home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
DS-CD ROM 2 1993 August
/
DS CD-ROM 2.Ausgabe (August 1993).iso
/
utility
/
ds0499
/
freeware.exe
/
ANTIVIR
/
VIRSCAN.DOC
< prev
next >
Wrap
Text File
|
1993-03-01
|
106KB
|
3,149 lines
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Das Virensuchprogramm
+ + +++++++ ++++++ +++++ +++++ +++ + +
+ + + + + + + + + + + ++ +
+ + + + + + + + + + + +
+ + + ++++++ +++++ + +++++++ + + +
+ + + + + + + + + + + +
+ + + + + + + + + + + + ++
+ +++++++ + + +++++ +++++ + + + +
++++++ + + + +++++
+ + + + + + +
+ + + + + +
++++++ + + + +++++
+ + + + +
+ + + + + +
+ +++++++ +++++ +++++
Gegen bekannte und UNBEKANNTE MSDOS-Computerviren, mit
integriertem Virenkiller
Copyright (c) 1990-93 by ROSE, Ralph Roth,
Finkenweg 24, D 7214 Zimmern o. R.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 1
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 2
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
2. INHALTSVERZEICHNIS
2. Inhaltsverzeichnis 3
3. Hinweis für erfahrene Anwender 6
4. Einleitung 7
4.1 Zur Zeit sind folgende Funktionen implementiert 7
4.2 Weitere Vorteile von VirScan 7
5. Das Handbuch 9
5.1 Urheberrecht 9
6. Shareware 9
6.1 Das Sharewareprinzip 9
7. Funktion von VirScan Plus 11
7.1 Veränderungen der einzelnen Programmversionen 11
7.2 Was sind eigentlich Computer-Viren? 12
8. Der Integrierte Virenschutz 13
8.1 Der eingebaute Checksummentester 13
8.1.1 Hinweise für das Programm SCAN.EXE 13
8.1.2 Hinweise für die Programme TAV & FShield 14
8.1.3 Anzeigen der Virenliste 14
9. Starten von VirScan 15
9.1 Während des Suchlaufes 15
9.2 Nach dem Suchlauf 15
10. Unterstützte Parameter 17
10.1 Parametersyntax 17
10.2 Die Umgebungsvariable VIRSCAN 17
10.2.1 Zurücksetzen von voreingestellten Werten 18
10.2.2 VirScan per AUTOEXEC.BAT-Datei konfigurieren 18
10.2.2.1 Beispiele für das Setzen der
Umgebungsvariable 18
10.2.2.2 Bsp.: Tägliche kurze Prüfung per
AUTOEXEC.BAT-Datei 18
10.3 Die einzelnen Parameter 19
10.3.1 /? oder -? (Hilfestellung) 19
10.3.2 /AUTO (Autopilot aktivieren) 19
10.3.3 Beispiele für den weiteren Einsatz des
Autopiloten 19
10.3.3.1 Zusätzliches Untersuchen des Laufwerks A: 19
10.3.3.2 Ton einschalten 19
10.3.3.3 Den hohen Arbeitsspeicher untersuchen 20
10.3.3.4 Nach neue unbekannten Viren suchen 20
10.3.3.5 Ergebnis ausdrucken 20
10.3.4 LW: (Laufwerke) 20
10.3.5 /F (Files) 20
10.3.6 /D (Directory) oder <Verzeichnis> 20
10.3.7 /MEHR (Mehrere Disketten nacheinander
untersuchen) 21
10.3.8 /MEM (Memory) 21
10.3.9 /MEMHI (Hoher Arbeitsspeicher) 21
10.3.10 /MUTANT (nach mutierten Viren suchen) 22
10.3.11 /IVT (Interrupt Virentest) 23
10.3.12 /LOG (Log-Datei anlegen) 23
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 3
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
10.3.13 /PRT oder /PRN oder /PRINTER 23
10.3.14 /REP (Report) 24
10.3.15 /OFFSET (Offset anzeigen) 24
10.3.16 /VL (Viren-Liste) 24
10.3.17 /TURBO bzw. -TURBO (NICHT im Turbo-Modus
suchen) 24
10.3.17.1 WARNUNG 25
10.3.18 /UNB (Unbekannte Viren suchen) 25
10.3.19 Bekannte Fehlalarme 25
10.3.20 Programme die einen Fehlalarm erzeugen 26
10.3.20.1 Mit Turbo=EIN 26
10.3.20.2 Mit Turbo=AUS 26
10.3.20.3 WARNUNG: Option /TURBO UND /UNB 26
10.3.21 /KILL (Virenkiller aktivieren) 26
10.3.21.1 Allgemeine Hinweise zum Virenkiller 27
10.3.21.2 Entfernen von Boot- und Partitionsviren 27
10.3.21.3 Hinweise bei Mehrfachinfektionen 27
10.3.22 /DEL (Delete/Löschen von Dateien) 28
10.3.23 /JN (Vor dem Löschen abfragen) 28
10.3.24 /LESEN 28
10.3.25 /REG (Registration) 28
10.3.26 /Q (Quiet) 28
10.4 Beispiele für Aufrufe 28
11. Fehlalarm? Ja/Nein? 30
11.1 Virenbefall von Bootsektoren 30
11.2 Virenbefall von Dateien 30
11.2.1 Ein Virus in nur einer Datei 30
11.2.2 Mehrere Viren in einer Datei/Bootsektor 30
11.2.2.1 Mehrere Jerusalem Viren 30
11.3 Die am weitesten verbreiteten Viren 31
11.4 Die Programme GUARD.SYS, VDEFEND.SYS, DEFENDER.COM und
TSAFE.COM u.a. 31
11.5 Mehrere Viren im Arbeitsspeicher 32
11.6 Analyse bei Virenverdacht 32
12. Sonstige Funktionen 33
12.1 VirScan und Netzwerke 33
12.2 VirScan unter OS/2 33
12.3 Zusätzliche Fehlermeldungen 33
12.4 Hinweise für Netzwerkadministratoren 34
12.5 Suchgeschwindigkeit 35
13. Wie werden neue Virenerkennungen in VirScan aufgenommen? 36
14. VirScan und ein unübliches Dateidatum 37
14.1 62 Seconds/100 Years Viren 37
15. VirScan und Stealth Viren 37
15.1 Der Brain Virus (u. a.) 37
16. Neue Funktionen von VirScan Plus 38
16.1 Der Dateiendebugger 38
16.2 Neues Suchverfahren 38
16.2.1 Bedeutung von "xxxx" 39
16.2.2 Bedeutung von "yyy" 39
17. Die verschiedenen Arten von Viren 40
17.1 Bootviren 40
17.2 Viren, die den Partitionssektor befallen 40
17.3 Hybridviren 40
17.4 Nicht überschreibende Fileviren 40
17.5 Überschreibende Fileviren 41
17.6 Trojanische Pferde 41
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 4
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
17.7 Call Viren 41
17.8 "Live and Die" Viren 41
17.9 "Hide and Seek" Viren 41
17.10 Hardware Viren 42
17.11 Gepufferte Viren 42
17.12 Slack-/Stackbereich Viren 42
17.13 Stealthviren 43
17.13.1 Abhilfe bei Stealthviren 43
17.14 Substealthviren 43
17.15 Polymorphe Viren 43
18. Kurzbeschreibung aller Viren 45
19. Registration, Bestellungen 45
19.1 Registrieren 45
19.2 Anfragen 45
19.2.1 Meine Adresse 46
19.2.2 Kommerzielle Anwender 46
20. Sonstiges 47
20.1 Ein Dankeschön an 47
21. Garantieausschlußerklärung 47
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 5
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
3. HINWEIS FÜR ERFAHRENE ANWENDER
'DOS-Power User' und sonstige Anwender, die der Meinung
sind, daß sie dieses Handbuch erst lesen müssen, wenn ein
Virus die Festplatte total zerstört hat, rate ich folgendes:
■ Zuerst VirScan mit INSTALL installieren
■ Anschließend die Datei VIRSHELP.TXT ausdrucken lassen.
Diese Datei enthält eine 'Quick Referenz' für die Bedienung
des Programmes (liegt der Vollversion ausgedruckt bei).
■ VirScan wie folgt starten:
virscan -auto
■ Wenn VirScan etwas gefunden hat, eventuell (falls es
nicht zuviel Mühe ist - ja ich weiß, 10 weitere Programme
müssen noch ausprobiert werden-) doch das Handbuch lesen.
Dies kann durch folgende Befehle veranlasst werden:
■ Ausdrucken: copy virscan.doc lpt1:
■ Lesen: virscan /lesen
■ Wenn Sie die Sharewareversion (oder vielleicht auch eine
Raubkopie?) benützen und Sie meinen, daß das Programm sein
Geld wert ist, geben Sie folgendes ein:
REGISTER
und ein kompletter Bestellschein wird ausgedruckt.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 6
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
4. EINLEITUNG
VirScan Plus ist ein Programm zum Erkennen und Suchen von
Computer Viren auf IBM kompatiblen PCs und ATs. VirScan kann
in der aktuellen Version ca. 1320 verschiedene Viren
entdecken. Die Bedienung ist denkbar einfach, so kann VirS-
can z. B. mit zusätzlichen Parametern aus einer Batchdatei
gestartet werden, andernfalls fragt das Programm den Benut-
zer, welche der Optionen gewünscht wird. VirScan ist durch
die Optimierung in Assembler und seinen eingebauten "De-
bugger" sehr schnell. So wird für das Untersuchen einer
Diskette nur wenige Sekunden benötigt. Für die bekanntesten
Viren enthält VirScan Plus zusätzlich ein Killerprogramm,
welches den Virus entfernen kann.
4.1 Zur Zeit sind folgende Funktionen implementiert
■ Systemspeicher untersuchen. Komplett (640 KB/ 1 MB) oder
im Turbo-Modus.
■ Datenträger im Turbo-Modus oder im Sicherheitsmodus un-
tersuchen.
■ Befallene Dateien löschen (wahlweise mit Bestätigen).
■ Soweit wie möglich Virus entfernen (VirScan kann zur Zeit
ca. 290 Viren entfernen).
■ Mehrere Disketten/Festplatten nacheinander untersuchen.
■ Ausgabe auf Bildschirm und/oder Drucker bzw. in eine Da-
tei. Erstellen eines Reports.
■ Lesen des Handbuches (44 Seiten) oder Anzeige aller Viren,
die VirScan erkennt.
■ Untersuchen von Laufwerken, Netzwerken, Dateigruppen und
einzelner Verzeichnisse manuell oder mittels 'Autopiloten'.
4.2 Weitere Vorteile von VirScan
■ Der Boot- und Partitionssektor und das Programm VirScan
werden jedesmal mit überprüft.
■ Neue Virensignaturen können mittels eines Texteditors in
die Datei VIRSCAN.EXT aufgenommen werden, d. h. VirScan
veraltet also niemals.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 7
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
■ Alle zeitkritischen Funktionen wurden zusätzlich in As-
sembler optimiert.
■ Für etwaige Fragen stehen mehrere Dokumentationen zur
Verfügung. Die Anleitung zu VirScan kann als Handbuch aus-
gedruckt werden.
