VIRUSCAN Version 9.28 V116 Copyright (C) 1989 - 1994 by McAfee Associates All rights reserved Documentation by Aryeh Goretsky šbersetzung durch Kirschbaum Software GmbH McAfee Associates, Inc. (408) 988-3832 Telefon 2710 Walsh Avenue, Suite 200 (408) 970-9727 Fax Santa Clara, CA 95051-0963 (408) 988-4004 Mailbox (25 Leitungen) U.S.A. USR HST/v.32/v.42bis/MNP1-5 CompuServe GO MCAFEE InterNet support@mcafee.COM VIRUSCAN Version 9.28V116 Seite 1 INHALTSVERZEICHNIS Was ist neu . . . . . . . . . . . . . . . . . . . . . . . . . 2 - neue M”glichkeiten und neu hinzugekommene Viren in dieser Version - Systemvoraussetzungen Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . 3 - Erkennung bekannter Viren - Erkennung von neuen und unbekannten Viren - Erkennungsverfahren von bekannten Viren - Erkennungsverfahren von neuen und unbekannten Viren Originalzustand. . . . . . . . . . . . . . . . . . . . . . . . 5 - šberprfen des Originalzustandes von SCAN.EXE Programmstart. . . . . . . . . . . . . . . . . . . . . . . . . 7 - Die Anwendung von VIRUSCAN, genaue Erkl„rung der Parameter Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . 15 - Beispiele h„ufig verwendeter Optionen EXIT CODES . . . . . . . . . . . . . . . . . . . . . . . . . . 16 - Der Aufruf von VIRUSCAN ber Batchdateien Viren entfernen. . . . . . . . . . . . . . . . . . . . . . . . 16 - Wie Sie einen Virus von Hand entfernen Registrierung . . . . . . . . . . . . . . . . . . . . . . . . 17 - Wie Sie VIRUSCAN registrieren Technischer Support . . . . . . . . . . . . . . . . . . . . . 18 - Informationen, die Sie bei einem Anruf parat haben sollten Bezug der aktuellen Versionen von Viruscan - Mailbox, CompuServe und Internet Anhang A . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 - Erstellen einer Virus-Textdatei mit der Option /EXT Anhang B . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 - Wie Sie nur den Speicher auf Viren untersuchen - Validation-codes: Tips und Tricks - Formatieren infizierter Disketten unter DOS 5.00 & 6.00 - Erstellen einer Rettungsdiskette Anhang C . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 - Meldungen in anderen Sprachen VIRUSCAN Version 9.28V116 Seite 2 WAS IST NEU ? Die Version V116 erkennt gegenber V115 zus„tzlich 21 neue Viren und 5 neue Varianten. Die Anzahl der insgesamt erkannten Viren betr„gt damit 1.942 bzw. 2.928, wenn man alle Varianten mitz„hlt. Eine vollst„ndige Liste der erkannten Viren finden Sie in der Datei VIRLIST.TXT. Bezglich ausfhrlicher Beschreibung der Viren verweisen wir auf Hypertext VSUM von Patricia Hoffman (Anmerkung: ebenfalls ber Kirschbaum Software erh„ltlich). SYSTEMVORAUSSETZUNGEN VIRUSCAN ben”tigt 411 KB freien Arbeitsspeicher und DOS 2.00 oder h”her. Zus„tzlicher Speicher wird ben”tigt, wenn die Programm-Meldungen in einer anderen Sprache ausgegeben werden sollen (n„here Einzelheiten dazu in Anhang C). VIRUSCAN l„uft auf 3Com 3/Share und 3/Open, Artisoft LanTastic, AT&T StarLAN, Banyan VINES, DEC Pathworks, IBM LAN Server, Microsoft LAN Manager, Novell Netware und auf jedem anderen IBMNET oder NETBIOS kompatiblen Netzwerkbetriebssystem. Bitte wenden Sie sich an McAfee Associates oder an Ihren autorisierten Distributor, wenn Sie Ihr Netzwerk in dieser Aufz„hlung nicht finden. SCAN durchsucht Disketten, Festplatten, CD-ROM und komprimierte Laufwerke (Superstor, Stacker, Doublespace, etc.) - auf Einzelpl„tzen, vernetzten Rechnern und auch auf Netzwerk Fileserver Ger„ten nach vorher vorhandenen - bekannten und unbekannten - Viren. Fr Novell- Fileserver mit Netware gibt es fr den dauerhaften Virenschutz das NLM (Netware Loadable Module) NETSHIELD. Programm-Meldungen erfolgen standardm„áig in Englisch (default), jedoch werden auch andere Sprachen untersttzt (siehe Anhang C). HINWEIS: ACHTEN SIE UNBEDINGT DARAUF, DASS DIE DISKETTE, VON DER SIE SCAN.EXE STARTEN, IMMER SCHREIBGESCHšTZT IST. ALLGEMEINES VIRUSCAN Version 9.28V116 (Dateiname SCAN.EXE) dient zum Auffinden und Erkennen von Viren fr den IBM PC und kompatible Computer. SCAN findet Viren, indem es das System nach Bytefolgen durchsucht, die fr die einzelnen Viren charakteristisch sind. VIRUSCAN Version 9.28V116 Seite 3 Diese Methode funktioniert nur fr Viren, die SCAN kennt. Es bew„ltigt dabei 1.942 bekannte Viren und deren Variationen. Einige Viren wurden n„mlich ver„ndert, so daá teilweise eine ganze Anzahl von Variationen existieren. Z„hlt man auch diese, so kommt man auf eine Gesamtzahl von 2.928 Viren. Alle bekannten Viren befallen einen oder mehrere der folgenden Bereiche: - die Partitionstabelle von Festplatten (auch "Master Boot Record" genannt) - den DOS-Bootsektor - eine oder mehrere ausfhrbare Dateien auf Disketten und Festplatten (Betriebssystemdateien, .EXE-Dateien, .COM-Dateien, Overlaydateien oder beliebig andere Dateien mit ausfhrbarem Programmcode) - den Arbeitsspeicher VIRUSCAN durchsucht nach Wunsch Dateien, Verzeichnisse, Laufwerke oder das gesamte System nach bekannten Computerviren. Bei einer erkannten Infektion zeigt es den Bereich bzw. Dateinamen an, zusammen mit der Viren-Kennung, die fr CLEAN-UP zur Beseitigung benutzt werden kann. Infizierte Dateien k”nnen durch Angabe des Parameters /D restlos beseitigt werden. Das Programm CLEAN-UP erm”glicht in den meisten F„llen die vollst„ndige "Heilung" der infizierten Datei bzw. des befallenen Bereiches. Die im Lieferumfang enthaltene Datei VIRLIST.TXT enth„lt eine Liste aller von SCAN erkannten Viren zusammen mit den fr CLEAN-UP notwendigen Viren-Kennungen. UNBEKANNTE UND NEUE VIREN SCAN sucht aber auch nach neuen bzw. unbekannten Viren. Es benutzt dazu drei unterschiedliche Verfahren: - Durch Prfsummen, die regelm„áig berprft werden sollten, um Ver- „nderungen in Dateien oder kritischen Bereichen frhzeitig zu erkennen. - Untersuchung auf allgemein virentypische Erkennungsmerkmale - šberprfung aller kritischen Bereiche auf beliebige Bytemuster (Signaturen), die bei Bedarf in einer Datei abgelegt werden k”nnen VIRUSCAN Version 9.28V116 Seite 4 Erkennung von bekannten Viren SCAN findet bekannte Viren, indem es das System nach Zeichenfolgen durchsucht, die fr