Das Internet hat viele Gesichter. Es zeichnet sich nicht nur durch seine Informationsfülle, sondern auch durch Tausende von Programmen aus, die wir herunterladen können, ohne erst einmal einen Pfennig dafür zu bezahlen. Das hat aber den Nachteil, daß man sich etwas einfangen kann – einen Virus.
Nichts in der Welt der Computer wird so fehl- und mißverstanden wie Computerviren. Fast das gesamte Wissen auf diesem Gebiet befindet sich ausschließlich in zwei Händen: denen, die Sie pflanzen und denen, die Sie zu bekämpfen versuchen.
Wir befassen uns in diesem Kapitel mit Computerviren und betrachten, was sie sind, was sie machen, wie wir sie abwehren können und wie wir aus einem Befall wieder heil herauskommen.
Nicht einmal die besten Virusbekämpfer sind bisher in der Lage, genau zu definieren, was ein Virus ist. Wir wissen natürlich alle, was ein Virus ist, der Menschen attackiert. Hier ist die Rede von Viren, die nur auf Computern ausbrechen. Der Schlüssel zur Begriffsbestimmung sind die Wörter Programm und Replikat. Um etwas von einem Computer auf einen anderen, von einer Diskette auf eine andere zu übertragen, replizieren wir dieses Etwas. Damit das möglich ist, brauchen wir ein bestimmtes Programm. In manchen, aber nicht allen Viren sind zwei weitere Elemente vorhanden: ein Trigger und ein Payload. Ein Trigger ist ein auslösender Programmteil, der sich nach bestimmten Ereignissen, z. B. einem Datum, einer bestimmten Anzahl von Plattenzugriffen oder einer Anzahl von Duplizierungen umsieht. Er kann benutzt werden, um den Payload-Abschnitt des Virus zu aktivieren. Payloads sind in manchen Viren gutartig. Der Virus Stoned kündigt z. B. lediglich an, daß Ihr Computer von ihm befallen ist. Mehr passiert aber nicht. Manche Versionen enthalten eine zusätzliche Nachricht, die den Benutzer auffordert, unverzüglich bei den zuständigen Gerichten dafür zu sorgen, daß Marjiuana (daher der Name) legalisiert wird (derzeit ein brandaktuelles Thema). Andere führen böswilligere Payloads mit sich. Diese Arten löschen z. B. mit Vorliebe alle Daten von der Festplatte.
Abgesehen von den offensichtlichen Symptomen, die Virenprogrammierer manchmal in ihre Produkte einbinden, gibt es noch weitere Anzeichen dafür, daß sich auf Ihrem Rechner vielleicht ein Virus eingenistet hat:
Solche Veränderungen sind meist auf einen Virus zurückzuführen. Aber Achtung: eventuell ist etwas defekt!
Falls Sie feststellen, daß eine Datei gelöscht wurde oder fehlt, oder wenn ein Programm nicht mehr richtig zu laufen scheint, muß nicht unbedingt ein Virus dafür verantwortlich sein. Wichtig ist vor allem, nicht in Panik auszubrechen. Weit mehr Schäden entstehen durch nervöse Finger als durch Viren.Kurz zusammengefaßt, ist ein Virus ein Programm, das repliziert. Es muß nicht unbedingt Schäden anrichten, es muß sich nur verbreiten. Und damit es sich verbreiten kann, muß der Virus irgendwie veranlassen, daß der Benutzer ihn zum Laufen bringt. Das ist leicht zu erreichen. Man hängt einen Virusprogrammcode an ein anderes Programm an, das der Benutzer mit Sicherheit ausführen wird. Da fast alle Programme auf der Festplatte und auf Disketten gespeichert werden, muß ein Virus nur die Datei ändern, die das Programm enthält, ohne daß es der Benutzer merkt. Egal, um welchen Computer und welches Betriebssystem es sich handelt, fast alle Viren schlagen einen von zwei Wegen ein, um ihr Ziel zu erreichen. Sie infizieren Dateien oder sie infizieren Bootsektoren auf Platten.
Diese Viren sind leicht aufzuspüren. Alle ausführbaren Programme haben auf einem System gemeinsame Merkmale. Sie laufen beispielsweise unter einem bestimmten Betriebssystem mit Dateinamen, die bestimmte Erweiterungen haben.
Ein Dateierreger wird weitergereicht, wenn ein infiziertes Programm ausgeführt wird und dadurch den Viruscode auf eine andere ausführbare Datei überträgt. Wird das zweite Programm ausgeführt, hängt es den Viruscode an ein drittes Programm an, und so fort, bis alle Programme auf der Festplatte infiziert sind. Das muß aber nicht immer so sein. Manche Viren dieser Art infizieren mehrere Programme gleichzeitig beim Ausführen.
Emulationsprogramme verbreiten sich immer mehr (z. B. Programme, die ermöglichen, daß Software auf dem PC und dem Mac benutzt werden kann). Ein Mac kann einen PC-Virus auf PC übertragen, obwohl er selbst nicht befallen ist. In manchen Fällen wird ein PC-Programm nur angesteckt, wenn es auf einem Mac emuliert wird.