■ VirScan ist lauffähig auf allen Graphikkarten. Ein Lauf-
werk oder eine Festplatte und MSDOS ab Version 3.21, sowie
ein IBM kompatibler Rechner mit 640 KB Speicher sind er-
forderlich.
■ Neues Suchverfahren findet auch nicht konstante Vi-
ren(stämme) (z. B. Tequila, Jerusalem) und deren Abarten.
VirScan findet -wahlweise- auch neue noch unbekannte Viren,
die durch Modifizieren bestehender Viren entstehen!
■ Es wird eine Textdatei (VIRBIBEL.DOC) mitgeliefert, die
eine kurze Beschreibung zu ca. 1500 Viren enthält.
■ VirScan kann sogar noch unbekannte im Arbeitsspeicher be-
findliche Stealthviren erkennen!
■ VirScan kann Netzwerke untersuchen. Läuft auch in der
'DOS-Box' des Betriebssystem OS/2 Version 2.00
■ VirScan kann auch wahlweise nach noch unbekannten Viren
suchen. Ferner werden unübliche Dateiattribute oder defekte
bzw. zerstörte Programme erkannt.
■ Das Programm ist komplett in deutscher Sprache. Inklusive
Installationsprogramm!
■ VirScan Plus wird u. a. nach dem Sharewareprinzip vermar-
ket. Das Programm kostet in der Vollversion nur DM 49,--
(zuzüglich einer Porto- und Verpackungspauschale von DM 5,--
). Mehrplatzlizenzen für Netzwerke ist ebenfalls erhältlich.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 8
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
5. DAS HANDBUCH
Dieses Handbuch wurde mit WORD 5.5 erstellt und einem vom
Programmautor entwickelten Hilfsprogramm nach ASCII por-
tiert. Sie können deshalb dieses Handbuch auf JEDEM Drucker,
der mindestens 64 Zeilen pro Blatt und einen Seitenvorschub
unterstützt, ausdrucken (auch auf Laserdruckern).
Befehl: COPY VIRSCAN.DOC PRN
5.1 Urheberrecht
Der Programmautor - Ralph Roth - besitzt alle Rechte an
diesem Computerprogramm UND seiner begleitenden Dokumenta-
tionen. Eine Vervielfältigung des Programmes und/oder der
Dokumentation ist ohne schriftliche Genehmigung des Autors
untersagt und stellt eine Urheberrechtsverletzung dar!
Eine Ausnahme stellt die Sharewareversion des Programmes
dar:
- Anwender dürfen dieses Programm kopieren und
weitergeben.
- Sharewarehändler dürfen nach schriftlicher Ge-
nehmigung das Programm als Shareware vertreiben.
Das Verändern des Programmes und/oder der Dokumentation ist
strengstens verboten!
6. SHAREWARE
VirScan wird u. a. nach dem sog. Sharewareprinzip ver-
trieben, d. h. Sie bestellen sich bei einem Sharewarehändler
die Sharewareversion von diesem Programm. In der Regel
verlangt der Sharewarehändler hierfür eine Vermittlungsge-
bühr, die zwischen 3 und 20 DM liegt. Mit dieser Gebühr ha-
ben Sie jedoch nicht das Programm gekauft, sondern nur dem
Händler seine Auslagen für Werbung, Kopieren usw. bezahlt!
6.1 Das Sharewareprinzip
Das Programm versteht sich als Shareware, daß heißt, Sie
dürfen es testen und ausprobieren. Wenn Sie aber damit län-
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 9
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
ger als vier Wochen arbeiten, wird eine Registrationsgebühr
fällig. Shareware können Sie also risikolos austesten. Falls
Ihnen das Programm zusagt, kaufen Sie sich eine Vollversion.
Falls dieses Programm als SHAREWARE-Programm angeboten wird,
darf das Programm unentgeltlich weitergegeben werden, wenn
die zugehörigen Dateien nicht verändert und nicht weg-
gelassen werden (gilt nicht für die Vollversion). Regi-
strierte Anwender dürfen natürlich die Vollversion nicht
weitergeben!
Die kommerzielle Nutzung der Sharewareversion (in Firmen,
öffentlichen Anstalten, Schulen etc.) ist untersagt. Für
eine unten aufgeführte Registrationsgebühr erhalten Sie die
Vollversion und den neuesten und aktuellsten Programmupdate
(neueste Programmversion).
Unterstützen Sie das Sharewarekonzept durch Ihre Registra-
tion! In der Vollversion fallen die Aufforderungsbildschirme
weg! Außerdem erhalten Sie mit Ihrer Bestellung die derzeit
aktuellste Programmversion!
Zum Bestellen ihrer persönlichen Vollversion starten Sie
bitte das Programm REGISTER.COM und ein Bestellschein wird
ausgedruckt. Für weitergehende Hinweis über das Shareware-
prinzip wird zusätzlich auf die Datei HINWEIS.COM hingewie-
sen!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 10
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
7. FUNKTION VON VIRSCAN PLUS
Mit VirScan werden Dateien, Laufwerke, Netzwerke,
Arbeitsspeicher, der Partitionssektor und der Bootsektor auf
Virenbefall untersucht.
VirScan überprüft normalerweise nur ausführbare Programme,
die auf EXE, COM, BIN, OVL, OVR, SYS, APP oder OBJ enden.
Es können aber über Parameter andere "Extensionen"
(Endungen) gewählt werden.
Der Virensuchalgorithmus ist zwar hochoptimiert, aber al-
leine jede Datei einzeln nach allen Viren durchzusuchen,
braucht seine Zeit. Ich nehme jedoch an, Sie werden über-
rascht sein, wie schnell VirScan Ihre Festplatte untersucht!
7.1 Veränderungen der einzelnen Programmversionen
Dies stellt eine Kurzübersicht dar, die Datei WHATSNEW.COM
enthält eine detaillierte Beschreibung der Programmverbes-
serungen.
Ab Version 4.55 von VirScan wurde eine neue Funktion inte-
griert, mit der jedesmal beim Starten von VirScan die Datei
VIRSCAN.EXT eingelesen wird. In diese Datei können Sie die
Erkennungen (sog. Signaturen) von neuen Viren hinzufügen.
Dann wird zusätzlich nach diesen neuen Viren gesucht.
Ab Version 5.0 kann der Systemspeicher (Arbeitsspeicher) auf
Virenbefall untersucht werden.
Ab Version 6.0 ist ein Virenkiller integriert. Zusätzlich
kann VirScan jetzt jederzeit mit der ESC-Taste abgebrochen
werden.
Ab Version 7.0 wurde eine Warnfunktion integriert. VirScan
meldet bei einer Übereinstimmung des "Suchstring" mit der zu
untersuchenden Datei von ca. 95 % einen Virusverdacht. Damit
kann VirScan auch modifizierte, aber bekannte Viren
erkennen! Zusätzlich wird jetzt bei einer Festplatte der
Partitionssektor mituntersucht.
In Version 7.8 ist ein intelligenter Dateiendebugger in-
tegriert worden, um die Verarbeitunggeschwindigkeit nochmals
zu steigern.
Weil der Tequila-Virus keine konstanten Erkennungen besitzt
wurde in VirScan ein zusätzlicher Suchalgorithmus eingebaut.
Mehr hierzu siehe unten!
Version 8.0 wurde netzwerktauglich gemacht.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 11
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Version 8.5 findet jetzt mit der Option /UNB auch neue unbe-
kannte Viren!
Version 8.6 kann den Arbeitsspeicher bis 1 MB untersuchen.
Version 9.0 hat einen eingebauten 'Autopiloten', der für
unerfahrene Anwender alle nötigen Einstellungen vornimmt!
Version 9.20 findet jetzt mit der Option /MUTANT neue modi-
fizierte Viren (teilweise auch noch unbekannte)!
7.2 Was sind eigentlich Computer-Viren?
Bei Computer-Viren handelt es sich um Programme, die Dateien
bzw. Programme befallen. Sie "hängen" sich in den meisten
Fällen an das Ende eines Programmes und vergrößern es um ca.
2500 Bytes.
Nach dem Aufruf des infizierten Programmes wird zuerst das
Programm, dann der angehängte Virus in den Arbeitsspeicher
geladen.
Beim Starten des Programmes durch das Betriebssystem wird
zuerst der Virusteil angesprungen. So kann der Virus ent-
weder das geladene Programm manipulieren oder ein neues an-
greifen. Anschließend springt der Virus zum eigentlichen
Programm über. Durch diese Taktik merkt der Computerbenutz-
ter normalerweise nicht, daß seine Programme von einem Virus
infiziert sind.
Wie alle anderen Programme auch, befindet sich ein Computer-
Virus als ein kleines Programm namenlos im Arbeitsspeicher.
Diese wenige Kilobytes Programmcode enthalten aber für den
Virus spezifische Maschinenbefehle, an denen er erkannt
werden kann (die sog. Virensignaturen).
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 12
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
8. DER INTEGRIERTE VIRENSCHUTZ
Das Programm enthält einen integrierten Checksummentester,
um einen möglichen Virenbefall gleich anzeigen zu können.
Die zum Programm gehörige Checksumme befindet sich in der
Datei mit der Endung "XXX".
Diese in der Datei befindliche Checksumme sowie das Haupt-
programm dürfen auf keinen Fall verändert bzw. modifiziert
werden! Das Hauptprogramm nimmt sonst an, es sei eventuell
von einem Virus befallen worden (dem Programm noch unbe-
kannter Virus)!
8.1 Der eingebaute Checksummentester
Folgende Merkmale der EXE-Datei werden überwacht und auf
Veränderungen überprüft:
■ Checksumme - Wird auch nur ein Bit des Programms vom
Virus verändert, so stimmt die Checksumme nicht mehr
(eigene sichere Routine, nach ANSI X3.66 - CRC-Poly ist:
0xDEBB20E3).
■ Dateilänge - Wird ein Programm über Nacht um ein oder
zwei KB länger, ist es infiziert!
Ich rate ab, irgendwelche Änderungen an der EXE & XXX-Datei
durchzuführen, da dann das Programm mit Sicherheit nicht
mehr läuft! Die Datei mit der Endung "XXX" enthält auch die
aktuelle Version, wieviel verschiedene Viren vom Checksum-
mentester erkannt werden können. Das Testen der Checksumme
nimmt ca. 1-5 Sekunden Zeit in Anspruch (je nach Rechnertyp
und Laufwerk). Meiner Ansicht nach ein vertretbarer Aufwand!
Ist die Checksumme in Ordnung, wird das Programm ausgeführt.
Andernfalls wird eine ausführliche Fehlermeldung mit
Hinweisen auf mögliche Fehlerquellen ausgegeben.
8.1.1 Hinweise für das Programm SCAN.EXE
Ab der Version 4v65 von SCAN.EXE von McAfee gibt es die Op-
tionen:
/AV - add validate bzw. /AG
/CV - check validate bzw. /CG
/RV - remove validate bzw. /RG
Diese Funktionen sind aber inkompatibel mit dem Checksum-
mentester von VirScan, weil die Funktionen /AD und /RV je-
weils 10 Bytes zum EXE-Programm hinzuaddieren bzw. ent-
fernen!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 13
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Ich rate von diesen Funktionen ab, denn jedesmal wenn Sie
SCAN C: /AV eingeben, verbraucht SCAN (bei 1000 Dateien) 10
KB Speicherplatz, der unwiderruflich verloren ist!