die einzelnen Viren charakteristisch sind. Nach "erfolgreicher" Suche wird eine entsprechende Meldung ausgegeben. Fr Viren, die sich selbst so verschlsseln, daá die Bytefolgen bei jeder Infektion anders sind, benutzt SCAN einen Erkennungsalgorithmus, der auf statistischen und heuristischen Methoden beruht. Erkennung von neuen und unbekannten Viren SCAN berprft auf neue und unbekannte Viren durch den Vergleich von Dateien mit zuvor gespeicherte Prfsummen. SCAN benutzt zwei Methoden und speichert auf drei unterschiedliche Arten: - Eine einfache 10 Zeichen lange Kennung wird an jede .COM- und .EXE- Datei angeh„ngt. Wenn eine Datei ver„ndert wurde, so stimmt die fr diese Datei errechnete Prfssumme nicht mehr mit dem gespeicherten Wert in der angeh„ngten Kennung berein. SCAN meldet somit eine unzu- l„ssige Ver„nderung. Siehe auch /AV, /CV, /RV -Parameter. - Eine erweiterte 52 Zeichen lange Kennung mit Daten zur Wiederher- stellung kann ebenfalls angelegt werden. Diese kann wie die einfache Kennung an das Ende der Datei angeh„ngt werden oder in einer eigenen separaten Datei (z.B. auf Diskette) gespeichert werden. CLEAN-UP kann mit dieser Information infizierte Dateien, Partitionstabellen und Bootsektoren leichter wieder herstellen. Siehe auch /AG, /CG, /RG, sowie /AF, /CF, /RF -Parameter. HINWEIS: Kennungen k”nnen nur an Dateien angeh„ngt werden. Fr die Partitionstabelle, den Bootsektor und die Systemdateien werden die notwendigen Daten in einer eigenen versteckten Datei SCANVAL.VAL im Wurzelverzeichnis abgelegt. HINWEIS: Programme, die sich selbst auf Originalzustand berprfen (wie z.B. LOTUS 1-2-3) drfen nicht mit einer Kennung nach der Methode /AV oder /AG erweitert werden. Man nimmt in diesen F„llen den Parameter /AF (Add File), um die Kennung in einer eigenen Datei abzulegen. SCAN erkennt neue und unbekannte Viren manchmal auch dadurch, weil diese Viren typische Sequenzen enthalten. Das k”nnen Sequenzen sein, die immer wieder in verschiedenen anderen Viren gefunden wurden. Nachdem Virenprogrammierer h„ufig Teile aus „lteren Viren verwenden, erm”glicht dies manchmal die zuf„llige Erkennung von ganz neuen Viren. SCAN kann auch nach neuen Viren suchen, wenn der Anwender eine Liste der Charakteristika dieser Viren in einer separaten Datei zur Verfgung stellt. Hierzu dient der /EXT-Parameter. VIRUSCAN Version 9.28V116 Seite 5 ORIGINALZUSTAND Bevor Sie SCAN.EXE zum ersten Mal benutzen, sollten Sie berprfen, ob noch der Originalzustand gegeben ist. Mit dem Programm VALIDATE.COM, welches zusammen mit VIRUSCAN ausgeliefert wird, k”nnen Sie den Originalzustand der Datei SCAN.EXE berprfen. Die Anleitungen VALIDATE.DOC/TXT erl„utern die Handhabung dieses Programms. Die Ergebnisse der Version 9.28V116 mssen lauten: FILE NAME: scan.exe SIZE: 164,247 DATE: 6-15-1994 FILE AUTHENTICATION Check Method 1: 0BC7 Check Method 2: 1E18 Wenn die Ihnen vorliegende Version von SCAN nicht die richtigen Werte liefert, so wurde es entweder unzul„ssig ver„ndert, oder es enth„lt mit dem Parameter /SAVE gespeicherte Optionen enthalten. Starten Sie SCAN nur mit dem Parameter /SAVE, um alle gespeicherten Optionen wieder zu entfernen und rufen Sie VALIDATE erneut auf. Achten Sie darauf, daá Sie SCAN nur von bekannten Quellen beziehen. Die neueste Version von VIRUSCAN und die Prfsummen fr SCAN.EXE k”nnen Sie auch von der Mailbox von McAfee Associates unter der amerikanischen Nummer (408) 988-4004 oder vom Computer Virus Help Forum in CompuServe (GO MCAFEE) downloaden. Bei seinem Aufruf testet sich VIRUSCAN selbst. Wenn SCAN in irgendeiner Weise ver„ndert worden ist, wird eine Warnmeldung ausgegeben und Sie haben die Wahl, ob Sie abbrechen oder fortfahren wollen. Das Programm wird auch danach nach Viren suchen. Sollte SCAN melden, daá es ver„ndert worden ist, sollten Sie sich unbedingt eine einwandfreie Kopie von SCAN besorgen. Alle Programme von McAfee Associates sind fr die Mailbox mit PKWare's PKZIP Version 2.04g komprimiert. Wenn Sie nach dem Entpacken der einzelnen Dateien mit PKWare's Programm PKUNZIP Version 2.04g die Meldungen "-AV" und "Authentic Files Verified! # FZW807 Zip Source: McAFEE ASSOCIATES" nicht erhalten, sollten Sie die Programme nicht starten. Hinweis: Wenn diese Meldung nicht erscheint, benutzen Sie vermutlich eine andere Version von PKUNZIP (evtl. 1.93A oder V1.10). Verwenden Sie m”glichst PKUNZIP 2.04g zum Entpacken der Dateien. VIRUSCAN Version 9.28V116 Seite 6 šBERSICHT VIRUSCAN durchsucht Dateien, Unterverzeichnisse, Disketten oder ganze Systeme auf bestehende Virusinfektionen. Es erkennt den infizierenden Virus und nennt die befallenen Bereiche (Speicher, Bootsektor, Datei). Eine befallene Datei kann mit der Option /D berschrieben und gel”scht werden. Darberhinaus gibt es das Programm CLEAN-UP, welches befallene Systeme automatisch desinfiziert und befallene Bereiche wenn m”glich wieder repariert und ist daher der Option /D von SCAN vorzuziehen. Die Version 9.28V116 von VIRUSCAN erkennt alle 1.942 bekannten Computerviren und deren Varianten. Einige Viren wurden ver„ndert, so daá mehr als ein Stamm existiert. Werden solche Ver„nderungen mit- gez„hlt, so existieren 2.928 Virenvarianten. Die fnfzig verbreitetsten Viren, die fr mehr als 95% aller bekannten Infektionen verantwortlich sind, werden von SCAN ebenfalls erkannt. Die Dateien VIRLIST(E).TXT beschreiben alle Computerviren, die von SCAN erkannt werden. Alle bekannten Computerviren befallen einen oder mehrere der genannten Bereiche: die Partitionstabelle von Festplatte und Disketten [auch als Master Boot Record bekannt = MBR]; den Bootsektor von DOS sowohl von Festplatten als auch von Disketten und eine oder mehrere ausfhrbare Dateien im System. Ausfhrbare Dateien sind Betriebssystemdateien, .COM-, .EXE- und Overlaydateien oder jede andere Datei, die ausfhr- baren Code enth„lt. Ein Virus der mehr als einen Bereich bef„llt, zum Beispiel den Bootsektor und eine ausfhrbare Datei, wird vielteiliger Virus genannt. VIRUSCAN erkennt jeden infizierten Bereich bzw. Datei und zeigt sowohl den Namen des Virus als auch die fr dessen Entfernung ben”tigte CLEAN- UP I.D. an. Mit