VIREN-FEIND V1.0 ======================= þ DAS PROFESSIONELLE ANTIVIRENSYSTEM þ BENUTZERHANDBUCH Copyright (C) 1992 by Martin Rasmussen Software-Entwicklung Schwalbenweg 21 W-7918 Illertissen/Au Alle Rechte vorbehalten Version 1.0 / 1. September 1992 INHALTSVERZEICHNIS ================== 1. Einleitung ...................................................... 3 1.1 Was sind eigentlich Viren ................................... 3 1.2 Vorgehensweise von Viren-Feind 1.0 .......................... 3 1.3 optimaler Virenschutz ....................................... 4 1.3.1 Backups ............................................... 4 1.3.2 nach Ver„nderungen prfen ............................. 4 1.3.3 nach Codesequenz prfen ............................... 4 2. Systemvoraussetzungen ........................................... 4 3. Installation von Viren-Fein 1.0 ................................. 4 4. Der erste Start ................................................. 5 5. Benutzeroberfl„che .............................................. 5 5.1 Maussteuerung ............................................... 5 5.2 Pulldown-Men ............................................... 5 5.3 Fenster ..................................................... 6 5.4 Hilfesystem mit Hilfeindex .................................. 6 6. Referenzenteil .................................................. 6 6.1 Men Aktionen ............................................... 6 6.1.1 Laufwerkstest ......................................... 6 6.1.1.1 Virenalarm .................................... 7 6.1.2 Sichern Bootsektor C: ................................. 7 6.1.3 Vergleichen Bootsektor C: ............................. 8 6.1.4 Rekonstruieren Bootsektor C: .......................... 8 6.1.5 L”sche veraltete Prfdaten ............................ 8 6.1.6 Ansehen der Report-Datei .............................. 8 6.1.7 Betriebssystem ........................................ 8 6.1.8 Ende von Viren-Feind .................................. 8 6.2 Men Optionen ............................................... 8 6.2.1 Report ausgeben ....................................... 8 6.2.2 Statuszeile bei Virentest ............................. 9 6.2.3 VIRFEIND.DAT verstecken ............................... 9 6.2.4 Optionen speichern .................................... 9 6.3 Men Autostart .............................................. 9 6.3.1 Autostart an/aus ...................................... 9 6.3.2 einzuschlieáende Prfdateien .......................... 9 6.3.3 Einstellungen zum Planer ..............................10 Anhang: eingetragene Warenzeichen ..................................10 1. EINLEITUNG ============= 1.1 WAS SIND EIGENTLICH VIREN ? =============================== Computer sind offene Systeme. Da kommt es immer mal vor, daá man sich Daten/Programme (auch, wenn sich dies im Rahmen des Legalen bewegt) von Freunden oder Bekannten auf seinen Rechner berspielt. Ist ein solches Programm von einem Virus infiziert, so kann sich dieser sofort in den Speicher laden und versuchen, andere Programme zu infizieren oder sonstigen Schaden auf der Festplatte anzurichten. Viele Viren verweilen erst einige Tage, Wochen oder gar Monate auf der Festplatte, bevor sie Schaden anrichten. Sehen Sie die Ansteckungsgefahr aber nicht als