Falls Sie versehentlich SCAN /AV oder /RV eingegeben haben,
so ist das Programm Z E R S T Ö R T, weil der Programm-
selbstschutz annimmt, ein Virus hat das Programm befallen.
Es reichen schon ein paar Bytes Veränderung um einen Virus
einzupflanzen!
8.1.2 Hinweise für die Programme TAV & FShield
Mit den Programmen Turbo Anti Virus der Firma Carmel, File-
Shield von McAfee, Viren Schutz Schild von ROSE u. a., ist
es möglich, ausführbare Programme gegen Manipulation
(Virenbefall) zu schützen. Dies wird erreicht, indem das
Programm mit einer "Schutzhülle" versehen wird. Diese
Schutzhülle ist ein kleines Maschinenspracheprogramm und hat
eine Länge zwischen 400 und 2800 Bytes. Für den integrierten
Checksummentester ist ein solcher Längenzuwachs natürlich
sehr virenverdächtig - das Programm wird NICHT ausgeführt,
wenn es nachträglich mit einem solchen Programm geimpft
wurde!
8.1.3 Anzeigen der Virenliste
In der vorliegenden Version des integrierten
"Checksummentester" ist eine List Funktion eingebaut. Wenn
Sie alle Link-Viren angezeigt haben wollen die das Programm
erkennt, starten Sie das EXE-Programm mit dem Zusatz /List.
Zum Beispiel: VIRSCAN /List [ENTER]
Es wird dann gefragt ob Sie die Liste ausdrucken (J), oder
nur auf dem Bildschirm (N) ansehen wollen. Falls Sie die
Bildschirmausgabe gewählt haben, so müssen Sie nach Anzeige
von zwanzig Viren die Enter-Taste drücken, um die nächsten
zwanzig Viren anschauen zu können!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 14
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
9. STARTEN VON VIRSCAN
Legen Sie die VirScan-Diskette in Laufwerk A ein und geben
Sie folgendes ein:
A: [ENTER]
VIRSCAN /? [ENTER]
VirScan wird dann gestartet, gibt einen kurzen Hilfsbild-
schirm aus, und fragt Sie anschließend nach verschieden Pa-
rametern, die Sie eingeben müssen (siehe unten). Wenn Sie
später mit VirScan vertraut sind, können Sie VirScan so
aufrufen, daß er alle benötigten Parameter aus der Komman-
dozeile liest.
Wenn VirScan alle Dateien untersucht hat und ein Virus ge-
funden wurde, drücken Sie die ENTER-Taste. Falls KEIN Virus
gefunden wurde, bekommen Sie in etwa folgende Bildschirman-
zeige:
|------------------------------------------------------------|
| VirScan Plus, vX.XX (c) 20.10.90-93 by ROSE, Ralph Roth |
| Lesen Sie dazu die Dokumentation VIRSCAN.DOC & VIRSCAN.TXT |
| durch! Mit eingebautem Virenkiller. |
|Diese Version von VirScan kann mindestens XX Viren erkennen!|
|------------------------------------------------------------|
Sechzig Dateien untersucht! 5.789.512 Bytes untersucht.
Glück gehabt: keine Viren gefunden!
9.1 Während des Suchlaufes
Während des Suchlaufes können Sie mit folgenden Tasten
VirScan beieinflußen:
<Escape> : Bricht die Programmausführung ab. Die gerade
untersuchte Datei wird jedoch noch zu Ende untersucht.
<Leertaste> : Hält die Programmausführung solange an, bis
Sie eine andere Taste drücken. Dies ist besonders dann
sinnvoll, wenn Ihr System weitgehendst verseucht ist und Sie
sich die einzelnen Datei genauer anschauen wollen.
9.2 Nach dem Suchlauf
Wenn VirScan alles untersucht hat, und einen Virus gefunden
hat, müssen Sie anschließend noch die <Enter> Taste drücken.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 15
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Anschließend gibt VirScan aus, wieviele Programme untersucht
worden sind, wieviele Viren gefunden und wieviele Viren ent-
fernt wurden und wie lange VirScan hierzu gebraucht hat.
Ferner errechnet VirScan die durchschnittliche Suchge-
schwindigkeit, die für jeden Computer etwas anders ausfällt.
Auf verschiedenen Testanlagen (386/486 + CACHE) wurden
jedoch Suchgeschwindigkeiten von über 920.000 Bytes pro
Sekunde erzielt!
Wenn VirScan anzeigt: "20 MB Programmcode untersucht", Sie
jedoch eine 80 MB Festplatte besitzen, ist dies nicht ein
Programmfehler, sondern die Summe aller AUSFÜHRBAREN Pro-
gramme auf Ihrer Festplatte (Texte oder Daten nach Viren
abzusuchen ist sinnlos!).
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 16
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
10. UNTERSTÜTZTE PARAMETER
Wird VirScan ohne zusätzliche Parameter gestartet, so wird
nach den einzelnen Optionen gefragt, z. B. welches Laufwerk
untersucht werden soll. Es können jedoch zusätzliche Para-
meter beim Start übergeben werden.
10.1 Parametersyntax
VIRSCAN [LW:] [/Fxxxx.yyy] [/Dxxxx] [/MEHR] [/LOG]
[/PRT] [/REG] [/VL] [/TURBO] [/DEL] [/MEM]
[/KILL] [/JN] [/LESEN] [/REP] [/Q] [/?] [/UNB]
[/AUTO] [/MEMHI] [/MUTANT] [Verzeichnis]
Die eckigen Klammern bedeuten, daß die Parameter wahlfrei
sind. Sie müssen jedoch mindestens einen Parameter angeben,
damit VirScan weiß, was das Programm zu tun hat, andernfalls
fragt Sie VirScan nach den einzelenen Parametern.
Anwender, welche die amerikanische Parametereingabe mit dem
Minuszeichen gewohnt sind, können statt den Slashzeichen
('/') das Minuszeichen ('-') verwenden.
Beispielsweise ist -? äquivalent mit /?
Die Datei VIRSHELP.TXT (meist im Verzeichnis \DOKU) enthält
ebenfalls eine Kurzbeschreibung der einzelnen Parameter.
Hinweis: Zwischen den einzelnen Parametern muß mindestens
ein Leerzeichen vorhanden sein!
10.2 Die Umgebungsvariable VIRSCAN
Statt VirScan immer mit Parametern aufzurufen, kann VirScan
mit einer sogenannten Environmentvariable (Umgebungs-
variable) gesteuert werden.
Geben Sie beispielsweise am DOS-Prompt folgendes ein:
SET VIRSCAN=C: D: /UNB /MEMHI
Wenn Sie nun VirScan OHNE Parameter starten, ließt VirScan
aus der Variable alle benötigen Parameter aus und untersucht
in diesem Fall Laufwerk C: und D: mit den Optionen:
/UNB - unbekannte Viren suchen
/MEMHI - Speicher bis 1 MB untersuchen
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 17
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
10.2.1 Zurücksetzen von voreingestellten Werten
Manchmal ist es wünschenswert, schon fest (also per SET
VIRSCAN=...) eingestellte Optionen wieder rückgängig zu ma-
chen. Dies erfolgt einfach durch Angabe eines Minuszeichens
nach der Option. damit wird die Option ausgeschalten!
Beispielsweise haben Sie folgendes eingeben:
SET VIRSCAN=C: /Q /TURBO /MEM
Sie möchten jedoch den Speichertest ausschalten. dann star-
ten Sie VirScan mit folgendem Parameter:
VIRSCAN /MEM-
10.2.2 VirScan per AUTOEXEC.BAT-Datei konfigurieren
Wenn Sie wollen können Sie den SET VIRSCAN=... Befehl in
Ihre AUTOEXEC.BAT aufnehmen. beachten Sie, das Sie genügend
Platz für Umgebungsvariablen reserviert haben, ansonsten
erhalten Sie beim Booten folgende Meldung o.ä.:
Umgebungsbereich erschöpft
Lesen Sie in diesem Fall in Ihrem DOS-Handbuch, wie man mit
dem /P Schalter von COMMAND.COM den Umgebungsbereich ver-
größert!
10.2.2.1 Beispiele für das Setzen der Umgebungsvariable
Maximale Sicherheit
SET Virscan=/AUTO /MEMHI /UNB /LOG /IVT /MUTANT
oder
SET Virscan=/AUTO /MEMHI /UNB /LOG /IVT /TURBO
Normale Bedingungen
SET VIRSCAN=/AUTO
10.2.2.2 Bsp.: Tägliche kurze Prüfung per AUTOEXEC.BAT-Datei
Fügen Sie beispielsweise folgende Zeilen in Ihre AUTO-
EXEC.BAT-Datei:
PATH=%path%;c:\VIRSCAN
VIRSCAN C:\DOS /UNB /MEMHI /FC:\*.EXE /FC:\*.COM /IVT
SET VIRSCAN=/AUTO /MEMHI
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 18
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Es wird dann bei jedem Hochfahren des Systems Ihre System-
dateien auf Viren untersucht.
10.3 Die einzelnen Parameter
10.3.1 /? oder -? (Hilfestellung)
Gibt eine kurze Hilfestellung zu den einzelnen Parametern
aus.
10.3.2 /AUTO (Autopilot aktivieren)
Diese Option ist wohl die stärkste und komfortabelste Funk-
tion am ganzen Programm! Sie ist besonders für Anwender ge-
dacht, die sich nicht näher mit der Funktionsweise des Pro-
grammes beschäftigen wollen.
Wenn Sie den Autopilot aktivieren, werden zunächst folgende
Parameter gesetzt:
■ Arbeitsspeicher bis 640 KB untersuchen.
■ Ton ausschalten.
■ Suchen im Turbo-Modus
Zusätzlich ermittelt der Autopilot welche Laufwerke am Com-
puter/Netzwerk angeschlossen sind. Anschließend werden alle
Laufwerke, die von DOS erreicht werden können untersucht. Es
ist dabei egal, ob es sich um Festplatten, RamDrives,
Netzwerkplatten oder 'geSUBSTete' Laufwerke handelt. Die
Diskettenlaufwerke A: und B: werden standardmäßig nicht un-
tersucht und müssen bei Bedarf zusätzlich angegeben werden.
Sie haben die Möglichkeit weitere Optionen zum Autopilot
hinzufügen bzw. zu deaktivieren!
10.3.3 Beispiele für den weiteren Einsatz des Autopiloten
Nachfolgend die Einstellungen für Parameterübergabe mittels
1.) der Kommandozeile
2.) der Umgebungsvariable VIRSCAN, unter der Voraussetzung,
daß SET VIRSCAN=/AUTO schon gesetzt wurde.