Hilfe der Prfsummenoptionen (/CV, /CG und /CF) kann VIRUSCAN auch nach unbekannten Viren suchen. Dies geschieht indem fr Dateien und Systembereiche eine Prfsumme errechnet wird und dann berprft wird. Die Prfsumme kann am Ende von .COM- und .EXE-Dateien oder, fr Reparaturzwecke, in einer vom Benutzer angegebenen Datei an einer anderen Stelle, z.B. auf einer Diskette gespeichert werden. Wurde die Datei ver„ndert, so stimmt diese Prfsumme nicht mehr und es ist m”glich, daá diese Datei infiziert wurde. Wenn Sie die erweiterten M”glichkeiten (/CG oder /CF) nutzen, so enthalten die Prfcodes Informationen, die dazu verwendet werden k”nnen, von unbekannten oder neuen Viren infizierte Dateien oder Systembereiche wieder zu reparieren. SCAN verwendet zwei unabh„ngig voneinander errechnete CRC-Codes (Cyclic Redundancy Check). Sich selbst prfende Programme (wie zum Beispiel Lotus 1-2-3) sollten nicht mit den Optionen /AV oder /AG geschtzt werden, da diese die Dateien ver„ndern. Verwenden Sie stattdessen die Option /AF die die Daten in einer getrennten Datei ablegt. Sehen Sie bei ANWENDUNG und OPTIONEN unter /AF, /AG und /AV nach wenn Sie weitere Informationen ben”tigen. VIRUSCAN Version 9.28V116 Seite 7 Wenn Sie SCAN mit der Option /AV oder /AG aufrufen, so werden die Prfsummen nur an .COM- und .EXE-Dateien angeh„ngt. Die Prfsummen fr die Partitionstabelle, den Bootsektor und Systemdateien werden in der versteckten Datei SCANVAL.VAL im Stammverzeichnis gespeichert. VIRUSCAN kann den Bootsektor und die Partitionstabelle auch nach unbekannten Viren durchsuchen. Wenn in einem der Bereiche ein viren- „hnlicher Code gefunden wird, meldet SCAN, daá es einen Generic Boot Sector oder MBR-Virus (Virus des prim„ren Bootsektors) gefunden hat. Mit Hilfe einer vom Anwender erzeugten Viren-Datendatei die Suchstrings fr neue Viren enth„lt, kann VIRUSCAN nach neuen Viren suchen. Nach sieben Monaten wird VIRUSCAN eine Meldung am Bildschirm anzeigen, daá das Programm nicht mehr aktuell ist, aber dennoch ganz normal weiterarbeiten. Diese Meldung k”nnen Sie mit der SCAN-Option /NOEXPIRE abschalten. ANWENDUNG und OPTIONEN WICHTIGER HINWEIS: VERWENDEN SIE, UM INFEKTIONEN VON VIRUSCAN ZU VERMEIDEN, AUSSCHLIESSLICH SCHREIBGESCHšTZTE DISKETTEN. VIRUSCAN durchsucht Dateien und andere Systembereiche, die einen Virus enthalten k”nnten. Wird ein Virus gefunden, so erfolgt eine Meldung mit dem Namen der infizierten Datei bzw. des Bereiches und dem Namen des erkannten Virus. SCAN untersucht Dateien auf Viren anhand der Dateinamenserweiterung. Die Vorgaben fr diese Erweiterungen umfassen .APP, .BIN, .COM, .EXE, .OV?, .PGM, .PIF, .PRG, .SWP, .SYS, und .XTP. Dateien mit anderen Erweiterungen k”nnen mit Hilfe der Option /A durchsucht werden Die gltigen Optionen fr VIRUSCAN sind: SCAN l1: ... l26: /? /A /AF Dateiname /AG Dateiname /AV Dateiname /BELL /BMG /CERTIFY /CF Dateiname /CHKHI /CG /CV /D /DATE /E .xxx .yyy .zzz /EXT Dateiname /FAST /H /HELP /HISTORY Dateiname /MAINT /MANY /NLZ /NOBREAK /NOEXPIRE /NOMEM /NOPAUSE /NPKL /REPORT Dateiname /RF Dateiname /RG /RV /SAVE /SHOWDATE /SUB @Dateiname l1: ... l26: steht fr den oder die m”glichen Laufwerksbuchstaben von A: bis Z: VIRUSCAN Version 9.28V116 Seite 8 Die Optionen sind: \ - nur das Stammverzeichnis und den Bootsektor durchsuchen /? /H /HELP - Hilfebildschirm anzeigen /A - alle Dateien, auch Datendateien, nach Viren durchsuchen /AD{x} - durchsucht alle Laufwerke {l = lokal, n = Netzwerk} /AF Dateiname - Reparaturdaten/Prfsummen in Datei speichern /AG Dateiname - h„nge Prfsummen, Reparaturdaten an alle Dateien AUSSER den in Dateiname genannten an /AV Dateiname - Prfsummen an alle Dateien AUSSER den in Dateiname genannten anh„ngen /BELL - jedesmal pfeifen, wenn ein Virus gefunden wird /BMP - nur OS/2 Boot Manager Partition scannen. /CERTIFY - Dateien aufz„hlen, die keine Prfsummen enthalten /CF Dateiname - auf Viren prfen und die Reparaturdaten/Prfsummen aus Dateiname verwenden /CHKHI - durchsuche den Speicher von 0 bis 1088 KB /CG - berprfen der Prfsummen/Reparaturdaten /CV - die Prfsummen der Dateien kontrollieren /D - infizierte Dateien berschreiben und l”schen /DATE - Datum des letzten Prflaufes von VIRUSCAN speichern /EXT d:Dateiname - suche mit Hilfe einer externen Virendatei /FAST - die Ausgabegeschwindigkeit von VIRUSCAN erh”hen /HISTORY Dateiname - Infektionsbericht erzeugen oder erg„nzen /M - Speicher nach allen Viren durchsuchen (unten stehende Einschr„nkungen beachten) /MAINT - prfe Disketten die "invalid media" melden (besch„digte Disketten) /MANY - mehrere Disketten der Reihe nach prfen /NLZ - mit LZEXE komprimierte Dateien nicht prfen /NOBREAK - Ctrl+C / Ctrl+Break w„hrend des Suchvorgangs ausschalten /NOEXPIRE - Ablaufhinweis nicht anzeigen /NOMEM - Speicher nicht prfen /NOPAUSE - Bildschirmpause w„hrend des Suchvorgangs abschalten /NPKL - keine šberprfung von Dateien, die mit PKLITE komprimiert wurden /REPORT d:Dateiname - Bericht ber infizierte Dateien erstellen /RF Dateiname - Reparaturdaten/Prfsummen die in Dateiname gespeichert sind l”schen /RG - Reparaturdaten/Prfsummen von Dateien wieder entfernen /RV - Prfsummen von den angegebenen Dateien entfernen /SAVE - speichere angegebene Parameter als neue Standardwerte /SHOWDATE - Datum des letzten Durchlaufs von VIRUSCAN anzeigen (verwenden Sie /DATE um Datum und Zeit zu speichern) /SUB - Unterverzeichnisse durchsuchen @dateiname - suchen unter Verwendung der Optionen einer Konfigurationsdatei VIRUSCAN Version 9.28V116 Seite 9 ERLŽUTERUNG der einzelnen Optionen: HINWEIS: Die /AV und /AG Parameter ver„ndern ausfhrbare Dateien. Der Parameter /SAVE ver„ndert die Datei SCAN.EXE. Dies k”nnte beim Einsatz von anderer Schutzsoftware zu Warnungen fhren. Die Option /A veranlaát SCAN, ohne Rcksicht auf den Dateityp alle Dateien im angegebenen Laufwerk zu durchsuchen und untersucht gleich- zeitig auch einen gr”áeren Teil der Dateien. Diese Option ben”tigt deutlich mehr Zeit fr die šberprfung, verbessert dafr aber auch noch die Suchqualit„t bei Overlay-Dateien. Diese Option sollten Sie immer beim Durchsuchen von neuen Disketten verwenden und