Eine neuere Sorte sind Makroviren. Sie laufen auf jedem System, auf dem die betreffenden Makros ausgeführt werden. Erhalten Sie beispielsweise ein Word-Dokument, das auf einem PC erstellt wurde, und laden Sie es im Mac, brechen die Viren vielleicht nicht aus.
Alle Festplatten und Disketten enthalten einen Bootsektor. Das ist der erste physische Sektor. Auf ihm wird ein kleines Programm gespeichert, das veranlaßt, daß der Computer startet und läuft. Jedesmal, wenn Sie Ihren Computer starten, läuft dieses kleine Ding. Ein Bootsektor-Erreger (BSI) kann nur ausbrechen, wenn Sie Ihren Computer mit der infizierten Diskette starten. Starten Sie Ihren Computer grundsätzlich von der Festplatte, kommt der Virus nie zum Zug.
Bei Computerviren kann man nie von festen Regeln ausgehen. So gibt es z. B. einen Virus namens Dropper, der einen Virus im Bootsektor einpflanzt. Diese Viren können einen Bootsektor infizieren, auch wenn der Computer nie von einer infizierten Diskette gestartet wird. Ferner gibt es Multipartite-Viren, die sowohl Dateien als auch den Bootsektor infizieren. Ein Beispiel ist Tequila.Bootsektor-Viren sind nicht leicht zu fangen, aber leicht zu verbreiten. Ist ein PC einmal infiziert, kann ein Virus von einer Festplatte auf eine Diskette weitergegeben werden. Wird diese Diskette benutzt, um einen anderen Computer zu starten, ist es schon passiert.
Bei 90% aller Mitte 1995 berichteten Erregern handelte es sich um Bootsektor-Viren. Auch unter Windows 95 etablieren sie sich langsam, aber sicher.
Man kann sich gegen Bootsektor-Viren aber gut schützen. Weisen Sie Ihren Computer an, niemals von einer Diskette zu booten. Bei den meisten Computern kann man das in der Systemkonfiguration einstellen.
Eine Variante von Bootsektor-Viren in der PC-Welt sollte man kennen. Das ist der BIOS-Virus (manche nennen ihn auch Master Boot Record Virus). Aufgrund der Art, wie dieser Virus einen PC angreift, spielt das Betriebssystem keine Rolle. Er kann auf allen Plattformen ausbrechen. Bekannte Viren dieser Gattung sind Brain, Stoned, Empire, Azusa und Michelangelo.
Ein wichtiger Aspekt bei Computerviren ist der, daß sie nur in Programmen, nicht aber in Daten enthalten sein können. Makros sind Daten, die einen Einfluß darauf nehmen, wie ein Programm funktioniert. In gewisser Weise ist ein Makro ein Miniprogramm in einem Programm. Jeder Benutzer kennt Makros, deshalb muß darauf nicht näher eingegangen werden.
Makros haben sich inzwischen zum Lieblingskind von Virenentwicklern gemausert. Benutzen Sie ein Programm mit einer reichen Makrosprache, z. B. Microsoft Word, müssen Sie wissen, daß es Makroerreger gibt. Microsoft Word hat die Fähigkeit, ein Makro direkt in eine Datei einzubetten. Angesichts der Tendenz, daß immer mehr Programme mehrere Plattformen unterstützen, können sich solche Viren gemächlich, aber sicher auf alle Computer der Welt ausbreiten.
Nun fragen Sie sich vielleicht, wie groß die Gefahr wirklich ist. Das kann am besten mit der Zahl der bekanntgewordenen Viren beantwortet werden. Derzeit sind 6.000 PC-Viren, 50 Macintosh-Viren und etwa vier UNIX-Viren bekannt. Viele davon sind aber nicht weit verbreitet.
Manchmal hat man den Eindruck, daß mehr Verwirrung darüber herrscht, was ein Virus nicht ist, als was er ist. Das liegt daran, daß außer dem Entwickler und den Leuten, die Abwehrprogramme schreiben, niemand weiß, wie sie funktionieren.
Die Medien erhalten den Großteil ihrer Produktinformationen von den Leuten, die sie herstellen und verkaufen. Antiviren-Programme bilden da keine Ausnahme. Sie werden sich natürlich hüten, öffentlich zu erklären, wie genau ein bestimmter Virus funktioniert und was man dagegen machen kann. So verbreiten sich Gerüchte und falsche Vorstellungen.
Die Wahrheit ist irgendwo in der Mitte angesiedelt. Die meisten Viren zerstören weder den Computer noch seine Daten. Sie stiften viel Unruhe und kosten Zeit und Geld. Ein paar gefährliche Viren sind aber bekanntgeworden.
