home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip Hitware 6
/
Chip_Hitware_Vol_06.iso
/
chiphit6
/
_virus
/
suspic
/
faq.doc
< prev
next >
Wrap
Text File
|
1996-07-10
|
34KB
|
565 lines
┌───────────────────────────────────────────────────────────────────────────┐
│ │
│ S U S P I C I O U S │
│ │
│ Ein "intelligentes" Antiviren-Programm │
│ │
│ (c) 1996 Stefan Kurtzhals │
│ │
└───────────────────────────────────────────────────────────────────────────┘
[ Generelle Tips zur Benutzung von SUSPICIOUS ]──────────────────────────────
Was tun, wenn der Rechner bereits vor der Installation infiziert ist?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Das hängt ganz davon ab, um was für ein Virustyp es sich handelt. MEMCHK
zeigt bei seiner Analyse wahrscheinlich die Meldung "File" oder "Disk"
in der Analyse des verdächtigen Speichers bereits an. Außerdem führt
MEMCHK einen Aktivitätstest durch und wird Dateiviren explizit melden.
Ein aktiver EXE-Virus würde z.B. die folgende Meldung erzeugen:
"Test auf aktiven Virus: ...... !! (EXE-Virus gefunden)"
Bootviren reduzieren oft die DOS-Speicherobergrenze. Wenn also MEMCHK bei
eine Anzeige wie
"Speicherobergrenze (TOM) ..... !! (639 KB)"
anzeigt, ist es ziemlich wahrscheinlich, daß das System mit einen Boot-
virus infiziert ist.
Vorgehensweise bei einer Bootvirus-Infektion:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Bootviren können mit SDISK bekämpft werden. Entweder, man benutzt die
Immunisierungsfunktion von SDISK, um den Viruscode im Partitionssektor zu
überschreiben ("SDISK /IMMUNIZE=HD0") oder (falls der Virus Tarnkappen-
Eigenschaften hat) man benutzt die Reinigungsfunktion von SDISK für
Stealth-Viren. Um festzustellen, ob der Virus Tarnkappen-Eigenschaften
hat, ruft man SDISK ohne Parameter auf (es muß nicht von einer Diskette
gestartet werden!). SDISK wird melden, daß noch keine Datei DISKDATA.SVS
vorhanden ist. Man wählt den Menüpunkt 'Erzeugen von DISKDATA.SVS' an.
SDISK wird dann entsprechende Tests durchführen und entweder melden, daß
der Partitionssektor verdächtig, oder daß ein Stealthvirus aktiv ist. Im
letzteren Fall kann man einen speziellen Menüpunkt zur Reinigung von
Stealth-Viren anwählen, im ersten Fall muß die Immunisierungsfunktion von
SDISK benutzt werden. SDISK kann die Festplatte auch mit aktivem Virus
immunisieren, es ist allerdings zu empfehlen, vorher von einer sauberen
Startdiskette zu booten. Der Aufruf erfolgt, wie bereits erwähnt, mit
"SDISK /IMMUNIZE=HD0". SDISK prüft, ob der aktuelle Partitionssektor noch
gültig ist. Einige Viren wie <Monkey> oder <Neuroquila> fügen eine un-
gültige Partitionstabelle ein, die z.B. bei FDISK /MBR zu Datenverlust
führen würde. SDISK erkennt solche Sektoren ohne Probleme. Meldet SDISK,
daß die Immunisierung nicht möglich ist, bleibt noch eine dritte Methode:
"SDISK /RESCAN". Im RESCAN-Modus versucht SDISK, anhand der meistens noch
vorhandenen Bootsektoren eine neue Partitionstabelle zu berechnen und
durchsucht gleichzeitig die ungenutzten Bereiche der Festplatte nach
Kopien des Partitionssektors, wie Viren sie oft anlegen. Findet SDISK
im RESCAN-Modus passende Kopien oder ist es in der Lage, die Partition
erfolgreich zu rekonstruieren, kann der neue Partitionssektor geschrieben
und damit der Virus entfernt werden. Sollte SDISK Kopien finden, sind
diese stets dem berechneten Sektor vorzuziehen. Allerdings sollte un-
bedingt darauf geachtet werden, daß im angezeigten Sektor die richtige
Anzahl von Partitionen und die richtige Größe eingetragen sind!
Hat man den Bootvirus erfolgreich aus der Partition entfernt, muß jede
Diskette überprüft werden, die in letzter Zeit benutzt wurde. Das kann
entweder mit Scannen durch SSC erfolgen oder 'passiv' durch SVS, das bei
jedem Lesen von einer Diskette den Bootsektor auf Virenbefall prüft.
