine Seite abw Ctrl-PgUp Dateibeginn Ctrl-PgDn Dateiende Der Dateibetrachter kann mit dem Men Fenster verkleinert und auf dem Bildschirm an eine neue Stelle bewegt werden. Siehe auch Tastatur Taste: Bedeutung: Hoch Eine Zeile aufw Runter Eine Zeile abw Rechts Eine Spalte nach rechts Links Eine Spalte nach links PgUp Eine Seite aufw PgDn Eine Seite abw Ctrl-PgUp Dateibeginn Ctrl-PgDn Dateiende ESC Abbrechen Leertaste Aktuellen Button ausf Enter Standardeinstellung ausf Alt-F3 Fenster schlie Alt-X Programm beenden F10 Men Das Haupt-Men erreicht Sie ber Alt-Leertaste, alle anderen Men s mit Alt-Z, wobei Z f r den ersten Buchstaben des Men s steht. Z. B. erreicht man das Men "Datenbank" mit Alt-D. Shareware --------- ViBa wird u. a. nach dem sog. Sharewareprinzip vertrieben, d. h. Sie bestellen bei einem Sharewareh ndler die Sharewareversion dieses Programmes. In der Regel verlangt der Sharewareh ndler hierf r eine Vermittlungsgeb hr, die zwischen 1 und 20 DM liegt. Mit dieser Geb hr haben Sie jedoch nicht das Programm gekauft, sondern nur dem H ndler seine Auslagen f r Werbung, Kopieren usw. bezahlt! / Das Sharewareprinzip -------------------- Das Programm versteht sich als Shareware, d. h. Sie d rfen es testen und ausprobieren. Wenn Sie aber damit l nger als vier Wochen arbeiten, wird eine Registrationsgeb llig. Shareware k nnen Sie also risikolos austesten. Falls Ihnen das Programm zusagt, kaufen Sie sich eine Vollversion. k Falls dieses Programm als SHAREWARE-Programm angeboten wird, darf das Programm unentgeltlich weitergegeben werden, wenn die zugeh rigen Dateien nicht ver ndert und nicht weggelassen werden (gilt nicht f r die Vollversion). Registrierte Anwender d rfen nat rlich die Vollversion nicht weitergeben! Mehr hierzu finden Sie in den Dateien ZUERST!.COM und VIBA.DOC! Unterst tzen Sie das Sharewarekonzept durch Ihre Registration! Die kommerzielle Nutzung der Sharewareversion (in Firmen, ffentlichen Anstalten, Schulen etc.) ist untersagt. F r die sogenannte "Registrationsgeb hr" (siehe REGISTER.COM, VIBA.DOC oder Men epunkt Bestellen) erhalten Sie die neueste und aktuellste Programmversion mit zus tzlichen Bonusprogrammen und weiteren Antivirentools! In der Vollversion fallen die Aufforderungsbildschirme weg! Zum Bestellen ihrer pers nlichen Vollversion starten Sie bitte das Programm REGISTER.COM und ein Bestellschein wird ausgedruckt. Falls die Datei ZUERST!.COM auf Diskette beiliegt, so starten Sie zuerst dieses Programm, bevor Sie mit ViBa arbeiten! Puzzle Kleines Puzzle, wenn Ihnen mal nach einem kleinen Spielchen ist. Die Buchstaben sollen dabei in folgendes Muster gebracht werden: : A B C D E F G H I J K L M N O Wird ein Quadrat neben der leeren Fl che mit der Maus angeklickt, bewegt es sich an die Leerstelle. Das Dr cken einer der Cursortasten bringt das Buchstabenquadrat in der Richtung der Cursortaste in die Leerstelle. Der Z hler f r die Spielz ge wird bei jeder Bewegung erh Siehe auch Tastatur Rechner Der Rechner beherrscht die Grundfunktionen Addieren, Subtrahieren, Multiplizieren und Dividieren. Er kann sowohl mit der Tastatur als auch mit der Maus bedient werden. Die Taste 'C' l scht den Speicherinhalt des Rechners, die Taste ' ' das letzte Zeichen und die Taste ' ' macht negative Werte positiv. Die Tastaturentsprechung des Mausfeldes ' ' ist '_'. Kalender Im Kalender sieht man den aktuellen Monat, in dem der heutige Tag hervorgehoben ist. Der vorhergehende und der folgende Monat sind mit den Tasten '+' oder '-' zu sehen. Siehe auch Tastatur ASCII-Tabelle Die ASCII-Tabelle enth lt den ganzen IBM PC Zeichensatz. Das aktuelle Zeichen erscheint blinkend. Unter der Tabelle sieht man dazu den hexadezimalen und den dezimalen ASCII-Wert. Ein neues Zeichen wird durch Eingabe auf der Tastatur, durch Anklicken mit der Maus oder mit den Pfeiltasten gew hlt. Siehe auch Tastatur (System) Men (Alt-Leertaste) Das Men System erscheint links auf dem Men -Balken. Ihm ist das Symbol zugeordnet. ) Das Systemmen enth lt u. a. die Punkte Hilfe Bestellen Puzzle Kalender ASCII Tabelle Taschenrechner Der Men punkt " ber" des (System) Men s zeigt Informationen zu Copyright und der aktuellen Version. Z Sie entfernen diese Informationen mit Esc, Leertaste, Enter oder durch Anklicken von OK. Puzzle Der Men punkt Puzzle startet ein puzzle Spiel. Kalender Der Men punkt Kalender ffnet einen Calendar, der den aktuellen Monat sowie den Monat davor und danach zeigt. ASCII-Tabelle Der Men punkt ASCII ffnet eine ASCII-Tabelle mit dem IBM PC Zeichensatz. Rechner Der Men punkt Rechner startet einen Rechner mit vier Funktionen auf dem Bildschirm. Datenbank (Alt-D) Der Men punkt Datenbank dient zum ffnen von Dateien, Laden von Datenbanken, Wechseln des Verzeichnisses und Verlassen des Programms. Laden Verzeichnis wechseln DOS-Shell Beenden Datenbank laden Der Befehl Laden zeigt ein Dialogfenster an, in dem Sie die gew nschte Datei w hlen k nnen. Siehe auch Dateibetrachter. ( Das Dialogfenster Datei laden enth ein Eingabefeld mit einer History-Liste ein Wahlfeld mit dem Verzeichnis ein Abbruch Ende-Feld das ffnen Aktionsfeld ein Informationsfeld ber die gew hlte Datei Standardm ig versucht ViBa die Datenbank VIBA.TVF zu laden. Dies kann jedoch dann fehlschlagen, wenn nicht gen gend Speicherplatz oder die Datei VIBA.TVF nicht vorhanden ist! Datenbank freigeben In der Sharewareversion d rfen die Datenbanken nicht ver ndert abgespeichert -und so ver ndert- weitergegeben werden (ist meines Erachtens eh nicht sinnvoll, da