home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip Hitware 6
/
Chip_Hitware_Vol_06.iso
/
chiphit6
/
_virus
/
suspic
/
scrc.doc
< prev
next >
Wrap
Text File
|
1996-07-10
|
44KB
|
835 lines
┌───────────────────────────────────────────────────────────────────────────┐
│ │
│ - S C R C - │
│ │
│ P R Ü F S U M M E N V E R W A L T U N G │
│ │
│ │
│ Teil des Antiviren-Programmpakets SUSPICIOUS │
│ │
│ (c) 1996 Stefan Kurtzhals │
│ │
└───────────────────────────────────────────────────────────────────────────┘
[ Systemvoraussetzungen ]────────────────────────────────────────────────────
■ 80286 oder 100% kompatibel
■ MS-DOS 5.0-7.0, Novell DOS 7.0 oder 100% kompatibel
■ 250K freier konventioneller DOS-Speicher
Hinweis: SCRC konnte in Ermangelung eines Netzwerkes nicht unter einer
solchen Systemumgebung getestet werden.
[ Einleitung ]───────────────────────────────────────────────────────────────
Viren können auf verschiedene Arten gefunden werden. Sehr beliebt ist
das Scannen, da dieser Vorgang meist sehr schnell ist und die Ergebnisse
leicht verständlich sind. Entweder infiziert oder nicht, klarer Fall.
Scanner veralten leider sehr schnell und sind oft nicht in der Lage,
neue und unbekannte Viren zu erkennen; selbst wenn eine Heuristik vor-
handen ist, werden nicht alle neuen Viren zuverlässig erkannt.
Und meistens ist der Anwender nicht gewillt, jeden Monat sich Updates
des Virenscanners zu besorgen und diese zu installieren.
Eine weitere Stufe ist das Benutzen eines residenten Wächterprogramms,
das entweder jedes aufgerufene Programm vor dem Start scannt oder alle
verdächtigen Aktionen meldet und blockieren kann. Leider sind auch diese
'Behaviour Blockers' nicht perfekt und es ist möglich, daß Viren es
schaffen, sich an dem Schutz-TSR vorbeizumogeln. Residente Scanner haben
sehr oft nicht die Erkennungsrate ihrer Hauptprogramme und lassen sich
sowieso leicht mit Programmpackern und anderen Methoden austricksen.
Daher sollte man unbedingt einen Integrity-Checker einsetzen, der unab-
hängig von Viren generell Veränderungen an Programmen und Daten erkennen
kann. SCRC ist ein solcher Integrity-Checker und kann neben der Erkennung
von Programmveränderungen und Companion-Viren auch oft die infizierten
Programme wiederherstellen, wobei anhand einer CRC32-Prüfsumme hundert-
prozentig festgestellt werden kann, ob die Reinigung erfolgreich war oder
ob der Virus das Programm zerstört hat.
SCRC ist eine Ergänzung zu SSC, dem heuristischen Scanner und SVS, dem
residenten Virenschutzschild. SSC erkennt und analysiert Viren, SVS
meldet virentypische Aktiviäten und überprüft gleichzeitig anhand vorher
angelegter Prüfsummendateien, ob Programme verändert oder unbekannt sind.
Mit SCRC werden diese Prüfsummendateien verwaltet, verglichen und
Modifikationen erkannt.
SCRC hat drei Hauptaufgaben:
■ Erkennung von modifizierten (infizierten) Programmen
■ Reinigen von infizierten Programmen
■ Erkennung und automatisches Entfernen von Companion-Viren
SCRC ist speziell für die Erkennung von virustypischen Programmver-
änderungen ausgelegt und optimiert. Eine generelle Prüfung von Daten
ist mit SCRC nicht möglich, da die Prüfsummen gleichzeitig von SVS be-
nutzt werden. Wenn Sie denoch über das SETUP entsprechende Endungen
angeben, wird SVS, und damit das System, extrem gebremst!
[ Erkennung von Modifikationen ]─────────────────────────────────────────────
Während SVS eine Programmveränderung durch Viren aktiv im Speicher ver-
hindern soll, ist SCRC passiv ausgelegt. Es kann Veränderungen erst er-
kennen, wenn der Virus ein Programm modifiziert hat und zu diesem Pro-
gramm im sauberen Zustand vorher eine Prüfsummendatei erzeugt wurde.
Es ist egal, ob der Virus bekannt oder neu ist, SCRC erkennt nicht den
Virus an sich, sondern die Veränderung des Programmcodes. SCRC benötigt
deshalb nicht, wie normale Virensuchprogramme, ständig Updates, um auf
dem aktuellsten Stand zu sein. Updates werden erst dann notwendig, wenn
ein Virus speziell programmiert wird, um SCRC zu unterlaufen.
Allerdings ist es für SCRC um so wichtiger, daß die Prüfsummendateien
immer auf dem aktuellsten Stand sind, da sonst eine Erkennung oder
Reparatur unmöglich ist.
SCRC legt in jedem Verzeichnis, das Programme enthält, eine Prüfsummen-
datei an. Diese Datei ist verschlüsselt und beinhaltet wichtige Infor-
mationen über die Programme wie etwa die Programmlänge, Programmstart
und den CRC32-Wert des gesamten Programminhalts. Anhand dieser Daten
kann SCRC zuverlässig Programmveränderungen feststellen, die für Viren
typisch sind. Im Standard-Modus überprüft SCRC aus Geschwindigkeits-
gründen nur den Programmanfang und die Programmlänge auf Veränderungen.
Hier muß ein Dateivirus das Programm manipulieren, um aktiv zu werden.