Vorgehensweise bei einer Dateivirus-Infektion:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Das Entfernen eines Dateivirus ist schon weitaus problematischer, als das
Entfernen eines Bootvirus. Wenn vor der Infektion keine Prüfsummendateien
mit SCRC angelegt wurden, ist es prinzipiell nur dann möglich, den Virus
zu entfernen, wenn dieser Tarnkappen-Eigenschaften hat, also dem Anwender
angeblich saubere Programme vortäuscht. MEMCHK ist meistens in der Lage,
einen Stealthvirus auch als solches zu identifizieren ('Stealth-Virus
gefunden'). Hat der Virus Tarnkappen-Eigenschaften, kann er problemlos
durch sich selbst gereinigt werden! Dazu muss wie folgt vorgegangen
werden:
1. Eine Datendiskette anlegen, die SDISK.EXE enthält.
(SDISK.EXE nicht auf die Startdiskette kopieren!)
2. Den Rechner normal starten, damit der Virus aktiv ist (!).
3. "SCRC /ALLDRV /INIT /NOAS" aufrufen.
4. "SCRC /ALLDRV" aufrufen.
5. Alle Programme, die jetzt als verändert gemeldet werden, können
anhand der Prüfsumme gereinigt werden.
6. Den Rechner sofort ausschalten und von einer sauberen Bootdiskette
neu starten.
7. Von der Datendiskette "SDISK /IMMUNIZE=HD0" aufrufen, um den
Partitionssektor zu reinigen (falls es sich bei dem Virus um einen
Hybrid-Virus handelt).
Der Trick besteht darin, den Anti-Stealth-Zugriff von SCRC abzuschalten
und die vom Virus gelieferten sauberen Werte abzuspeichern. Beim zweiten
Durchlauf wird dann der Anti-Stealth-Modus wieder benutzt und SCRC kann
am Virus vorbei die Dateien reinigen. SDISK ist deshalb notwendig, da
einige Stealth-Viren gleichzeitig auch Hybrid-Viren sind und neben
Programmen auch den Partitionssektor infiziert haben.
Was tun, wenn der Rechner infiziert wird und SUSPICIOUS installiert ist?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Hat man alle Vorsichtsmaßnahmen getroffen und neben einer Rettungs-
diskette mit SDISK sowie den aktuellen Partitionsdaten auch über SCRC
Prüfsummen zu allen Programmen auf der Festplatte angelegt, ist die
Reinigung in den meisten Fällen eine Sachen von Minuten! Keiner der in
Deutschland (und auch kaum einer der weltweit verbreiteten) Viren benutzt
Infektionsmethoden, die für SCRC oder SDISK ein Problem sind.
Folgende Schritte reichen in den meisten Fällen aus, um den Virus zu
entfernen:
1. Den Rechner komplett ausschalten und von einer sauberen Startdiskette
booten (Tip: Die Diskette sollte HIMEM.SYS in der CONFIG.SYS einge-
tragen haben).
2. Auf die Rettungsdiskette wechseln und SDISK aufrufen. Ist der Boot-
oder Partitionssektor verändert, sollte er anhand der angelegten
Kopien wiederhergestellt werden. Wurden Sektoren neu geschrieben, muß
wieder bei Schritt 1. angefangen werden.
Wichtig: Falls Sie ihre Partition verändern oder neue Festplatten
installiert haben, müssen Sie unbedingt auch die Sektorkopien von
SDISK auf der Rettungsdiskette aktualisieren!
3. SCRC /ALLDRV aufrufen und alle veränderten Programme reparieren lassen.
Lassen sich alle Programme problemlos reinigen oder sind keine ver-
änderten Programme vorhanden, ist der Rechner mit jetzt so gut wie
sicher wieder virenfrei. Kann SCRC einige der Dateien nicht reinigen,
müssen Sie sich die Namen und Position der betreffenden Programme
merken und diese durch Backup oder Neuinstallation ersetzen. Kann SCRC
keins der veränderten Programme reinigen, rufen Sie mich bitte um-
gehend an (ein solcher Fall ist unwahrscheinlich, da alle deutschen
ITW-Viren die übliche 0815-Infektionsmethode verwenden).
Wichtig: Die Prüfsummendateien müssen immer auf den aktuellsten Stand
gehalten werden. Ein tägliches Aufrufen (z.B. mit der /DAILY-Option)
in der CONFIG.SYS ist sehr zu empfehlen! Wenn SCRC keine korrekten
und aktuellen Prüfsummendaten einer Datei zur Verfügung hat, kann
diese auch nicht gereinigt werden.