10.3.3.1 Zusätzliches Untersuchen des Laufwerks A:
1.) virscan -auto a:
2.) virscan a:
10.3.3.2 Ton einschalten
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 19
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
1.) virscan /q- /auto
2.) virscan -q-
10.3.3.3 Den hohen Arbeitsspeicher untersuchen
1.) virscan /memhi /auto
2.) virscan /memhi
10.3.3.4 Nach neue unbekannten Viren suchen
1.) virscan /unb /auto /mutant
2.) virscan /unb /mutant
10.3.3.5 Ergebnis ausdrucken
1.) virscan /auto -print
2.) virscan /prn
10.3.4 LW: (Laufwerke)
LW ist ein existierendes Laufwerk das mit den Buchstaben "A"
bis "Z" angesprochen werden kann. Existiert das Laufwerk
nicht, so wird dies mit folgender Fehlermeldung gemeldet:
Kann Laufwerk X: nicht ansprechen (Netzwerk?)
Der Partitionssektor bzw. Bootsektor wird immer mitunter-
sucht! Sie können mehrere Laufwerke angeben.
Aufruf: VIRSCAN C: F:
(Festplatten C und F werden untersucht)
10.3.5 /F (Files)
Hiermit können einzelne Dateien und Dateigruppen untersucht
werden. Laufwerk, Pfad und Wildcards werden unterstützt!
Beispiel:
Virscan /FG:\TOOLS\NEU\VI*.EX?
10.3.6 /D (Directory) oder <Verzeichnis>
Hiermit kann ein Directory und seine Subdirectories nach
ausführbaren Programmen untersucht werden. Der Parameter /D
wird nur noch zur Kompatibilität zu früheren Version unter-
stützt. Wenn Sie ein Verzeichnis angeben, muß es sich um den
absoluten Pfadnamen handeln, während mit dem Parameter /D
'Abkürzungen' wie .. c: \ usw. erlaubt sind.
Beispiele:
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 20
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
VIRSCAN /DK:\NET /D..
VIRSCAN C:\DOS A:\NEU /D.
SET VIRSCAN=/D\ C:\DOS
10.3.7 /MEHR (Mehrere Disketten nacheinander untersuchen)
Wenn Sie nicht jedesmal VirScan für jede Diskette neu star-
ten wollen, so geben Sie die Option /MEHR mit an.
Sie werden dann gefragt:
"Bitte Diskette entnehmen und eine neue Diskette einlegen.
Disk bereit? [J/N]"
Legen Sie eine neue Diskette ein und geben Sie danach "J"
ein. Diese Option funktioniert nur in Verwendung mit der
Option [LW:]! Wenn Sie /MEHR bei Festplatten angeben, wird
dieser Parameter für Festplattenlaufwerke ignoriert.
Beispiele:
VIRSCAN A: C: /MEHR
VIRSCAN B: -mehr
SET VIRSCAN=-mehr
10.3.8 /MEM (Memory)
Ihr System-Speicher wird auf alle konstanten Viren unter-
sucht. Mit einer Anzeige, welches Segment gerade untersucht
wird. Diese Funktion kann bei nicht 100%-tig kompatiblen
IBM-Rechnern zu Schwierigkeiten führen!
Befindet sich ein Virus im Arbeitsspeicher, so muß dieser
zuerst durch ein Kaltstart von einer sauberen Systemdiskette
entfernt werden!
10.3.9 /MEMHI (Hoher Arbeitsspeicher)
Wie die Option /MEM, es wird jedoch auch der Arbeitsspeicher
bis 1 MB auf Viren untersucht. Diese Funktion ist nur für
AT-Rechner sinnvoll, die einen Treiber verwenden, der DOS in
den hohen Arbeitsspeicher verschiebt (HMA). Bei nicht IBM-
kompatiblen ATs oder nicht vorhanden HMA kann es mit dieser
Option zu Schwierigkeiten kommen!
Hinweis: Bei sehr wenigen Rechnern führt diese Funktion u.
U. zum Programmabsturz! Meistens scheint es als ob das Pro-
gramm abgestürzt ist. Tip: Wenn die NumLock-LED sich mittels
der NumLock-Taste ein- und ausschalten lässt, ist ein
Programm in der Regel noch nicht abgestürzt!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 21
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Bei 386-er, welche die sogenannte A20 Leitung benutzen, wird
dieser Speicherbereich ebenfalls untersucht (also bis 1088
KB Arbeitsspeicher).
Das Programm muß das ganze BIOS nach verdächtigen Seqeunzen
absuchen, weshalb VirScan bei langsameren Rechner teileweise
mehr als eine Minute benötigt!
10.3.10 /MUTANT (nach mutierten Viren suchen)
Mit dieser Option können Sie zusätzlich nach mutierten (also
veränderten) Viren suchen, die sonst nicht erkannt werden.
Dies wird dadurch erreicht, daß eine Erkennung nicht mehr zu
100 Prozent übereinstimmen muß, sondern bis zu sechs Stellen
sich vom Suchstring unterscheiden dürfen. Im Gegensatz zur
Option /UNB wird also mit einer bestehenden Signatur
gesucht, wobei Treffer jedoch nicht mehr zu 100 Prozent
übereinstimmen müssen!
Diese Option ist gedacht, um bei einem System das sich ab-
normal verhält, eventuelle "Virentreffer" zu landen. Mit
verschiedene mutierten Testviren wurde eine Trefferrate von
100 Prozent erzielt! Einen "Treffer" meldet VirScan ungefähr
so:
Warnung: C:\COMMAND.COM könnte mit dem xy-Virus
infiziert sein.
Weil diese Option mit Sicherheit Fehlalarme verursacht (z.
B. wird ein Veronezh-Virus im Programm VIRSTOP.EXE gefunden)
werden standardmäßig folgende Optionen zusätzlich ein-
geschalten:
■ Turbomodus EIN
■ Ton aus
■ Virenkiller aus
Die Option /MUTANT ist ebenfalls wie die Option /UNB nicht
für den unerfahren Anwender gedacht. Ein kleiner Tip hierzu:
Ein Dateivirus macht sich immer dadurch bemerkbar, daß er
versucht soviele Programme wie nur möglich zu infizieren.
Deshalb sind drei oder vier "infizierte" Dateien (bei der
Option /MUTANT und/oder /UNB) auf der Festplatte noch lange
kein Indiz dafür, daß ein Virus zugeschlagen hat!
Bei Verdacht können Sie mir unverbindlich eine
verseuchte Diskette zusenden!
Ab Version 9.22 wird bei der Option /MUTANT zusätzlich der
Boot-/Partitionssektor nach mutierten Viren abgesucht!
10.3.11 /IVT (Interrupt Virentest)
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 22
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Mit dem Parameter /IVT kann der Arbeitsspeicher nach ca. 140
der bekanntesten Viren untersucht werden. Dies erfolgt mit
sogenannten "Am I there" Aufrufen, die in Sekunden-
bruchteilen durchgeführt sind (im Vergleich zum langsamen
Untersuchen des Arbeitsspeichers). Der Arbeitsspeicher wird
hierbei auf folgende Viren untersucht:
■ Jerusalem und verwandte Viren (mind. 48 Varianten)
-- Frere Jaque
-- Fu Manchu
■ Tequila (Tarnkappen/Stealth-Virus, 14 Varianten)
■ Yankee Doodle (45 Varianten)
■ Cascade (14 Varianten)
■ Flip/Omicrone (5 Varianten/Substealth-Virus)
■ Parity Check (3 Varianten, Bootvirus)
■ dBase
Bei Erkennung des Virus wird der Benutzer darüber infor-
miert.
Sie sollten diese Option nicht verwenden, wenn Sie Novell
Netware installiert haben, weil es zu Überschneidungen der
Interruptaufrufe kommt. Diese Funktion wurde ursprünglich
automatisch durchgeführt, es hat sich jedoch herausgestellt,
daß die sogenannten "Am I there" Aufrufe nicht 100%
kompatibel mit verschiedenen Betriebssystemen und Kon-
figurationen sind. Falls es also zu ungewöhnlichen Seiten-
effekten kommt, so könnte es an dieser Option liegen.
Diese Option untersucht -falls vorhanden- auch den hohen
Arbeitsspeicher (HMA) auf Viren.
10.3.12 /LOG (Log-Datei anlegen)
Es wird eine Datei namens VIRSCAN.LOG im aktuellen Ver-
zeichnis angelegt. In diese Datei werden alle Dateien ein-
getragen, die von Viren befallen sind. Weiterhin werden alle
Informationen über das zu untersuchende Laufwerk mit
eingetragen. Bei Disketten mit Schreibschutz muß natürlich
der Schreibschutz entfernt werden, sonst kann keine Log-Da-
tei erzeugt werden (typischer Anwenderfehler)!
Eine ältere gleichlautende Datei (VIRSCAN.LOG) wird über-
schrieben!
10.3.13 /PRT oder /PRN oder /PRINTER
Analog zu /LOG, der Bericht wird jedoch auf dem Drucker
ausgegeben. Schalten Sie den Drucker ein, sonst wartet
VirScan so lange, bis der Drucker "Online" ist. Anzeige über
Fehlerfenster! Diese Option ist mischbar mit der Option
/LOG!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 23
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
10.3.14 /REP (Report)
Falls Sie nicht schon die Option /LOG eingeschaltet haben,
wird diese Option zusätzlich eingeschaltet. Beim an-
schließenden Suchlauf wird jede untersuchte Datei in die
Datei VIRSCAN.LOG eingetragen (mitprokotokolliert), ob sie
infiziert ist oder nicht.
Diese Option ist besonders dann sinnvoll, wenn Netzwerke
untersucht werden sollen, oder Sie sich sicher sein müssen,
daß die Datei untersucht wurde oder nicht!
10.3.15 /OFFSET (Offset anzeigen)
Diese Option gibt -falls ein Virus gefunden wurde- die Po-
sition des Virencodes bezüglich des Dateianfanges an. Eben-
falls wird -bei einer beschädigten Datei- angezeigt, wohin
der Einsprungspunkt hinzeigt. Diese Option dürfte für Sie
relativ uninteressant sein, weshalb sie standardmäßig auf
AUS geschalten ist. Diese Option ist voll kompatibel zu den
Optionen /LOG, /PRN und /REP.
10.3.16 /VL (Viren-Liste)
Es werden alle Viren, die VirScan erkennen kann ausgegeben.
Die Ausgabe auf einen Drucker oder in eine Datei umzuleiten
ist möglich! Programm kehrt anschließend zu DOS zurück. Um
z. B. die Virenliste auszudrucken geben Sie folgendes ein:
virscan /vl /unb /prn
10.3.17 /TURBO bzw. -TURBO (NICHT im Turbo-Modus suchen)
Turbo-Modus ausschalten. Um bei der Suche nach allen Viren
die Ausführungsgeschwindigkeit noch zu beschleunigen, habe
ich in VirScan einen "intelligenten" Debugger integriert.
Dieses Programm ermittelt erst einmal, wo der Virus sitzen
könnte und untersucht anschließend die Datei. Ein Virus
"hängt" sich nämlich normalerweise an den Anfang oder das
Ende eines Programmes an. Standardmäßig ist der Turbo-Modus
eingeschalten.