Wenn Sie sich einen Computervirus einfangen, stehen die Chancen hoch, daß Sie nicht alle Daten verlieren. Von den Tausenden von Viren, die bisher geschrieben wurden, waren nur ganz wenige damit erfolgreich, sich durch die gesamte Computergemeinde der Welt zu verbreiten. Die meisten wurden aufgespürt, bevor sie Unheil anrichten konnten. Die »erfolgreichsten« Viren sind solche, die keine Payload enthalten. Sie können sich unbemerkt replizieren. Viren mit Payload kündigen sich auf dramatische Weise an und können leichter aufgespürt werden.
Die große Virenhysterie ist eigentlich erst Ende der achtziger Jahre ausgebrochen. Bis dahin waren Computerviren so gut wie unbekannt (was nicht heißen soll, daß es keine gab). Schnell verbreiteten sich Gerüchte über Viren, die Monitore zum Durchbrennen bringen und solche, die in Signalen über Telefonleitungen und das Modem einschleichen. Manch einer hat auch behauptet, sein Diskettenlaufwerk sei befallen.
In PC World vom 1. April 1991 war zu lesen, daß ein amerikanischer Hersteller von Druckern während des Golfkriegs eine Sendung von Geräten in den Irak geliefert habe. Sie seien (absichtlich) mit einem Computervirus infiziert gewesen. Der Grund, warum die Alliierten damals mit ihrem Luftangriff so lange warteten, soll der gewesen sein, daß man auf den Ausbruch des Viruserregers gewartet habe.
Die hysterische Welle brach aus, als im Herbst 1987 der Brain- und der Lehigh-Virus an der Universität von Delaware und der Jerusalem-Virus an der Hebräischen Universität der Heiligen Stadt ausbrachen. Anfang 1988 zeigte sich der Stoned-Virus zum ersten Mal. Im Oktober des gleichen Jahres wurde eine Computerviren-Konferenz abgehalten. Alle Leute von Rang und Namen auf dem Gebiet waren präsent.
Das war aber alles noch ein Kinderspiel, bis Dark Avenger auf die Bühne trat. Kurz danach folgten polymorphe Viren. Sie können mit jeder Iteration ihren eigenen Code ändern, so daß sie mit den damals üblichen Techniken nicht bekämpft werden konnten. Zug um Zug wurden dann weitere Viren unterschiedlichen Charakters bekannt, bis Makroviren 1995 alle bestehenden Regeln über den Haufen warfen.
Die meisten Viren werden natürlich mit der Begabung ausgestattet, ihre Aktionen vor dem Benutzer zu verbergen. Mit den meisten Antiviren-Programmen wird versucht, Viren in einer Datei oder auf dem Bootsektor dadurch aufzuspüren, daß die Bytes der Datei mit einem bekannten Muster des Virus verglichen werden. Manche Viren reagieren auf diese Technik dadurch, daß sie sich von einer Replikation zur nächsten verändern.Ende der achtziger Jahre begannen »Virusexperten« mit dem Ausschütten von Antivirus-Programmen in der gleichen Geschwindigkeit, in der findige Leute Computerviren schufen. Bald verbreiteten sich Gerüchte, daß so manch ein Entwickler von Abwehrprogrammen selbst Viren pflanzte, die dann natürlich nur sein Produkt vernichten konnten.
Freitag, der 13. Oktober 1989 – das war das Datum, an dem der relativ gutmütige Jerusalem-Virus und der böswilligere Columbus Day die Computerwelt auf immer und ewig verändern sollten. Das zumindest war in den Medien zu erfahren. Die Vorstellung war weniger spektakulär als erwartet. Das kritische Datum näherte sich und verlief ohne besondere Vorkommnisse. Nicht mehr als eine Handvoll Computer waren infiziert worden.
Michelangelo ist ein Virus, der alle auf einer Festplatte befindlichen Daten an jedem 6. März eines Jahres ab seiner Entdeckung (1991) zerstört. So war in den Medien zu erfahren. 50 Millionen Personalcomputer sollten am 6. März 1992, 517 Jahre nach der Geburt von Michelangelo, vernichtet werden. Die Katastrophe blieb bis heute aus.
Es ist kaum zu erwarten, daß die Medien dieser Welt nach der Blamage, die sie durch die falsch verbreitete Todesgefahr aller Computer der Welt durch Jerusalem, Columbus Day und Michelangelo einstecken mußten, jemals wieder eine derartige Hysterie vom Zaum brechen werden. Wir dürfen uns also entspannt zurücklehnen und unsere Daten mit der nötigen Gelassenheit schützen.
Man unterscheidet zwischen drei Kampfarten, um Computerviren zur Strecke zu bringen:
Von den drei Techniken ist das Abtasten auf bekannte Viren für den PC die vorherrschende Form. Auf die Frage, warum das so sei, antwortete ein bekannter Experte auf einer Konferenz über Computerviren lapidar mit »Marketing«.