4. Danach muß die Quelle der Infektion festgestellt werden. Falls es sich
bei dem Virus um einen Bootvirus handelt, müssen alle Disketten (auch
reine Datendisketten!) mit SSC (direktes Scannen) oder SVS (passives
Scannen) überprüft werden. Falls noch nicht geschehen und wenn das
BIOS diese Option anbietet, sollte unbedingt die Startsequenz des
Rechners von "A: C:" auf "C: A:" umgestellt werden, um weitere
Infektionen durch Bootviren zu vermeiden.
Bei Dateiviren ist die Suche mitunter weitaus problematischer, da
Dateiviren weitaus raffinierter als Bootviren versteckt werden können.
Wenn der Virus nicht bereits im ersten Durchgang (z.B. von SSC)
entdeckt wurde, ist die Wahrscheinlichkeit hoch, daß er sich in einem
Programm befindet, das mit Absicht nachträglich speziell komprimiert
oder verschlüsselt wurde. Es gibt eine Unmenge von Programmen, die
dies problemlos jedem Möchtegernhacker erlauben. Ein grosser Teil
dieser Kodierungen kann mit dem Freeware-Programm UNP (4.11) rück-
gängig gemacht werden. Alle neuen Programme oder Archive (ZIP, ARJ,
RAR etc.) müssen entkomprimiert und erneut mit allen verfügbaren
Virenscannern durchsucht werden. Wird dabei der Virus von anderen
Virenscannern gefunden, von SSC aber übersehen, bitte ich um Zusendung
der infizierten Datei (als PGP-Email oder über normale Post) damit SSC
verbessert werden kann. Sollte die Quelle des Dateivirus nicht auszu-
machen sein, ist es empfehlenswert, die nächsten Tage SVS mit erhöhter
Sicherheit permanent zu benutzen, um evtl. Refinfektionen zu ver-
hindern.
Diese ganze Suche nach dem Ursprung der Infektion mag mühsam und
überflüssig erscheinen, wird dies aber nicht gemacht, ist die Wahr-
scheinlichkeit, daß der Virus bereits nach ein paar Tagen das System
wieder infiziert, sehr hoch. Da lohnt sich der zusätzliche Aufwand
dann doch wohl schon...
Wie setzt man SUSPICIOUS optimal ein?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
a) SSC: Mit SSC sollten alle neuen Programme vor dem Ausführen auf Viren-
befall überprüft werden. Dazu ist es unbedingt notwendig, die zu
durchsuchende Datei vorher mit Tools wie UNP (4.11) vorher zu ent-
komprimieren. SSC selber erkennt eine Anzahl von Komprimierern und
meldet dann die Flags "A:k" (in Grün). Es ist nicht sinnvoll, jeden
Tag seine gesamte Festplatte mit SSC nach Viren zu durchsuchen. Dafür
ist SSC schon aufgrund seiner Geschwindigkeit nicht geeignet. Mit SSC
sollten nur einzelne Verzeichnisse durchsucht werden, in denen sich
neue Programme befinden. Eine Überwachung der gesamten Festplatte
sollte mit SCRC und SDISK erfolgen, da diese dies zuverlässiger und
schneller erledigen können.
b) SCRC: SCRC sollte möglichst einmal täglich in der CONFIG.SYS oder
AUTOEXEC.BAT aufgerufen werden. Damit SCRC optimal funktioniert, be-
nötigt es aktuelle und korrekte Prüfsummendaten für jedes zu über-
wachende Programm. Ohne diese Prüfsummenerstellung ist SUSPICIOUS
nicht in der Lage, Dateiviren zu entfernen! Mit SETUP kann SCRC so
konfiguriert werden, daß es nur einmal täglich eine volle Überprüfung
durchführt und ansonsten im 'FAST' oder 'SYSTEM'-Modus arbeitet.
Der Eintrag für SCRC sollte am Ende der CONFIG.SYS eingefügt werden
und wie folgt aussehen:
"INSTALL=C:\PFAD\SCRC.EXE /PATH=C:\PFAD /CFG"
(ohne Anführungszeichen)
INSTALLHIGH ist nicht notwendig, da SCRC kein TSR ist und nicht
resident im Speicher bleibt.
c) SDISK: SDISK sollte unbedingt in der CONFIG.SYS permanent installiert
sein. Da es schnell arbeitet, keinen DOS-Speicher belegt (kein TSR)
und der Partitions- sowie Bootsektor des Systems ein beliebtes
Angriffsziel von Viren sind, ist der Einsatz unbedingt zu empfehlen.