SCRC verwendet das standardisierte und zuverlässige CRC32-Verfahren zum
Berechnen der benötigten Prüfsummen.
Erkennt SCRC eine Programmveränderung, versucht es zu unterscheiden, ob
diese Veränderung auf einen Virus zurückzuführen ist und ob sie rück-
gängig gemacht werden kann.
Virentypische Merkmale wie etwa ein ungültiges Dateidatum werden rot-
blinkend angezeigt. Viele Viren benutzen ein ungültiges Dateidatum, um
bereits infizierte Programme zu markieren. Auf dieses Merkmal sollte
man also besonders achten.
Alle der wirklich verbreiteten Dateiviren verlängern Programme um ca.
100-5000 Bytes und behalten in der Regel bei der Infizierung das alte
Programmdatum bei bzw. benutzen ein ungültiges Datum als Markierung.
Eine besondere Fähigkeit ist das externe Überprüfen von komprimierten
Programmen. Fast alle Programme werden heute mit Komprimierern wie
PKLITE, DIET, LZEXE oder WWPACK behandelt. Da diese Tools stets
gleiche Programmeinsprünge erzeugen, können SCRC und SSC solche mani-
pulierten Dateien erkennen. Eine Reinigung solcher Programme ohne
vorher angelegte Prüfsummen wäre möglich, ist aber recht unsicher und
wurde daher nicht in SCRC übernommen.
[ Verdächtige Programmstrukturen ]───────────────────────────────────────────
SCRC kontrolliert Programme auf verdächtige Strukturen, wenn die Dateien
neu hinzugefügt oder verändert wurden. Findet SCRC solche verdächtigen
Programme, wird selbst die Option "/INIT" oder "/AUTOADD" übergangen und
das Auswahlmenü angezeigt. Sie sollten sich also nicht wundern, wenn SCRC
trotz entsprechender Parameter in mehreren Verzeichnissen stehen bleibt
und das übliche Auswahlmenü anzeigt. Sie sollten in diesen Fall die ge-
meldeten Dateien mit SSC und anderen Virenscannern kontrollieren und, be-
vor Sie diese verdächtigen Programme starten, SVS aktivieren.
SCRC erkennt drei verschiedene, für Viren typische Dateimodifikationen:
■ Ungültiges Dateidatum/Uhrzeit ("2084/62")
■ EXE-Programme mit interner COM-Struktur "(MZ)"
■ Komprimierte Programme, die nachträglich modifiziert wurden "(MOD!)"
Zum Auswahlmenü werden zusätzlich Informationen wie Name, Größe, Datum,
Attribute und Prüfsumme der betreffenden Datei angezeigt. Findet SCRC
verdächtige Strukturen, werden diese rot blinkend dargestellt.
Natürlich sind diese Warnungen keine konkreten Beweise dafür, daß die
betreffende Datei infiziert ist. Vor allem auf Installationsdisketten
befinden sich oft Archive, die zwar eine "EXE"-Dateiendung haben, aber
noch vollkommen komprimiert sind und daher keine EXE-Struktur aufweisen
(Dies ist z.B. auf den Installationsdisketten für AutoCAD der Fall).
[ Reinigung von Programmen ]─────────────────────────────────────────────────
Findet SCRC ein Programm, das auf virentypische Art verändert wurde,
bietet es eine Reinigungsoption im Auswahlmenü an. Sie können von dieser
Funktion Gebrauch machen, ohne Gefahr zu gehen, das Programm zu zer-
stören! Bevor der Reinigungsvorgang gestartet wird, legt SCRC als erstes
eine Sicherheitskopie des Programmes an. Wenn das Programm "TEST.EXE"
heißen würde, wird die Kopie "TEST.EX!" genannt, also der letzte Buch-
stabe der Dateierweiterung durch ein "!" ersetzt ("COM" wird zu "CO!").
Erst nachdem erfolgreich die Sicherheitskopie angelegt wurde, startet
SCRC die Programm-Reinigung, die mittels der vorher gespeicherten Daten
bei den meisten Dateiviren problemlos durchgeführt werden kann.
Ist das Programm vermutlich gereinigt, wird dies erst noch anhand der
vorher berechneten CRC32-Prüfsummen verifiziert. Stimmt der CRC32-Wert
des 'gereinigten' Programmes nicht mehr mit dem des Originals überein,
muß das Programm als zerstört angesehen werden! SCRC bietet in diesem
Fall die Option an, das zerstörte Programm direkt zu löschen und die
infizierte Sicherheitskopie wieder zurückzukopieren.
Stimmt die CRC32-Prüfsumme mit dem Original überein, kann mit hoher
Wahrscheinlichkeit davon ausgegangen werden, daß die Reinigung hundert-
prozentig erfolgreich war.
CRC-Reinigung oder spezielle Reinigungsprogramme?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
In der Regel ist eine Reinigung nach dem Verfahren, wie es SCRC be-
nutzt, speziellen Reinigungsprogrammen vorzuziehen. Diese entschlüsseln
den Viruscode und extrahieren die für die Reinigung notwendigen
Werte. Da Viren nicht immer alle notwendigen Werte speichern und mit
Sicherheit nicht immer alle Programme hundertprozentig korrekt
infizieren, kann eine solche Reinigung fehlschlagen. SCRC hingegen
bezieht alle notwendigen Daten aus den vorher gespeicherten Prüf-
listen. Eine Reinigung mit SCRC ist hunderprozentig, wenn die CRC32-
Prüfsumme wieder übereinstimmt. Natürlich versagt die Reinigung mit
SCRC, wenn zu einem infizierten Programm keine Prüfsumme besteht,
die erstellt wurde, als das Programm noch sauber war.