ich ViBa selbst laufend erweitere). Aus diesem Grund ist die Datenbank standardm ig auf "gesperrt" gesetzt. Mittels dem Men punkt "Datenbank freigeben" kann jedoch der Schreibschutz aufgehoben werden. Ein Abspeichern ist dann m glich! Verzeichnis wechseln Dieser Men punkt bringt das Dialogfenster Verzeichnis, in dem Sie ein neues Verzeichnis setzen k nnen. DOS Shell Es wird das Programm COMMAND.COM ausgef hrt, ViBa verbleibt jedoch im Arbeitsspeicher. Falls Sie EMS-Speicher installiert haben, wird ein Teil von ViBa in den EMS-Speicher ausgeladen. Um zu ViBa zur ckzukehren, geben Sie EXIT ein. Die DOS-Shell kann z. B. dazu verwendet werden, mit einem Virensuchprogramm nochmals eine Diskette zu untersuchen. Nach dem Untersuchen der Diskette kehren Sie zu ViBa zur ck und schauen sich die Beschreibung zum gefunden Virus an. Tip: Vor dem Starten einer DOS-Shell alle unn tigen Datenbanken oder Texte schlie en, weil diese sonst im Speicher gehalten werden! Beenden (Alt-X) Beendet ViBa (kehrt zu DOS zur ck). Falls Sie Datenbanken ge ndert haben, werden Sie gefragt, ob Sie die Ver nderungen abspeichern wollen. Ein Abspeichern ist nur in der Vollversion m glich, wenn die Datenbank freigegeben wurde! Fenster (Alt-F) Das Men Window enth lt Befehle, die Fenster schlie en, bewegen oder sonst wie betreffen. ~ Die meisten Fenster dieses Programms enthalten einen Rollbalken, ein Feld zum Schlie en des Fensters und Symbole zum Zoomen. > Befehle zu Fensterverwaltung e/Verschieben Zoom Verteilen Kacheln chstes Letztes Schlie e/Verschieben (Ctrl-F5) Mit diesem Befehl ndern Sie die Gr e oder die Position des Fensters. Siehe auch Fenster Diese Funktion ist nur sinnvoll bei Fenstern, die in der Gr ndert werden k nnen. Aus diesem Grund sind diese Funktionen immer gesperrt. Ausnahme: Beim Anschauen von Anleitungen oder der Aliasliste bzw. der Liste ber Virenabstammungen. g Durch Dr cken der Shift-Taste zusammen mit den Pfeiltasten ndern Sie die Gr e des aktiven Fensters. m Falls das Fenster eine Mausecke hat, k nnen Sie auch mit dieser das Fenster in die gew nschte Gr e ziehen. Siehe auch Fenster + Verschieben Nach Wahl von "Verschieben" verschieben Sie das aktive Fenster mit den Pfeiltasten. An der gew nschten Position dr cken Sie Enter als Best tigung. C ber den Titel-Balken bewegen Sie das Fenster mit Hilfe der Maus. Siehe auch Fenster Tastatur Zoomen (F5) Zoom erweitert das aktive Fenster auf Maximalgr e. Hat es diese schon erreicht, wird die fr here Gr e wieder hergestellt. ` Ein Doppelklick mit der Maus im Titel-Balken (au er auf einem Symbol) erf llt denselben Zweck. Siehe auch Fenster Verteilen Dieser Befehl ordenet alle in der Gr e ver nderbaren Fenster wie folgt an: P Fenster nebeneinander Siehe auch Fenster Kakadieren Dieser Befehl ordenet alle in der Gr e ver nderbaren Fenster wie folgt an: A Gestapelte Fenster Siehe auch Fenster chstes Mit "N chstes" erreichen Sie das n chste Fenster. Siehe auch Fenster Letztes Fenster Mit "Letztes" erreichen Sie das vorige Fenster. Siehe auch Fenster Schlie (Alt-F3) Schlie t das aktive Fenster. R Sie k nnen auch das Symbol Schlie en =[ ]= in der oberen rechten Ecke anklicken. Siehe auch Fenster Options (Alt-O) Mit dem Men Options stellen Sie Vorgaben f r Farben color und die Maus mouse neu ein. Options Mouse... Der Befehl Mouse zeigt das Dialogfenster Mouse Options, in dem die Mausfunktionen eingestellt werden: J Geschwindigkeit des Doppelklicks linke oder rechte Maustaste aktiv Options Colors... Der Befehl Colors zeigt das Dialogfenster Colors dialog, in dem die Bildschirmfarben eingestellt werden. Options Save Desktop Speichert den Inhalt aller offenen Fenster in der Datei TVDEMO.DSK. ber Options Restore Desktop wird sie wieder geladen. Options Restore Desktop Wiederherstellen des Zustands aller vorher offenen Fenster aus der Datei TVDEMO.DSK. Mit dem Befehl Options Desktop wird diese Datei gespeichert. Dialogfenster Datei ffnen Das Dialogfenster Datei ffnen enth lt ein Eingabefeld, eine Dateiliste, ein Informationsfeld, das Ende-Symbol, Abbruch, ein Aktionsfeld ( ffnen) und eine History-Liste, die mit dem Eingabefeld verbunden ist. Siehe auch Fenster Name Im Eingabefeld Name gibt man den Namen der zu ladenden Datei ein oder die Maske, mit der in der Dateiliste gesucht wird (z. B. *.*). Files FILENM01.PAS FILENM09.PAS FILENM02.PAS FILENM10.PAS FILENM03.PAS FILENM11.PAS FILENM04.PAS FILENM12.PAS FILENM05.PAS .. FILENM06.PAS \MOREXAMP FILENM07.PAS \TOURS FILENM08.PAS \ANSWERS.DIR Die Dateiliste enth lt die Namen des aktuellen und des bergeordneten Verzeichnisses sowie die der Unterverzeichnisse (soweit die Namen zu der Maske passen). C:\TP\EXAMPLES\*.PAS HELLO.PAS 52 Jul 14,1990 12:00pm In der Dateiinformation steht der Pfad, der Dateiname, das Datum, die Erstellungszeit und die Gr e der Datei. ) Diese Informationen sind nicht w hlbar. ffnen] Das Symbol ffnen ffnet ein neues Fenster und zeigt die gew hlte Datei in ihm an. [Abbruch ] Abbruch l t alles wie zuvor, das Dialogfenster wird entfernt. L (Esc dient zum selben Zweck, auch wenn das Symbol Cancel nicht erscheint.) ffnen] Beim Symbol ffbeb ffnet ViBa ein neues Dateibetrachter-Fenster und zeigt die gew hlte Datei in ihm an. Siehe auch Fenster Dialogfenster Change Directory Das Dialogfenster Verzeichnis wechseln enth lt ein Eingabefeld, ein Listenfeld, die Symbole OK und Help sowie Chdir und Revert. | Verzeichnis Hier tippt man den Pfad des neuen Verzeichnisses ein. Verzeichnis Baum Drives C:\ TP TVISION Im Verzeichnisbaum ben tzen Sie den Wahlbalken und Enter. t Mit der Tastatur w hlen Sie mit Enter das gew nschte Verzeichnis und verlassent mit OK oder Esc das Dialogfenster. 