Wie bei SCRC ist es auch bei SDISK sehr wichtig, daß es die jeweils
aktuellen Partitionssdaten als Kopie gespeichert hat. Eine Reinigung
mit veralteten Partitionsangaben kann zu Datenverlust führen (SDISK
überprüft aber die Angaben aus der Datei DISKSAVE.DAT auf Integrität).
Es sollte unbedingt eine Rettungsdiskette angelegt werden (hierfür
nicht die eigentliche Bootdiskette benutzen!), auf der sich neben
SDISK, DISKDATA.SVS, ZEROTRK.SVS (und evtl. ODMTRK.SVS) noch SCRC.EXE,
SETUP.EXE (SUSPICIOUS-Setup), CFG.SVS und SSC.EXE auch noch weitere
Tools wie andere Antiviren-Programme oder Diskeditoren usw. befinden
sollten. Wichtig: Wird die Partition geändert oder eine neue Fest-
platte eingebaut, müssen neben den Kopien von DISKDATA.SVS und
ZEROTRK.SVS auf der Festplatte auch noch die Kopien auf der Rettungs-
diskette aktualisiert werden!
Innerhalb der CONFIG.SYS sollte SDISK wie folgt installiert werden:
"INSTALL=C:\PFAD\SDISK.EXE"
(ohne Anführungszeichen)
Der Aufruf von SDISK sollte *vor* dem Aufruf von SCRC erfolgen.
Tip für Windows 95-Benutzer:
SDISK sollte in der CONFIG.SYS oder AUTOEXEC.BAT installiert werden.
Hier ist Windows 95 noch nicht aktiv (normaler MS-DOS-Modus), so daß
SDISK problemlos seinen Anti-Stealth-Zugriff einsetzen kann.
Desweiteren kann mit SDISK der Partitionssektor der Festplatte mit
"SDISK /IMMUNIZE=HD0"
immunisiert werden. Dabei wird ein spezieller Antivirus-Partitionscode
in den Partitionssektor eingefügt, der bei jeden Neustart das System
auf Veränderungen überprüft. Die Immunisierung löscht nicht die
Partition, sie kann daher jederzeit durchgeführt werden. Nachdem die
Festplatte immunisiert wurde, muß natürlich DISKDATA.SVS von SDISK
aktualisiert werden (falls diese Datei bereits angelegt wurde).
Um Infektionen durch Bootviren auf Disketten zu vermeiden, kann im
BIOS des Rechners die Startsequenz von "A: C:" auf "C: A:" umgestellt
werden. Das bedeutet, daß der Rechner nicht mehr von Diskette startet,
ein simpler aber hunderprozentig effektiver Schutz gegen Bootviren,
die sich auf Disketten befinden (es sei nochmals darauf hingewiesen,
daß Bootviren NUR (!) durch Booten von einer infizierten Diskette
aktiviert werden können, nicht durch DIR A: oder ähnliches).
d) SVS: Da SVS viel DOS-Speicher belegt (ca. 28 KB), sollte es nur dann
benutzt werden, wenn neue Programme ausprobiert werden. SVS kann dann
ganz normal über die DOS-Kommandozeile aktiviert werden. Wenn SVS auf
diese Art eingesetzt wird, ist es zu empfehlen, die Option 'hohe
Sicherheit' im Menü 'Voreinstellungen' von SETUP einzustellen. Zeigt
SVS beim Ausführen von neuen Programmen Warnungen wie etwa 'Das Pro-
gramm versucht den INT 21h im Einzelschrittmodus zu durchlaufen' oder
'Das Programm XYZ versucht ein anderes Programm zu modifizieren',
sollte der Start sofort abgebrochen werden. Wurde das Programm vor dem
Start gründlich mit SSC und anderen Virenscannern überprüft und
handelt es sich bei den Warnungen von SVS um keine Fehlalarme, können
Sie das betreffende Programm dem Autor zur weiteren Analyse zu-
schicken. Wie erkennt man einen Fehlalarm? Wenn ein Anwender-Programm
versucht, die AUTOEXEC.BAT oder CONFIG.SYS zu löschen, oder ein Spiel
resident bleiben will und zuvor noch in den Partitionssektor schreiben
will, ist ein Fehlalarm unwahrscheinlich. Wenn ein Formatierungspro-
gramm oder Festplatten-Tool den Bootsektor verändern will oder
direkten Zugriff auf die Festplatte benutzt, ist das hingegen
natürlich zulässig. Im Zweifelsfall sollten Sie das Programm abbrechen
und den Autor von SUSPICIOUS kontaktieren, um weitere Informationen zu
erhalten.