Fälle, in denen SCRC nicht in der Lage ist, ein Programm zu reinigen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Der Eintrag zu diesem Programm innerhalb der Prüfsummendatei wurde von
SVS erstellt und noch nicht mit SCRC vervollständigt. SVS erstellt
aus Zeitgründen keine CRC32-Prüfsumme, und ohne diese Prüfsumme kann
SCRC die Reinigung nicht verifizieren. Die Reinigungs-Option wird in
diesem Fall erst gar nicht angeboten.
- Der Virus infiziert Programme nicht auf die übliche Art oder hat einen
großen Teil des Programmstarts überschrieben. Einige Viren infizieren
Programme z.B., indem der gesamte Programmstart ans Dateiende kopiert
und der eigentliche Viruscode dann am Dateianfang eingefügt wird. Es
gibt auch überschreibende Viren, die stets destruktiv sind und den
kompletten Programmstart ohne Kopie überschreiben. Eine Reinigung bei
solchen Viren ist nicht mehr möglich, allerdings sind solche Viren noch
nie in 'freier Wildbahn' gefunden worden.
Eine weitere Möglichkeit sind Viren, die schlecht programmiert sind
und Programme mit internen Overlays, wie z.B. PKZIP.EXE oder Windows-
Programme, beim Infizieren zerstören. Auch in diesem Fall ist eine
Reinigung nicht mehr möglich!
Windows-Viren der neueren Generation sind in der Lage, NewEXE-Programme
korrekt zu infizieren. SCRC erkennt zwar die Veränderung des Programms,
kann aber die infizierten Dateien nicht reinigen.
- Das Programm ist überhaupt nicht infiziert! Kontrollieren Sie, ob das
Programm nicht doch legal verändert wurde. Vielleicht wurde ein Update
des betreffenden Programms installiert und die Prüfsumme nicht auf den
neusten Stand gebracht.
Hinweis:
~~~~~~~~
SCRC benutzt in der Regel einen speziellen Anti-Stealth-Dateizugriff, um
auf Programme zuzugreifen. Damit soll verhindert werden, daß aktive Viren
durch SCRC weiter verbreitet werden, wie das bei Fast-Infector-Viren
normalerweise der Fall wäre. SCRC kann durch den Anti-Stealth-Zugriff
also auch bei aktiven Viren Programme reinigen, allerdings ist es
empfehlenswert, die Reinigung erst durchzuführen, nachdem von einer
sauberen Startdiskette gebootet wurde.
[ Die Prüfsummendatei ]──────────────────────────────────────────────────────
SCRC speichert alle Programminformationen in dieser Datei, die in jedem
Verzeichnis angelegt wird, welches Programme enthält. Diese Dateien sind
für das Funktionieren von SCRC äußerst wichtig. Sie sollten diese Daten
nicht löschen, verschieben oder (ohne SETUP.EXE) umbenennen.
Die Standardvorgabe für den Prüfsummen-Dateinamen ist "CRC.SVS". Sie
sollten auf jeden Fall mit SETUP.EXE diese Vorgabe direkt verändern,
bevor sie SCRC das erste Mal benutzen! Sehr viele der moderneren Viren
greifen gezielt verbreitete Antiviren-Programme an, indem die Prüfsummen-
dateien gelöscht werden. Meistens wird es den Viren besonders einfach ge-
macht: Die Prüfsummendateien haben stets den gleichen Dateinamen und das
Hauptprogramm meldet nicht, wenn diese Prüfsummendateien gelöscht werden.
Wenn Sie mit SETUP.EXE die Prüfsummendateien von SCRC umbenennen, sollten
Sie darauf achten, daß bereits erstellte Prüfsummendateien mit anderen
Namen nicht mehr erkannt werden.
Hinweis:
~~~~~~~~
Wenn Sie den Dateinamen der Prüfsummendatei ändern, übernimmt SVS auto-
matisch die neue Endung und schützt diese im späteren Betrieb wie normale
Programme. Sie sollten also keine geläufigen Endungen wie ".DAT" oder
" " (keine Endung) wählen.
[ Installation und Benutzung ]───────────────────────────────────────────────
!! HINWEIS: {Parameter} steht für optionale Parameter. Wurde SCRC mit SETUP
!! konfiguriert, muß stets noch der zusätzliche Parameter "/CFG" angegeben
!! werden, damit SCRC die gewählte Konfiguration benutzt. Alle weiteren
!! übergebenen Parameter werden im Zusammenhang mit "/CFG" ignoriert.
Im Normalfall sollten Sie SCRC über INSTALL menügesteuert installieren.
Sie können SCRC aber auch manuell in die CONFIG.SYS bzw. AUTOEXEC.BAT
einfügen. Das ist vor allem dann notwendig, wenn Sie eine CONFIG.SYS mit
Startmenü benutzen.
Zuerst muß mit SETUP.EXE eine Konfigurationsdatei angelegt werden, die
wichtige Parameter für SCRC enthält. Besonders wichtig ist die Namens-
gebung der Prüfsummendatei, die auf jeden Fall umbenannt werden sollte.
Wird SCRC das erste Mal benutzt, müssen die Prüfsummendateien einge-
richtet werden:
SCRC C: /INIT
oder wenn Sie direkt alle Festplatten überprüfen wollen:
SCRC /INIT /ALLDRV
SCRC fragt bei dem Aufruf mit dem Parameter "/INIT" nach, ob diese
Aktion wirklich durchgeführt werden soll, da bereits vorhandene Prüf-
summen ohne weitere Abfragen gelöscht werden.