sonderlich hoch an. Ich hatte noch nie Bekanntschaft mit einem Virus geschlossen. Dennoch sollte man die Gefahr nicht untersch„tzen (aber auch nicht bersch„tzen!). Aus diesem Grund habe ich das nun vorliegende Antivirensystem entwickelt. Jedes Computerprogramm besteht aus einer EXE oder COM Datei und (vor allem bei gr”áeren Programmen) gegebenenfalls noch aus einzelnen Overlay-Dateien, die w„hrend des Programmablaufes bei Bedarf aufgerufen werden. Wird nun eine solche ausfhrbare Datei infiziert so „ndert der jeweilige Virus die Datei wie folgt ab: Er ersetzt den ersten Befehl des Programmes durch eine Sprungbefehl (Assemblersprache JMP), der auf die Anfangsadresse des Virencodes zeigt. Der letzte Befehl des Virencodes zeigt wiederum auf die Adresse des ersten Befehl des ursprnglichen Programmes. Also: Ist eine Datei infiziert, so wird zuerst der Virencode und dann das ursprngliche Programm ausgefhrt. Dadurch wird in den meisten F„llen die EXE-Datei gr”áer. Aber wer achtet schon darauf, ob die EXE-Datei seiner Textverarbeitung 284.128 Bytes oder 287.098 Bytes hat (Viren-Feind merkt's)! Manche Virenprogrammierer haben sich aus diesem Grund etwas anderes einfallen lassen: Der Virus kopiert sich dabei in irgendeinen Bereich der Festplatte und markiert diesen Bereich in der FAT als fehlerhaft (BAD CLUSTER). Im Wirtsprogramm wird dann nur noch ein knapper Hinweis hinterlegt, wo der Code auf der Platte zu finden ist. Viren-Feind erkennt auch diese Art von Viren, die die Dateil„nge nicht ver„ndern, da Viren-Feind eine Checksumme einer jeden EXE-Datei anlegt und diese bei jedem Check berprft. 1.2 VORGEHENSWEISE VON VIREN-FEIND ================================== Viren-Feind errechnet zu jeder Datei, die von Viren befallen werden kann eine mathematische Checksumme aus und speichert diese unter der Datei VIRFEIND.DAT im Verzeichnis der jeweiligen Programmdatei ab. Liegt eine Manipulation dieser Datei vor, so meldet das Programm einen Virenverdacht und gibt die Priorit„t des Virenverdachtes an. Viren-Feind schtzt aber nicht nur ausfhrbare Dateien, sondern auch den Bootsektor, der bei Virenbefall auch wiederhergestellt werden kann. 1.3 OPTIMALER VIRENSCHUTZ ========================= 1.3.1 BACKUPS ============= Backups sind wohl die effizienteste Methode im Kampf gegen Viren. Kopieren Sie daher einmal w”chentlich (bei wichtigen Daten sogar t„glich) Ihre Datendateien auf Disketten. Falls ihr Computer befallen sein sollte, so haben Sie ihre Daten in Sicherheit (die restlichen Daten (EXE-Programme, Druckertreiber usw.) befinden sich ja auf Ihren Originaldisketten der jeweiligen Programme. 1.3.2 AUF VERŽNDERUNGEN PRšFEN ============================== Diese Aufgabe erledigt Viren-Feind fr Sie: Viren-Feind informiert Sie sofort, falls Ihre Dateien irgendwie ge„ndert wurden. Sie erhalten detaillierte Informationen, was konkret ver„ndert wurde (Datum/Zeit/L„nge/interner Aufbau). So k”nnen Sie feststellen, ob Sie diese Datei ver„ndert haben oder ob diese Ver„nderung von einem Virus stammt. 1.3.3 NACH CODESEQUENZ PRšFEN ============================= Diese Aufgabe erledigen Programme wie SCAN von McAfee o.„. fr Sie: Diese Programm suchen im Speicher und in EXE/COM-Dateien nach verr„terischen Codes, die von bekannten Viren stammen. Einziger Nachteil: Solche Programme sind auf bekannte Viren beschr„nkt. Viren- Feind erkennt auch unbekannte Virenarten, sofern diese sich auf ihrer Festplatte breit gemacht haben. 