Wichtig: SVS sollte nicht zusammen mit Software-Diskcaches verwendet
werden, wenn diese ihre Schreibverzögerungs-Option (Schreib-Cache)
aktiviert haben (dieser kann bei SMARTDRV z.B. mit "SMARTDRV /X" aus-
geschaltet werden).
e) MEMCHK: MEMCHK kann z.B. am Ende der AUTOEXEC.BAT eingefügt werden, um
Viren abzufangen, die bereits über COMMAND.COM oder andere Programme
aus der CONFIG.SYS oder AUTOEXEC.BAT aktiv wurden. Desweiteren sollte
nach jeden Aufruf von neuen Programmen MEMCHK gestartet werden, um zu
testen, ob sich ein Virus aktiviert hat bzw. Da MEMCHK kein residentes
Programm ist sollten Sie es regelmäßig aufrufen und den Speicher über-
prüfen lassen. MEMCHK wird übrigens automatisch von SSC und SCRC auf-
gerufen um sicherzustellen das vor dem Bearbeiten von Programmen kein
Dateivirus aktiv im Speicher ist.
[ Oft gestellte Fragen ]─────────────────────────────────────────────────────
Wie gut ist SUSPICIOUS im Vergleich zu anderen Antiviren-Programmen?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diese Frage wird sehr häufig gestellt. Im Prinzip kann man diese Frage nicht
korrekt beantworten, da es kein Antiviren-Programm gibt, das wie SUSPICIOUS
rein heuristisch arbeitet. Alle anderen Antiviren-Programme arbeiten mit
Signatur-Scanning und bieten eine Heuristik nur als Zusatzfunktion an.
SUSPICIOUS hingegen ist speziell auf die Erkennung von unbekannten Viren
hin programmiert. Man kann die Frage, wie gut SUSPICIOUS im Vergleich zu
anderen Antiviren-Programmen ist, aufteilen:
1. Wieviele Viren findet SSC?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
In einer Virensammlung von etwa 4300 infizierten Programmen findet SSC
ca. 92% aller Viren. Andere Antiviren-Programme, die zur absoluten
Spitzengruppe gehören, finden hier zwischen 95 und 98%, andere, besonders
hier in Deutschland (leider) oft eingesetzte Antiviren-Programme finden
hingegen nur 75-90%. SSC liegt also recht knapp hinter der Spitzengruppe.
Wie bereits gesagt, ist dieser Vergleich allerdings nicht ganz zulässig,
SSC arbeitet rein heuristisch, wohingegen sämtliche anderen Antiviren-
Programme sich hauptsächlich auf ihre Signatur-Erkennung verlassen.
Einige Antiviren-Programme erlauben Parameter, die sie ebenfalls in einen
rein heuristischen Suchmodus schalten. Vergleicht man dann die Ergebnisse
fallen diese Virenscanner von 95-98% auf unter 80% zurück.
2. Wie sicher ist SVS?
~~~~~~~~~~~~~~~~~~~~~~
Es gibt nur sehr wenige Behaviour Blocker als TSR-Schutzprogramme, die
Virenaktionen blockieren. Das sicherste Programm dieser Art ist NEMESIS
von Robert Hörner und Christian Sy, das allerdings quasi "zu" sicher ist.
Es behindert leider die tägliche Arbeit mit dem Rechner mitunter so
stark, daß ein normaler Umgang mit dem Rechner kaum mehr möglich ist.
NEMESIS ist aber auf der anderen Seite weitaus sicherer als die meisten
'professionellen' Hardwarelösungen. Die wenigen anderen Behaviour-Blocker,
die es dann noch gibt, sind mitunter sehr unzuverlässig und fangen nur
einen Bruchteil von dem ab, was eigentlich notwendig wäre, um einen
sicheren Schutz zu gewährleisten. Schlimmer noch, bis auf NEMESIS und SVS
prüft kein anderes Wächterprogramm, ob es im Speicher manipuliert wird.
Das ist eine gefährliche Sicherheitslücke, die mittlerweile von vielen
Viren ausgenutzt wird. SVS soll einen Kompromiß zwischen hoher Sicherheit
und geringer Anzahl von Fehlalarmen anbieten. Mit SETUP kann SVS
individuell konfiguriert und Meldungen, die bestimmte Programme legal
verursachen, permanent verifiziert werden. SVS ist nicht zu Windows
kompatibel. Das liegt ganz einfach daran, daß ein Behaviour Blocker unter
Windows nur einen Bruchteil der Überwachungsmöglichkeiten wie unter DOS
hat. Die sehr verbreiteten residenten Virenscanner sind noch unsicherer:
sie können bereits mit einfachsten Tricks überlistet werden und können
keine unbekannten Viren finden.