Wenn neue Programme in die Prüflisten aufgenommen werden, dauert das
länger als die normale Dateiüberprüfung, da die CRC32-Prüfsumme zu jedem
Programm berechnet werden muß. Das gilt ebenfalls, falls Sie den Eintrag
einer Datei aktualisieren. Alle weiteren Prüfungen außer dem FULLCRC-
Modus erfolgen dann wesentlich schneller.
Meldet sich SCRC direkt mit der Warnung "DOS-Kernel modifiziert", gibt es
zwei Möglichkeiten: Entweder Sie haben das Antiviren-Programm "VIRSTOP"
(Frisk) geladen oder es ist der Virus <Alpha Strike> bzw. <Neuroquila>
aktiv im Speicher. Nur diese beiden Viren benutzen bis jetzt die Methode,
die zu dieser Warnung führt. <Neuroquila> kann daran erkannt werden, daß
nach dem Start von einer sauberen Startdiskette die erste Partition
nicht mehr erreichbar ist ("Invalid drive C:"/"Ungültiges Laufwerk C:").
Beide Viren werden von SSC erkannt.
Ist die Initalisierung erfolgreich durchgeführt, sollte SCRC entweder in
der CONFIG.SYS oder in der AUTOEXEC.BAT installiert werden. Ein Aufruf in
der CONFIG.SYS ist wirkungsvoller, da normale Dateiviren i.d.R.
frühestens mit COMMAND.COM aktiv werden. COMMAND.COM wird am Ende der
CONFIG.SYS und vor der Ausführung der AUTOEXEC.BAT gestartet. Wird SCRC
am Ende der CONFIG.SYS eingefügt, wird ein möglicher Virus erkannt, bevor
er sich aktivieren kann. Am einfachsten ist es, wenn SCRC als letzter
Befehl in die CONFIG.SYS aufgenommen wird.
SCRC muß nicht in den oberen Speicher hochgeladen werden, da es kein
speicherresidentes Programm ist. Wenn aus Kompatibilitätsgründen ein
Aufruf von SCRC in der CONFIG.SYS nicht möglich ist, sollte SCRC direkt
als erster Befehl in die AUTOEXEC.BAT aufgenommen werden.
Manuelle Installation in der CONFIG.SYS:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Folgenden Befehl am Ende der CONFIG.SYS einfügen:
INSTALL=C:\PFAD\SCRC.EXE /PATH=C:\PFAD {/CFG oder Parameter}
Die Pfadangabe hinter "/PATH=" gibt an, in welchem Verzeichnis SCRC
installiert ist. Diese Angabe ist notwendig, da SCRC bei dem Aufruf über
die CONFIG.SYS sonst nicht feststellen kann, in welchem Verzeichnis die
notwendigen Konfigurationsdateien vorhanden sind.
Manuelle Installation in der AUTOEXEC.BAT:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wenn möglich, SCRC in der CONFIG.SYS installieren! Ansonsten am Anfang
der AUTOEXEC.BAT folgenden Befehl einfügen:
SCRC {/CFG oder Parameter}
{Parameter} steht allgemein für die Konfigurationsparameter, mit denen
SCRC gestartet werden kann. Haben Sie SCRC mit SETUP konfiguriert,
reicht ein einfaches "/CFG" ohne weitere Angaben.
Für {Laufwerk} muß ein Laufwerk oder der Parameter "/ALLDRV" ange-
geben werden. Wird letzeres spezifiziert, überprüft SCRC alle Laufwerke
außer Diskettenlaufwerken, RAM-Laufwerken und CD-ROM's.
■ Hinweis: Den folgenden Abschnitt brauchen Sie nicht zu lesen, falls Sie
■ SCRC mit SETUP konfiguriert haben und "/CFG" benutzen. Die
■ gleichen Parameter werden mit den verschiedenen Vorgaben von
■ SETUP aktiviert.
Weitere Standardvorgaben bei den Parametern sind sinnvoll:
Schnellste Dateiüberprüfung mit möglichst wenig Warnungen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SCRC {Laufwerk} /DAILY /FAST+ /AUTOADD /AUTODEL /AUTODIR
Diese Prüfmethode ist nicht so sicher wie ohne "/FAST", es werden nur
Programme genauer geprüft, wenn 'äußere' Werte wie Dateidatum oder
Dateilänge verändert sind. Die "/AUTOxxx"-Parameter sorgen dafür, daß
neue Programme und Verzeichnisse automatisch in die Prüflisten aufge-
nommen werden und gelöschte Programme automatisch wieder aus den Listen
entfernt werden. "/DAILY" sorgt dafür, das SCRC nur einmal am Tag beim
ersten Einschalten des Rechners ausgeführt wird.
Normale Dateiüberprüfung ohne Dateikontrolle:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SCRC {Laufwerk} /DAILY+ /AUTOADD /AUTODEL /AUTODIR
In diesem Modus überprüft SCRC die Programme genauer als mit "/FAST"
und kann virentypische Veränderungen sicherer erkennen. Die drei
"/AUTOxxx" Parameter sorgen dafür, daß Warnungen bezüglich neuer oder
gelöschter Programme nicht angezeigt werden. Im "/DAILY+"-Modus
überprüft SCRC beim ersten Aufruf alle Programme im normalen Ver-
gleichsmodus. Bei allen weiteren Starts von SCRC am selbem Tag wird
dann der FAST-Modus eingeschaltet, um die Suche zu beschleunigen.
Normale Dateiüberprüfung mit Dateikontrolle:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SCRC {Laufwerk} /DAILY+
Neben der Prüfung auf Dateiveränderungen meldet SCRC jetzt auch, wenn
neue Programme und Verzeichnisse hinzugefügt oder Programme gelöscht
wurden. Das Löschen kann nur erkannt werden, wenn zu den betreffenden
Programmen ein Eintrag in der Prüfsummendatei besteht.