Im Turbo-Modus werden Dateien aber nur nach Programm-Viren
durchsucht (Erklärungen zu den einzelnen Virenarten siehe
auch unten), wenn Sie also nach allen Viren suchen lassen
wollen, schalten Sie die Turbo-Funktion aus. Falls Sie die
gesamte Datei untersuchen lassen wollen, starten Sie VirScan
mit der Option /TURBO! Im Turbomodus werden die sog.
Overlay-Dateien anders untersucht, als wenn der Turbo-Modus
ausgeschalten ist. Wenn Sie also einem Virus auf der Fest-
platte haben, der auch Overlay-Dateien befällt, lassen Sie
VirScan mit der Option /TURBO suchen!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 24
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
10.3.17.1 WARNUNG
Es ist nicht sinnvoll VirScan immer mit ausgeschalten Turbo-
Modus suchen zu lassen. Gründe:
■ VirScan ist im Turbo-Modus bis zu 15x schneller.
■ Die rechnerische Wahrscheinlichkeit ist sehr hoch, daß
VirScan mit ausgeschaltenen Turbo-Modus einen FEHLALARM
erzeugt.
■ VirScan sucht auch nach Bootviren in Programmen
(sogenannte Dropperviren), was normalerweise aber unnö-
tig ist.
■ Der Debugger arbeitet nicht im ausgeschaltenen Turbo-
modus und kann somit keine -oft- wertvolle "Hinweise"
liefern!
10.3.18 /UNB (Unbekannte Viren suchen)
Ja, Sie lesen richtig! VirScan ist in der Lage, neue un-
bekannte Viren zu erkennen! VirScan sucht, wenn Sie den Pa-
rameter /UNB setzen nach typischen Befehlen, die eigentlich
nur Viren und ähnliche Programme verwenden. VirScan zeigt
unbekannte Viren mit einer der folgenden Meldungen an:
■ Unbekannten (Relokator/VSS) Virus gefunden.
■ Unbekannten (Relokator) Virus gefunden.
■ Unbekannten (POP BX) Virus gefunden.
■ Unbekannten (POP BP) Virus gefunden.
■ Unbekannten (Trap) Virus gefunden.
■ Unbekannten (Dropper) Virus gefunden.
■ Unbekannten (Vienna) Virus gefunden.
■ Unbekannten (Cascade) Virus gefunden.
■ Unbekannten (Memory) Virus gefunden.
■ Unbekannten (POP SI) Virus gefunden.
■ Unbekannten (FileOpen) Virus gefunden.
10.3.19 Bekannte Fehlalarme
Die Programme FileShield von McAfee und Viren Schutz Schild
(bis Version 1.05) von ROSE, Ralph Roth sind entwickelt
worden, um Programme gegen Viren zu immunisieren. Bei sol-
chen immunisierten Programmen findet VirScan u. U. einen
unbekannten Virus vom Typ "Relokator/VSS"! Alle anderen un-
bekannte Viren, besonders die POP-Viren sind ernstzunehmende
Hinweise auf eventuelle neue Viren, besonders dann, wenn
Ihre Festplatte von einem Typ "verseucht" ist!
Unerfahrene DOS-Anwender sollten die
Funktion /UNB nicht verwenden!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 25
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Hinweis: Die meisten Viren besitzen zwei teilweise auch so-
gar drei Merkmale, die mit der Option /UNB pro Datei gefun-
den werden! Weitere Tips auch unter der Option /MUTANT
10.3.20 Programme die einen Fehlalarm erzeugen
Folgende Programme erzeugen nachweislich einen Fehlalarm,
wenn sie mit der Option /UNB untersucht werden:
10.3.20.1 Mit Turbo=EIN
■ Eventuell mit TNTVIR, FShield, VSS geimpfte Programme.
Mit der Option /UNB (Unbekannte Viren)
SCOBP.EXE ca. 8 KB Monitor gegen aktive Boot-
Stealthviren von ROSE ('TRAPed'
sich durch den Interrupt 13h, da-
her auch Meldung: "Trap Virus ge-
funden"). Eine neue Version von
SCOBP wurde entsprechend über-
arbeitet.
VALIDATE.COM ca. 7 KB Liegt älteren Versionen von SCAN
und VSUM bei (Relokator/VSS).
Weitere Programme sind zur Zeit nicht bekannt!
10.3.20.2 Mit Turbo=AUS
Datei: Größe KB: Datum: Beschreibung:
WOF.EXE entpackt: 189 ??? Spiel: World of...
DBGR.EXE 83 18.04.87 DBase-Utility
Weitere Programme sind zur Zeit nicht bekannt!
10.3.20.3 WARNUNG: Option /TURBO UND /UNB
Die Option /UNB kann -insbesondere mit dem Parameter /TURBO-
zu Fehlalarmen führen. Deshalb dürfen NICHT zusätzlich die
Optionen /KILL und/oder /DEL verwendet werden!
10.3.21 /KILL (Virenkiller aktivieren)
Aktivieren des Virenkillers. VirScan kann zur Zeit ca. 290
Viren vernichten und die ursprüngliche Datei/Bootsektor
wieder herstellen (soweit technisch möglich). Die Datei
VIRSCAN.TXT enthält eine Liste der entfernbaren Viren.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 26
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
ACHTUNG: Die Anwendung des Virenkiller erfolgt auf eigenes
Risiko, sie ist nur gedacht, Viren zu entfernen, falls keine
Originalprogramme mehr vorhanden sind.
Viren werden laufend von Hackern verändert, mit dem Ergeb-
nis, daß sogenannte Familiensucherkennungen verwendet werden
müssen, eine genaue Diagnose ist in diesem Fall nicht mehr
möglich. Eine Entfernung könnte in diesem Fall zu einem
unkorrekten Programm führen.
ACHTUNG: Die Entfernung eines Partitionsvirus kann bei einer
Fehldiagnose u. U. zu einer nicht mehr ansprechbaren
Festplatte führen. Fertigen Sie deshalb zuerst einen Backup
an. Bei Unsicherheit analysiere ich den Virus gerne kosten-
los.
10.3.21.1 Allgemeine Hinweise zum Virenkiller
Hinweis: Damit nicht nach dem Entfernen der Viren die Da-
teien reinfiziert werden, muß vor dem Entfernen, von einer
garantierten virenfreien Diskette gebootet werden
(Kaltstart). Anschließend gleich den Virenkiller starten!
Wird nicht von einer virenfreien Diskette ein
Kaltstart durchgeführt, kann unter Umständen die
Entfernung zu Katastrophalen Fehlern führen!
Achtung Speicherplatz: Für das Entfernen werden zusätzliche
70 KB freier Arbeitsspeicher benötigt. Deshalb benötigt
VirScan mindestens 448 KB freien Arbeitsspeicher!
10.3.21.2 Entfernen von Boot- und Partitionsviren
VirScan kann ca. 99.5 Prozent aller Bootviren von Disketten
entfernen. Diese Funktion ist i. a. nicht kritisch.
Probleme kann es bei der Entfernung von Partitionsviren ge-
ben: VirScan kann immerhin ca. 95 Prozent aller Partitions-
viren von der Festplatte entfernen, denken Sie jedoch daran,
daß bei einer Fehldiagnose zu einer nicht mehr ansprechbaren
Festplatte (falsche Partition) führen kann. In diesem Fall
muß mit einem Programm wie dem 'Norton Disk Doctor' die
Festplatte repariert werden!
10.3.21.3 Hinweise bei Mehrfachinfektionen
Datei können von mehreren verschiedenen Viren befallen wer-
den. Hier muß VirScan u. U. seine Waffen strecken. Bsp: Eine
Datei ist vom 1704/Cascade und anschließend vom Jerusalem
Virus infiziert worden. VirScan entfernt jetzt den 1704
Virus, wobei VirScan jedoch Code vom Jerusalem Virus
entfernt, weil sich dieser NACH dem 1704 befindet. Das Er-
gebnis ist eine zerstörte Datei! Tip: Bei Mehrfachinfektio-
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 27
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
nen verschiedener entfernbarer Viren, die Dateien löschen
lassen (/DEL).
10.3.22 /DEL (Delete/Löschen von Dateien)
Es werden alle infizierten Dateien gelöscht! Ohne vorherige
Abfrage! Zusätzlich wird, falls die Funktion /KILL einge-
schalten ist, zuerst versucht den Virus zu entfernen. Falls
dies technisch nicht möglich ist, wird die Datei physika-
lisch gelöscht, d. h. die Datei kann selbst mit UNDELETE
nicht wiederhergestellt werden! Tip: Zusätzliche Ausgabe auf
den Drucker oder in eine Datei (/LOG bzw. /PRT)!
10.3.23 /JN (Vor dem Löschen abfragen)
Wenn Ihr System/Disketten von Viren befallen ist, können Sie
mit den Optionen /KILL und /DEL den Virus entfernen. Dies
geschieht weitgehendst automatisch. Wenn Sie jedoch den
Parameter /JN setzen, werden Sie vor dem Löschen einer
befallenen Datei gefragt, ob diese Datei gelöscht werden
soll oder nicht.
10.3.24 /LESEN
Lesen dieses Handbuches mittels eingebautem Listprogramm.
Blättern mit den Pfeiltasten, Verlassen mit ESC.
10.3.25 /REG (Registration)
Wenn VirScan in der Sharewareversion mit der Option /REG ge-
startet wird, dann versucht VirScan die Datei REGISTER.COM
auszuführen und einen Bestellschein zu drucken.
10.3.26 /Q (Quiet)
Wenn VirScan einen Virus findet, wird dies mit einem Piepsen
angezeigt. Wenn Sie Ihre Arbeitskollegen nicht stören
wollen, so können Sie VirScan mit dieser Option stumm-
schalten!
10.4 Beispiele für Aufrufe
Möglich wäre auch folgende Aufrufe:
Virscan -? /lesen
VIRSCAN c: d: /MEM /q
VirScan a: /mehr /kill /PRN -Turbo
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 28
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
VirScan a: b: /De:\dos /g:\my/F*.OVL /F*.exe /mehr
VIRSCAN S: T: R: /MEM /DEL /TURBO /REP
virscan c: d: /mem /unb /q /printer
virscan -auto -memhi -prn
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 29
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
11. FEHLALARM? JA/NEIN?
Die rechnerische Wahrscheinlichkeit, daß VIRSCAN einen
Fehlalarm bei einem 50KB Programm anzeigt, liegt zwischen
1:9.44*10e14 und 1:1.1*10e29 ! Nehmen Sie also einen
Virenbefall nicht auf die "leichte Schulter"!
11.1 Virenbefall von Bootsektoren
Wenn VirScan einen Bootvirus in einem Bootsektor findet, ist
es fast 100%-tig sicher, daß es sich nicht um einen
Fehlalarm handelt!
11.2 Virenbefall von Dateien
11.2.1 Ein Virus in nur einer Datei
Wenn VirScan einen Virus in nur einer Datei gefunden hat,
ist es sehr wahrscheinlich, daß es sich hier um einen
Fehlalarm handelt. Besonders dann, wenn Sie die Datei schon
mehrmals ausgeführt haben und sie sich auf der Festplatte
befindet. Senden Sie mir der Virus unverbindlich zu, und ich
werde in analysieren (siehe auch unten)!
