home *** CD-ROM | disk | FTP | other *** search
/ RUN Flagazine: Run 15 / unpacked-run15.zip / LES15GWB.ASC < prev    next >
Text File  |  1995-01-01  |  16KB  |  269 lines
  1.                                                                             
  2.                              Basic Les 15
  3.  
  4.                        Batches en viruspreventie
  5.                            Door Ruud Schipper
  6.  
  7. In de vorige les hebben we geleerd hoe we batches of bat-files interaktief
  8. vanuit QBasic kunnen gebruiken. Ditmaal gaan we kijken hoe we bat-files
  9. kunnen benutten bij viruspreventie en -bestrijding. Het blijkt nog steeds
  10. dat zogenoemde virusscanners NIET in staat zijn virussen te signaleren in
  11. gecomprimeerde bestanden. Dit zijn bestanden die met een comprimeer-
  12. programma als ARJ, PKZIP of UC2 zijn samengeperst. Ze zijn herkenbaar aan
  13. de extensies:  .ARJ, .ZIP of .UC2 en worden 'archives' genoemd. Pas op:
  14. bestanden die met LZEXE, PKLITE en PAK zijn gecomprimeerd, zijn gecom-
  15. primeerde COM en EXE bestanden en kunnen ook virussen bevatten die niet
  16. door de scanners worden gezien. Dit gegeven is ook doorgegeven aan de
  17. auteur van de HACKLIST die dit vanaf heden zal vermelden.
  18.  
  19.  In de HACKLIST die regelmatig wordt uitgegeven, staan files vermeld die
  20.  alleen een nieuw versienummer gekregen hebben, gekraakt zijn en al dan
  21.  niet een virus bevatten. Ook staan in deze HACKLIST files in archives
  22.  waarvan bekend is dat ze besmet zijn met de bronvermeldingen waaronder in
  23.  welk gebied van Nederland ze gesignaleerd zijn of op welke CDROM's ze
  24.  zijn aangetroffen.
  25.  
  26. We gaan nu wat dieper in op de virussen en het voorkomen daarvan.
  27. Maar hoe kunnen we dan toch correct op virussen scannen? Daar gaan nogal
  28. wat handelingen in zitten waar een batchfile uitkomst kan bieden.
  29. Voorwaarde is wel dat men ook moet beschikken over PKLITE of DISLITE die
  30. evenals de virusscanners in het zoekpad moeten staan, ook wel PATH
  31. genoemd. Gesteld... We hebben een programma in SPEL.ARJ op CDROM of op
  32. harddisk in de directory GAMES.
  33.  
  34.   C:\GAMES>
  35.  
  36. Voor we het nieuwe spel in SPEL.ARJ kunnen spelen, zullen we deze eerst
  37. moeten uitpakken of decomprimeren. De meeste mensen die toch voor alle
  38. zekerheid willen scannen doen dit:
  39.  
  40.   C:\KIJKSPEL>arj e c:\games\spel    [Enter]
  41.  
  42.   C:\KIJKSPEL>scan *.*               [Enter]
  43.        of
  44.   C:\KIJKSPEL>scan c:\kijkspel\*.*   [Enter]
  45.  
  46. Dit is onvoldoende. Ten eerste omdat hier maar één scanner wordt gebruikt,
  47. die soms al enkele maanden oud is. Ten tweede omdat vergeten wordt dat er
  48. in gecomprimeerde bestanden een virus verborgen kan zitten. Een
  49. willekeurige steekproef losgelaten op een verzameling virussen (geen
  50. restanten, maar de complete lichamen), levert een aardig beeld op van hoe
  51. een scanner erop reageert. Zo liet één scanner nog wel eens een steekje
  52. vallen afgezien van het feit dat dezelfde scanner ook een virus niet kon
  53. verwijderen dat wel werd gesignaleerd. De voorkeur van de auteur van deze
  54. les gaat op dit moment uit naar de volgende drie scanners en in deze
  55. volgorde van belangrijkheid:
  56.  