Sicherste Dateiüberprüfung und -kontrolle:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SCRC {Laufwerk} /FULLCRC
Bei jedem Programm wird nun auch die komplette CRC32-Prüfsumme ver-
glichen, womit jede geringste Manipulation oder Veränderung an Pro-
grammen erkannt wird. /FULLCRC sollte einmal monatlich explizit, oder
über den Parameter /DAILY=xx:YY aufgerufen werden, um die Korrektheit
der Prüflisten für eine mögliche Reinigung zu garantieren.
[ Programmparameter ]────────────────────────────────────────────────────────
In diesem Abschnitt werden die möglichen Parameter von SCRC beschrieben.
Eine einfache Konfiguration von SCRC ist mittels SETUP möglich, die so
eingestellte Konfiguration wird aber erst aktiv, wenn SCRC mit dem Para-
meter "/CFG" gestartet wird.
■ Hinweis: Sie sollten sich die Parameterbeschreibungen wenigstens ein-
■ mal durchlesen, damit Sie die Funktionsweise von SCRC besser verstehen
■ und das Programm effektiver einsetzen können.
/NOAS
~~~~~
SCRC benutzt eine spezielle Methode, um auf Programme zuzugreifen, mit
der SCRC fast alle Datei-Tarnkappenviren überlisten kann, die bereits
aktiv sind. Die Berechnung der notwendigen Daten ist allerdings DOS-
abhängig und wurde mit DOS 5.0-6.22, Novell DOS, DR-DOS und im DOS-
Fenster von OS/2 Warp getestet. Sollte SCRC beim Start melden, daß die
Anti-Stealth Routine nicht aktiviert werden kann, benutzen sie wahr-
scheinlich eine unkompatible DOS-Version oder es sind Viren wie
<Alpha Strike> oder <Neuroquila> aktiv im System. Besonders <Neuroquila>
ist recht stark verbreitet und Sie sollten den Rechner sofort auf
Virenbefall testen. <Neuroquila> kann daran erkannt werden, daß die
Festplatte beim Booten von einer sauberen Startdiskette nicht mehr
zugänglich ist ("INVALID DRIVE C:"). Ist das nicht der Fall, können Sie
den Anti-Stealth Dateizugriff mit "/NOAS" abschalten.
Sollen Netzwerklaufwerke bearbeitet werden, schaltet SCRC den Anti-
Stealth-Dateizugriff automatisch ab, da dieser meistens nicht zusammen
mit Netzwerksoftware funktioniert.
/NOCOMP
~~~~~~~
Split- oder Companion-Viren benutzen eine besondere Eigenschaft von DOS.
Befinden sich in einem Verzeichnis (oder in der PATH-Angabe) ein COM-
und EXE-Programm mit gleichem Dateinamen wie z.B. MSD.COM und MSD.EXE,
wird beim üblichen Aufruf mit "MSD" stets zuerst MSD.COM gestartet.
Companion-Viren nutzen dies aus und suchen nach EXE-Programmen, zu denen
gleichnamige COM-Programme erzeugt werden, die dann den Virus enthalten.
Wird das Programm aufgerufen, wird zuerst der Virus gestartet, der
seinerseits das eigentliche Programm aufruft. Viren solchen Typs sind
sehr einfach zu programmieren, können aber auch genauso einfach wieder
aus dem System entfernt werden. In der Regel erkennt man Companion-Viren
daran, daß Verzeichnisse nicht mehr gelöscht werden können, obwohl
vorher alle Programme darin vom Anwender gelöscht wurden. Der Grund
dafür ist, daß Companion-Viren sehr oft das HIDDEN- oder SYSTEM-Datei-
attribut gesetzt haben, um bei DIR nicht mit angezeigt zu werden.
SCRC überprüft während der Dateisuche, ob solche doppelten Programme auf-
tauchen und kann, falls gewünscht, alle weiteren Kopien des Virus auto-
matisch entfernen. Das ist möglich, da die von Companion-Viren erzeugten
Programme in der Regel alle gleich lang sind. Mit "/NOCOMP" wird die
Suche nach Companion-Viren unterbunden.
Hinweis: Benutzen sie QEMM (Quarterdeck), werden Sie mit SCRC im QEMM-
Verzeichnis ebenfalls eine doppelte Datei finden: OPTIMIZE.COM und EXE.
/NOESC
~~~~~~
Normalerweise kann die Dateiüberprüfung von SCRC jederzeit mit der Taste
<ESC> abbgebrochen werden. Vor allem im Zusammenhang mit dem Sicherheits-
Modus kann es gewünscht sein, daß diese Art von Programmabbruch nicht
mehr möglich ist. Mit "/NOESC" wird die Möglichkeit eines vorzeitigen
Programmabbruchs von SCRC unterbunden.
/NOMEM
~~~~~~
Das Modul MEMCHK sucht im Speicher mittels Heuristik nach bekannten und
unbekannten Viren. Mit diesem Parameter wird der Speichertest ausge-
schaltet.