Das Prinzip des Abtastens nach Viren ist einfach. Ein Virus ist ein Programmcode, der den Computer zu etwas veranlaßt. Jeder Virus hat eine eindeutige Signatur. Ein Virenscanner kann eine Programmdatei oder einen Bootsektor prüfen und feststellen, ob eine Signatur von einem der bekannten Viren vorhanden ist. Trifft das zu, identifiziert er ihn und meldet seine Entdeckung dem Benutzer.
Das hat einen großen Nachteil. Der Virus muß bekannt sein. Das heißt, wer immer ein wirksames Antivirus-Programm entwickelt, muß die Signatur des betreffenden Virus kennen. Um an eine Signatur zu kommen, muß der Programmierer ein Exemplar des Virus haben und eine Reihe von Programmanweisungen wählen, die nur in diesem Virus vorkommen. Das ist natürlich ein riesiger Arbeitsaufwand. Jedesmal, wenn ein neuer Virus auftaucht, muß das Antivirus-Programm aktualisiert werden.
Da Programme als Dateien auf der Festplatte gespeichert werden, können Änderungen in Dateien jederzeit festgestellt werden. Auf diesem Prinzip basiert die Technik der Checker. Eine mathematische Formel berechnet eine gültige Signatur der Programmdatei und speichert das Ergebnis in einer Datendatei. Ändert ein Virus den Inhalt der Programmdatei, stimmen die Werte nicht mehr überein.
Diese Methode hat den Vorteil, daß der Virus dem Abwehrprogramm nicht bekannt sein muß, um wirksam zu sein. Der Nachteil ist, daß man nicht weiß, welcher Virus sich wann eingeschlichen hat. Selbstverständlich ist diese Methode wirkungslos, wenn eine Programmdatei bereits infiziert war, als die Signatur berechnet wurde.
Bei dieser Kategorie der Abwehrprogramme handelt es sich um Programme, die jede virusähnliche Aktivität erkennen und monieren. So gibt es z. B. selten oder nie einen Grund, den Bootsektor eines Computers zu ändern. Treten im Bootsektor eines Computers Veränderungen auf, kann man mit einem Virus rechnen.
Blocker machten sich kurz nach der Einführung der ersten Produkte schnell unbeliebt, weil sie häufig falschen Alarm ausgeben. Da es Programme gibt, die legitim virenartige Verhaltensweisen an den Tag legen, werden diese Antiviren-Programme sofort lästig, obwohl kein Virus vorhanden ist. Aus vielen Gründen sind diese Antiviren-Programme am wenigsten geschätzt.
Nach allem, was Sie bisher gelesen haben, können Sie sich vorstellen, daß das Geschäft mit Antiviren-Software boomt. Ständig werden neue Antivirus-Programme eingeführt und vorhandene werden laufend aktualisiert. Bevor Sie sich für einen neuen oder anderen Virusdoktor entscheiden, sollten Sie sich an folgenden Web-Sites umsehen:
http://www.cabot.nf.ca/general_links/virus_software.html
http://isteonline.uoregon.edu/istehome/
http://lipsmac.acs.unt.edu/virus/index.html
Jeder Personalcomputer ist mit einem Hardware-Teil ausgestattet, der garantiert sicherstellt, daß kein Virus attackiert. Man nennt ihn Stecker und zieht ihn aus der Steckdose, und schon ist die Sache erledigt. Sie sind das Thema Viren endgültig los. Natürlich sind Sie damit auch Ihren Computer los, d. h. er steht nur nutzlos herum.
Das echte Risiko hängt davon ab, wie Sie Ihren Computer benutzen. Wenn Sie in Laufwerk A nie eine Diskette einlegen, nie neue Programme installieren und nicht an das Internet angeschlossen sind, müssen Sie vielleicht Blitzschlag, heißen Kaffee oder ähnliches fürchten, sicher aber keinen Virus. Nach dem bekannten Slogan, mit dem die Benutzung gewisser Gummis angeregt wird, nenne ich das »Safer Computing«. Ein Virus ist eine Krankheit, die sich der Computer nicht allein zuziehen kann. Er kann ihn sich nur im Kontakt mit einem Programm von außerhalb einfangen.
Jedes neue Programm erhöht das Risiko eines Computervirus, gleichgültig, von wo es stammt. Man hat schon von Fällen gehört, Computer seien werkseitig mit Viren ausgeliefert worden. Auch die säuberlich mit Folien verschweißten Software-Pakete können Überträger sein.
Ganz sicherlich erhöht sich das Risiko, wenn Sie Programme vom Internet herunterladen, egal von wo und über welchen Dienst. Manche Sites halten ein mehr oder weniger wachsames Auge auf »Reinheit«, anderen ist das völlig egal.
Das größte Risiko ist aber der nette freundliche Junge, der Ihren PC immer so schnell repariert. Ja, Sie haben richtig gehört. Die meisten Infektionen werden durch Leute übertragen, die Computer reparieren. Sie laufen meist mit einem Paket an Utilities auf, um rasch einmal festzustellen, was dem Kerlchen fehlt. Dabei führen sie alles mögliche vom Diskettenlaufwerk aus. Eines dieser flotten Utilities könnte infiziert sein. Und schon hat sich Ihr Computer angesteckt.