2. SYSTEMVORAUSSETZUNGEN ======================== Um Viren-Feind 1.0 verwenden zu k”nnen, ben”tigen Sie mindestens - einen 100% kompatiblen IBM-PC Computer - - MS-DOS Version ab 2.1 oder 100% kompatibles DR-DOS - - ungef„hr 400 KB freien Hauptspeicher - - eine Festplatte - 3. INSTALLATION =============== Vor Beginn der Installation sollten Sie sich eine Sicherheitskopie Ihrer Originaldiskette anfertigen und nur mit dieser Kopie arbeiten. Das Original verwahren Sie an einem gesonderten Ort, m”glichst getrennt von der Kopie. Die Installation von Viren-Feind 1.0 ist denkbar einfach. Auf der Diskette befindet sich eine Installationsprogramm mit dem Namen SETUP.EXE. Rufen Sie dieses Programm einfach auf und folgen Sie den Hinweisen am Bildschirm. 4. DER ERSTE START ================== Nachdem Sie Viren-Feind 1.0 installiert haben (siehe Kapitel 3), k”nnen Sie das Programm sofort starten. Vorausgesetzt, Viren-Feind 1.0 ist auf Ihrer Festplatte C: in dem Verzeichnis VIRFEIND installiert worden, so k”nnen Sie Viren-Feind 1.0 mit folgender Befehlsfolge starten: C: [Return] CD \VIRFEIND [Return] VIRFEIND [Return] (Das Zeichen \ erhalten Sie, wenn Sie die ALT-Taste halten und 9 und 2 auf dem Nummernblock eingeben) 5. BENUTZEROBERFLŽCHE ===================== 5.1 MAUSSTEUERUNG ================= Erkennt Viren-Feind 1.0 w„hrend des Initialisierungsvorganges eine installierte Maus, so wird diese automatisch aktiviert. Sie erkennen dies an dem farblich abgehobenen, kleinen Block, der den Mauscursor darstellen soll. Diesen Block k”nnen Sie frei ber den gesamten Bildschirm bewegen, indem Sie mit ihrer Maus auf einer Unterfl„che hin und her fahren, die m”glichst viel Reibung erzeugt. Um eine Maus- Funktion zu aktivieren, muá die Maus positioniert und anschlieáend die Maustasten bet„tigt werden. 5.2 PULLDOWN-MENš ================= Im Hauptmen von Viren-Feind 1.0 ist eine Menleiste in der ersten Zeile des Bildschirms eingeblendet. Das Mensystem ist immer dann aktiv, wenn Viren-Feind eine Funktionsauswahl von Ihnen erwartet. Um es zu aktivieren drcken Sie kurz auf die [ALT]-Taste. Der aktuelle Menpunkt wird stets invertiert hervorgehoben. Diese spezielle Markierung nennt man auch Lichtbalken. Sie k”nnen diesen Balken mit den Cursortasten auf einen anderen Menpunkt bewegen und diesen dann mittels der Return-Taste ausw„hlen. Es wird dann, falls n”tig, noch ein Untermen aufgeblendet, welches weitere Funktionsm”glichkeiten enth„lt, unter denen Sie dann wiederum eine Auswahl treffen k”nnen. Bet„tigen Sie innerhalb eines Mens die Pfeil-links oder Pfeil-rechts Taste, so wird das jeweils benachbarte Untermen eingeblendet. Sie k”nnen ein Men jederzeit durch Drcken der ESC-Taste verlassen. Der Text von jedem Menpunkt enth„lt ein besonders gekennzeichnetes Zeichen. Alternativ zur Auswahl mittels des Lichtbalkens, k”nnen Sie einen Menpunkt des aktiven Mens auch durch Drcken des farblich hervorgehobenen Buchstabens ausw„hlen. Wollen Sie ein Mensystem mit der Maus bedienen, so klicken Sie die Menzeile an, suchen sich einen Menpunkt aus, bewegen den Mauscursor auf diesen Punkt und drcken Sie kurz auf die linke Maustaste. 