1 [Wechseln] Wechseln wechselt das aktuelle Verzeichnis, wenn ein neues gew hlt oder eingetippt wurde. + [Zur ck geht zum vorigen Verzeichnis zur ck, wenn das Dialogfenster noch nicht verlassen wurde. Dialogfenster Mouse Options Dieses Dialogfenster besteht aus einem Markierungsfeld, einem Gleitregler und den Symbolen OK und Cancel. Mouse Double Click Slow Medium Fast Der Gleitregler Mouse Double Click stellt die Zeit zwischen Doppelklicks ein. ^ [X] Reverse Mouse Buttons Das Auswahlfeld Reverse Mouse Buttons vertauscht die Funktionen der rechten und der linken Maustaste. : Siehe auch: Options Mouse... command Hilfe zum Dialogfenster Colors Das Dialogfenster Colors besteht aus zwei Listenfeldern, einem Textbereich, den Symbolen OK, Cancel und: p Bei Farb- und S/W-Systemen: zwei Farbpaletten Bei monochromen Systemen: Auswahlfeldern statt Paletten Hier k nnen Sie die Farben verschiedener Programmteile ndern: Group Desktop Men s Dialogs/Calc Puzzle Kalender Ascii-Tabelle Die Liste Group enth lt die Namen der Programmbereiche, deren Farbe ge ndert werden kann. L Item Color Beim W hlen einer Group zeigt das Listenfeld Item die Namen der verschiedenen Views dieses Bereichs. Vordergrund Hintergrund Auf Schwarz/Wei -Systemen wird mit diesen Paletten die Bildschirmdarstellung ge ndert. Colors ) Mono low ( ) Mono high ( ) Mono underscore ( ) Mono inverse Auf monochromen Systemen werden mit den Auswahlfeldern Colors die Zeichenattribute ge ndert. Q Text Text Text Text Text Text Auf allen Systemen zeigt ein Textfeld ber dem Symbol Help die aktuelle Farbe oder das aktuelle Attribut. Q nderungen werden erst beim Verlassen des Dialogfensters mit OK bernommen. e anw hlen cken Sie die F10 Taste. Es wird dann das verf gbare Men angezeigt. Ausw hlen des Men punktes mit den Pfeiltasten und ENTER-Taste. Alternativ k nnen Sie auch den hervorgehoben Buchstaben dr cken ("Schnelltasten"). Sie k nnen das Men auch mit der Tastenkombination "ALT + hervorgehobener Buchstabe in der Men leiste" aktivieren. Siehe auch Fenster Tastatur Tips geben/Viren beseitigen Dieser Men punkt ist das Herzst ck von ViBa. Schnelltaste ist ALT-T! Falls Sie mit der Maus arbeiten, klicken Sie bitte in der Statuszeile auf "Alt-T Tips"! Wenn Sie ALT-T dr cken wird eine Beschreibung samt Tips zum gerade angew hlten Virus in der Pickupliste ausgegeben. Bl ttern Sie in der Beschreibung mit den Pfeiltasten. Falls Sie die Tips ausgedruckt haben wollen, dr cken Sie ALT-D. Siehe auch Tastatur ' Viren identifizieren Hinweis: Um eine gewerbliche Nutzung der Sharewareversion von ViBa einzuschr nken, wird beim Ausdruck durch die Sharewareversion zus tzlich in den letzten drei Zeilen das Copyright ausgegeben. Dieser Punkt ist in der Vollversion entfernt! Die Tips wurden nach besten Wissen und Gewissen erstellt und mehrfach berpr ft. Bei einem Datenbestand von ber mehreren hundert Datens tzen kann jedoch nicht gew hrleistet werden, da die eine oder andere Angabe 100%ig zutrifft. Hintergrund: Es tauchen laufend neue und alte, jedoch modifizierte Viren auf, die sich entsprechend anders verhalten. Als Programmautor von Antivirensoftware (u. a. VirScan Plus & AntiLink) bin ich jedoch an neuen UND alten Viren sehr interessiert! Wenn Sie mir unverbindlich eine Diskette mit Ihren Viren berlassen, k nnen solche Programme weiterentwickelt und verbessert werden! Tip: Wenn Sie vor dem Anzeigen der Tips auf 28 oder 50 Zeilen umschalten, sind die Tips besser lesbar, weil mehr Informationen auf den Bildschirm 'passen'. Kurzliste/komplette Liste ausdrucken Mit diesen Men punkten k nnen Sie die aktuell angew hlte Virendatenbank ausdrucken. Die Kurzliste besteht aus Virenname, L nge, Anzahl Varianten und der Bemerkung. Die komplette Liste ist identisch mit der Funktion "Tips drucken". Es wird jedoch die ganze Datenbank ausgedruckt!!! Zum Ausdrucken eignet sich jeder Drucker, der 65 Zeilen pro Blatt und einen Blattvorschub (Formfeed) unterst tzt. Getestet wurden u. a. Matrixdrucker und Laserdrucker. Bestellen Wenn Sie an weiteren Produkten bzw. an der Vollversion von ViBa interessiert sind, so benutzen Sie den Bestellschein, der ausgedruckt wird, wenn Sie das Programm REGISTER.COM starten. Disketten sind auch im Format 3 " Zoll lieferbar! Achtung: Aufgrund der bergro en Programmgr t das Programm ViBa selbst bei Komprimierung nicht mehr auf eine 5.25" (360 KB) Diskette! Eine Lieferung ist nur auf 3.5" (1.44 MB) oder 5.25" HD (1.2 MB) Disketten m glich! ) Kleiner Tip: Am einfachsten geht es, wenn Sie das Programm REGISTER.COM starten. Es wird dann ein kompletter Bestellschein ausgedruckt. Auf diesem Bestellschein k nnen Sie auch noch verschiedene Optionen ankreuzen. Das Programm BESTELLN.COM bzw. BESTELL.TXT (falls beigef gt) enth lt eine paar Tips zum Bestellen. Einfach mit BESTELLN starten und mit den Pfeiltasten bl ttern. Auf der DS-Diskette befindet sich statt BESTELLN.COM die gleichlautende Datei BESTELL.TXT (Befehl hierf r z. B.: TYPE BESTELL.TXT | MORE)! Siehe auch: Sharewarekonzept Overlay-Manager Um Ihren Arbeitsspeicher zu entlasten, verwendet ViBa intern sog. Overlays. Falls Sie zus tzlich einen EMS-Treiber installiert haben, versucht ViBa die Overlaydatei in den schnelleren EMS-Speicher zu laden. Listen (Datenbanken) laden ViBa wird mit vier vorgefertigten Datenbanken ausgeliefert: Q VIBA.TVF (enth lt alle