11.2.2 Mehrere Viren in einer Datei/Bootsektor
Wenn VirScan einen Virus gefunden hat kann es sein, daß
VirScan in einer Datei bzw. im gleichen Bootsektor bis zu
drei oder vier Viren findet.
11.2.2.1 Mehrere Jerusalem Viren
Beim Jerusalem-Virus habe ich festgestellt, daß sich diese
Virusart am Anfang und am Ende einer Datei anhängt. Dies ist
ein Programmierfehler des Jerusalemvirus, d. h. VirScan
findet mindestens zwei Jerusalem-Viren pro infizierter COM-
Datei im ausgeschaltenen Turbo-Modus.
Der Hintergrund:
VirScan erkennt mit ca. 35 Suchstrings 98% aller Computer-
Viren! Mit den restlichen Suchstrings werden "seltene" Viren
gesucht, bzw. der gefundene Virus genauer untersucht. So
kann es sein, daß VirScan einen Jerusalem, Jerusalem-B und
einen Skism-1 Virus anzeigt. Das bedeutet konkret, daß es
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 30
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
sich um einen Skism-1 Virus handelt, der eine modifizierte
Version eines Jerusalem Virus ist.
11.3 Die am weitesten verbreiteten Viren
Liste der in Europa am weitesten verbreiteten Viren, die
VirScan erkennt:
Programm-Viren
■ 4096 - 100 Years (Stealth)
■ 5120/Slayer (VBasic)
■ Cascade und 1701/1704
■ Dark Avenger v1-v3
■ DataLock v1.00
■ Hallöchen
■ Invader (Bootsektor & Dateien)
■ Jerusalem A und B und New Jerusalem
■ Keypress
■ Liberty
■ Perfume (4711), Sorry und G-Virus
■ Slow
■ Sunday
■ Taiwan
■ Tequila (Bootsektor & EXE-Dateien)
■ Yankee Doodle Familie
■ Vienna-Familie
Bootviren
(Hiervon können fast alle Arten mit VirScan von Disketten
UND Festplatten entfernt werden!)
■ Brain und Ashar (Bootsektor)
■ Stoned (Bootsektor)
■ Joshi (Bootsektor)
■ Den Zuk (Bootsektor)
■ Disk Killer (Bootsektor)
■ MusicBug v1.06 (Bootsektor)
■ Ohio (Bootsektor)
■ Ping Pong (Bouncing Ball - Bootsektor)
■ Form (Bootsektor)
■ MichelAngelo
11.4 Die Programme GUARD.SYS, VDEFEND.SYS, DEFENDER.COM und
TSAFE.COM u.a.
Wenn VirScan die obengenannten Dateien untersucht kann es
sein, daß VirScan bis zu 30 verschiedene Viren in solch ei-
ner Datei findet. Zum Beispiel kann der Flip-Virus in den
Dateien DEFENDER.COM und TSAFE.COM (TNT-Virus) gefunden
werden!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 31
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Falls Sie einen der o.g. Speicherwächter geladen haben, kann
es sein, daß VirScan bis zu 55 Viren im Arbeitsspeicher
findet!
Erklärung:
Bei diesen Programmen handelt es sich um einen Fehlalarm,
der einfach erklärt werden kann: Die Programme sind eben-
falls Antivirenprogramme und besitzen folglich auch sog.
Virenerkennungen. Die Erkennungen werden normalerweise ver-
schlüsselt im Programm oder in einer entsprechender Datei
abgelegt, damit andere Programme nicht versehentlich eine
Virusinfektion melden.
Die Programme der Firma Carmel (Turbo Virus, TSafe u. a.),
die auch für PC-Tools (VDEFEND.SYS) Antivirenprogramme ge-
schrieben haben, sind diesbezüglich sehr schlampig program-
miert! So passiert es, daß nach dem Starten der o. g. Pro-
gramme die Erkennungen nicht aus dem Arbeitsspeicher ent-
fernt werden! Andere Antivirenprogramme melden dann eine
Verseuchung des Arbeitsspeichers!
Ebenfalls ärgerlich ist, daß die Erkennungen unverschlüsselt
im Programm abgelegt werden, was leider zu Fehlalarmen
führt, wenn die gleichen Erkennungen verwendet werden
(Anscheinend auch bei dem Programm PA-VirusScan v1.1 oder
niedriger)!
11.5 Mehrere Viren im Arbeitsspeicher
Wenn Sie vor dem Starten von VirScan ein anderes
Virensuchprogramm verwendet haben bzw. ein Antivirenprogramm
verwendet, welches im Hintergrund vor Viren schützen soll,
dann handelt es sich um einen Fehlalarm (siehe auch "die
Programme GUARD.SYS, TSAFE.COM, DEFENDER.COM...")!
11.6 Analyse bei Virenverdacht
Wenn Sie sich nicht sicher sind, ob Sie einen Virus
"besitzen", können Sie mir diesen einfach zusenden und ich
werde in analysieren! Verwenden Sie hierzu den Fragebogen
VIRMELD.DOC im Unterverzeichnis DOKU.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 32
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
12. SONSTIGE FUNKTIONEN
12.1 VirScan und Netzwerke
VirScan ist bedingt netzwerkfähig! Sie können jede Floppy
oder Harddisk untersuchen, wenn sie von MSDOS aus erreichbar
ist. Bei Druckersharing kann es Probleme geben (dies sollte
jedoch ab Version 8.52 nicht mehr auftreten)!
Die Version 8.0 von VirScan Plus wurde netzwerktauglich ge-
macht. Da zwischenzeitlich verschiedene Netzwerke auf dem
Markt sind, kann ich Ihnen keine Garantie geben, daß VirScan
Plus auch auf Ihrem Netzwerk läuft. Über entsprechende
Hinweise (frankierter Rückumschlag nicht vergessen) würde
ich mich freuen!
12.2 VirScan unter OS/2
VirScan wurde sorgfältig unter den Betriebssystem OS/2 Ver-
sion 2.00 getestet (DOS-Box und DOS Full Window). Es wurden
keine Inkompatibilitäten festgestellt. Selbst mehrere par-
allele Aufrufe von VirScan brachten VirScan nicht zum Ab-
sturz. Unter OS/2 darf VirScan jedoch bestimmte Dateien
nicht öffnen. Dies ist ganz normal, es handelt sich dabei um
Dateien, die OS/2 ständig geöffnet hat (HARDERR.EXE u.a.)!
12.3 Zusätzliche Fehlermeldungen
Folgende Fehlermeldungen werden jetzt zusätzlich ausgegeben:
■ Kann Laufwerk X: nicht ansprechen (Netzwerk?)
Über DOS kann nicht auf das Laufwerk zugriffen werden.
Eventuell ist auch im Laufwerk keine Diskette eingelegt
worden!
■ Kann Verzeichnis "XXX" nicht finden (Netzwerk?)
Sie haben entweder das Verzeichnis falsch eingegeben (bitte
am Schluß ohne Backslash "\"), es existiert nicht oder Sie
dürfen nicht darauf zugreifen (in Netzwerken oder bei Ver-
wendung von SHARE.EXE).
■ Aus-/Eingabefehler: XXXX.YYY Fehler:
DOS(zzz)/IO(www)
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 33
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
VirScan kann die Datei "XXXX.YYY" nicht öffnen. Sie haben
keinen Zugriff auf diese Datei (Netzwerk oder Diskette ist
Schreibgeschützt).
Sie können, falls Sie entsprechende Fachliteratur besitzen,
die Fehlercodes selber auswerten (INT 21h).
Drücken Sie die <ESCAPE> Taste um VirScan abzubrechen!
12.4 Hinweise für Netzwerkadministratoren
Die Entseuchung eines Netzwerkes ist nicht einfach, dies
sollten nur entsprechende Spezialisten durchführen!
Um VirScan effektiv auf einem Netzwerk einzusetzen beachten
Sie bitte folgenden Hinweise (gilt auch für normale, nicht
vernetze Computer):
■ Alle User müssen sich ausloggen und Ihren Rechner
ausschalten.
■ Fahren Sie das System auf Einzelusermodus herunter
(shutdown 0, reboot o. ä.)
■ Booten Sie von einen möglichst virenfreien Rechner,
von Diskette!
■ Loggen Sie sich als Superuser ein.
■ Falls möglich als Superuser, der nur Lese- und
Ausführungsrechte besitzt (hierdurch wird eine verse-
hentliche Weiterverbreitung ausgeschlossen).
■ Starten Sie VirScan für sämtliche Netzlaufwerke, zu-
sätzlich mit den Optionen /MEM und /REP, event. auch
mit /UNB!
■ Werten Sie die Datei VIRSCAN.LOG aus.
■ Starten Sie VirScan mit den Optionen /DEL und /KILL.
Zum Entfernen eventueller Viren benötigen Sie jetzt
natürlich Superuser Recht!
■ Überprüfen Sie nochmals, wie oben beschrieben das
Netzwerk auf Viren.
■ Überspielen Sie die Originalsoftware auf das Netz.
Anschließend wieder das Netz untersuchen lassen.
■ Entfernen Sie von sämtlichen Rechnern die Viren, bevor
die Rechner wieder ans Netz gehen.
■ Wiederholen Sie die obengenannten Schritte bis das
Netz und die angeschlossenen Rechner virenfrei sind!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 34
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
12.5 Suchgeschwindigkeit
Wenn Ihnen VirScan etwas langsam vorkommt so ist anzufügen,
daß die meisten anderen VirenScanner nicht einmal mehr als
600 Viren suchen können. (Sicherheit kostet Zeit!) Bedenken
Sie, daß das Programm hochoptimiert ist (Assembler-Code)!
Bei einem Programm von 100 KB und bei 950 Viren mit 15 Bytes
Virensignatur werden im schlechtesten Falle 1.460.000.000
Vergleiche durchgeführt! Auf einem AT 386 (25 MHz) ist
VirScan Plus sogar schneller als das bekannte Virensuchpro-
gramm SCAN von McAfee. (um ca. 35%)
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 35
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
13. WIE WERDEN NEUE VIRENERKENNUNGEN IN VIRSCAN AUFGENOMMEN?
Sie können selbst Virensignaturen in VirScan aufnehmen. Sie
müssen jedoch folgendende Hinweise beachten:
■ Datei VIRSCAN.EXT mit einem ASCII-Texteditor einladen
(z. B. EDIT.COM von MS-DOS 5.0). Nicht Wordstar oder
Word verwenden!
■ Jede Zeile, die keine Virenerkennungen besitzt, muß mit
einem Semikolon (;) anfangen.
■ Virensignatur muß als Hexcode eingegeben werden. Damit
VirScan korrekt arbeitet, muß die Erkennung mindestens
12 Zeichen (6 Bytes) maximal 28 Zeichen (14 Bytes) lang
sein.
■ Schreiben Sie den Namen, Signatur und Bemerkung in die
gleichen Spalten, wie in der Datei VIRSCAN.EXT.
Bemerkungen, die über 80 Zeichen pro Zeile hinausgehen
machen nichts, solange Sie nicht einen Zeilenumbruch
durchführen.