  57.    1. Thunderbyte Scan (TBSCAN.EXE) 
  58.    2. Frisk Protection (F-PROT.EXE)  
  59.    3. McAfee Scan      (SCAN.EXE) 
  60.  
  61. Heeft u een van deze drie in een versie ouder dan februari '95 dan is
  62. het verstandig de nieuwere versie op te halen of toe te laten zenden.
  63.  
  64. Virusscanners die ALLE (toekomstige) virussen kunnen vaststellen, bestaan
  65. beslist NIET. Wel zijn er nieuwe ontwikkelingen waarbij de bedoeling
  66. wordt dat de databases van strings van de virusscanners niet meer groeien.
  67. Er wordt getracht per virusgroep een methode te vinden en in te bouwen
  68. waarbij elk virus (en dan ook toekomstige uit die groep) herkend worden.
  69. Wordt er een nieuw virus gemaakt dat niet in te delen is in een van de
  70. bestaande groepen, dan zal deze uiteraard nog niet gedetecteerd kunnen
  71. worden.
  72. Virusscanners zijn in beweging en ontwikkeling. Dat betekent dat er altijd
  73. wel een andere scanner kan zijn die op de eerste plaats kan komen. Dit
  74. valt verder buiten het bestek van deze les. We moeten er dan ook vanuit
  75. gaan dat als twee of meer scanners alarm slaan, we aktie moeten
  76. ondernemen. Want ook een scanner kan vals alarm slaan. Zeker als de
  77. HEURISTIC mode gebruikt wordt.
  78.  
  79.  Heuristic scannen wil zeggen dat je de scanner laat kijken naar onge- 
  80.  oorloofde aanroepen van interrupts. Of naar een combinatie van hande- 
  81.  lingen welke verdacht kunnen zijn. Vals alarm wordt geslagen als het
  82.  programma dit mag of toevallig slecht (quick and dirty) geprogrammeerd
  83.  is.
  84.  
  85. We gaan in eerste instantie niet scannen op alle bestanden maar alleen op
  86. executables (COM en EXE) omdat virussen zich alleen aan executables kunnen
  87. hechten. Maar pas op: er kunnen bestanden zijn, die hernoemd zijn zodat
  88. een .DAT niet altijd een databestand hoeft te zijn maar ook een hernoemde
  89. EXE kan zijn. Een wolf in schaapskleren dus... Dit is niet gebruikelijk en
  90. mag dus gerust als verdacht beschouwd worden.
  91.  
  92. Hoe gaan we dus te werk met SPEL.ARJ?
  93.  
  94.   C:\KIJKSPEL>arj e c:\games\spel    [Enter]
  95.  
  96.   C:\KIJKSPEL>pklite -x *.*          [Enter]
  97.         of
  98.   C:\KIJKSPEL>dislite -x *.*         [Enter]
  99.  
  100. Nu zijn alle met PKLITE gecomprimeerde EXE en COM files weer uitgepakt. U
  101. leest het al uit de vorige zin dat bestanden met LZEXE of een andere
  102. comprimeerder nog steeds gecomprimeerd zijn. Voor die bestanden heeft u
  103. dus een ander programma nodig die dat wel doet. We beperken ons hier tot
  104. de meest gebruikte PKLITE. Laat dit niet los op de virusscanners zelf!!!
  105. De scanner zal niet niet meer starten omdat de CRC niet meer klopt in de
  106. zelfcontrole. Een scanner die dit niet doet en/of zichzelf niet
  107. maandelijks of nog frequenter met updates laat verversen via support
  108. BBSen, kunt u beter niet gebruiken. De laatste virussen kunnen door oude 
  109. scanners die worden meegeleverd met MSDOS, niet vastgesteld worden.