Virenbeschreibungen) BOOTVIRN.TVF (enth lt eine Beschreibung zu Bootviren und Viren, die den Partitionssektor infizieren) STEALTH.TVF (enth lt eine Beschreibung zu (Sub) Stealthviren) POLYMRPH.TVF (Liste aller polymorph verschl sselter Viren) HAENDLER.TVF (Liste autorisierter H ndler) Durch einfaches Anw hlen der entsprechenden Liste wird diese in den Arbeitsspeicher geladen und dargestellt. Ist die Datenbank schon geladen, wird die entsprechende Datenbank aktiviert! Nach Viren suchen So finden Sie einfach und schnell einen Virus: Sie positionieren den Cursor auf der Pickupliste. Sie geben den Namen ein, der gesucht werden soll. ViBa springt bei jeder Buchstabeneingabe zu dem Eintrag, der als erstes zutrifft. M Bsp: Eingabe: J E R U S ViBa: springt auf den Virus Jerusalem Wenn Sie nochmals in der Liste suchen wollen, m ssen Sie zuerst eine Pfeiltaste bet tigen, bevor Sie neu suchen k nnen. } Sie k nnen ViBa auch mit dem Virennamen aufrufen, den Sie suchen m chten. Es wird dabei das Verfahren Textsuchen angewandt. Beispiel: viba jerus Weitere Verfahren: ~~~~~~~~~~~~~~~~~~ Suchen nach Name L Text Aussprache Siehe auch Tastatur Viren identifizieren Nach Namen suchen Die Men funktion kann dazu verwendet werden, einen Virus nach dem Namen zu suchen. } Sie k nnen ViBa auch mit dem Virennamen aufrufen, den Sie suchen m chten. Es wird dabei das Verfahren Textsuchen angewandt. Beispiel: viba jerus Siehe auch Nach Viren suchen Aussprache Nach L nge suchen Die meisten Viren erzeugen bei einer Infektion einen eindeutigen L ngenzuwachs der infizierten Datei. Wenn Sie diesen L ngenzuwachs kennen, k nnen Sie mit dieser Funktion alle Viren anzeigen lassen, die solch eine "L nge" besitzen. ACHTUNG: Es werden aber nur die ersten 15 Beschreibungen angezeigt, die zutreffen (sonst wird es un bersichtlich). Sie k nnen nach einer Zahl oder nach einer Abk rzung suchen lassen. Es gibt zur Zeit f nf Abk rzungen: i n/bem - Ein Zuwachs ist nicht erkennbar (z. B. bei Stealthviren und Bootviren) Boot - Virus bef llt ausschlie Bootsektoren (Bootvirus) bers - Virus berschreibt seine Wirtsprogramme! vers. - ein L ngenzuwachs ist erkennbar, jedoch sind die Zuw chse nicht einheitlich gro ??? - N here Informationen sind nicht bekannt Sie k nnen ViBa auch mit dem Virennamen aufrufen, den Sie suchen m chten. Es wird dabei das Verfahren Textsuchen angewandt. Beispiel: viba jerus Siehe auch Nach Viren suchen Aussprache Nach Text suchen Diese Funktion ist analog zum Men punkt "Nach Namen suchen", es werden jedoch alle Viren angezeigt, die den eingebenen Text im Namen enthalten (Position beliebig). Hinweis: Der Suchtext mu mindestens zwei oder mehr Zeichen lang sein. Bsp.: Sie geben ein: warrior ViBa zeigt dann folgende Viren an: Byte Warrior I, Byte Warrior II, Iraqi Warrior, Warrior und Warrior 2 Sie k nnen ViBa auch mit dem Virennamen aufrufen, den Sie suchen m chten. Es wird dabei das Verfahren Textsuchen angewandt. Beispiel: viba jerus Siehe auch Nach Viren suchen Aussprache Suchen nach Aussprache Diese Option entstand aus folgender Motivation: Anwender brichteten oft am Telefon, Ihr System sei vom xy-Virus befallen. Oft finde ich jedoch den Virus in ViBa nicht, weil der Anrufer in falsch ausgesprochen hat. Mit der 'Suche nach Aussprache' kann jetzt nach Viren gesucht werden, wobei die genaue Rechtschreibung dabei nebens chlich ist! ; Beispielsweise findet das Suchenverfahren bei Eingabe von 6 'b riti scheg' den Virus 'Parity Check' usw. Hinweis: Damit das Suchverfahren korrekt arbeitet, m ssen Sie mindestens sechs Buchstaben als Suchbegriff eingeben, ideal sind mindestens jedoch zehn oder mehr Buchstaben! + hnliche Verfahren: ~~~~~~~~~~~~~~~~~~~ Suchen nach Name L Text Siehe auch Tastatur Parameter Parameter k nnen beim Starten bergeben werden. Parameter: Beschreibung: M /25 Diese Option setzt die Oberfl che in 25 Zeilen zur /28 Mit dieser Option wird -nur- bei einer VGA- Karte der Bildschirm auf 28 Zeilen, statt 25 Zeilen umgeschalten. Hinweis: Diese Option ben tzt eine undokumentierte Funktion der VGA- Karte und kann bei exotischen Karten deshalb u. U. nicht funktionieren. Weil dieser Videomodus kein Standard ist, kann dieser Videomodus nicht direkt von der Programmoberfl che aus gesetzt werden. Deshalb sollten Sie auch nicht w hrend der Arbeit den Videomodus ndern, weil ViBa nicht mehr auf 28 Zeilen zur ckschalten kann. /43 bzw. Mit dieser Option wird -nur- bei einer EGA- und /50 VGA-Karte der Bildschirm auf 43 (EGA) bzw. 50 (VGA) Zeilen, statt 25 Zeilen umgeschalten. NDLER L dt die H ndlerliste (HAENDLER.TVF), anstatt standardm ig die Datei VIBA.TVF. /HERC Versucht in den Hercules (Tm) Videomodus zu schalten. Diese Option kann ebenfalls bei Laptops zu einer Verbesserung der Darstellung f hren! /HINTER= Mit dieser Option k nnen Sie den Hintergrund bei einer VGA-Karte selbst setzen. Um einen roten Hintergrund zu erhalten rufen Sie ViBa wie folgt auf: viba /hinter=$24 oder Viba -hinter=36 Achtung: Die Farbe wird nach Beenden nicht zur ckgesetzt! /INSTALL Ruft das interne Installationsprogramm auf. /IVT Mit dem Parameter /IVT kann der Arbeitsspeicher nach ca. 150 der bekanntesten Viren untersucht werden. Dies erfolgt mit sogenannten "Am I there" Aufrufen, die in Sekundenbruchteilen durchgef hrt sind (im Vergleich zum langsamen Untersuchen des Arbeitsspeichers). Der Arbeitsspeicher wird hierbei auf folgende Viren untersucht: Jerusalem und verwandte Viren (mind. 48 Varianten) -- Frere Jaque -- Fu Manchu Tequila (Tarnkappen/Stealth-Virus, 14 