Die Sicherheit, die SVS anbietet ist also sehr hoch und kann nur von
extrem wenigen Viren unterlaufen werden (was auch davon abhängt, wieviele
der Schutzoptionen von SVS aktiviert wurden).
3. Wie zuverlässig erkennt MEMCHK residente Viren?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ein residenter Virus kann noch so polymorph verschlüsselt sein und sich
mit SVS passiv verhalten, er muß irgendwo Speicher belegen. Die Heuristik
von MEMCHK ist bei weitem nicht so ausführlich wie die von SSC (was auch
zu sehr vielen Fehlalarmen führen würde), da aber so gut wie alle Viren
im Speicher unkodiert sind und auch fast immer die gleichen verdächtigen
Methoden benutzen, um Speicher zu belegen, ist die Erkennung von MEMCHK
sehr zuverlässig. Hinzu kommt der Aktivitätstest von MEMCHK, bei dem
bereits die meisten Datei-Viren erkannt werden. Beim Test mit ca. 200
zufällig ausgewählten (oder besonders komplizierten) Viren konnte MEMCHK
alle verdächtigen Speicherblöcke erkennen, selbst Viren wie <Mange_Tout>
wurden gefunden.
4. Wie zuverlässig erkennt SDISK Bootviren?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wenn Sie auf der Anzeige bei "SDISK /INFO" bei sämtlichen Anzeigen ein
"OK" erhalten, heißt das, daß SDISK direkten INT 13h-Zugriff auf das BIOS
und direkten Port-Zugriff durchführen kann. Damit ist SDISK in der Lage,
jeden aktiven Bootvirus zu umgehen. Bootviren mit Tarnkappenfunktion
werden sofort gemeldet und durch die eingebaute Sektor-Analyse kann SDISK
auch verdächtige Strukturen oder Programmcode in den Systemsektoren er-
kennen. Wird SDISK unter OS/2 oder Windows bzw. Windows 95 eingesetzt,
ist kein BIOS- oder Port-Zugriff wegen des 32-Bit-Zugriffs mehr möglich.
Ein aktiver Bootvirus führt allerdings auch zu Problemen mit diesen
Zugriff, was in der Regel ein automatisches Abschalten des 32-Bit-
Zugriffs über das Betriebssystem zur Folge hat. SDISK ist dann wieder in
der Lage, den Anti-Stealth-Zugriff zu verwenden und den Virus zu umgehen.
Hinweis: Benutzen Sie Windows 95, können Sie unter 'Start/Einstellungen/
Systemsteuerung/System/Leistungsmerkmale' nachsehen, ob Windows 95 den
32-Bit-Zugriff verwendet. Steht hier nicht 'Dateisystem: 32-Bit' und wird
evtl. sogar gemeldet, daß der Partitionssektor verändert wurde, kann von
einer Bootvirusinfektion ausgegangen werden. Diese macht sich außerdem
auch noch durch eine starke Verlangsamung des Festplattenzugriffs bemerk-
bar.
5. Wie zuverlässig ist die Reparatur von SCRC?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SCRC benutzt den genormten CRC-32-Algorithmus, um Veränderungen an Pro-
grammen zu erkennen. Dieser Wert wird ebenfalls nach der Reparatur dazu
benutzt, um festzustellen, ob die Datei wieder 100% hergestellt wurde.
Ist das nicht der Fall, meldet SCRC die Reparatur als fehlgeschlagen.
Rein theoretisch könnte ein Virus ein Programm so raffiniert verändern,
daß die CRC-Prüfsumme sich nicht ändert. Dieser Trick sprengt aber bei
weitem den Rahmen dessen, was sich ein Virus an Speicherplatz erlauben
kann. Viren, die mehr als 6000 Bytes lang sind, verbreiten sich nicht
sehr weit, daher ist die Wahrscheinlichkeit, daß ein Virus CRC-32-Prüf-
summen fälschen kann, äußerst gering. Der CRC-32-Algorithmus selber ist
sehr zuverlässig, was die Erkennung von Veränderungen des zu prüfenden
Datenbereichs angeht. Es gibt zwar weitaus sicherere Routinen, wie etwa
MD5 oder SHS, diese sind aber auch um einiges langsamer als CRC-32.
Ich benutze bereits ein gutes Antiviren-Programm, warum sollte ich SUSPICIOUS
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
benutzen?
~~~~~~~~~
SUSPICIOUS besitzt einige Funktionen, die den 'herkömmlichen' Antiviren-
Programmen fehlen. SUSPICIOUS arbeitet rein heuristisch und kann unbe-
kannte Viren erkennen und von ihnen befallene Dateien reinigen. Es soll
nicht Ihren bisher eingesetzten Virenscanner ersetzen sondern erweitern
und *zusätzlich* eingesetzt werden.