  110. Bovendien neemt een verouderde scanner onnodig ruimte in op de harddisk.
  111. Doordat deze niet actueel meer zijn is de kans enorm veel groter dat uw PC
  112. besmet raakt. Een scanner met een database ouder dan twee maanden is in
  113. de regel verouderd en niet meer bruikbaar voor degenen die veel nieuwe
  114. programma's op hun computer uitproberen of installeren.
  115.  
  116. We moeten nu nog gaan scannen met de drie eerder vermelde scanners.
  117.  
  118.   C:\KIJKSPEL>tbscan *.*  [Enter]
  119.   C:\KIJKSPEL>f-prot *.*  [Enter]
  120.   C:\KIJKSPEL>scan *.*    [Enter]
  121.  
  122. Als we alle bestanden scannen zijn we er zeker van dat ook eventueel
  123. hernoemde executables gecontroleerd zijn. Zo heb ik een virus ontdekt dat
  124. vanaf CDROM afkomstig was, gecomprimeerd was met PKLITE en hernoemd was
  125. naar "SOCCER.EX_".
  126. Zoiets heet een TROJAN, naar het 'onschuldige' Paard van Troje waarmee
  127. vijandelijke soldaten de stad werden binnengesmokkeld. De bedoeling was
  128. dat INSTALL.EXE gestart zou worden, een bestand dat absoluut niet besmet
  129. was. Deze INSTALL zou de SOCCER.EX_ installeren en hernoemen naar
  130. SOCCER.EXE om deze vervolgens op te starten.
  131. Ziet u de adder onder het gras?  Door te kiezen voor: ALLE bestanden
  132. scannen, werd er aanvankelijk door alle scanners geen virus gevonden in
  133. SOCCER.EX_ omdat deze met PKLITE gecomprimeerd was. Vervolgens heb ik met
  134. PKLITE deze weer uitgepakt zodat ik een ongecomprimeerde versie terugkreeg
  135. waarna alle scanners alarm sloegen op de SOCCER.EX_. Deze slaan uiteraard
  136. geen alarm als we alleen op COM/EXE/OVL laten scannen die de
  137. gebruikelijke files zijn.
  138. Hoe pakken we dit slim aan? Laten we zeggen dat dit soccer-spel in eerder
  139. genoemde SPEL.ARJ zit. We gaan hiervoor een batchfile gebruiken die we in
  140. het zoekpad plaatsen bij de archivers en de comprimeerders. Laten we deze
  141. NEWSCAN.BAT gaan noemen:
  142.  
  143.  @echo off
  144.  arj e %1
  145.  pklite -x *.* 
  146.  tbscan *.* 
  147.  f-prot *.*  
  148.  scan *.*  
  149.  hdropt *.*  
  150.  pklite *.* 
  151.  
  152. De %1 is hier de variabele die, als we NEWSCAN gaan starten, een waarde
  153. krijgt bestaande uit de driveletter + directory + naam van de ARJ-archive
  154. die we willen uitpakken en bekijken. Deze starten we dus in de directory
  155. waar deze in moet komen:
  156.  
  157.   C:\KIJKSPEL>newscan c:\games\spel  [Enter]
  158.  
  159. Dit is nog geen garantie dat u onbesmet blijft met een virus dat zich in
  160. een COM of EXE (of hernoemd bestand) in SPEL.ARJ bevindt. De kans is wel
  161. erg gering als de actueelste scanners gebruikt worden. In TeleRUN staan
  162. deze drie genoemde virusscanners altijd in de meeste recente uitgave.
  163. Raadpleeg hiervoor de File Area: Anti-Virus programma's van TeleRUN.
  164. Waarom men up to date moet blijven, is al eerder aangegeven. Sommige
  165. virusschrijvers ontwikkelen nieuwe technieken waarmee ze een virus kunnen
  166. schrijven dat bepaalde tijd ongezien zijn werk doet tot iemand ontdekt dat
  167. zijn PC vreemd gaat doen. Dit zijn de zogenoemde stealth virussen.