/NONEWDIR
~~~~~~~~~
Dieser Parameter bewirkt, daß SCRC in neuen Verzeichnissen keine Prüf-
summendateien anlegt und den Anwender auch nicht bezüglich des neuen Ver-
zeichnisses warnt. Nützlich ist dieser Parameter vor allem dann, wenn mit
SCRC aus Geschwindigkeitsgründen nur in bestimmten Verzeichnissen Prüf-
summen angelegt wurden, und alle neuen Verzeichnisse direkt ohne Abfrage
übersprungen werden sollen. Ebenfalls sinnvoll in Kombination mit dem
Sicherheitsmodus: Werden zu neuen Verzeichnissen keine Prüfsummen
erzeugt, kann bei entsprechender Konfiguration von SVS dort kein Programm
gestartet werden. Damit kann z.B. verhindert werden, daß fremde Software
ungeprüft auf dem Rechner benutzt wird.
/NOSUB
~~~~~~
Wird dieser Parameter angegeben, durchsucht SCRC nur das Zielverzeichnis,
ignoriert aber alle weiteren Unterverzeichnisse.
/AUTOADD
~~~~~~~~
Dieser Parameter bewirkt, daß neue Programme ohne Abfrage in die Prüf-
listen aufgenommen werden. Zusammen mit "/AUTODEL" und "/AUTODIR" kann
somit eingestellt werden, in welchem Umfang der Anwender über neue oder
gelöschte Programme informiert wird.
/AUTODEL
~~~~~~~~
SCRC erkennt, wenn Programme gelöscht werden, zu denen bereits Prüf-
summeneinträge bestanden. Normalerweise weist SCRC Sie mit einer Abfrage
darauf hin, daß das Programm fehlt; mit "/AUTODEL" wird die Warnung
nicht mehr angezeigt und gelöschte Programme automatisch aus den Listen
gelöscht.
/AUTODIR
~~~~~~~~
Als Schutz gegen Viren, die es geschafft haben, die Prüfsummendateien von
SCRC zu löschen, wird in jedem Verzeichnis, das Programme, aber keine
Prüfsummendatei enthält, eine Warnung ausgegeben. Da dies oft lästig und
nicht gewünscht ist, kann diese Warnung mit "/AUTODIR" ausgeschaltet
werden. Neue Prüflisten werden dann automatisch erstellt. In diesem Fall
sollten Sie auch noch "/AUTOADD" angeben.
/ALLDRV
~~~~~~~
Besonders wichtig im Zusammenhang mit "/DAILY" ist dieser Parameter. Er
bewirkt, daß SCRC alle vorhandenen Laufwerke überprüft. Diskettenlauf-
werke, RAM-Drives und CD-ROMs werden von SCRC dabei übersprungen.
Wird ein bestimmtes Laufwerk von "/ALLDRV" nicht erkannt, müssen Sie die
Option "Benutzerdefinierte Laufwerke" über das Setup angeben.
/CFG
~~~~
Wird SCRC über SETUP.EXE speziell konfiguriert, muß dieser Parameter
unbedingt angegeben werden, da erst dann die Konfiguration in SCRC über-
nommen wird. Ausgenommen davon ist die Angabe des Prüfsummen-Dateinamens,
die stets aus der Konfigurationsdatei entnommen wird, und der Parameter
"/PATH=...".
/DAILY
~~~~~~
Ist SCRC in der CONFIG.SYS oder AUTOEXEC.BAT installiert, ist es oft
nicht notwendig, SCRC bei jedem Systemstart die gesamte Festplatte
durchsuchen zu lassen. Mit "/DAILY" führt SCRC den Dateivergleich nur
täglich durch; beim jeweils ersten Aufruf des Tages.
/DAILY+
~~~~~~~
Im erweiterten "/DAILY"-Modus führt SCRC wieder bei jedem Aufruf den
Dateivergleich durch. Allerdings wird nur beim ersten Aufruf des Tages
die normale, langsamere Dateiüberprüfung verwendet. Bei allen weiteren
Starts am gleichen Tag verwendet SCRC den wesentlich schnelleren FAST-
Modus. "/DAILY+" wird für den Batchbetrieb empfohlen.
/DAILY++
~~~~~~~~
Dieser Modus arbeitet wie "/DAILY+", zusätzlich wird der FAST-Modus
durch den SYSTEM-Modus ersetzt. D.h. SCRC prüft nach dem ersten Aufruf
eines jeweiligen Tages nur noch die kritischen Systemdateien. Dieser
Modus ist wesentlich schneller als "/DAILY+", da weitaus weniger
Dateien überprüft werden. "/DAILY++" bietet allerdings auch weniger
Sicherheit als "/DAILY+"
/DAILY=xx:yy
~~~~~~~~~~~~
Der DAILY-Modus kann noch weiter konfiguriert werden: "xx" gibt an, nach
wieviel Tagen der (sonst eingeschaltete) FAST-Modus deaktiviert und der
Normal-Modus benutzt wird. Wird der "/FAST"-Parameter nicht benutzt,
wird die Angabe von "xx" ignoriert. Der FAST-Modus wird nur beim ersten
Aufruf an diesen Tag deaktiviert, bei allen weiteren Suchdurchgängen
benutzt SCRC diesen Modus dann wieder.
Beim ersten Aufruf von SCRC nach "yy" Tagen schaltet sich SCRC in den
"FULLCRC"-Modus, in dem auch noch geringfügigste Veränderungen von Pro-
grammen erkannt werden.
Ein guter Kompromiß zwischen hoher Geschwindigkeit und Sicherheit ist
die Parameterkombination "/FAST+ /DAILY++=07:30"
Die Angabe von "=xx:yy" kann beliebig mit "/DAILY", "/DAILY+" und
"/DAILY++" verwendet werden.