Die meisten Benutzer verbringen ein zufriedenes Computerleben ohne Virenbefall. Sollte es doch einmal passieren, sind sie natürlich am schwersten betroffen. Das sind meist die Benutzer, die selten oder nie Datensicherungen durchführen. Als Abhilfe gibt es drei Möglichkeiten:
Der wild umherschweifende Mauszeiger könnte der schlimmste Feind aller Computer sein. Dagegen sind Viren kleine Fische. Ein falscher Klick und – autsch! – schon ist es passiert. Man hat etwas Wichtiges unwiederbringlich gelöscht. Nicht alle Programme warnen vorher. Und so manch einer wurde gewarnt und hat es trotzdem getan.
Dann soll es auch Hardware geben, die plötzlich den Geist aufgibt. Und man hat auch schon von Erdbeben, Überschwemmungen und Bränden gehört. Kann der Computer eine solche Katastrophe heil überstehen? Wahrscheinlich nicht.
Falls das alles nie eintritt, schleicht sich irgendwann doch ein Virus ein. Handelt es sich um einem mit zerstörerischem Charakter, könnte das leicht die gleichen Wirkungen wie ein Erdbeben haben.
Bevor Sie sich nach Antivirus-Programmen umsehen, sie vergleichen und ausprobieren, sollten Sie erst einmal die wichtigste Aktion der Computerei durchführen: regelmäßige Datensicherung!
Es gibt viele Programme, die versprechen, eine von einem Virus befallene Datei oder einen erkrankten Booksektor zu reparieren. Da einige Viren aber die ursprünglichen Daten im Rechner überschreiben, ist eine Reparatur nicht immer möglich. Dennoch belassen aber viele Viren alle auf dem Rechner befindlichen Daten, so daß man die Dinge mit einem guten Reparaturprogramm wieder in Ordnung bringen kann.
Zuweilen richtet eine Reparatur aber einen größeren Schaden an als der Virus. Viele Viren ersetzen den ursprünglichen Bootsektor durch einen Virussektor und verlagern den richtigen Sektor an eine andere Stelle. Hat der Virus seinen Code ausgeführt, lädt er den richtigen Bootsektor in den Speicher und läßt den Computer seine übliche Arbeit machen. Um eine Reparatur durchzuführen, muß man den Bootsektor an seine richtige Stelle setzen. Reparaturprogramme müssen wissen, welche Stelle das ist. Falls das schiefläuft, geht nichts mehr! Auch ein anderes Reparaturprogramm hilft da nicht.
Manche Dateierreger zerstören einen Teil des Originalprogramms und können nicht entfernt werden. In diesem Fall bleibt als einzige Lösung nur das Löschen der Datei und das erneute Installieren des Programms von den Originaldisketten. Verwenden Sie nur als letzten Ausweg ein Reparaturprogramm.
Die meisten bekannten Viren aus der PC-Welt siedeln sich nur unter MS-DOS an. Davon können die meisten nicht unter Windows 3.1 aktiv werden, weil sie mit der Art, wie Windows den Speicher verwaltet, nicht zurechtkommen. Damit ein durchschnittlicher DOS-Virus funktioniert, muß er sich selbst in den Speicher laden, was Windows aber nicht zuläßt. Versucht ein Virus, eine Windows-Anwendung auf die gleiche Weise zu attackieren wie eine ausführbare DOS-Datei, läuft die Anwendung nicht. Das ist ein guter Hinweis für den Benutzer, daß etwas nicht stimmt.
In einem in Windows geöffneten DOS-Fenster laufen diese Viren aber perfekt. Sie können sich dort auch ausbreiten. Zu viel Zuversicht ist also nicht angesagt.
Windows 95 wurde eingeführt und weit und breit war kein Antivirus-Programm dafür in Sicht, nicht einmal im Betriebssystem. Sollte man das so verstehen, daß Windows 95 immun gegen Viren ist? Wie sich inzwischen herausgestellt hat, ist das nicht der Fall. Microsoft reagierte darauf mit dem Kommentar, daß das Antiviren-Business nicht zu seinen Aktivitäten zähle.
Lassen Sie sich nicht blenden. Hinter all diesen feinen Icons, der Startleiste und den langen Dateinamen ist Windows im Kern immer noch ein Teil von MS-DOS. Dieses Ding scheint sich einfach nicht ausrotten zu lassen (oder sind die Benutzer daran schuld, weil sie einfach nicht davon loskommen?). Die Festplatte enthält nach wie vor in Sektor 1 einen Master Boot Record (MBR) und im ersten Sektor der zweiten Seite befindet sich ein DOS Boot Record. Die bekannten Dateien IO.SYS und MSDOS.SYS sind immer noch im Stammverzeichnis vorhanden, nur als verborgene Systemdateien. CONFIG.SYS, AUTOEXEC.BAT usw. – alles wie gehabt.