5.3 FENSTER =========== Ein Fenster berlagert tempor„r einen bestimmten Teil des Bildschirms, der danach wieder freigegeben wird. Es wird dazu verwendet, um Informationen darzubringen oder um auf Eingaben zu warten. Jedes Fenster besitzt einige sensitive Stellen (Schaltfl„chen, Scroll-Leisten, Editierfelder usw.), die Sie speziell mit der Maus anklicken k”nnen. Positionieren Sie die Maus auf den bestimmten Bereich im Fenster und drcken Sie kurz die linke Maustaste. Der gewnschte Befehl wird ausgefhrt. Falls Sie keine Maus haben, oder sie nicht verwenden wollen, k”nnen Sie diesen Befehl (wenn auch umst„ndlicher) mit der Tastatur ausfhren. Benutzen Sie dadurch folgende Hotkeys: TAB: Springt zum n„chsten Feld im aktuellen Fenster SHIFT+TAB: Springt zum vorherigen Feld im aktuellen Fenster ESC: Schlieát das Fenster CURSORTASTEN: Springen zum n„chsten Feld im aktuellen Fenster 5.4 HILFESYSTEM MIT HILFEINDEX ============================== Das Viren-Feind-Hilfesystem erm”glicht das Nachschlagen in einem Handbuch w„hrend der Programmausfhrung. Durch Drcken der F1-Taste bekommen Sie Hilfestellung zu dem Programmteil, an dem Sie im Moment arbeiten. Verwenden Sie die Pfeiltasten, um den Cursor innerhalb der Hilfebildschirmes zu bewegen. Wenn n”tig, wird der Bildschirminhalt gescrollt. ESC beendet die Hilfe. Die eingeeckten W”rter sind Querverweise, das heiát, daá es zu diesen W”rtern noch eine Extra-Hilfe gibt. Falls Sie diese Punkte ansteuern und auf die RETURN-Taste drcken, dann wird die jeweilige Hilfe zu diesem Punkt angezeigt. Der Hilfeindex erm”glicht den Gesamtberblick aller Querverweise. W„hlen Sie den Index- Befehl aus dem Hilfe-Men, so erhalten Sie alle Querverweise aufgelistet. W„hlen Sie die nun gewnschte Hilfefunktion mit den Cursortasten aus und drcken [RETURN]. Sie gelangen in die gew„hlte Hilfefunktion. 6. REFERENZENTEIL ================= 6.1 MENš AKTIONEN ================= 6.1.1 LAUFWERKSTEST =================== Dieser Befehl erm”glicht Ihnen, Tests von Ihrem Checksummen zu erstellen, um zu sehen, ob einige Ihrer EXE oder COM-Dateien durch einen Virus ver„ndert wurden. Nachdem Sie diesen Befehl aus dem Pulldown-Men gew„hlt haben, erscheint eine Liste, auf der die Laufwerke verzeichnet sind, die Sie testen k”nnen. W„hlen Sie nun per Cursortasten ein Laufwerk aus und drcken Sie [RETURN]. Nun liest Viren-Feind den Verzeichnisbaum ein und danach wird Ihre Diskette/Platte gescannt. Diesen Testvorgang k”nnen Sie natrlich jederzeit mit der [ESC]-Taste unterbinden. Sollte einmal ein Virenverdacht auftreten, so sollten Sie sich folgendes Kapital durchlesen. 6.1.1.1 VIRENALARM ================== Sollte Viren-Feind einmal bei Ihnen Virusalarm schlagen, so geraten Sie nicht gleich in Panik. Vergewissern Sie sich, ob Sie nicht in letzter Zeit diese EXE-Datei erneuert haben (z.B. bei einem Programmupdate). Ist dies nicht der Fall, so ist Virenverdacht gegeben. Viren-Feind teilt einen Virenverdacht in folgende 5 Priorit„tsstufen auf: geringer Virenverdacht: Datum wurde ver„ndert L„nge wurde nicht ver„ndert Prfsumme wurde nicht ver„ndert mittlerer Virenverdacht: Datum wurde ver„ndert L„nge wurde ver„ndert Prfsumme wurde ver„ndert mittlerer-groáer Virenverdacht: Datum wurde ver„ndert L„nge wurde ver„ndert Prfsumme wurde ver„ndert groáer Virenverdacht: Datum wurde ver„ndert L„nge wurde nicht ver„ndert Prfsumme wurde ver„ndert