  168. Pas na hun ontdekking worden zichtbaar aangetaste EXE en/of COM files
  169. opgestuurd naar een viruslaboratorium waar ze onderzocht en geanalyseerd
  170. worden. En net als met een biologisch virus kan pas daarna een serum
  171. worden ontwikkeld in de vorm van een nieuwe string in de database die de
  172. virusscanner in kwestie kan raadplegen. Hierna wordt de nieuwe update van
  173. de scanner op de markt gebracht waarmee het tot dat moment niet geziene
  174. virus aan het licht kan worden gebracht en indien mogelijk verwijderd wordt.
  175.  
  176.  Een string, ook wel handtekening genoemd (Engels: signature) is het
  177.  herkenningsteken voor virusscanners. De meeste auteurs laten een bepaalde
  178.  tekst achter, zoiets als "thunderbold was here". Deze tekst wordt dan  
  179.  meestal gebruikt om naar te zoeken. Echter de virusschrijvers worden
  180.  steeds slimmer en coderen de handtekening waardoor het herkennen steeds
  181.  moeilijker wordt. 
  182.  
  183. Geheugen-residente scanners hebben zeker nut. Vertrouw er echter niet op
  184. dat deze alle virussen zien die een handmatige scanner ook ziet. Bepaalde
  185. typen virussen laten zich niet detecteren door de residente versie van de
  186. scanner. De handmatige scanner detecteert deze (doorgaans) wel. Dit hangt
  187. mede af van hoe aktueel de gebruikte scanner is en hoe goed deze is (hoe
  188. groot en actueel de database is). Handmatig scannen bij elke nieuwe file
  189. en alles op schijf met elke nieuwe uitgave van de virusscanners is een
  190. verstandige zaak. Als u de enige bent die met de PC werkt, is dat meer dan
  191. voldoende. Hier zou een residente versie nutteloos beslag leggen op het
  192. geheugen. Want zo'n standby-programma neemt toch (ook hooggeladen) nogal
  193. wat geheugenruimte in. Bent uzelf niet de enige gebruiker dan zal in het
  194. gunstigste geval een residente scanner tot 50% zekerheid bieden. Dit dus
  195. als u een zoon of dochter heeft die met uw PC werkt en alles van wat op
  196. school (illegaal) wordt gekopieerd en doorgegeven opstart zonder uitvoerig
  197. te scannen op virussen. Een handmatige scanner biedt u in dit geval een
  198. veiligheid van zo'n 95%. Een diskette met alleen tekstbestanden in de vorm
  199. van werkstukken kan net zo goed besmet zijn. Hier gaat het dan om FAT
  200. virussen of BOOTSECTOR virussen. Er zijn teveel varianten om er dieper op
  201. in te gaan, maar het komt erop neer dat als u, zoals zovelen, nog wel eens
  202. de computer herstart terwijl de diskette nog in het diskettestation. Op
  203. het moment dat de gebruikelijke DOS melding verschijnt dat de diskette
  204. niet bootable is, is uw PC besmet. Het virus is overgedragen op de FAT of
  205. BOOTSECTOR van de harddisk. Wat er daarna gebeurt hangt van het type virus
  206. af. De ene doet dit en de andere doet dat.
  207.  
  208. Nog enkele suggesties tot besluit. BBSen en netwerken zijn een prachtig
  209. middel om virussen te verspreiden. U wordt al grotendeels beschermd tegen
  210. virussen als u een betrouwbaar BBS belt dat zelf eerst uitvoerig scant
  211. alvorens de files (al dan niet door derden geupload) vrij te geven.
  212. BBSen en netwerken waarin elk nieuw programma ongescand wordt
  213. vrijgegeven mogen gerust potentiële besmettingshaarden worden genoemd.