■ Die Datei darf nicht mehr als 100 Virensignaturen ent-
halten. Falls sie mehr als 100 Signaturen besitzt, kön-
nen Sie sie mir zusenden und Ihnen wird einen ko-
stenloser UpDate zugesandt! (Bitte jedoch frankierten
und adressierten Rückumschlag + Diskette beifügen!) Sie
merken dies, wenn VirScan meldet:
Zuviele Erkennungen in der Datei VIRSCAN.EXT
■ Bitte beachten Sie jedoch, daß in die Datei nur kon-
stante Virensignaturen eingefügt werden dürfen (mehr
hierzu s. u.)!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 36
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
14. VIRSCAN UND EIN UNÜBLICHES DATEIDATUM
VirScan erkennt alle "62-Seconds" und "100-Years" Viren an-
hand eines unüblichen Dateidatums. (Das Dateidatum ist auf
das Jahr 2090 oder 60 bzw. 62 Sekunden gesetzt).
14.1 62 Seconds/100 Years Viren
Einige Viren verwenden einen Trick um zu erkennen, ob eine
Datei schon infiziert wurde oder nicht. So wird z. B. die
Uhrzeit auf 62 Sekunden bzw. das Datum auf das Jahr 2090
gesetzt, weil dies der DIR Befehl nicht anzeigt! VirScan
zeigt also keinen Virus an, sondern äußert nur den Verdacht
auf das Vorhandensein eines Virus. Dank dieser Routine haben
schon zwei Anwender brandneue Viren entdeckt, weil diese
Viren ebenfalls ein 62-Sekundeneintrag verwenden! Etwa 10%
aller Dateiviren setzen das Datum auf einen ungültigen Wert,
um so schnell infizierte Dateien erkennen zu können!
15. VIRSCAN UND STEALTH VIREN
Die sogenannten STEALTH-Viren (Stealth = heimlich) kann
VirScan nur dann erkennen, wenn Sie von einer unverseuchten
Diskette einen Kaltstart durchgeführt haben.
HINTERGRUND: Hat ein STEALTH-Virus sich eingenistet, so wird
dem Anwenderprogramm, das ein verseuchtes Programm unter-
sucht, immer das Originalprogramm "vorgetäuscht", anstatt
dem Verseuchten!
15.1 Der Brain Virus (u. a.)
Der Brain Virus wird nur erkannt, wenn von einer unver-
seuchten Diskette ein Kaltstart durchgeführt wird, da sonst
der Brain-Virus einem die Kopie des Originalbootsektors
"unterjubelt"! Also immer von einer schreibgeschützten Ori-
ginaldiskette booten (sog. Stealth Virus)!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 37
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
16. NEUE FUNKTIONEN VON VIRSCAN PLUS
16.1 Der Dateiendebugger
Wenn Sie VirScan im Turbomodus = EIN suchen lassen, un-
tersucht VirScan erst einmal, wo der Virus sich befinden
könnte (den sogenannten Einsprungspunkt). Falls ein Programm
jedoch ein Einsprungspunkt außerhalb der Datei besitzt,
zeigt VirScan dies mit folgender Meldung an:
"Warnung: Einsprungspunkt außerhalb der Datei"
Wenn Sie diese Meldung ein oder zweimal erhalten, können Sie
ziemlich sicher sein, daß diese Programme nicht lauffähig
sind.
Falls jedoch fast jede Datei eine solche Warnung erzeugt,
haben Sie einen Stealthvirus im Arbeitsspeicher, der ver-
sucht VirScan auszutricksen. Bitte von einer absolut vi-
renfreien Diskette booten und nochmals suchen lassen
(zusätzlich mit AntiLink).
16.2 Neues Suchverfahren
Von einem Kunden habe ich den sog. Tequilavirus erhalten,
bei dem überhaupt nichts mehr konstant ist. Das einzige
Merkmal einer verseuchten Datei ist, daß sie ein 62-Seconds
Virus Datum besitzt (Dateidatum hat 62 Sekunden). Deshalb
war ich gezwungen eine neue Suchroutine in VirScan aufzu-
nehmen, die auch mit Platzhaltern suchen kann. Der zusätz-
liche Vorteil dieses Algorithmus ist, daß mit einer Erken-
nung, bis zu 40 Varianten eines Virus erkannt werden können.
(z. B. Jerusalem Familie)
Theoretisch wäre es möglich Virenerkennungen mit Platzhal-
tern in die Datei VIRSCAN.EXT aufzunehmen. Leider musste ich
feststellen, daß die meisten Anwender nicht in der Lage
sind, neue Erkennungen der Datei hinzuzufügen. Deshalb wird
dieser Punkt nicht beschrieben. Falls Sie VirScan nach einer
solchen Erkennung suchen lassen wollen, so senden Sie mir
bitte den Virus und die Erkennung zu! Ich werde dann VirScan
aktualisieren.
Die Arbeit des Debuggers wird in der untersten Zeile im Pro-
gramm angezeigt (nur wenn der Turbomodus eingeschalten ist).
Sie erkennen dies an der Anzeige:
Scanning: ------------ ------ Bytes. Typ: (xxxx/yyy)
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 38
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
16.2.1 Bedeutung von "xxxx"
"xxxx" ist das Resultat des Debuggers. Dabei bedeutet im
einzelnen:
■ COM - Programm ist eine echte COM-Datei.
■ EXE - Ist eine echte EXE-Datei
■ MINI - Die Datei ist zu klein, um den Debugger ein-
setzen zu können, deshalb wird die ganze Datei unter-
sucht.
■ NORM - Datei ist keine EXE Datei, wahrscheinlich eine
COM-Datei! (z. B. eine GEM-Applikation, oder COM-Datei
ohne Sprungbefehl)
■ AUS - Turbomodus ist ausgeschalten!
■ UNB - Datei ist kein ausführbares Programm, der Ein-
sprungspunkt ist unbekannt.
16.2.2 Bedeutung von "yyy"
"yyy" ist die Dateiendung des Programmes (im Dateinamen
enthalten)
Was können Sie aus den Angaben schließen (Beispiele):
(COM/EXE)
Datei ist eine echte COM-Datei, wurde aber in EXE um-
benannt.
(NORM/EXE)
Datei ist keine EXE Datei! Der Aufruf dieses Programmes
dürfte einen Systemabsturz mit sich ziehen.
(EXE/OBJ) (EXE/APP) (EXE/OVR) (EXE/OVR)
Datei ist vom Typ EXE, kann aber wahrscheinlich nicht
ausgeführt werden, weil sie eine spezielle Overlaydatei
ist. Ein Virus wird jedoch meistens solche Dateien in-
fizieren, weil für ihn die Dateien wie normale Programme
aussehen.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 39
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
17. DIE VERSCHIEDENEN ARTEN VON VIREN
17.1 Bootviren
Sie setzen sich im Bootsektor der Diskette/Festplatte fest
und werden jedesmal beim Hochfahren des Systems eingeladen.
Diese Viren sind meistens speicherresident. Sie können aber
mit dem DOS-Befehl SYS leicht überschrieben werden. BootVir
erkennt eigentlich jeden Boot-Virus und kann, falls eine
alte Vergleichsdatei "BOOTVIR.DAT" existiert, den alten
Bootsektor wiederherstellen! VirScan kann diese Virenart von
Diskette und Festplatten entfernen!
17.2 Viren, die den Partitionssektor befallen
Die Virenart funktioniert wie die Bootviren, jedoch mit dem
Unterschied, daß nicht der Bootsektor der Festplatte, son-
dern der Partitionssektor infiziert wird. Manche Viren, die
Dateien infizieren, sind so programmiert, daß sie auch den
Partitionssektor infizieren. Sie werden dann beim
"Hochfahren" des System schon aktiviert und sind dement-
sprechend schwierig zu entfernen (Bsp.: Flip-B und Tequila).
Viren, die den Partitionssektor infizieren, müssen mit
speziellen Antivirenprogrammen entfernt werden, andernfalls
muß die Festplatte formatiert werden! Mit dem Programm
Norton Disk Doktor kann unter Umständen solch ein Virus
entfernt werden. VirScan kann von diesem Virentyp ca. 95%
aller "Vertreter" von der Festplatte entfernen!
17.3 Hybridviren
Hybridviren sind Viren, die einerseits Programme und ander-
seits den Partitionssektor der Festplatte infizieren. Die
Hybridviren werden dann beim "Hochfahren" des System schon
aktiviert und sind dementsprechend schwierig zu entfernen
(Bsp.: Flip-B und Tequila). Inzwischen gibt es Hybridviren,
die sogar in der Lage sind auch Bootsektoren von Disketten
zu infizieren!
17.4 Nicht überschreibende Fileviren
Werden auch Link-Viren genannt. Sie kopieren sich von Pro-
gramm zu Programm, bis das ganze System verseucht ist. Das
Weiterkopieren geschieht durch Aufruf eines verseuchten
Programmes und/oder, wenn speicherresident, durch zyklischen
Aufruf eines Interrupts. Von diesen Viren merkt man lange
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 40
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
nichts, weil die verseuchten Programme noch lauffähig sind!
VirScan kann von diesem Virentyp einige Viren entfernen.
17.5 Überschreibende Fileviren
Der Virus überschreibt den Anfang des befallenen Programms
(Wirtsprogramm). Das heißt, daß das Wirtsprogramm nicht mehr
lauffähig ist! So ein Virus ist selten, weil
1.) er schon bald auffällt, und
2.) bald kein Programm mehr läuft!
3.) meistens nicht speicherresident (= gute Vermehrung)
ist
17.6 Trojanische Pferde
Sind eigentlich gar keine Viren, sondern Programme, die beim
Start einfach die Festplatte formatieren, Dateien löschen o.
ä. Diese Programme sind sehr rar, es wurden erst ein paar
Fälle weltweit bekannt. Eine Vermehrung, wie bei einem Virus
ist nicht gegeben!
17.7 Call Viren
Diese Viren verändern unter Umständen nur ein einziges (!)
Byte am Wirtsprogramm. Der eigentliche Virus wird im Mas-
senspeicher abgelegt und wird lediglich durch den Aufruf des
infizierten Programms aktiviert. Der "Nachteil" dieser Art
von Viren ist aber, daß beim Fehlen des eigentlichen
Virusprogrammes auf dem externen Massenspeicher, die infi-
zierten Programme nicht mehr lauffähig sind!
17.8 "Live and Die" Viren
Unter "Live and Die" - Viren versteht man Viren, die sich
nur für eine bestimmte Zeit in einem Programm aufhalten.
Nach Ablauf eines Zeitraums entfernt sich das Virus selb-
ständig aus dem befallen Programm. Das Programm ist meist
nach der selbständigen Entfernung noch lauffähig, unter Um-
ständen sogar wieder im Originalzustand!
17.9 "Hide and Seek" Viren
Das sind Viren, die sich nur eine gewisse Zeit innerhalb des
Systems aufhalten. Als Verstecke können beispielsweise die
Pufferbereiche intelligenter Terminals oder DFÜ-Ein-
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 41
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
richtungen dienen. Eine Anwendung im PC-Bereich ist mir
nicht bekannt.