Der Unterschied zwischen Windows 95 und DOS liegt im Programm IO.SYS, das die grundlegenden Funktionsaufrufe für das Betriebssystem der Platte enthält. Auf einen Nenner gebracht: DOS ist ein ungeschütztes Betriebssystem, und Windows 95 kann nicht ohne. Das sagt eigentlich alles.
Inzwischen sind einige spezifische Viren unter Windows 95 aufgetaucht. Leider haben sich trotz der Bemühungen von Experten der Virenabwehrgilde schon unangenehme Folgen gezeigt.
Jetzt kommt eine gute Nachricht. Windows 95 hat eine eingebaute Integritätsprüfung für den Bootsektor. Erkennt Windows 95 eine Änderung im Bootsektor, werden Sie in einem Meldungsfenster informiert, daß die Möglichkeit einer Virusinfektion besteht. Diese Technik ist aber nicht absolut zuverlässig. Verlassen Sie sich also nicht darauf.
Nun die schlechten Nachrichten. Die meisten DOS-Viren können unter Windows 95 aktiv werden. Führen Sie eines Ihrer alten DOS-Programme unter Windows 95 aus, läuft es in einem DOS-Fenster. Wie bereits erwähnt, ist dort für Viren alles offen. Windows 95 versucht, die DOS-Interrupts zu verwalten. DOS-Programme, die nicht dokumentierte Interrupt-Funktionen nutzen, stürzen unter Windows 95 eventuell ab. Der Versuch von Microsoft, seine drei Betriebssysteme untereinander kompatibel auszulegen, ist nicht ganz gelungen. Aus Sicht der Virengefahr ist das aber ein Vorteil.
Führt man ein altes DOS-Programm in einem DOS-Fenster unter Windows 95 aus, das mit einem residenten Virus infiziert ist, wird der Virus in der Regel außer Gefecht gesetzt, wenn Sie das DOS-Fenster schließen.
Wie die älteren Windows-Versionen hat auch Windows 95 ein DOS-Stub. Führen Sie ein Windows-Programm unter DOS aus, wird das Stub gestartet und informiert Sie, daß das Programm unter Windows gestartet werden muß. Ist ein Virus in der DOS-Sitzung aktiv, wenn Sie ein Windows-Stub ausführen, kann dieser Stub infiziert werden. Das DOS-Programm weiß nichts von Windows, und der Virus könnte einen Teil der Datei, die das Windows-Programm enthält, überschreiben. Wenn Sie das Programm nächstes Mal in Windows ausführen, stellen Sie fest, daß die Datei beschädigt ist und sich nicht ausführen läßt oder aber das ganze System zum Absturz bringt.
Windows 95 behandelt den DOS-Stub anders als die früheren Windows-Versionen. Versuchte man in den älteren Windows-Versionen, ein Windows-Programm im DOS-Fenster auszuführen, wurde statt dessen das Stub-Programm ausgeführt. Unter Windows 95 wird das Stub-Programm in der gleichen Situation umgangen. Da Windows 95 das DOS-Stub nicht lädt und ausführt, können Viren das Programm nicht infizieren, auch wenn sie im Arbeitsspeicher sitzen.
Ein Virus, der unter Windows 3.1 randaliert, läuft auch unter Windows 95. Sie müssen aber, wie DOS-Viren, nicht unbedingt großen Schaden anrichten.
Der erste auf Windows 95 spezialisierte Virus tauchte zwei Monate nach der Einführung des neuen Betriebssystems auf. Er hieß Boza und war ein schwacher, schlecht programmierter Virus, der nur Programmdateien infizierte, die in einem bestimmten Format geschrieben wurden. Er nistet sich nicht im Speicher ein. Dieser Virus kann nicht viel Schaden anrichten, macht aber allemal Ärger.
Wir können mit Sicherheit davon ausgehen, daß stärkere Viren unter Windows 95 auftauchen werden. Auch hier gilt die Devise: Häufig Daten sichern und spezielle Antivirus-Software für Windows 95 verwenden.
Auf die etwa 50 Viren, die sich nur auf Macintosh-Systemen einnisten, sind die gleichen Prinzipien anwendbar wie unter Windows. In dieser Hinsicht ist nichts Ungewöhnliches oder Einmaliges am Macintosh oder seinen Betriebssystemen zu beobachten.
Mac-Benutzer sollten aber über einen Problembereich Bescheid wissen. Jedes Programm, das MS-DOS emulieren kann, um beispielsweise DOS- oder Windows-Programme auszuführen, kann Viren beherbergen. Wird ein DOS-Virus auf diese Weise aktiviert, verbreitet er sich zumindest auf die anderen auf dem System vorhandenen DOS-Programme.
Im allgemeinen sind Viren im Gegensatz zur Windows-Plattform in der Macintosh-Welt kein Problem. Das war aber nicht immer so. Ende der achtziger Jahre waren besonders viele Mac-Viren im Umlauf. Die Umstellung auf System 6 und dann System 7 hat diesen Seuchen aber ein jähes Ende bereitet.