natrlich auch dann, wenn ein Dateivirus bereits gefunden wurde. /AD{x} - durchsucht alle Laufwerke nach Viren. Mit /ADL werden alle lokalen Laufwerke geprft, inklusive CD-ROM und komprimierter Lauf- werke. Die Option /ADN veranlaát ViruScan alle Netzwerklaufwerke zu durchsuchen. Nur /AD bedeutet, daá sowohl lokale als auch Netzwerk- laufwerke auf Viren geprft werden. Die Option /AF speichert Reparaturdaten und Prfsummen fr .COM- und .EXE-Dateien, den Bootsektor und die Partitionstabelle einer Festplatte in einer vom Anwender gew„hlten Datei auf einem beliebigen Laufwerk. Die Dateigr”áe betr„gt pro 1.000 Dateien etwa 20 KByte. Die Syntax ist /AF Dateiname wobei Dateiname das Laufwerk und den Pfad an der die Datei gespeichert werden soll mit einschlieát. Die Option /AG erm”glicht es dem Anwender, Reparaturdaten und Prfsummen fr .COM- und .EXE-Dateien, den Bootsektor und die Partitionstabelle eines Laufwerks zu speichern. Reparaturdaten verl„ngern Dateien um zweiundfnfzig (52) Bytes. Die Reparaturdateien fr die Partitionstabelle und den Bootsektor werden separat in der versteckten Datei SCANVAL.VAL im Stammverzeichnis gespeichert. Ansonsten ist diese Option „hnlich der folgenden Option /AV. Fr die Raparatur ben”tigen Sie das Programm CLEAN-UP (CLEAN.EXE). Die Option /AV erm”glicht es dem Anwender, an die berprften Dateien Prfsummen anzuh„ngen. Wird ein komplettes Laufwerk angegeben, so erzeugt SCAN auch Prfsummen ber die Partitionstabelle, den Bootsektor und die Systemdateien dieses Laufwerkes. Prfsummen verl„ngern die Dateien um zehn (10) Bytes. Die Prfsummen der Partitionstabelle, des Bootsektors und der Systemdateien werden in der versteckten Datei SCANVAL.VAL im Stammverzeichnis des geprften Laufwerkes abgelegt. Dateien die bereits gegen Computerviren immunisiert wurden, bzw. selbsmodifizierend sind, sollten keine Prfsummen erhalten. Um VIRUSCAN davon abzuhalten, an diese Dateien Prfsummen anzuh„ngen, kann eine Liste dieser Dateien erstellt werden. Diese Liste enth„lt den voll- st„ndigen Pfad und Namen jeder Datei, an die KEINE Prfsumme angeh„ngt werden soll. Pro Zeile darf nur eine Datei aufgefhrt werden. Kommentare werden durch einen Stern am Zeilenanfang gekennzeichnet. Die folgende Beispieldatei enth„lt Dateien, an die KEINE Prfsummen angeh„ngt werden sollen: VIRUSCAN Version 9.28V116 Seite 10 *Die Datenbank Clipper von Nantucket C:\CLIPPER\BIN\CLIPPER.EXE *Die Tabellenkalkulation 1-2-3 von Lotus C:\123\123.COM *Die Datenbank von Microsoft - FoxPro C:\FOX\FOXPROLX.EXE *SETVER von MS-DOS 5.0, welches sich selbst ver„ndert C:\DOS\SETVER.EXE *PKWare's PKZIP-Programme prfen sich vor dem Start selbst C:\PKWARE\PKLITE.EXE C:\PKWARE\PKZIP.EXE C:\PKWARE\PKUNZIP.EXE *Semware's QEdit text editor C:\SEMWARE\Q.EXE *Festplattenswapprogramm von Stac Technologies C:\SWAPVOL.COM *Symantec's Norton Utilities V6.01 Diskcacheprogramm C:\NORTON\NCACHE.EXE *WordStar enth„lt selbstver„ndernden Code C:\WORDSTAR\WS.EXE Diese Ausnahmeliste muá im ASCII-Format vorliegen. Wenn Sie ein Textverarbeitungsprogramm zum Erstellen dieser Datei verwenden, stellen Sie sicher, daá die Datei im ASCII-Format gespeichert wird. Die Option /BELL veranlaát VIRUSCAN dazu, nach jedem gefundenen Virus einen Warnton auszugeben. Mit der Option /BMP durchsucht Scan die OS/2 Boot Manager Partition. Andere Bereiche als die Boot Manager Partition und der Boot Sektor werden dabei nicht geprft. Die Option /CERTIFY prft ein System auf Dateien, an die mit /AG oder /AV Prfsummen angeh„ngt wurden. Dateien die keine Prfsumme haben, werden von VIRUSCAN als solche gemeldet und der ERROELEVEL wird von SCAN auf 3 gesetzt. Die Option /CF berprft die mit /AF angeh„ngten Prfsummen. Der Aufruf erfolgt mit /CF Dateiname, wobei Dateiname das Laufwerk und das Verzeichnis enthalten muá, in dem die Daten gespeichert werden sollen. Die Option /CG prft die mit /AG angefgten Reaparaturdaten und Prfsummen. Wenn eine Datei oder ein Systembereich ver„ndert wurde, meldet SCAN daá eine Datei oder ein Systembereich ver„ndert wurde und eventuell eine Virusinfektion stattgefunden haben k”nnte. Die Option /CG hat Vorrang vor der Option /CV. Die Option /CHKHI prft den Speicher zwischen 640 KB und 1.088 KB, der auf 286er- und 386er-Systemen fr Computerviren zug„nglich ist. Darin eingeschlossen ist die 384 KByte Upper Memory Area von 640 KB bis 1024 KB, sowie die 64 KB High Memory Area von 1024 KB bis 1088 KB. Auf XTs, VIRUSCAN Version 9.28V116 Seite 11 bei denen eine Speichererweiterungskarte installiert ist, werden durch diese Option die ersten 64 KB vom RAM zweimal durchsucht. Diese Option ist in Verbindung mit /NOMEM nicht zul„ssig. Die Option /CV berprft die durch /AV angelegten Prfcodes. Wenn die Datei ver„ndert worden ist, meldet SCAN, daá die Datei ver„ndert worden ist und diese Žnderung eventuell auf einen Virus zurckzufhren ist. Diese Option verl„ngert den Suchlauf um etwa 25%. HINWEIS: Einige „ltere Modelle von Hewlett Packard und Zenith ver„ndern den Bootsektor und die Partitionstabelle jedesmal wenn der Computer hochgefahren wird. Dies fhrt dazu, daá SCAN den Anwender laufend auf Ver„nderungen des Bootsektors oder der Partitionstabelle hinweist, wenn die Option /CV verwendet wird. Prfen Sie in Ihrem Systemhandbuch, ob Ihr System einen solchen selbstver„ndernden Bootcode verwendet. Die Option /D weist VIRUSCAN an, den Benutzer zu fragen, ob infizierte Dateien berschrieben werden sollen. W„hlt der Benutzer "Y" so wird die Datei mit dem Hexcode C3 [dem Return-Befehl] berschrieben und anschlieáend gel”scht. Eine Datei die mit /D gel”scht worden ist, l„át sich nicht wiederherstellen. Bootsektor- und Partitionstabellenviren k”nnen mit der Option /D nicht gel”scht werden. Zur Desinfizierung brauchen Sie stattdessen das Programm CLEAN-UP. HINWEIS: Wenn die Option /D fr Netzwerklaufwerke benutzt wird muá der Anwender ber "erase" oder "delete" Rechte verfgen. Die Option /DATE speichert Datum und Uhrzeit des letzten Durchlaufs von VIRUSCAN, indem das Datum der Datei SCANVAL.VAL aktualisiert wird. Wenn die Datei SCANVAL.VAL nicht existiert, wird sie von VIRUSCAN im aktuellen Verzeichnis