17.10 Hardware Viren
Diese Art von Viren ist selten, weil sie nur durch Verände-
rung der Hardware ins System eingebracht werden können.
Beispiel: Austausch eines Boot-ROMs. Diese Art von Viren
sind zwar recht schwierig zu installieren, aber sehr effek-
tiv, da sie sehr schwer ausmachbar sind. BootVir kann unter
Umständen Veränderungen erkennen. Es muß jedoch beachtet
werden, das dies k e i n e Softwaremanipulation ist, sondern
eine Hardwaremanipulation!
17.11 Gepufferte Viren
Das sind Viren, die sich ins gepufferte RAM einnisten und
ähnliche Eigenschaften wie Hardware Viren haben. Durch Ent-
fernen der Pufferbatterie sind diese Viren leicht zu ent-
fernen! Es muß jedoch damit gerechnet werden, daß sich die
Viren von infizierten Programmen aus beim erneuten Starten
des Systems wieder ins gepufferte RAM installieren.
17.12 Slack-/Stackbereich Viren
Diese Art von Virus ist sehr hinterhältig, weil er sich nur
sehr schwer entdecken läßt. Seine Wirkungsweise ist fol-
gende:
Wenn DOS ein Programm einlädt, wird nicht nur das komplette
Programm in den Speicher geladen, sondern auch den Rest,
welcher das Programm auf einem Sektor auf dem Datenspeicher
belegt. (Bei DOS typischerweise 2048 Bytes große Sektoren)
Beispiel: Das Programm ist 2500 Bytes groß. Dann lädt DOS
die 2500 Bytes in den Speicher und den Rest, der hier ca.
1500 Bytes groß ist, an das Ende des Programmes. Dort sitzt
nun der Virus und vermehrt sich unbemerkt, weil er nicht im
eingentlichen Programm sitzt, sondern im Puffer.
Eine Längenänderung des befallen Programmes ist also aus
Sicht des Virus auch nicht nötig, weshalb AntiLink diesen
Virus nur bei eingeschalteter Checksumme findet.
Es gibt auch Slack-/Stackbereich Viren, die sich in unge-
nutzten Programmteilen aufhalten. Hierzu zählen u. a. die
Viren
■ LeHigh (im Stackbereich des Programmes COMMAND.COM)
■ ZeroHunt (in COM Dateien)
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 42
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
17.13 Stealthviren
Die Stealthviren gehören zur sog. 4. Generation der Viren
und stellen eine der gefährlichsten Gattungen dar.
Ein Stealthviren wird oft auch als Tarnkappenvirus be-
zeichnet, weil er für den Anwender nicht sichtbar ist. Ein
Stealthvirus besitzt die Eigenschaft, sämtliche Dateizu-
griffe zu überwachen und entsprechend zu manipulieren. Die
Manipulation besteht auch darin, beim Öffnen einer infi-
zierten Datei den vom Virus infizierten Programmteil her-
auszufiltern. Mittels dieser Taktik wird selbst einem Vi-
rensuchprogramm wie VirScan eine unverseuchte Datei sugge-
riert, mit der Ergebnis, daß kein Virus gefunden wird, wenn
der Stealthvirus aktiv ist. Ein Längenzuwachs infizierter
Dateien mittels des DIR Befehles ist NICHT erkennbar!
Es gibt Stealthviren, die Bootsektoren (z. B. Brain, Stoned
III), Partitionssektoren (z. B. Tequila, Parity Check)
und/oder Dateien (z. B. 4096, Holocaust) befallen!
17.13.1 Abhilfe bei Stealthviren
Sie lassen den Arbeitsspeicher nach Viren absuchen. Meistens
sind die Viren im Arbeitsspeicher unverschlüsselt und können
so erkannt werden.
Sie booten von einer virenfreien Diskette und starten
anschließend das Virensuchprogramm (Kaltstart!). Weil der
Virus nun nicht aktiv ist, werden die infizierten Programme
gefunden.
Tip: Die meisten Stealthviren besitzen folgenden 'Fehler':
Der DOS-Befehl CHKDSK zeigt bei einem aktivem Virus pro in-
fizierter Datei ein oder mehrere verlorene Cluster zu der
infizierten Datei an. Diese Cluster dürfen jedoch erst mit
dem Befehl CHKDSK /F beseitigt werden, wenn der Virus ent-
fernt wurde!
17.14 Substealthviren
Substealthviren sind meistens wie die Stealthviren in der
Lage, den Virencode aus dem Infizierten Programm
"herauszufiltern". Eine Längenänderung ist ab und zu er-
kennbar. Die sog. Slackbereichviren (LeHigh & ZeroHunt)
werden ebenfalls zu den Substealthviren gezählt, weil für
den Anwender ein Längenzuwachs NICHT erkennbar ist!
17.15 Polymorphe Viren
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 43
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Diese Virenart stellt, wie die Stealthviren eine ernstzu-
nehmende Gefahr dar. Polymorphe Viren sind Viren, die ver-
schlüsselt sind. Im Gegensatz zu den meistens verschlüssel-
ten Viren, die eine konstante Entschlüsselungsroutine be-
sitzen (und somit anhand der Entschlüsselungsroutine erkannt
werden können), ist die Entschlüsselungsroutine überhaupt
nicht mehr konstant. Oftmals sind nur noch drei Bytes
'Programmskelett' konstant, der Rest ist oft mit sinnlosen
Maschinenbefehlen aufgefüllt. Manche Viren verwenden auch
verschiedene Verschlüsselungsmethoden, damit gewährleistet
ist, daß jedes infizierte Programm anderes aussieht. Eine
Suche nach derart komplex verschlüsselten Viren ist:
■ Zeitaufwendig
■ Benötigt einen komplexen Suchalgorithmus
■ Ist sehr anfällig für Fehlalarme
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 44
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
18. KURZBESCHREIBUNG ALLER VIREN
Wenn Sie eine Beschreibung zu einem Virus suchen, so schauen
Sie in der Datei VIRBIBEL.DOC nach! Diese Datei wird von mir
immer wieder ergänzt. Weitere Informationen über Viren
können Sie sich in der Datei VIRSCAN.TXT ansehen. In der
Datei VIRBIBEL.DOC finden Sie die Beschreibung zu ca. 1450
verschiedenen Viren. Alternativ biete ich auch das Programm
ViBa an. ViBa ist eine Datenbank nach SAA-Standard und
enthält eine Beschreibung zu allen derzeit bekannten Viren
(siehe auch REGISTER.COM).
19. REGISTRATION, BESTELLUNGEN
Die Verwendung der Sharewareversion ist für vier Wochen zum
Testen erlaubt. Nach dieser Periode MÜSSEN Sie sich eine
Vollversion kaufen, andernfalls begehen Sie eine Copyright-
verletzung! Überlegen Sie sich auch, wieviel Arbeit hinter
solch einem Programm steckt! Sie Unterstützen nicht nur den
Programmautor mit Ihrer Registration, sondern auch die Ent-
wicklung anderer Programme und die Sharewareidee im allge-
meinen!
19.1 Registrieren
Wenn Sie an weiteren Produkten von mir interessiert sind, so
benutzen Sie bitte den Bestellschein der ausgedruckt wird,
wenn Sie das Programm REGISTER.COM starten!
Disketten sind auch im Format 3½" Zoll lieferbar! (Der Auf-
preis beträgt jedoch 2 DM/SFr gegenüber 5¼" Disketten!)
Kleiner Tip: Am einfachsten geht es, wenn Sie das Programm
REGISTER.COM starten. Es wird dann ein kompletter Bestell-
schein ausgedruckt. Auf diesem Bestellschein können Sie auch
noch verschiedene Optionen ankreuzen. Bei Fragen bezüglich
des Bestellens können Sie -falls vorhanden- das Programm
BESTELLN.COM starten, welches weitere Tips enthält!
Als registrierter Anwender erhalten Sie weitere Programme
zum halben Preis. Falls gewünscht, können Sie dann vom
automatischen Update- Service Gebrauch machen.
19.2 Anfragen
Anfragen, bezüglich der Sharewareversionen des entsprechen-
den Programmes, werden nur dann beantwortet, wenn ein ent-
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 45
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
sprechend frankierter Freiumschlag beigefügt ist! Triviale
Anfragen, Anfragen die mittels diesem Handbuch geklärt wer-
den können, werden unter Umständen NICHT beantwortet (zu
teuer, zu umständlich!). Wenn Sie die Vollversion bei einem
vom mir autorisierten Händler erworben haben, so wenden Sie
sich zur Klärung Ihres Problemes zuerst an ihn.
Ich bitte Sie auch, von telefonischen Anfragen (oder evtl.
"Anfragen zur Beseitigung eines Virus") abzusehen.
19.2.1 Meine Adresse
ROSE, Ralph Roth
Softwareentwicklung und Vertrieb
Finkenweg 24
D 7214 Zimmern o. R.
FAX: (0741) 3 23 28
Bankverbindung:
Kreissparkasse Rottweil
BLZ: 642 500 40
Kto.: 131 577
19.2.2 Kommerzielle Anwender
Sie können zum Sonderpreis Mehrplatzlizenzen beim Autor
erwerben. Setzen Sie sich, unter der Angabe des gewünschten
Programmes und der gewünschten Anzahl, schriftlich mit mir
in Verbindung.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 46
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
20. SONSTIGES
Falls Sie Anregungen, Verbesserungen oder auch Laufzeitfeh-
ler zu diesem Programm haben, so teilen Sie mir dies bitte
auf einem Extrablatt mit. Denn nur so kann das Programm noch
verbessert werden! Vielen Dank schon im voraus. Für Fehler
im Programm, und für durch Fehler verursachte Schäden wird
keine Haftung übernommen!
20.1 Ein Dankeschön an
Jürgen Werner für Tips zur Suchoptimierung, Thomas Krämer
für Farbberatung und Signaturenbeschaffung, Tiffy, Peter
Schöpf und Eckart Beck für Test und Signaturenbeschaffung.
Jutta für Korrektur. Jürgen W. für die Überlassung von
Programmroutinen. Den Anwendern & Studenten der FHAS, die
mir neue Viren zugesandt haben und sich mit Kritik und Ver-
besserungsvorschlägen nicht hinter dem Berg hielten.
Ralph Roth
21. GARANTIEAUSSCHLUßERKLÄRUNG
Der Autor des Programmes weist darauf hin, daß die Benutzung
des Programmes auf Ihre eigene Gefahr hin geschieht. Bei den
Optionen "Viren entfernen" und "Dateien löschen" kann es bei
unsachgemäßer Handhabung zu Datenverlusten kommen!
Unter keinen Umständen ist der Programmautor Ralph Roth
haftbar für jegliche Folgeschäden, einschließlich aller
entgangenen Gewinne und Vermögensverluste, oder anderer
mittelbarer und unmittelbarer Schäden, die durch den Ge-
brauch oder die Nichtverwendbarkeit dieser Software und ih-
rer begleitenden Dokumentationen entsteht. Dies gilt auch
dann, wenn der Autor über die Möglichkeit solcher Schäden
unterrichtet war oder ist!
ENDE DES HANDBUCHES
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 47