Eine Wirkung dieser gesunden, angenehmen Umgebung ist die Tatsache, daß es ganz wenige Antiviren-Programme für den Mac gibt. Am besten bekannt sind die Antivirus-Programme von SAM (Symantec Antiviral for Macintosh) und Disinfectant. Beide Produkte sind Scanner. Dann gibt es ein Antivirus-Programm vom Typ Blocker. Es heißt Gatekeeper und dürfte bald verschwinden, weil es nicht mehr aktualisiert wird.
Die meisten Mac-Viren vermehren sich in HyperCard-Stapeln. Sie werden von SAM und Disinfectant nicht erkannt.
Aus mehreren Gründen gibt es keine bekannten experimentellen UNIX-Viren. Das bedeutet nicht, daß solche Viren nicht möglich sind (der erste experimentelle Virus wurde auf einem UNIX-System implementiert). Sie breiten sich lediglich nicht leicht aus.
Blättern Sie als UNIX-Anwender jetzt aber nicht gleich weiter. In UNIX können sich auch Viren aus anderen Plattformen einschleichen. Alle PCs sind beispielsweise für MBR-Viren besonders anfällig, ungeachtet des Betriebssystems. Fahren Sie ein UNIX-Betriebssystem auf einem PC, sollten Sie niemals von Diskette booten. Ist die Diskette mit einem MBR-Virus infiziert (z. B. Michelangelo, Stoned), gelangt der Virus in das System.
Ein UNIX-System, das als Dateiserver für PC fungiert, kann Viren enthalten, die PC-Dateien infizieren. Sie verbreiten sich auf die PC-Clients. In diesem Fall muß das UNIX-System auf PC-Viren (nicht UNIX-Viren) geprüft werden.
Führen Sie einen File Integrity Checker aus (z. B. Tripwire), entdecken Sie vielleicht unzulässige Änderungen in ausführbaren Dateien auf Ihrem UNIX-System. Größtenteils ist das nicht auf Viren zurückzuführen. Aber Kontrolle schadet ja nicht.
Windows NT hat Ähnlichkeit mit UNIX, weil es vor Virenangriffen relativ sicher ist. Leider können sich aber auch auf dieser Plattform DOS-Viren ausbreiten.
Netzbetriebssysteme sind ein Sonderfall. Das Betriebssystem selbst ist zwar nicht DOS, aber es gibt gewisse Umstände, unter denen der Server von einem DOS-Virus infiziert wird. NetWare und ähnliche Produkte, die von einer DOS-Platte gestartet werden, laden eine ausführbare DOS-Datei, die die Kontrolle über das System übernimmt. Auch wenn es keine Viren gibt, die den NetWare-Kernel infizieren können, kann die ausführbare DOS-Datei (SERVER.EXE im Fall von NetWare) befallen werden. Passiert das, versagt der Server beim nächsten Starten den Dienst.
Jeder größere Anbieter von Antivirus-Programmen führt Versionen, die speziell für bestimmte Plattformen entwickelt wurden. Im Rahmen Ihrer Schutzmaßnahmen sollten Sie sich eines dieser Programme für Ihre Plattform anschaffen. Von der Verwendung eines Produkts, das für eine andere Plattform geschrieben wurde, rate ich ab. Sie können im Fall einer notwendigen Reparatur mehr Schaden anrichten als der Virus.
Für alle Plattformen gelten die gleichen Regeln:
Für alle Plattformen wäre aber noch etwas anzumerken: Wenn Sie Dateien vom Internet herunterladen, sollten Sie eine Antivirus-Software verwenden, die während des Download auf Viren prüft. Diese Programme warnen Sie, bevor Sie eine Programmdatei auf die Festplatte laden, wenn ihnen etwas auffällt. Das NetScape PowerPack enthält beispielsweise den Norton Internet Anti-Virus.
Die ehrliche Antwort auf diese Frage lautet: Das weiß keiner. Für diese unbefriedigende Antwort gibt es mehrere Gründe.
Erstens gibt es kein Antivirus-Programm, das den gesamten Job übernimmt. Am besten installiert man deshalb eine Kombination, d. h. einen Scanner und einen Validity Checker. Zweitens ist jedes Produkt auf bestimmte Viren aus. Andere Virenarten werden meist übersehen.
Drittens ist sich die Industrie noch nicht darüber einig, wie Antivirus-Programme getestet werden sollen, obwohl die NCSA (National Computer Security Association) bereits mit einem eigenen Zertifizierungsprogramm begonnen hat. Scanner prüfen 100% zuverlässig auf die Viren, die in ihrer Datenbank enthalten sind. Die Frage ist nur, welche Virensignaturen sich dort befinden, da die Virussignatur Grundlage für einen Industriestandard wäre.