Varianten) Yankee Doodle/Vacsina (45 Varianten) Cascade (14 Varianten) Flip/Omicrone (6 Varianten/Substealth- Virus) Parity Check (3 Varianten, Bootvirus) dBase Plastique (4.21, 5.21 und Cobol) Tremor Sie sollten diese Option nicht verwenden, wenn Sie Novell Netware installiert haben, weil es zu berschneidungen der Interruptaufrufe kommt. Diese Funktion wurde urspr nglich automatisch durchgef hrt, es hat sich jedoch herausgestellt, da die sogenannten "Am I there" Aufrufe nicht 100% kompatibel mit verschiedenen Betriebssystemen und Konfigurationen sind. Falls es also zu ungew hnlichen Seiteneffekten kommt, so k nnte es an dieser Option liegen. Diese Option untersucht -falls vorhanden- auch den hohen Arbeitsspeicher (HMA) auf Viren. /MONO Schaltet in den "Schwarzwei 80x25"-Modus. Diese Option ist bei monochromen Bildschirmen und LCD (Laptops) besonders zu empfehlen, weil dann ViBa die einzelnen Farben in verschiedenen Grauwerten darstellt! Diese Option ist bei VGA- Karten evtl. mischbar mit der Option /50! /NOLOGO Mit dieser Option k nnen Sie das Hinweisfenster deaktivieren, welches bei jedem Start von ViBa angezeigt wird! VirusName Sie k nnen ViBa auch mit dem Virennamen aufrufen, den Sie suchen m chten. Es wird dabei das Verfahren Textsuchen angewandt. Beispiel: viba jerus Systemanforderungen: AT 286'er oder h her, 500 KB freier Arbeitsspeicher, VGA- oder Herculeskarte, MS-DOS 3.3 oder h her (oder DR-DOS 6.0 oder h her). Falls EMS-Speicher unterst tzt werden soll, mu mindestens 196 KB EMS-Speicher frei sein. Weil ViBa von der Overlaytechnik stark Gebrauch macht, sollten Sie ein Cacheprogramm (SmartDrv, PC-Cache o. .) verwenden um Diskzugriffe zu minimieren! Computerviren Wie ein Virus funktioniert Bei Computer-Viren handelt es sich um Programme, die Dateien bzw. Programme befallen. Sie "h ngen" sich in den meisten F llen an das Ende eines Programmes und vergr ern es um ca. 2500 Bytes. Die meisten Viren im MS-DOS Bereich kopieren sich hinter ausf hrbare Programme, schreiben jedoch einen Sprungbefehl in den Programmanfang hinein. Dieser Sprungbefehl zeigt zuerst einmal auf den eigentlichen Virusteil. Vom Virus aus betrachtet, ist das beste ausf hrbare Programm COMMAND.COM. Manche Viren unterlassen jedoch die Infizierung von COMMAND.COM, um so eine Entdeckung zu erschweren. s Nach Aufruf des infizierten Programmes wird zuerst das Programm, dann der angeh ngte Virus in den Arbeitsspeicher geladen. Beim Starten des Programmes durch das Betriebssystem wird zuerst der Virusteil angesprungen. So kann der Virus entweder das geladene Programm manipulieren oder ein neues angreifen. Anschlie end springt der Virus zum eigentlichen Programm ber. Durch diese Taktik merkt der Computerbenutzter normalerweise nicht, da seine Programme von einem Virus infiziert sind. Wie alle anderen Programme auch, befindet sich ein Computervirus als ein kleines Programm namenlos im Arbeitsspeicher. Diese wenige Kilobytes Programmcode enthalten aber f r den Virus spezifische Maschinenbefehle, an denen er erkannt werden kann (die sog. Virensignaturen). E Mit anderen Worten, ein befallenes Programm wird gr er und hat eine nderung am Anfang. Um festzustellen, ob ein Programm befallen ist, w rde es also reichen, die Gr e des Programms im Auge zu behalten. Der Verzeichniseintrag ist dazu aber ungeeignet, "intelligentere" Viren korrigieren ihn entsprechend (Stealthviren). = hlen Sie zwischen den folgenden verschiedenen Virentypen: ` Seconds/100 Viren Bootviren Call Viren Dateiviren, nicht berschreibend Dateiviren, berschreibend Geisterviren Gepufferte Viren Hardwareviren Header-Viren Hide Viren Hybridviren Live Viren Partitionsviren Polymorphe Viren Slackbereichviren Stackbereichviren Stealthviren Substealthviren Trojanische Pferde oder B Liste weitesten verbreitesten Viren Viren identifizieren hlen Sie zwischen einen der folgenden verschiedenen Virengattungen aus: ` Seconds/100 Viren Bootviren Call Viren Dateiviren, nicht berschreibend Dateiviren, berschreibend Geisterviren Gepufferte Viren Hardwareviren Header-Viren Hide Viren Hybridviren Live Viren Partitionsviren Polymorphe Viren Slackbereichviren Stackbereichviren Stealthviren Substealthviren Trojanische Pferde Oder w hlen Sie: j Liste weitesten verbreitesten Viren Computervirus funktioniert Viren identifizieren Header-Viren 1994 taucht eine ganze Serie neuer Viren auf, die sich alle folgender Technik bedienen: EXE-Programme haben oft hinter dem eigentlichen Programmkopf (EXE-Header) einen Bereich von ca. 500 Bytes, der ungen tzt ist und aus Nullen besteht. Die Header-Viren berschreiben diesen Bereich mit ihrem Code. Um aktiv zu werden, mu der EXE Programmkopf so abge ndert werden, da der Virus zuerst aktiv wird. Dies erfolgt durch das berschreiben der "MZ"-Erkennung des EXE-Header mit einen Sprungbefehl (near jump) auf den Virus. Solch eine infizierte Datei sieht jetzt f r DOS wie eine normale COM- Datei aus, weil der EXE-Header teilweise zerst rt ist. Weil COM-Dateien maximal 65 KB gro sein d rfen, werden von dieser Virenart auch nur EXE-Programme infiziert, die kleiner als 65 KB sind. - Wird solch ein infiziertes Programm gestartet, wird der Virus aktiv. Allen Header-Viren ist jedoch gemeinsam, da es keinen Programmzuwachs gibt, weil einfach Teile des Programmes berschrieben wurden. Es gibt zur Zeit drei Methoden, wie der Virus das Originalprogramm wiederherstellt und startet: ; 1. Relocation des EXE-Programmes durch den Virus mit 0 anschlie endem Start (z. B. BootEXE-Virus). 