  214. Maar pas hiermee op. Een mededeling dat er gescand is, is zo gemaakt
  215. en zeker bij dat soort BBSen en netwerken is er een clausule waarin
  216. staat dat voor elke vorm van opgelopen schade geen verantwoordelijk
  217. wordt aanvaard. Raakt u uw zakelijke bestanden kwijt dan kunt u niemand
  218. dan uzelf hiervoor verantwoordelijk en aansprakelijk stellen. Alle BBSen
  219. hebben deze clausule voor eigen bescherming. Een programma/utility uit een
  220. groot netwerk downloaden voordat de reguliere BBSen dit doen, is zeer
  221. aantrekkelijk. Besef wel dat de kans aanwezig is dat zo'n kersvers
  222. programma een nieuw virus kan bevatten, al dan niet in de vorm van een
  223. TROJAN die de meest recente scanners nog niet kunnen detecteren.
  224. Voorzichtigheid blijft geboden in dat geval.
  225.  
  226. Mocht u besmet raken is het bezitten van een virusvrije backup altijd
  227. beter dan het virus verwijderen (cleanen) van een besmette file. Het
  228. cleanen is alleen bedoeld als u nergens een onbesmette kopie meer hebt
  229. of kunt krijgen van net DAT programma wat heel belangrijk voor u is.
  230.  
  231. Vergeet ook niet regelmatig uw databestanden te backuppen. Sommige          
  232. virussen hebben de eigenschap bestanden te verminken. Zo kan het
  233. leuk zijn als een bepaald virus een nulletje achter uw saldo plaatst
  234. bij uw bank. Het is minder leuk bij toedienen van medicijnen.
  235.  
  236. Virussen zijn beslist geen speelgoed ook al lijkt het heel erg leuk
  237. wat zo'n ding allemaal doet. Vooral jongere kinderen zien het gevaar
  238. en de gevolgen er niet van in. En soms zijn zo erg nieuwsgierig naar
  239. de zojuist gekopieerde spelletjes van een vriendje dat ze er niet aan
  240. denken eerst te scannen.
  241.  
  242. Hoe kunt u als u kinderen heeft het systeem dan toch zo goed mogelijk
  243. beveiligen als u niet in de buurt bent. Kinderen zijn heel erg
  244. vindingrijk. Als u geen geld hebt om een 2e PC voor het kind te kopen
  245. moet er iets anders op gevonden worden. Afhankelijk van het belang van
  246. het soort bestanden en programmatuur zijn er diverse mogelijkheden.
  247. Hier kunt u een zogenoemd virusexpert voor inschakelen van McAfee,          
  248. Thunderbyte of een andere scanner voor advies. De PC op slot doen           
  249. is een mogelijkheid maar dan wel met een echt slot.
  250. U moet dan middels een slot met bijpassende sleutel zeker weten dat
  251. het geen algemeen slot is. Ofwel er zijn maar twee sleutels op aarde
  252. welke het slot kunnen openen en die heeft u. Pas hierna kan de PC
  253. worden aangezet. De goedkoopste is de bij veel computers meegeleverde
  254. optie het keyboard middels meegeleverde sleutel op slot te zetten.
  255. Echter in de PC van de vader van het vriendje zit eenzelfde slot.
  256. Dat vriendje kan dus theoretisch aan de sleutel van zijn vader komen
  257. waarmee hij uw keyboard kan vrijgeven voor ge- of misbruik.
  258. Het is evengoed af te raden om op een PC voor zakelijk gebruik diverse
  259. spelletjes te spelen.
  260. Let er ook goed op uit welke bron u uw virusscanner betrekt. Deze           
  261. scanners zijn nog wel eens doelwit van misbruik. Er wordt dan een
  262. versie verspreid die niets anders doet dan een virus verspreiden.
  263. Uiteraard niet door de anti-virus programmeur. Deze zal onmiddellijk
  264. een waarschuwing rond laten gaan en een tussentijdse release vrijgeven
  265. met een versienummer hoger dan het oorspronkelijke verwachte
  266. versienummer. Komt Thunderbyte na versie 6.34 ineens met versie 6.40
  267. dan kunt u er zeker van zijn dat er een illegale versie 6.35 ronddoolt.
  268.  
  269.