mit der L„nge 0 erzeugt. Die Option /EXT erm”glicht es VIRUSCAN auf Basis einer Textdatei, die vom Benutzer eingegebene Suchstrings enth„lt, nach Viren zu suchen. Die Syntax um eine solche externe Virendatei anzuwenden ist /EXT l:Dateiname. "l" steht fr das Laufwerk und "Dateiname" ist der Name der Datei, die die Suchstrings enth„lt. Hinweise zum Erstellen einer solchen Virendatei finden Sie im Anhang A. HINWEIS: Die Option /EXT ist dazu gedacht, Anwendern eine M”glichkeit zu geben, eigene Suchstrings fr eine šbergangszeit bzw. fr den Notfall mit in die šberprfung einzubeziehen. In Verbindung mit der Option /D werden infizierte Dateien gel”scht. Diese Option ist nicht fr die allgemeine Anwendung gedacht und sollte mit Vorsicht angewendet werden. Die Option /FAST beschleunigt VIRUSCAN, indem w„hrend des Suchlaufs auf dem Bildschirm weniger Informationen angezeigt werden und Dateien, die mit LZEXE- oder PKLITE komprimiert wurden, nicht intern berprft VIRUSCAN Version 9.28V116 Seite 12 werden bzw. weniger Dateien geprft werden. Dies reduziert die Zuverl„ssigkeit von SCAN. Die Option /HISTORY speichert eine Liste der infizierten Dateien auf der Festplatte. Die Datei wird im ASCII-Format gespeichert. Existiert bereits eine solche Datei, so wird die neue Liste an das Ende dieser Datei Angefgt. Der Aufruf erfolgt mit /HISTORY Dateiname, wobei Dateiname das Laufwerk und das Verzeichnis fr die Datei enthalten muá. Die Option /M weist VIRUSCAN an, den Speicher nach allen Viren zu durchsuchen, die sich im Speicher aufhalten k”nnen. Standardm„áig durchsucht SCAN den Speicher nur nach gef„hrlichen und "Stealth"-Viren. Dies sind Viren, die einen katastrophalen Datenverlust verursachen oder sich w„hrend des Suchvorgangs weiter ausbreiten k”nnen. SCAN durchsucht den Speicher in jedem Fall nach den folgenden Viren: 1024 1253 1530 15xx variant 1963 1971 2153 2560 3040 337 3445-Stealth 4096 500 512 557 702 ABC Agena Anthrax Antitelefonica Aragon arcv B3 Blood Rage Brain Budo Caz CD Chang Coffee Shop Copyr-ug Cracky Crusher Dark Avenger Davis Dir-2 DM-330 Doom II EEL Empire End-of Evil Genius ExeBug Fam Feist Fish Flu FORM Frodo Soft Fune Futhark Geek Greemlin Green HA HBT Hellween 1182 Hi Highland Horror Ice9 Iernim IOU Jeru Variant Joanna Joshi Jump4Joy Kersplat L1 Larry Leech LixoNuke Lozinsky Lycee Magnum Malaga Malaise Microbes Mirror Mocha Monkey Mugshot Mummy Murphy NCU Li Ninja Nomemklatura NOP No-Int Nygus Nygus-KL Ontario-3 Otto P1R PCBB11 Penza Phantom Piazzola Plastique Pogue Pojer Problem Radyum Rattle Reaper Reklama Rocko Sandwich SBC Scr-2 Scroll Scythe Sentinel Sergant Silence Sk Sk1 Sma-108a Soyun Stealthb Sticky Stoned (Vari) Sunday-2 SVC Tabulero Taiwan3 Ten Bytes Tequila Thursday 12th Turbo Turkey Twin-351 V2100 V2P6 V600 Vietnamese Walker Whale Windmill Yan2050a Youth Zaragoza VIRUSCAN Version 9.28V116 Seite 13 Wenn einer dieser Viren im Speicher gefunden wird, bricht SCAN sofort ab und weist den Anwender an, sein System auszuschalten und von einer virenfreien Diskette neu zu booten. Die Option /M verl„ngert den Suchlauf um 6 bis 20 Sekunden. HINWEIS: Das Anwenden der Option /M in Verbindung mit anderen Antivirenprodukten kann zu Fehlalarmen fhren, wenn dieses andere Programm seine Suchstrings nicht aus dem Speicher entfernt. Die Option /MAINT wird dazu verwendet, Festplatten zu durchsuchen, die mit DOS 4.0 oder darber partitioniert wurden und von einem Bootsektor- oder Partitonstabellenvirus befallen sind. Der Zugriff auf eine solche Festplatte verursacht normalerweise die Meldung "invalid media". Die Option /MAINT durchsucht nur die Partitionstabelle und den Bootsektor, keine Dateien. HINWEIS: Die Option /MAINT kann nur auf lokale Laufwerke angewandt werden. Soll der Boot Sektor oder die Partitionstabelle von einem Netzwerklaufwerk geprft werden, muá man Scan vom Server starten, nicht von einer Workstation. Die Option /MANY wird dazu verwendet, mehrere Disketten im angegebenen Laufwerk der Reihe nach zu durchsuchen. Will der Anwender mehr als eine Diskette auf Viren berprfen, so kann der Anwender dies mit dieser Option tun, ohne SCAN jedesmal neu aufrufen zu mssen. Wenn ein System bereits desinfiziert wurde, so k”nnen die Optionen /MANY und /NOMEM dazu verwendet werden, den Prfvorgang von Disketten zu beschleunigen. Die Option /NLZ teilt VIRUSCAN mit, nicht in Dateien die mit LZEXE komprimiert wurden, nach Viren zu suchen. SCAN wird diese Programme aber nach wie vor auf Infektionen berprfen, die nach der Komprimierung erfolgt sind. Die Option /NOBREAK verhindert, daá SCAN w„hrend des Suchvorgangs durch Control+C oder Control+Break abgebrochen wird. Die Option /NOMEM dient dazu, den Speichertest zu bergehen. Sie sollte nur verwendet werden, wenn sicher ist, daá das System virenfrei ist. Diese Option kann nicht in Verbindung mit /CHKHI oder /M verwendet werden. VIRUSCAN Version 9.28V116 Seite 14 Die Option /NOEXPIRE schaltet die Altersmeldung ab, die erscheint, wenn SCAN „lter als sieben Monate ist und davor warnt, daá es in Bezug auf neue Viren nicht mehr auf dem aktuellen Stand ist. Die Option /NOPAUSE schaltet die Meldung "More? ( H = HELP )" ab. Diese erscheint, wenn SCAN den Bildschirm mit Meldungen vollgeschrieben hat. Dadurch kann SCAN auf einem extrem infizierten System ohne Eingreifen des Anwenders gestartet werden. Die Option /NPKL weist VIRUSCAN an, mit PKLITE komprimierte Dateien, nicht intern zu durchsuchen. SCAN wird solche Dateien aber weiterhin auf Infektionen prfen, die nach der Komprimierung erfolgt sein k”nnten. Die Option /REPORT erstellt eine Liste aller infizierten Dateien. Diese Datei wird als ASCII Textdatei auf Diskette gespeichert. Existiert bereits eine solche Datei, so wird sie berschrieben. Der Aufruf erfolgt mit /REPORT Dateiname, wobei Dateiname das Laufwerk und das Verzeichnis fr die Datei enthalten muá. Die Option /RF entfernt Reparaturdaten und Prfsummen fr Dateien aus der Datei die die Reparaturdaten und Prfsummen enth„lt. Der Aufruf erfolgt mit /RF Dateiname, wobei Dateiname das Laufwerk und das Verzeichnis fr die Datei mit den Reparaturdaten und Prfsummen enthalten