2. Installieren eines speicherresidenten Disketten- _ interrupthandlers, der bei Lesezugriffen den Virus herausfiltert und bei Schreibzugriffen geeignete Programme infiziert (siehe auch "Slow Infector"). Danach versucht der Virus das Programm neu zu starten. Weil der Disketteninterrupthandler aktiv ist, wird der Virus beim Startvorgang herausgefiltert und das Programm scheint unverseucht zu sein. Solche Viren haben durch die verwendete Methode 100 prozentige Tarnkappeneigenschaften. Diese Methode wird von mehreren Viren verwendet, z.B. Pure, XYZ, Cluster oder Skid_Row. 3. Eine weitere Methode ist, beim Programmstart den Master Boot Record der Festplatte mit dem Virus zu infizieren und anschlie end das System neu zu booten. Der Virus wird nun als erstes Programm aktiv und kann die gleichen Tarnmethoden wie unter 2.) beschrieben verwenden. Startet man ein verseuchtes EXE-Programm wird der Virus beim Laden herausgefiltert, d.h. es liegt das original Programm vor, der Virus wird gar nicht mehr ausgef hrt. Das besondere an diesem Virus ist, da er multipartite ist, d.h. er infiziert sowohl Programme also auch den Master Boot Record der Festplatte. Zus tzlich hat solch ein Virus hervor- ragende Tarnkappeneigenschaften. Ein Beispiel ist hierf r der LockOut-2 Virus, der insgesamt nur 331 Bytes lang ist! Siehe auch Liste bekannter Viren @ Virengattungen Wie Virus funktioniert Geisterviren Definition: Geisterviren, sind Viren, die von Antivirensoftware f lschlicherweise gefunden werden. Hierzu gibt es verschiedene Gr nde: 9 Ein Virensuchprogramm hinterl sst seine Sucherkennun- gen unverschl sselt im Speicher zur ck, das Konkur- renzprodukt findet beim Durchsuchen des Arbeits- speichers jetzt einen "Geistervirus" (z. B. TSAFE, VSAFE oder VDEFEND). Ein Programm wurde mit einen Virenschutz versehen, ^ der f r ein Virensuchprogramm wie ein Virus aussieht (z. B. TNT-Virus, F-XLOCK oder VSS). Wenn eine verseuchte Diskette mittels des DIR Befeh- les betrachtet wird: DOS speichert den Bootsektor aus Performancegr nden im Arbeitsspeicher zwischen. Das Virensuchprogramm findet jetzt einen Geistervirus im Arbeitsspeicher, obwohl dieser Virus tats chlich nie aktiviert wird! Siehe auch Liste bekannter Viren @ Virengattungen Wie Virus funktioniert Bootviren Sie setzen sich im Bootsektor der Diskette/Festplatte fest und werden jedesmal beim "Hochfahren" des Systems eingeladen. Diese Viren sind meistens (alle derzeit bekannte Bootviren sind speicherresident!) speicherresident. Sie k nnen aber mit dem DOS-Befehl SYS leicht berschrieben werden; hierzu mu von einer virenfreien Systemdiskette gebootet werden! ' Das Programm BootVir (siehe REGISTER.COM) erkennt eigentlich jeden Boot-Virus und kann, falls eine alte Vergleichsdatei "BOOTVIR.DAT" existiert, den alten Bootsektor wiederherstellen! Auf der Diskette befindet sich das Programm BOOTKILL.EXE, welches solche Viren von Disketten entfernen kann! Das Programm CHKPC (im Unterverzeichnis 'TOOLS') kann solche Viren auf Disketten finden. CHKPC ist ein regelbasierender Virenscanner und ist deshalb nicht auf bekannte Viren beschr nkt! Eine Kurzanleitung finden Sie in der Datei CHKPC.DOC! Beispiel: Der Form-Virus " Siehe auch Liste bekannter Viren t Virengattungen Wie Virus funktioniert Polymorphe Viren Stealthviren Viren, die den Partitionssektor befallen Die Virenart funktioniert wie die Bootviren, jedoch mit dem Unterschied, da nicht der Bootsektor der Festplatte, sondern der Partitionssektor infiziert wird. Viren, die den Partitionssektor infizieren, m ssen mit speziellen Antivirenprogrammen entfernt werden, andernfalls mu die Festplatte formatiert werden! Mit dem Programm Norton Disk Doktor kann unter Umst nden solch ein Virus entfernt werden. Falls mit dem Programm BootVir eine Vergleichsliste angelegt wurde, kann nach einem Kaltstart der Partitionssektor der Festplatte wiederhergestellt werden! Die meisten Bootviren infizieren auf Disketten den Bootsektor und auf der Festplatte den Partitionssektor. Bootviren, die auf der Festplatte nicht den Partitionssektor (erster logischer Sektor), sondern den Bootsektor infizieren sind sehr rar (siehe oben: Form-Virus)! K Das Programm CHKPC (im Unterverzeichnis 'TOOLS') kann solche Viren auf der Festplatte finden. CHKPC ist ein regelbasierender Virenscanner und ist deshalb nicht auf bekannte Viren beschr nkt! Eine Kurzanleitung finden Sie in der Datei CHKPC.DOC! Mit dem mitgeliefertem Programm PARTKILL.EXE k nnen solche Viren entfernt werden! 5 Beispiel: Der Stoned, MichelAngelo oder Joshi Virus " Siehe auch Liste bekannter Viren t Virengattungen Wie Virus funktioniert Polymorphe Viren Stealthviren Hybridviren Hybridviren sind Viren, die einerseits Programme und anderseits den Partitionssektor der Festplatte infizieren. Die Hybridviren werden dann beim "Hochfahren" des System schon aktiviert und sind dementsprechend schwierig zu entfernen (Bsp.: Flip-B und Tequila). Inzwischen gibt es Hybridviren, die sogar in der Lage sind auch Bootsektoren von Disketten zu infizieren! CHKPC kann solche Viren teilweise im Partitionssektor und im Arbeitsspeicher auffinden! . Beispiel: Tequila, Flip 2153 oder 1253 Virus " Siehe auch Liste bekannter Viren t Virengattungen Wie Virus funktioniert Polymorphe Viren Stealthviren Nicht berschreibende Fileviren Werden auch Link-Viren genannt. Sie kopieren sich von Programm zu Programm, bis das ganze System verseucht ist. Das Weiterkopieren geschieht durch Aufruf eines verseuchten Programmes und/oder wenn speicherresident, durch