Kann SUSPICIOUS Makro-Viren finden?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Nein, dazu ist SUSPICIOUS nicht in der Lage. Es bekämft ausschließlich
DOS-Viren. Das Antiviren-Programm F/WIN (ebenfalls von Stefan Kurtzhals)
kann bekannte und unbekannte Makro-Viren finden und entfernen.
Kann SUSPICIOUS Windows-Programm-Viren finden?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Hier gilt die gleiche Antwort wie bei der Frage zuvor. SUSPICIOUS wurde
speziell als DOS-Virenabwehr konzipiert und untersucht keine Windows-
Programme. Neben Makro-Viren (und Trojanern) kann F/WIN auch Windows 3.x
und Windows 95-Viren erkennen und entfernen.
Funktioniert SUSPICIOUS unter Windows (Windows 95)?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Bis auf SVS funktionieren alle Komponenten von SUSPICIOUS problemlos
unter Windows oder Windows 95. Da SVS seine Warnungen im Text-Modus dar-
stellen will und unter Windows nur einen Bruchteil der Systemfunktionen
kontrollieren kann, ist ein Einsatz von SVS unter Windows nicht sinnvoll.
SSC, SCRC und MEMCHK laufen ohne jede Einschränkung innerhalb einer DOS-
Box, SDISK kann seinen Anti-Stealth-Zugriff nicht mehr einsetzen (was
aber nicht weiter stört - entweder umgeht der 32-Bit-Zugriff von Windows
den Virus (und SDISK spricht den 32-Bit-Zugriff-Treiber direkt an) oder
Windows deaktiviert seinen 32-Bit-Zugriff und SDISK kann selber direkte
Festplattenzugriffe durchführen.
Wird es eine Windows (Windows 95)-Version von SUSPICIOUS geben?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Vorerst wird an einer Windows 95-Version von F/WIN gearbeitet. Es wird
wahrscheinlich keine Windows 3.x-Versionen von SUSPICIOUS (oder F/WIN)
geben. Primär wäre eine Windows 95-Version von SVS interessant, da es bis
jetzt noch keinen guten Behaviour Blocker für Windows 95 gibt. Aufgrund
von Zeitproblemen wird es allerdings noch einige Zeit dauern, bis SVS32
in Angriff genommen werden kann.
Funktioniert SUSPICIOUS im Netzwerk?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Da dem Autor von SUSPICIOUS kein Netzwerk zum Testen zur Verfügung steht,
kann diese Frage nicht beantwortet werden. Einige Kunden meldeten jedoch
Probleme mit SVS, da dies zu tief ins System eingreift und die Netzwerk-
Software umgeht. Bei SCRC muß evtl. der /NOAS-Parameter angegeben werden.
Warum kann SSC keine gepackten Programme untersuchen?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Bei der riesigen Anzahl von verfügbaren Programmpackern wie PKLITE usw.
ist es unmöglich, alle Programme dieser Art korrekt behandeln zu können.
Es gibt allerdings einige Shareware- oder Freeware-Tools, mit denen
solche Programmkomprimierungen rückgängig gemacht werden können. Dieses
Problem hat übrigens nicht nur SSC, sondern jeder andere Virenscanner
auch. Hier setzt SVS an: da SVS es nicht interessiert, wie und ob ein
Programm komprimiert ist, sondern alle kritischen Systemaktionen über-
wacht werden, kann SVS problemlos einen 'verpackten' Virus erkennen und
blockieren. Deshalb sollte SVS auch vor der Ausführung von neuer Software
aktiviert werden - ein Virus könnte so raffiniert im Programmcode ver-
steckt sein, daß selbst Tools wie UNP usw. die Datei nicht ent-
komprimieren können.
Warum sollte ich SVS nicht permanent benutzen?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wenn Sie möchten, können Sie SVS auch permanent einsetzen. Je nachdem,
wie gefährdet das System ist, mag das auch sinnvoll sein. Normalerweise
reicht es jedoch vollkommen aus, SVS erst dann zu aktivieren, wenn Sie
neue Software ausprobieren wollen. Mit SVS bereits bekannte und viren-
freie Software zu überwachen, macht nicht viel Sinn, sondern frißt nur
unnötig Systemzeit und Speicher. SVS kann problemlos über die DOS-
Kommandozeile geladen und wieder deaktiviert werden, ein Neustart ist
nicht erforderlich. Außerdem können Sie den Schutzlevel von SVS höher
ansetzen, wenn Sie SVS nur gelegentlich einsetzen. Ist SVS permanent
aktiv, wird meistens ein niedriger Schutzlevel eingestellt, um Fehlalarme
zu vermeiden. Das allerdings reduziert natürlich wiederum die
Effektivität von SVS, wenn es 'zur Sache' kommt.