/FAST
~~~~~
Normalerweise überprüft SCRC bei Programmen Veränderungen der Dateilänge
und des Programmkopfes. Im "/FAST"-Modus wird der Dateiinhalt nur noch
ausführlich verglichen, falls das Dateidatum oder die Dateilänge ver-
ändert wurden. Dadurch wird SCRC wesentlich beschleunigt; der Vergleich
ist aber weniger sicher als im Standard-Modus. Für so gut wie alle Datei-
viren reicht "/FAST" vollkommen aus, da Viren meist entweder Programme
verlängern oder das Dateidatum verändern.
/FAST+
~~~~~~
Das zusätzliche "+" beim "/FAST"-Parameter bewirkt, daß, nachdem eine
modifizierte Datei gefunden wurde, der FAST-Modus komplett ausgeschaltet
wird und alle weiteren Programmveränderungen sicherer erkannt werden
können. "/FAST+" ist "/FAST" vorzuziehen.
/FULLCRC
~~~~~~~~
Mit diesem Parameter wird die Dateiüberprüfung besonders ausführlich
durchgeführt, allerdings sehr auf Kosten der Zeit. SCRC vergleicht nun
den kompletten Dateiinhalt und kann auch geringste Dateibeschädigungen
erkennen. "/FULLCRC" kann auch zusammen mit "/FAST{+}" benutzt werden;
in diesem Fall wird der Dateiinhalt nur von Programmen mit veränderter
Dateilänge oder Datum komplett überprüft.
Sie sollten "/FULLCRC" vor allem dann benutzen, wenn Sie einen Virus
entdeckt haben!
■ Hinweis: Benutzen Sie "/FULLCRC" mindestens einmal monatlich oder
■ verwenden Sie den Parameter "/DAILY{++}=xx:yy"
/INIT
~~~~~
Dieser Parameter wird für die Installation oder Neueinrichtung von SCRC
benötigt. "/INIT" ist gleichbedeutend mit "/AUTODEL", "/AUTOADD" und
"/AUTODIR", es werden also zu allen vorhandenen Programmen neue Prüf-
listeneinträge erstellt. Als Sicherheit fragt SCRC vor der Ausführung
von "/INIT" noch einmal ab, ob diese Funktion wirklich durchgeführt
werden soll. Alle bereits vorhandenen Prüfsummendateien gehen verloren!
Die Initialisierung dauert wesentlich länger als der sonst übliche
Prüfvorgang, da die Programme komplett eingelesen werden müssen, um
die CRC32-Prüfsumme berechnen zu können.
/PATH=Pfad
~~~~~~~~~~
"/PATH" wird erst notwendig, wenn SCRC in der CONFIG.SYS installiert
werden soll. Bei einigen DOS-Versionen kann zu diesem Zeitpunkt noch
nicht der eigene Programmpfad ermittelt werden, den SCRC benötigt, um
die Konfigurationsdatei zu finden. Als Pfad muß der komplette Datei-
pfad angegeben werden, in dem sich SCRC befindet.
"/PATH" muß nach der Suchpfadangabe der erste Parameter sein!
Wenn SCRC Dateien wie "COUNTER.SVS" im Stammverzeichnis erzeugt, wurde
dieser Parameter entweder gar nicht oder falsch angegeben.
/QUIET
~~~~~~
"/QUIET" unterdrückt die Bildschirmausgabe von SCRC solange, bis Eingaben
des Anwenders notwendig werden. (Geringfügige Beschleunigung des Such-
vorgangs bei Systemen mit langsamen Graphikkarten)
/SECURE:x{+}
~~~~~~~~~~~~
Mit "/SECURE:x" wird der Sicherheitsmodus von SCRC aktiviert. Im Modus 1
erlaubt SCRC keine Aktualisierung der Prüflisten, falls ein Programm
verändert wurde. Im Modus 2 wird zusätzlich noch verhindert, daß neue
Programme zu den Prüflisten hinzugefügt werden dürfen. Im erweiterten
Sicherheitsmodus ("/SECURE:x+") blockiert SCRC den Rechner, falls ein
modifiziertes oder neues Programm gefunden wird.
Beispiel: "/SECURE:2+"
/LOG{+}
~~~~~~~
Im Log-Modus erstellt SCRC eine Reportdatei, in der alle von SCRC
gefundenen Veränderungen festgehalten werden. Die Logdatei wird im
gleichen Verzeichnis wie SCRC.EXE erzeugt und hat z.B. den Dateinamen
6031717A.LOG. In diesem Namen wird das Systemdatum und die Systemuhrzeit
festgehalten, an der die Logdatei erzeugt wurde.
6031717A.LOG
││ │ └──────── Stunde (hier 17:nn)
││ └────────── Tag (hier 17.03.96)
│└──────────── Monat
└───────────── Jahr (letzte Ziffer)
Ist bereits eine Logdatei mit dem gleichen Namen vorhanden hängt SCRC den
neuen Report an das Dateiende der alten Logdatei an.
Im LOG+ Modus hält SCRC nicht mehr an und verlangt Eingaben des Anwenders
sondern setzt die Überprüfung ohne Unterbrechung bis zum Schluß durch.
Alle Dateimanipulationen werden in der Logdatei festgehalten aber keine
Veränderungen an den überprüften Dateien oder Prüfsummen durchgeführt.
/WIN95
~~~~~~
Drückt man beim Booten eines Win95-Systems <F8>, kann man über ein Menü,
falls vorhanden, die vor Win95 installierte DOS-Version starten. Dabei
kopiert Windows 95 einige Systemdateien, was zu Problemen mit SCRC führen
kann. Wird /WIN95 angegeben, ignoriert SCRC bestimmte System-Dateien von
Windows 95 (die regulär nicht von Viren infiziert werden).