zyklischen Aufruf eines Interrupts. Von diesen Viren merkt man lange nichts, weil die verseuchten Programme noch lauff hig sind! " Siehe auch Liste bekannter Viren t Virengattungen Wie Virus funktioniert Polymorphe Viren Stealthviren berschreibende Fileviren Der Virus berschreibt den Anfang des befallenen Programms (Wirtsprogramm). Das hei t, da das Wirtsprogramm nicht mehr lauff hig ist! So ein Virus ist selten, weil K 1.) er schnell auff llt, und 2.) bald kein Programm mehr l Siehe auch Liste bekannter Viren @ Virengattungen Wie Virus funktioniert Trojanische Pferde Sind eigentlich gar keine Viren, sondern Programme, die beim Start einfach die Festplatte formatieren, Dateien l schen o. . Diese Programme sind sehr rar, es wurden erst ein paar F lle weltweit bekannt. Beispiel: AIDS-Cyborg Virus " Siehe auch Liste bekannter Viren @ Virengattungen Wie Virus funktioniert Call Viren Diese Viren ver ndern unter Umst nden nur ein einziges (!) Byte am Wirtsprogramm. Der eigentliche Virus wird im Massenspeicher abgelegt und wird lediglich durch den Aufruf des infizierten Programms aktiviert. Der "Nachteil" dieser Art von Viren ist aber, da beim Fehlen des eigentlichen Virusprogrammes auf dem externen Massenspeicher, die infizierten Programme nicht mehr lauff hig sind! , Beispiel: Unter MS-DOS noch nicht bekannt! " Siehe auch Liste bekannter Viren @ Virengattungen Wie Virus funktioniert "Live and Die" Viren Unter "Live and Die" - Viren versteht man Viren, die sich nur f r eine bestimmte Zeit in einem Programm aufhalten. Nach Ablauf eines Zeitraums entfernt sich das Virus selbst ndig aus dem befallen Programm. Das Programm ist meist nach der selbst ndigen Entfernung noch lauff hig, unter Umst nden sogar wieder im Originalzustand! , Beispiel: Unter MS-DOS noch nicht bekannt! " Siehe auch Liste bekannter Viren @ Virengattungen Wie Virus funktioniert "Hide and Seek" Viren Das sind Viren, die sich nur eine gewisse Zeit innerhalb des Systems aufhalten. Als Verstecke k nnen beispielsweise die Pufferbereiche intelligenter Terminals oder DF -Einrichtungen dienen. Eine Anwendung im PC-Bereich ist mir nicht bekannt. , Beispiel: Unter MS-DOS noch nicht bekannt! " Siehe auch Liste bekannter Viren @ Virengattungen Wie Virus funktioniert Hardware Viren Diese Art von Viren ist selten, weil sie nur durch Ver nderung der Hardware ins System eingebracht werden k nnen. Beispiel: Austausch eines Boot-ROMs. Diese Art von Viren sind zwar recht schwierig zu installieren, aber sehr effektiv, da sie sehr schwer ausmachbar sind. BootVir kann unter Umst nden Ver nderungen erkennen. Es mu jedoch beachtet werden, das dies k e i n e Softwaremanipulation ist, sondern eine Hardwaremanipulation! " Siehe auch Liste bekannter Viren @ Virengattungen Wie Virus funktioniert Gepufferte Viren Das sind Viren, die sich ins gepufferte RAM einnisten und hnliche Eigenschaften wie Hardware Viren haben. Durch Entfernen der Pufferbatterie sind diese Viren leicht zu entfernen! Es mu jedoch damit gerechnet werden, da sich die Viren von infizierten Programmen aus beim erneuten Starten des Systems wieder ins gepufferte RAM installieren. , Beispiel: Unter MS-DOS noch nicht bekannt! " Siehe auch Liste bekannter Viren @ Virengattungen Wie Virus funktioniert Slack-/Stackbereich Viren Diese Art von Virus ist sehr hinterh ltig, weil er sich nur sehr schwer entdecken l t. Seine Wirkungsweise ist folgende: Wenn DOS ein Programm einl dt, wird nicht nur das komplette Programm in den Speicher geladen, sondern auch den Rest, welcher das Programm auf einem Sektor auf dem Datenspeicher belegt. (Bei DOS typischerweise 2048 Bytes gro e Sektoren) Beispiel: Das Programm ist 2500 Bytes gro . Dann l dt DOS die 2500 Bytes in den Speicher und den Rest, der hier ca. 1500 Bytes gro ist, an das Ende des Programmes. Dort sitzt nun der Virus und vermehrt sich unbemerkt, weil er nicht im eingentlichen Programm sitzt, sondern im Puffer. Eine L nderung des befallen Programmes ist also aus Sicht des Virus auch nicht n tig, weshalb AntiLink diesen Virus nur bei eingeschalteter Checksumme findet. y Es gibt auch Slack-/Stackbereich Viren, die sich in ungenutzten Programmteilen aufhalten. Hierzu z hlen u. a. die Viren b LeHigh (im Stackbereich des Programmes COMMAND.COM) ZeroHunt (in COM Dateien) Siehe auch Liste bekannter Viren t Virengattungen Wie Virus funktioniert Polymorphe Viren Stealthviren Stealthviren Die Stealthviren geh ren zur sog. 4. Generation der Viren und stellen eine der gef hrlichsten Gattungen dar. f Ein Stealthviren wird oft auch als Tarnkappenvirus bezeichnet, weil er f r den Anwender nicht sichtbar ist. Ein Stealthvirus besitzt die Eigenschaft, s mtliche Dateizugriffe zu berwachen und entsprechend zu manipulieren. Die Manipulation besteht auch darin, beim ffnen einer infizierten Datei den vom Virus infizierten Programmteil herauszufiltern. Mittels dieser Taktik wird selbst einem Virensuchprogramm eine unverseuchte Datei suggeriert, mit der Ergebnis, da kein Virus gefunden wird, wenn der Stealthvirus aktiv ist. Ein L ngenzuwachs infizierter Dateien mittels des DIR Befehles ist NICHT erkennbar! Es gibt Stealthviren, die Bootsektoren (z. B. Brain, Stoned III), Partitionssektoren (z. B. Tequila) und/oder Dateien (z. B. 4096, Holocaust) befallen! Abhilfe: Sie lassen den Arbeitsspeicher nach Viren absuchen. Meistens sind die Viren im Arbeitsspeicher unverschl sselt und k nnen so erkannt werden. Sie booten von einer virenfreien Diskette und starten anschlie end das Virensuchprogramm. Weil der Virus nun nicht aktiv ist, werden die infizierten Programme gefunden. 