Warum meldet SVS beim Starten ein unkompatibles BIOS?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SVS benutzt einen Trick, um direkte Festplattenzugriffe an SVS vorbei zu
blockieren. Dabei geht SVS davon aus, daß das BIOS Festplattenzugriffe
blockiert, wenn keine Festplatte angemeldet ist. Einige BIOS-Versionen
kümmern sich allerdings nicht um die Anzahl der angemeldeten Festplatten
und lassen weiterhin Zugriffe zu. Diese Funktion ist nicht nur abhängig
vom BIOS-Hersteller, sondern auch von der Version des BIOS.
Das Blockieren von Festplattenzugriffen über INT 13h bei Benutzung des
originalen Einsprungvektors im BIOS erhöht zwar die Sicherheit von SVS,
allerdings wird diese Funktion nur dann sinnvoll, wenn ein Virus den
Vektor über Berechnung oder Scannen des BIOS ermittelt. Die meisten
Viren setzen üblicherweise Tracer ein, um diese Adresse zu erhalten, was
von SVS problemlos blockiert werden kann.
SSC findet Dateien mit über 80% (evtl. sogar 99%), hält aber nicht an
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SSC hat gemerkt, daß es sich bei der Virenmeldung zu diesen Programm um
einen Fehlalarm handelt und überspringt die Anzeige des Info-Fensters.
SSC meldet eine Datei als verdächtig, die garantiert sauber ist
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die Heuristik von SSC ist zwangsläufig sehr 'scharf' eingestellt, um
möglichst viele Viren zu finden. Die meisten Fehlalarme werden von
verschlüsselten Programmen verursacht. Da SSC komplexere Verschlüsse-
lungen nicht durchdringen kann, meldet es Programme, die solche
Kodierungen benutzen, als verdächtig. Besonders oft werden Fehlalarme
durch Programme verursacht, die mit PROTECT 5.0 verschlüsselt wurden.
(Da ist SSC übrigens nicht das einzige Programm, was auf die wirklich
virentypische Kodierung von PROTECT 5.0 reinfällt).
Verdächtige Programme können dem Autor von SUSPICIOUS zur Analyse
zugeschickt werden.
Der AV-MBR meldet "INT 13h !" wenn man mit QEMM 7.5 oder 8.0 arbeitet
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Bei jeden Neustart prüft der Antivirus-Partitionssektor von SDISK, ob
der wichtige Systemvektor Interrupt 13h noch ins BIOS zeigt. Arbeiten
Sie mit QEMM 7.5 oder 8.0, kann es zu Konflikten mit der Quick-Reboot-
Funktion von QEMM kommen, da evtl. nicht alle residenten DOS-Programme
ordnungsgemäß aus dem Speicher entfernt wurden, bevor der Neustart durch-
geführt wird. In der Regel hilft hier ein 'richtiger' Reset (also kein
STRG-ALT-ENTF).
Wie und wo erhalte ich die neusten Updates von SUSPICIOUS?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Registrierte Kunden erhalten einen Registrierungsschlüssel (SUSP.KEY).
Mit diesem werden alle Funktionen der Vollversion in der Shareware-
Version freigeschaltet. Wenn Sie also Updates beziehen wollen, können Sie
sich über Internet oder Mailboxen die neueste Shareware-Version besorgen
und erhalten durch Ihren Registrierungsschlüssel (der sich im gleichen
Verzeichnis wie SSC.EXE usw. befinden muß) sofort die aktuellste Voll-
version. Sollten Sie keinen Zugang zu Mailboxen oder zum Internet haben,
können Sie Updates auch direkt beim Autor beziehen.
Wo kann ich die neuste Version von SUSPICIOUS finden?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die folgenden Mailboxen oder Internet-Adressen haben die neuste Version
von SUSPICIOUS (und F/WIN) innerhalb von wenigen Tagen nach Veröffent-
lichung einer neuen Version online.
■ WWW.VALLEYNET.COM/~JOE
■ WWW.CYBERBOX.NORTH.DE
■ CYBERBOX - Sascha Klose <2:2426/2031-34> (Magic: SUSP)
■ CYBERBOX BBS (v32b: 0441-3990032, v34: -3990033, ISDN: -9396977)
■ VHM II - Martin Roesler <2:2480/8849> (Magic: SUSP)
■ VHM II BBS (08638/881108) (v34 und ISDN)