muá. Die Option /RG entfernt Prfsummen und Reparaturdaten, die mit der Option /AG angeh„ngt wurden. Die Option /RV dient dazu, die einmal angeh„ngten Prfsummen wieder zu entfernen. Sie kann dazu verwendet werden die Prfsummen einer Diskette, eines Unterverzeichnisses oder von Datei(en) zu entfernen. /RV entfernt auf einer Diskette die Prfsummen der Partitionstabelle, des Bootsektors und der Systemdateien. Diese Option ist in Verbindung mit /AV nicht zul„ssig. Die Option /SAVE setzt neue Parameter fr alle nachfolgenden Aufrufe von VIRUSCAN. Die Optionen werden gespeichert, indem die Ausfhrbare Datei SCAN.EXE entsprechend ver„ndert wird. Zum Beispiel setzt der Aufruf SCAN /NOMEM /REPORT FILE1 /NOPAUSE /SAVE die Standardparameter von SCAN auf /NOMEM, /REPORT und /NOPAUSE. Der Aufruf von SCAN nur mit dem Parameter /SAVE, entfernt die ver„nderten Parameter und setzt diese auf die ursprnglichen Werte von SCAN zurck. VIRUSCAN Version 9.28V116 Seite 15 Wenn Sie die Datei SCAN.EXE nicht „ndern wollen, so verwenden Sie stattdessen die Option @Dateiname. Diese Option erm”glicht es, die Optionen in einer separaten Textdatei zu speichern. HINWEIS: Sollten Sie die Option /SAVE verwenden, so mssen Sie die Version 0.4 von VALIDATE einsetzen, wenn Sie die Prfsummen von SCAN ab der Version 89 prfen wollen. Da /SAVE die ausfhrbare Datei SCAN.EXE ver„ndert, werden sich auch die Prfcodes „ndern, wenn eine „ltere Version von VALIDATE eingesetzt wird. Die Version 0.4 von VALIDATE liefert immer die gleichen Prfsummen, ob die Option /SAVE nun verwendet wurde oder nicht. Prfsummenprogramme anderer Hersteller k”nnen unter Umst„nden unterschiedliche Ergebnisse vor und nach dem Aufruf von /SAVE liefern. /SAVE sollte daher vom Systemverwalter angeh„ngt werden, bevor das Programm auf einem Ger„t installiert wird, welches andere Prfsummenprogramme verwendet. Die Option /SHOWDATE zeigt das Datum und die Uhrzeit des letzten Durchlaufs von SCAN an. Es wird nicht nach Viren gesucht. HINWEIS: Wenn SCAN mit der Option /SHOWDATE aufgerufen wird, so wird *NICHT* nach Viren gesucht, sondern nur das Datum des letzten Durchlaufs angezeigt. Die Option /SUB erm”glicht es, Unterverzeichnisse in Unterverzeichnissen ebenfalls durchsuchen zu lassen. Bisher hat SCAN Unter-Unterverzeichnisse nur dann durchsucht, wenn ein ganzes Laufwerk (z.B. C:) durchsucht wurde. Die Option @Dateiname erm”glicht es dem Anwender, die ben”tigten Optionen und/oder zu durchsuchenden Bereiche des Systems in einer Konfigurationsdatei zu speichern. SCAN liest dann bei jedem Aufruf diese Datei und fhrt die Anweisungen aus. Die einzelnen Optionen mssen durch Leerzeichen voneinander getrennt werden, w„hrend Systembereiche (Laufwerke oder Unterverzeichnisse oder Dateien) in einer separaten Zeile stehen mssen. Eine solche Datei k”nnte wie folgt aussehen: /A /BELL /CV /NOMEM /REPORT C:\VIRUSCAN\SCAN.LOG C: D:\BBS E:\MCAFEE\CLEAN-UP\CLEAN.EXE Die erste Zeile enth„lt die Optionen fr VIRUSCAN, w„hrend die anderen Zeilen die Namen der zu durchsuchenden Dateien, Unterverzeichnisse und Laufwerke enthalten. Wenn Sie zur Erstellung einer solchen Datei ein Textverarbeitungsprogramm verwenden, achten Sie bitte darauf, daá die Datei im ASCII-Format gespeichert wird. VIRUSCAN Version 9.28V116 Seite 16 BEISPIELE Die folgenden Beispiele demonstrieren verschiedene M”glichkeiten, SCAN aufzurufen. SCAN C: Um das Laufwerk C: zu durchsuchen SCAN F: Um das Laufwerk F: in einem Novell Netzwerk zu durchsuchen SCAN F: G: H: /A /D Durchsucht alle Dateien in den Netzwerklaufwerken F:, G: und H: und l”scht sofort alle infizierten Dateien, wenn Viren gefunden werden. SCAN A:R-HOOPER.EXE Um die Datei "R-HOOPER.EXE" im Laufwerk A: zu durchsuchen SCAN A: /A /CV Um alle Dateien im Laufwerk A: zu durchsuchen und Prfsummen fr unbekannte Viren zu kontrollieren SCAN C: D: E: /AV /NOMEM Um Prfsummen an die Dateien in den Laufwerken C:, D: und E: anzuh„ngen; den Speicher nicht berprfen SCAN C: D: /M /A Den Speicher und alle Dateien in den Laufwerken C: und D: nach allen Viren durchsuchen. SCAN C: /EXT A:BEISPIEL.ASC /BELL Das Laufwerk C: nach bekannten Viren und auch nach den in der vom Benutzer angelegten Datei BEISPIEL.ASC im Laufwerk A: angegebenen Suchstrings durchsuchen und bei jedem gefundenen Virus pfeifen SCAN C: /M /NOPAUSE /REPORT A:INFECTN.RPT Im Speicher und im Laufwerk C: nach allen Viren suchen und ohne Best„tigungen eine Liste der infizierten Dateien in der Datei INFECTN.RPT im Laufwerk A: ablegen SCAN C: D: /NOPAUSE /REPORT B:VIRUS.RPT Um die Laufwerke C: und D: ohne Unterbrechung durchsuchen zu lassen und im Laufwerk B: eine Berichtdatei Namens VIRUS.RPT zu erstellen. SCAN E:\USER\DUNN E:\USER\LUCAS E:\USER\THOMAS /SUB Um alle Unterverzeichnisse in den Verzeichnissen USER\DUNN, USER\LUCAS und USER\THOMAS im Laufwerk E: zu durchsuchen. VIRUSCAN Version 9.28V116 Seite 17 SCAN C: D: E: /FAST /CERTIFY Um die Laufwerke C:, D: und E: im Schnelldurchlauf zu durchsuchen. Gleichzeitig auf Dateien prfen, die keine Prfsummen enthalten. SCAN @C:\SCANOPTN.LST Starten von VIRUSCAN unter Verwendung der Konfigurationsdatei SCANOPTN.LST, die sich im Stammverzeichnis der Platte C: befindet. SCAN /AD /M šberprft alle lokalen Festplatten und den Arbeitsspeicher EXIT CODES Bei Programmende setzt VIRUSCAN den DOS-ERRORLEVEL. Der ERRORLEVEL wird dazu verwendet, um Batch-Dateien das Ergebnis von Programmen mitzuteilen. Die von SCAN bergebenen ERRORLEVELS sind wie folgt: Errorlevel ³ Beschreibung ÍÍÍÍÍÍÍÍÍÍÍØÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ 0 ³ Keine Viren gefunden 1 ³ Einen oder mehrere Viren gefunden 2 ³ Abnormales Programmende (Programmfehler) 3 ³ Eine oder mehr ungeprfte Dateien gefunden 4 ³ SCAN durch Ctrl-C or Ctrl-Break abgebrochen Wenn der Anwender den Suchvorgang abbricht, setzt SCAN den ERRORLEVEL auf 4. Sie k”nnen die Option /NOBREAK dazu verwenden, ein Abbrechen zu verhindern. VIREN ENTFERNEN Was sollten Sie tun, wenn Sie einen Virus finden? Die Firma Kirschbaum Software GmbH bietet Ihnen Hilfestellung bei der manuellen Entfernung von Viren, vertreibt Desinfizierungsprogramme und weitere