sehr groáer Virenverdacht: Datum wurde nicht ver„ndert L„nge wurde nicht ver„ndert Prfsumme wurde ver„ndert Es ergeben sich nun 4 verschiedene Reaktionsm”glichkeiten: Virenverdacht ignorieren: Viren-Feind setzt seine Suche nach weiteren Viren fort und ignoriert den Virenverdacht. Beim n„chsten Checken dieser Datei wird dann nochmals Alarm gegeben. Prfsumme aktualisieren: Diese Option ist sinnvoll, wenn Sie 100 % sicher sind, daá diese Datei nicht von einem Virus befallen ist, sondern nur von Ihnen (durch Updaten der Datei o.„.) ver„ndert wurde. Datei physikalisch l”schen: Diese Option ist vor allem n”tig, wenn ein sehr hoher Virenverdacht besteht. Sie berschreibt die Datei mit dem ASCII-Code 32, setzt die Dateil„nge auf 0 und l”scht die Datei. Die Datei ist nun unwiderbringlich gel”scht worden. Selbst Tools wie Undelete von MS-DOS 5.0 o.„. k”nnen diese Datei nicht mehr herstellen. Es empfiehlt sich nun, die Datei von der Originaldiskette zu kopieren. Testaktion beenden: Unterbricht den Virentest. Sie befinden sich wieder im Hauptmen 6.1.2 SICHERN BOOTSEKTOR C: =========================== W„hlen Sie diese Option, um eine Kopie Ihres Bootsektors der Festplatte C: anzufertigen. Sollte ein Virus Informationen im Bootsektor „ndern, so k”nnen Sie den alten Bootsektor ber den Menpunkt "Rekonstruieren Bootsektor C:" wiederherstellen. 6.1.3 VERGLEICHEN BOOTSEKTOR C: =============================== Diese Funktion vergleicht Ihren Bootsektor mit der eventuell bereits erstellten Kopie. Sollten diese beiden Sektor verschieden sein, so ist Virenbefall wahrscheinlich. 6.1.4 REKONSTRUIEREN BOOTSEKTOR C: ================================== WARNUNG !!! Diese Option ist mit „uáerster Vorsicht zu genieáen. Nur wenn Sie absolut sicher sind, daá ein Virus Ihren Bootsektor ver„ndert hat, sollten Sie die Kopie auf den Originalbootsektor berschreiben. 6.1.5 L™SCHE VERALTETE PRšFDATEN ================================ H„ufig „ndert sich die Dateistruktur innerhalb eines Verzeichnisses. EXE oder COM Dateien werden gel”scht; andere kommen hinzu. Diese Option dient dazu, um Prfsummencodes die nicht mehr ben”tigt werden, in der Datei VIRFEIND.DAT zu l”schen. Dies erh”ht die Geschwindigkeit von Viren-Feind und schafft neuen Speicherplatz auf der Festplatte. 6.1.6 ANSEHEN DER REPORT-DATEI ============================== Dieses Feature dient zum Ansehen des Testprotokolls eines Prfsummenlaufs. Falls Sie unter dem Menpunkt Optionen, Ausgabe der Reportdatei auf ja geschaltet haben, so wird ein Protokoll erzeugt. Das Protokoll enth„lt wichtige Information, welche Dateien neu in die Prfliste aufgenommen wurden, wann das Programm einen Virenverdacht gemeldet hat, wie der Benutzer darauf reagiert hat usw.. Das Testprotokoll scrollen Sie mit den Tasten [auf], [ab], [PgAuf], [PgUp], [Home], [End]. Durch Drcken der ESC-Taste gelangen Sie wieder ins Hauptmen. 6.1.7 BETRIEBSSYSTEM ==================== Die Funktion erm”glicht Ihnen, kurzzeitig Viren-Feind zu verlassen, um Funktionen oder Befehle aus MS-DOS aufzurufen. Um nach getaner Arbeit wieder zu Viren-Feind zurckzukehren, geben Sie an der DOS- Eingabeaufforderung "EXIT" ein. Bitte beachten Sie, daá Sie nicht den kompletten Arbeitsspeicher zur Verfgung haben, sondern nur einen Teil. Sie k”nnen also nur kleine Programme aufrufen, Dateien kopieren oder l”schen. 