Eine zuverlässige Quelle für Informationen über Viren ist die UseNet-Newsgruppe comp.virus (Newsletter Virus-1). Eine andere gute Newsgruppe ist alt.com.virus. Benutzen Sie eine Suchmaschine, z. B. http://www.yahoo.com/Computer , um weitere Quellen zu finden. Schließlich sollten Sie sich auch an folgenden Web-Sites umsehen:
|
Antivirus Software Page | |
|
A-Z Antivirus (Macintosh) |
http://isteonline.uoregon.edu/istehome/edtechnews/antivirus/vir.MacSoft.html |
|
Computer Virus Information | |
|
HAVS Home Page
| |
|
Mac Virus Information |
Viele ausgezeichnete Antivirus-Programme sind kostenlos erhältlich. Fühlen Sie sich mit einem kommerziellen Produkt sicherer, finden Sie eine große Auswahl auf dem Markt. Die besten Antivirus-Programme werden in Europa entwickelt, weil dort mehr Viren auftauchen als in den USA. Zwei Produkte werden allseits besonders gelobt: Dr. Solomon's Anti-Virus Toolkit, ein kommerzielles Produkt aus England, und F-PROT von der isländischen Frisk Software International. Dieses Produkt gibt es für Privatnutzer kostenlos. Daneben ist eine kommerzielle Version erhältlich.
Da Viren mit Krankheiten zu tun haben, enthalten viele Bezeichnungen von Antivirus-Programmen das Wort »Doctor« in dieser oder abgewandelter Form. In diesem Fall haben wir es aber mit einem echten Doktor zu tun. Dr. Alan Solomon ist von Beruf Arzt. Er begann mit der Produktion von Antivirus-Programmen, als auf diesem Gebiet noch nicht viel passierte, und hat seither einige der besten Produkte entwickelt. Dr. Solomon gilt heute als einer der großen Experten auf diesem Gebiet.
Dr. Solomon's Anti-Virus Toolkit findet und repariert Viren. Der Scanner FINDVIRU.EXE ist einer der schnellsten und besten. Die neueste Version des Toolkits hat eine Windows-Oberfläche. Das Produkt weist viele spezielle Merkmale auf, die man in anderen Scannern nicht findet. Es kann Dateien im komprimierten Format (z. B. ZIP und ARJ) prüfen. Wenn Sie viel vom Internet herunterladen, ist das sehr wichtig. Ferner kann es Kompressionsabschnitte prüfen, die sich in Programmdateien befinden, um die Dateien beim Entpacken dekomprimieren zu können.
Hinsichtlich der Reparatur von Virenschäden ist das Produkt besonders ausgeklügelt. Es muß hundertprozentig sicher sein, daß es den richtigen Virustyp erkannt hat. Das Toolkit verläßt sich dabei nicht auf die Virussignatur, sondern führt eine weitere Kontrolle (CRC – Cyclical Redundancy Check) durch, um die Identität zu prüfen.
Dr. Solomon's Anti-Virus Toolkit ist ein kommerzielles Produkt, das von S&S International vertrieben wird und überall im Handel erhältlich ist. Die Adresse von S&S lautet:
S&S International PLC
Alton House
Gatehouse Way
Aylesbury, Buckinghamshire HP19 3XU
United Kingdom
Telefon: +44 (01) 296 318700
Telefax: +44 (01) 296 318777
S&S führt eine Web-Site unter http://www.sands.com
Frisk International vertreibt eines der derzeit besten Antivirus-Programme kostenlos für Privatnutzer. Eine professionelle Version ist für einen bescheidenen Preis erhältlich.
Die kostenlose Version von F-PROT basiert auf DOS, hat aber eine angenehme Bedienerführung. Die professionelle Version hat eine Windows-Benutzeroberfläche. Ich würde mich nicht wundern, wenn die Firma eine Version für Windows 95 in Arbeit hätte.
Der Scanner ist schnell und genau und wird von konkurrierenden Anbietern ständig unter den besten Antivirus-Programmen angesiedelt. F-PROT beinhaltet ein Reparaturprogramm und eine verhältnismäßig umfassende Beschreibung aller häufig vorkommenden Viren.
F-PROT wird im Internet an vielen Stellen zum Herunterladen bereitgestellt, vorwiegend aber über FTP an den Spiegel-Sites von Simtel, z. B. ftp://oak.oakland.edu/SimTel/msdos /virus im Verzeichnis /pub/msdos/virus. Bei ftp://complex.is/pub/README finden Sie Informationen, aber Frisk verteilt das Produkt nicht an seiner eigenen FTP-Site.
Für den Mac ist die Auswahl an Antivirus-Programmen nicht so groß. Eines der besten ist aber kostenlos. Sie können Disinfectant von verschiedenen Sites herunterladen, z. B. ftp://acns.nwu.edu/pub/disinfectant/ oder http://lipsmac.acs.unt.edu/virus/macvirinf.html . An dieser Site finden Sie auch ein Handbuch und verschiedene Informationen.
Disinfectant erkennt und repariert alle bekannten Mac-Viren und enthält ein Antivirus-Kit (INIT), das HyperCard-Stapel vor bekannten Viren schützt.
⌐ 1997 Que