Informationen ber Viren. Es gibt zun„chst das universelle Virenentfernungsprogramm CLEAN-UP, das die meisten bekannten Viren entfernt. Es wird immer zusammen mit SCAN aktualisiert, um auch neue Viren entfernen zu k”nnen. Auch dieses Programm k”nnen Sie entweder von Kirschbaum Software GmbH beziehen oder in einer Kennenlernversion aus der McAfee-Mailbox, den mcafee.COM und SIMTEL20 Archiven in InterNet oder dem McAfee Virus Help Forum in CompuServe downloaden. Es wird w„rmstens empfohlen, daá Sie auf fachm„nnische Hilfe zurck- greifen, wenn Sie mit gef„hrlichen Viren umgehen mssen. Eine Liste solcher Viren finden sie weiter oben bei der Option /M. Insbesondere bei Viren, die Daten besch„digen oder deren Verlust verursachen k”nnen, bei Bootsektor- und Partitionstabellenviren, da ein Fehler bei deren Entfernung zu einem v”lligen Datenverlust auf diesem Medium fhren kann. VIRUSCAN Version 9.28V116 Seite 18 Wenn Sie von Hand einen Datei-Virus g„nzlich entfernen wollen, so k”nnen Sie mit den Optionen /A und /D von SCAN alle infizierten Dateien l”schen. Genauso wie beim Entfernen von Bootsektor- oder Partitions- tabellenvirus, sollten Sie Ihren Rechner vorher ausschalten und von einer einwandfreien, schreibgeschtzten Bootdiskette starten. Nach diesem Start sollten Sie vor weiteren Schritten alle wichtigen Daten sichern. REGISTRIERUNG Sollten Sie noch nicht registriert sein, so wenden Sie sich bitte an Kirschbaum Software GmbH Tel: 0 80 67 / 10 16 Kronau 15 Fax: 0 80 67 / 10 53 D-83550 Emmering bei Wbg. Dort k”nnen Sie alle Modalit„ten zur Registrierung der Produkte von McAfee Associates erfahren. Auch bei privater Benutzung der McAfee- Programme ist die Registrierung unbedingt erforderlich! Einmal registriert, brauchen Sie sich w„hrend der Lizenzdauer um die Beschaffung der jeweils aktuellen Version keine Gedanken mehr zu machen, vorausgesetzt Sie nehmen den von Kirschbaum Software angebotenen Updateservice in Anspruch. Die regelm„áige Zusendung aller neuen Versionen ist dann sichergestellt. TECHNISCHER SUPPORT Um einen schnellen und effektiven Support zu erleichtern, werden Sie gebeten, bei Rckfragen die folgenden Informationen bereit zu halten: - den Namen und die Version des Programmes - Typ und Hersteller des Computers, der Festplatte, sowie aller Peripherieger„te - die Versionsnummer des von Ihnen verwendeten Betriebssystems, sowie der verwendeten TSR-Programme und Systemtreiber - Ausdrucke von CONFIG.SYS und AUTOEXEC.BAT - Einen Ausdruck vom Speicherinhalt wie er zum Beispiel von MEM (erst ab DOS 4.0) oder „hnlichen Programmen erstellt wird - Eine genaue Beschreibung Ihres Problems. Bitte seien Sie so genau wie m”glich. Hilfreich ist, wenn Sie eine Hardcopy Ihres Bildschirms haben bzw. sich am Computer befinden. McAfee Associates k”nnen Sie erreichen ber BBS, CompuServe, FAX oder InterNet rund um die Uhr, oder ber Telefon 001 408 988 3832, von Montag bis Freitag von 7:00 bis 17:30 (Pacific Time = 9 Stunden sp„ter als MEZ). VIRUSCAN Version 9.28V116 Seite 19 McAfee Associates, Inc. (408) 988-3832 office 3350 Scott Blvd. Bldg. 14 (408) 970-9727 fax Santa Clara, CA 95054-3107 (408) 988-4004 BBS (25 lines) U.S.A USR HST/v.32/v.42bis/MNP 1-5 CompuServe GO MCAFEE Internet support@mcafee.COM America Online MCAFEE Die Hotline der Firma Kirschbaum Software GmbH ist von Montag bis Freitag in der Zeit von 9.00 Uhr bis 16.00 Uhr zu erreichen. DAS HILFSFORUM FšR COMPUTERVIREN IN COMPUSERVE McAfee Associates unterh„lt das McAfee Virus Help Forum ber CompuServe. SCAN-Updates, Vireninformationen und Programmsupport erhalten Sie, wenn Sie nach einem beliebigen Compuserve-Prompt "GO MCAFEE" eingeben. Eine kostenlose Einfhrungsmitgliedschaft zu Compuserve ist m”glich. Genaueres finden Sie in der beiligenden Compuserve-Datei (COMPUSER.NOT). INTERNET ACCESS TO McAFEE ASSOCIATES SOFTWARE The latest versions of McAfee Associates' anti-viral software is now available by anonymous ftp (file transfer protocol over the Internet from the site mcafee.COM. If your domain resolver does not support names, use the IP# 192.187.128.1. McAfee Associates' anti-viral software may also be found at the Simtel20 archive site WSMR-SIMTEL20.Army.MIL in the PD1: directory and its associated mirror sites. ANHANG A: Erstellen einer Virus-Textdatei mit der Option /EXT HINWEIS: Die Option /EXT ist ausschlieálich fr Notf„lle und Forschungszwecke gedacht. Sie stellt eine šbergangsl”sung dar um neue Viren aufzuspren, bis eine neue Version von SCAN auf den Markt kommt. Detaillierte Kenntnisse ber Viren und Suchstringtechniken sind die Voraussetzungen fr den Einsatz dieser Option. Es wird eine Stringl„nge von 10 bis 15 Byte empfohlen. Die externe Virendatei muá mit einem Texteditor erstellt werden, der die Texte als reine ASCII-Dateien ablegt. Stellen Sie sicher, daá jede Zeile mit CR/LF abgeschlossen wird. Die Virusdatei muá folgendes Format haben #Kommentar zu Virus_1 "aabbccddeeff..." Virus_1_Name #Kommentar zu Virus_2 "gghhiijjkkll..." Virus_2_Name . . "uuvvwwxxyyzz..." Virus_n_Name VIRUSCAN Version 9.28V116 Seite 20 aa, bb, cc usw. stehen dabei fr die hexadezimalen Werte (Bytes) nach denen Sie suchen lassen wollen. Jede Zeile in dieser Datei repr„sentiert einen Virus. Der Name fr jeden Virus muá angegeben werden und kann bis zu 25 Zeichen lang sein. Auch Anfhrungszeichen (") am Anfang und Ende jedes hexadezimalen Suchstrings mssen angegeben werden. SCAN benutzt diese Textdatei um den Speicher, in der Partitionstabelle, dem Bootsektor, den Systemdateien, allen .COM- und .EXE- und Overlaydateien mit den Erweiterungen .APP, .BIN, .COM, .EXE, .OV?, .PGM, .PIF, .PRG, .SWP, .SYS und .XTP nach Viren zu suchen. Die Virenstrings k”nnen Joker enthalten. Die beiden zul„ssigen Joker sind: Joker fr eine feste Position Das Fragezeichen "?" repr„sentiert an der angegebenen Position im String ein beliebiges Byte. Der Suchstring: "57 41 47 4E ? 