6.1.7 ENDE VON VIREN-FEIND ========================== Falls Sie die Anwendung Viren-Feind beenden wollen, so w„hlen Sie diesen Menpunkt aus dem Pulldown-Men und drcken auf [Return]. 6.2 MENš OPTIONEN ================= 6.2.1 REPORT AUSGEBEN ===================== Ist diese Option eingeschaltet, so wird w„hrend des Virenchecks ein Testprotokoll erstellt, welches wichtige Informationen ber den Testvorgang gibt. 6.2.2 STATUSZEILE BEI VIRENTEST =============================== Diese Option war ursprnglich dazu gedacht, um die ben”tigte Zeit w„hrend des Virentestes zu messen, m”glichst klein zu halten und weiter zu optimieren. Sollte Ihnen die erste Zeile des Bildschirmes nicht gefallen, so haben Sie hier die M”glichkeit, diese Zeile auszublenden. 6.2.3 VIRFEIND.DAT VERSTECKEN ============================= Oft ist es unsch”n, wenn bei der Verzeichnisanzeige mit DIR die Datei VIRFEIND.DAT mit angezeigt wird. Diese Option vermeidet dies, indem sie das Hidden-Attribut setzt. Ist diese Option aktiv, so werden Sie VIRFEIND.DAT nicht mehr in der Dateiliste finden, falls Sie DIR eingeben. Dateimanager zeigen jedoch meist versteckte Dateien an. 6.2.4 OPTIONEN SPEICHERN ======================== Wenn Sie diese Option verwenden, dann werden alle Parameter (Statuszeile, Report ausgeben, VIRFEIND.DAT verstecken) gespeichert, damit Sie beim n„chsten Neustart direkt verfgbar sind. 6.3 MENš AUTOSTART ================== Begriffsgrundlagen: Autostart bedeutet, daá Viren-Feind nach jedem Einschalten des Rechners w„hrend des Bootvorganges einen automatischen Selbsttest von Dateien macht, die Sie innerhalb der Prfliste ausgew„hlt haben. Der Planer ist ein Virenterminplaner. Sie stellen eine bestimmte Zeit von Tagen ein, und Viren-Feind fhrt fr Sie nach dieser Anzahl von Tagen eine automatische Virensitzung durch. 6.3.1 AUTOSTART AN/AUS ====================== Diese Funktion installiert oder deinstalliert Viren-Feind in Ihrer AUTOEXEC.BAT. Die Datei AUTOEXEC.BAT wird bei jedem Start des Computers eingelesen und ausgefhrt. Sollte Viren-Feind in dieser Datei installiert sein, so sind Autostart und Planer aktiv. 6.3.2 EINZUSCHLIEáENDE PRšFDATEIEN ================================== Mit diesem Befehl k”nnen Sie Dateien hinzufgen oder entfernen, die Sie beim Starten Ihres Computers checken m”chten. Hinzufgen: Bitte geben Sie nun den kompletten (!) Dateinamen inklusive Pfad und Laufwerk an. Zum Beispiel: C:\DOS\COMMAND.COM L”schen: Entfernt Dateien aus der Prfliste. Bitte w„hlen Sie die Datei per Cursortasten aus und drcken Sie [RETURN]. Abbrechen: Beendet das Editieren der Prfliste und speichert die eingeschlossenen Dateien unter DATEIEN.INC. 6.3.3 EINSTELLUNGEN ZUM PLANER ============================== Diese Funktion bestimmt, nach wieviel Tagen eine Viren-Testaktion automatisch ausgefhrt werden soll. Bitte geben Sie in das Editierfeld eine Zahl zwischen 1 und 99 ein, die die Anzahl der Tage darstellen soll. Hinweis: Diese Funktion ist nur aktiv, wenn Sie Viren-Feind in der AUTOEXEC.BAT installiert haben (siehe Kapitel 6.3.1) ANHANG: EINGETRAGENE WARENZEICHEN ================================= MS-DOS ist ein eingetragenes Warenzeichen der Firma Microsoft. DR-DOS ist ein eingetragenes Warenzeichen der Firma Digital Research. SCAN ist ein eingetragenes Warenzeichen der McAfee Asociates.