4 Tip: Die meisten Stealthviren besitzen folgenden 'Fehler': Der DOS-Befehl CHKDSK /V zeigt bei einem aktivem Virus pro infizierter Datei ein oder mehrere verlorene Cluster zu der infizierten Datei an. Diese Cluster d rfen jedoch erst mit dem Befehl CHKDSK /F beseitigt werden, wenn der Virus entfernt wurde! " Siehe auch Liste bekannter Viren [ Virengattungen Wie Virus funktioniert Substealthviren Substealthviren Substealthviren sind meistens wie die Stealthviren in der Lage, den Virencode aus dem infizierten Programm "herauszufiltern". Eine L nderung ist ab und zu erkennbar. Die sog. Slackbereichviren (LeHigh & ZeroHunt) werden ebenfalls zu den Substealthviren gez hlt, weil f r den Anwender ein L ngenzuwachs NICHT erkennbar ist! " Siehe auch Liste bekannter Viren t Virengattungen Wie Virus funktioniert Polymorphe Viren Stealthviren Polymorphe Viren Diese Virenart stellt, wie die Stealthviren eine ernstzunehmende Gefahr dar. Polymorphe Viren sind Viren, die verschl sselt sind. Im Gegensatz zu den meistens verschl sselten Viren, die eine konstante Entschl sselungsroutine besitzen (und somit anhand der Entschl sselungsroutine erkannt werden k nnen), ist die Entschl sselungsroutine berhaupt nicht mehr konstant. Oftmals sind nur noch drei Bytes 'Programmskelett' konstant, der Rest ist oft mit sinnlosen Maschinenbefehlen aufgef llt. Manche Viren verwenden auch verschiedene Verschl sselungsmethoden, damit gew hrleistet ist, da jedes infizierte Programm anderes aussieht. Eine Suche nach derart komplex verschl sselten Viren ist: s Zeitaufwendig tigt einen komplexen Suchalgorithmus Ist sehr anf llig f r Fehlalarme Beispiel: Tremor, Tequila und Flip " Siehe auch Liste bekannter Viren X Virengattungen Wie Virus funktioniert Stealthviren 62 Seconds/100 Years Viren Einige Viren verwenden einen Trick um zu erkennen, ob eine Datei schon infiziert wurde oder nicht. So wird z. B. die Uhrzeit auf 62 Sekunden bzw. das Datum auf das Jahr 2090 gesetzt, weil dies der DIR Befehl nicht anzeigt! Fast alle Stealthviren verwenden dieses Verfahren! Typische Vertreter: Vienna und Tequila " Siehe auch Liste bekannter Viren @ Virengattungen Wie Virus funktioniert Die am weitesten verbreiteten Viren Liste der in Europa am weitesten verbreiteten Viren: Programm-Viren 4096 - 100 Years (Stealth) 5120/Slayer (VBasic) Cascade und 1701/1704 Dark Avenger v1-v3 DataLock v1.00 Hall Invader (Bootsektor & Dateien) Jerusalem A und B und New Jerusalem Keypress Liberty Perfume (4711), Sorry und G-Virus Slow Sunday Taiwan Tequila (Bootsektor & EXE-Dateien) Vienna-Familie Yankee Doodle Familie Bootviren B Brain und Ashar (Bootsektor) Cansu Den Zuk (Bootsektor) Disk Killer (Bootsektor) Form (Bootsektor) Joshi MichelAngelo MusicBug v1.06 (Bootsektor) Ohio (Bootsektor) Party Check (Partition/Stealth) Ping Pong Stoned Siehe auch Virengattungen & Wie Virus funktioniert Antiviren-Tools Durch Anklicken der entsprechenden Men eintr ge werden die Antivirentools im Unterverzeichnis 'TOOLS' ausgef hrt. Falls Sie Fragen bez glich der Antivirentools haben, lesen Sie bitte die '.DOC' Dateien im Unterverzeichnis 'TOOLS'. Bitte beachten: ViBa mu mit INSTALL korrekt installiert werden, damit sich die Antivirentools im VIBA-Unterverzeichnis 'TOOLS' befinden. Wenn Sie den Pfad gewechselt haben ('DOS-Shell' oder 'Verzeichnis wechseln'), kann -je nach Pfadeinstellung- ViBa die Tools u. U. nicht mehr finden! Bitte beachten: Nach Ausf hrung eines Programmes mu immer eine Taste gedr ckt werden, um zu ViBa zur ckzukehren. Falls z. B. ein Fehler auftrat, kann es sein, da Sie zuerst f r das Programm eine Taste dr cken m ssen und anschlie end f r ViBa nochmals eine Taste! Stellen Sie ferner sicher, da gend (ca. 128 KB) freier Arbeitsspeicher vorhanden ist, um das jeweilige Programm auszuf hren! Siehe auch Virengattungen & Wie Virus funktioniert Identifizierung des Viruses Identifizieren Sie den Virus. Sobald Sie wissen, um welchen Virus es sich handelt, wissen Sie, welchen Schaden er anrichtet, und ob die Datendateien betroffen sind oder nicht. Zur Identifizierung des Virus k nnen Sie einen Scanner verwenden. Sobald Sie seinen Namen ermittelt haben, sollten Sie sich mit ViBa Zusatzinformationen beschaffen (Virus anzeigen lassen und mit Alt-T 'Tips' anfordern). Solange der Virus nur ausf hrbare Dateien befallen hat, brauchen Sie auch nur die ausf hrbaren Dateien zu ersetzen. Sollte der Virus aber jedesmal einige Bytes an zuf lligen Stellen Ihrer Festplatte vertauschen, wenn Sie ein Programm starten, m ssen Sie auch Ihre Datendateien ersetzen, selbst dann, wenn Sie in den Datendateien keine Ver nderungen feststellen k nnen. Verfallen Sie nicht in Panik! Panik hilft Ihnen nicht, da Sie in Ruhe vorgehen m ssen, um die Situation zu meistern. In der Vergangenheit wurde bei Vireninfektionen meist gr erer Schaden durch die Anwender als durch die Viren selbst verursacht. Identifizieren Sie nur den Virus und beschaffen Sie sich Informationen ber ihn. Das schlimmste, was Sie jetzt tun k nnten, w re die sofortige Neuformatierung Ihrer Festplatte(n). Sobald Sie wissen, was der entdeckte Virus bewirkt, k nnen Sie eine Strategie zu seiner Beseitigung entwickeln. Hierzu gibt Ihnen ViBa konkrete Ratschl ge, wie Sie vorgehen k nnen (Alt-T -> 'Tips'). Falls Sie den Virus nicht entfernen k nnen/wollen/trauen, so senden Sie ihn uns zu und wir werden in in unserer Virensuchprogramm VirScan Plus integrieren!