52 20" findet zum Beispiel "57 41 47 4E 45 52 20", "57 41 47 4E 9C 52 20", oder jeden „hnlichen String, unabh„ngig davon welches Byte sich an fnfter Stelle befindet. Joker fr Bereiche Der Stern "*", gefolgt von einer Bereichszahl in Klammern "(" und ")", stellt eine wechselnde Zahl von benachbarten, zuf„lligen Bytes dar. So findet der Suchstring: "E9 7C *(4) 37 CB" "E9 7C 00 37 CB", "E9 7C 00 11 37 CB", und "E9 7C 00 11 22 37 CB". Der String "E9 7C 00 11 22 33 44 37 CB" wrde nicht passen, da der Abstand zwischen 7C und 37 gr”áer ist als 4 Bytes. Der Bereich kann bis zu 99 Bytes betragen. Es k”nnen bis zu 10 verschiedene Joker beider Typen in einem Virusstring angegeben werden. KOMMENTARE Das Doppelkreuz "#" am Zeilenanfang kennzeichnet Kommentare. Machen Sie davon Gebrauch um in externen Virendateien Kommentare einzubauen. Zum Beispiel: #Neuer COM-Virus der am 22.01.91 in der Datei #FRITZ.COM aus Schneiderland gefunden wurde "53 48 45 45 50" Fritz-1 [F-1] Kommentare k”nnen Sie dazu verwenden, um eine Beschreibung des Virus einzufgen, den Namen der ursprnglich befallenen Datei, wo und wann er gefunden wurde, und so weiter. VIRUSCAN Version 9.28V116 Seite 21 ANHANG B: Verschiedene Anwendungshinweise NUR DEN SPEICHER NACH VIREN DURCHSUCHEN VIRUSCAN ist in der Lage, nur den Speicher nach Viren zu durchsuchen. In diesem Fall wird SCAN die Festplatte nicht auf Viren berprfen. Diese Option ist fr Netzwerkverwalter ntzlich, die die einzelnen Workstations berprfen mssen, bevor sich diese im Netz einloggen drfen. Die Workstations, aufgrund von mangelndem Speicherplatz, VSHIELD aber nicht installieren k”nnen. Der einzugebende Befehl lautet: SCAN NUL /M /CHKHI Indem Sie NUL als das zu durchsuchende Laufwerk angeben, wird SCAN den Speicher (hoch bis 1088 KB wenn Sie die Option /CHKHI angeben) nach Viren durchsuchen und zu DOS zurckkehren, ohne irgendeine Festplatte zu durchsuchen. SCAN setzt den DOS-ERRORLEVEL wie gewohnt. PRšFCODES VON VIRUSCAN Wenn Sie neue Software oder Programme auf Ihrem Rechner installieren und VIRUSCAN oder VSHIELD mit der Option /CF, /CG oder /CV zur šberprfung der Prfsummen aufrufen, mssen Sie mit der Option /AF, /AG oder /AV von VIRUSCAN die Prfsummen an die neuen Dateien anh„ngen. Zus„tzlich muá unter Umst„nden die versteckte Datei SCANVAL.VAL, die die Prfsummen der Partitionstabelle, des Bootsektors, des COMMAND.COM und der Systemdateien enth„lt, ersetzt werden (machen Sie die Datei mit dem DOS-Befehl ATTRIB sichtbar und l”schen Sie sie). Der schnellste Weg um die Prfsummen zu aktualisieren besteht darin, alle Prfsummen zun„chst mit der Option /RV zu entfernen und dann mit /AV wieder berall anzufgen. HINWEIS: Dies gilt genauso fr alle neuen DOS-Versionen wie fr jedes andere Programm, das Sie auf Ihrem Rechner installieren. FORMATIEREN INFIZIERTER DISKETTEN unter DOS 5.00 und 6.00 Wenn Sie mit MS-DOS 5.0 infizierte Disketten neu formatieren, passen Sie bitte auf, daá Sie beim Aufruf von FORMAT den Parameter /U mit angeben. Dadurch wird die Diskette formatiert, und der ursprngliche (infizierte) Bootsektor nicht gesichert. Diese Maánahme verhindert, daá der Virus erneut aktiviert wird, wenn die Formatierung der Diskette mit UNFORMAT aufgehoben wird. VIRUSCAN Version 9.28V116 Seite 22 ERSTELLEN EINER RETTUNGSDISKETTE MIT DER OPTION /AF Die Option /AF die seit der Version 90 von SCAN verfgbar ist, erstellt eine separate Datei, die Reparaturdaten und Prfsummen enth„lt. Diese Datei kann auch auáerhalb des Systems (auf einer Diskette, Netzwerklaufwerk, Band oder „hnlichem) gespeichert werden, und im Bedarfsfall herangezogen werden, um das System zu berprfen bzw. bei Infektionen mit unbekannten Viren wieder zu desinfizieren. Um eine Rettungsdiskette zu erzeugen, erstellen Sie sich eine Bootdiskette mit "format A: /S" und kopieren sich VIRUSCAN (SCAN.EXE) und CLEAN-UP (CLEAN.EXE) auf diese Diskette. Dann lassen Sie SCAN mit der Option /AF die Festplatte berprfen. Zum Beispiel: SCAN C: D: /AF A:\SCANCRC.CRC prft die Laufwerke C: und D: auf bekannte Viren und erstelle eine Datei Namens SCANCRC.CRC die die Reparaturdaten und Prfsummen enth„lt. Wenn SCAN fertig ist, bringen Sie an der Diskette den Schreibschutz an. Um den Rechner auf eine Infektion zu prfen, schalten Sie den Rechner aus. Dann legen Sie die Rettungsdiskette ein, und schalten den Rechner wieder ein. Der Rechner wird jetzt von der Diskette booten. Dann geben Sie auf DOS-Ebene folgendes ein: SCAN C: D: /CF A:\SCANCRC.CRC um die Laufwerke C: und D: mit den in der Datei SCANCRC.CRC gespeicherten Daten zu vergleichen. Um Ihr System zu desinfizieren, schalten Sie den Rechner aus, legen Sie die Rettungsdiskette ins Laufwerk A: ein und schalten Sie den Rechner wieder ein. Der Rechner startet daraufhin von der Diskette. Danach geben Sie auf DOS-Ebene folgende ein: CLEAN C: D: /GRF A:\SCANCRC.CRC Dadurch werden die Laufwerke C: und D: mit Hilfe der in der Datei SCANCRC.CRC auf Diskette gespeicherten Daten wieder restauriert. VIRUSCAN Version 9.28V116 Seite 23 Anhang C : Meldungen in anderen Sprachen VIRUSCAN kann alle Meldungen in anderen Sprachen ausgeben, wenn diese in Form einer Datei MCAFEE.MSG zur Verfgung stehen. Ist keine solche Datei in dem Verzeichnis vorhanden, aus dem SCAN.EXE gestartet wurde, dann werden alle Meldungen in Englisch angezeigt. Um eine andere Sprache zu nutzen, kopieren Sie das jeweilige Sprach- modul in das gleiche Verzeichnis, in dem auch SCAN.EXE gespeichert ist und „ndern Sie danach den Namen der Datei in MCAFEE.MSG um. Nachdem Sie SCAN gestartet haben, wird es automatisch nach einer solchen Datei MCAFEE.MSG suchen. Die Datei mit den deutschen Meldungen heiát GERMAN.MSG Hinweis: Wenn ein Modul fr Programm-Meldungen in anderer Sprache benutzt wird, erh”ht sich der Speicherbedarf von Scan um die Gr”áe der entsprechenden .MSG-Datei (zwischen 15 und 25 KB). WICHTIGE INFORMATION ZUM SCHLUSS : Aufgrund der ganzen Problematik bei Virenschutzprogrammen besteht immer die M”glichkeit, daá ein Virus gemeldet wird, obwohl kein Virus vorhanden ist. Wenn Sie eine solche Falschmeldung erhalten, dann treten Sie bitte mit McAfee ber Telefon 001 408 988-3832 oder ber FAX 001 408 970-9727 in Verbindung oder senden die fragliche Datei elektronisch an die Mailbox 001 408 988-4004 zusammen mit Ihrem Namen, Anschrift und Ihrer Telefonnummer, CompuServe Kennung etc..