[ Erläuterung der Menüpunkte ]───────────────────────────────────────────────
Keine Prüfsummendatei im aktuellen Suchverzeichnis vorhanden:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
HINWEIS: In diesem Verzeichnis existiert keine Prüfsummendatei.
Soll diese jetzt erstellt werden ?
[1] Die Prüfsummendatei für dieses Verzeichnis einrichten
[2] Fehlende Prüfsummendateien in sämtlichen Verzeichnissen einrichten
[3] Keine neue Prüfsummendatei für dieses Verzeichnis erstellen
[4] Fehlende Prüfsummendateien in keinem anderen Verzeichnis einrichten
[5] Dieses Verzeichnis von der Prüfung ausschließen
Hinweis:
~~~~~~~~
SCRC erstellt zwar die Prüfsummendatei, wenn Sie die entsprechende Option
wählen, es werden aber keine Prüfsummen zu Programmen berechnet. SCRC be-
handelt Verzeichnisse und Dateien getrennt.
1. SCRC erstellt nur für das aktuelle Verzeichnis die Prüfsummendatei.
In allen weiteren Verzeichnissen wird SCRC erneut diese Meldung an-
zeigen.
2. Von jetzt an wird in jedem Verzeichnis, welches noch keine Prüfsummen-
datei enthält, diese automatisch erstellt. Die Option gilt nur für den
aktuellen Durchlauf von SCRC. Wollen Sie, daß SCRC immer automatisch
die Prüfsummendateien neu erzeugt, müssen Sie über SETUP den Parameter
"/AUTODIR" aktivieren.
3. SCRC erzeugt für dieses Verzeichnis keine Prüfliste. Das bedeutet, daß
auch keine Prüfsummeneinträge für Programme innerhalb dieses Ver-
zeichnisses erstellt werden können.
4. SCRC ignoriert alle weiteren neuen Verzeichnisse.
5. Diese Option ist permanent! Bei allen weiteren Aufrufen von SCRC wird
dieses Verzeichnis, und sämtliche Programme, das es enthält, ignoriert.
Ein Programm ohne Eintrag in der Prüfliste wurde gefunden:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
HINWEIS: Zu diesem Programm existiert kein Eintrag in der Prüfsummendatei.
Soll dieser jetzt erstellt werden ?
[1] Den Eintrag für dieses Programm neu erstellen
[2] Innerhalb dieses Verzeichnis alle Einträge neu erstellen
[3] Die Einträge für alle weiteren Programme neu erstellen
[4] Keinen Eintrag für dieses Programm erstellen
[5] Innerhalb dieses Verzeichnis keinen Eintrag mehr erstellen
[6] Für alle weiteren Programme die Einträge nicht neu erstellen
[7] Alle weiteren Einträge erstellen, auch wenn die Progr. verdächtig sind
1. SCRC erstellt den Eintrag nur für dieses Programm neu. Bei allen
weiteren Programmen wird SCRC erneut dieses Menü anzeigen.
2. Innerhalb dieses Verzeichnis erstellt SCRC automatisch alle weiteren
Einträge. Diese Option ist nicht permanent.
3. SCRC trägt alle weiteren neuen Programme automatisch in die Prüflisten
ein. Mit dem Parameter "/AUTOADD" bewirken Sie, das SCRC in Zukunft
dieses Menü nicht mehr anzeigt und neue Programme automatisch einträgt.
7. Diese Option schaltet die Dateianalyse von SCRC aus, d.h. Programme mit
ungültigen Dateidatum, EXE-Programme ohne MZ-Header und modifizierte
komprimierte Programme werden innerhalb dieses Durchgangs nicht mehr
gemeldet.
Ein Programm wurde verändert:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SCRC untersucht, ob die Veränderung von einem Virus verursacht worden sein
könnte und zeigt entsprechend folgendes Menü an:
"ACHTUNG! Das Programm wurde verändert:"
oder
"ACHTUNG! Das Programm wurde auf für Viren typische Art geändert:"
[1] Die Veränderung vorerst ignorieren
[2] Keine weiteren Veränderungen in diesen Verzeichnise melden
[3] Veränderungen an Programmen in allen weiteren Verzeichnissen
ignorieren
[4] Die Veränderung dieses Programmes akzeptieren
[5] Alle veränderten Programmeinträge in diesen Verzeichnis aktualisieren
[6] Sämtliche weiteren veränderten Programmeinträge aktualisieren
[7] Weitere Veränderungen dieses Prog. permanent validieren und zulassen
[8] Dieses Programm soll repariert werden
[9] Innerhalb dieses Verzeichnisses alle veränderten Programme reparieren
Hinweis:
~~~~~~~~
Die Option [8] und [9] sind nur dann vorhanden, wenn eine Reinigung
überhaupt möglich ist.
1. SCRC ignoriert die Veränderung dieses Programms vorerst. Sie können
später selber kontrollieren, ob das Programm infiziert ist und erhalten
beim nächsten Aufruf von SCRC erneut dieses Menü angzeigt.
2. Wie [1], nur werden alle weiteren Veränderungen innerhalb des aktuellen
Verzeichnis ignoriert.
3. Alle weiteren veränderten Programme werden ignoriert.
4. SCRC aktualisiert den Eintrag innerhalb der Prüfsummendatei.
5. Wie [4], nur für das gesamte aktuelle Verzeichnis.
6. Wie [4], gilt aber alle weiteren veränderten Programme.
7. SCRC wird in Zukunft alle Veränderungen dieses Programmes automatisch
ignorieren. Diese Option ist sinnvoll für selbstmodifizierende Pro-
gramme oder z.B. für die Dateien AUTOEXEC.BAT und CONFIG.SYS, falls die
Systemkonfiguration häufig geändert wird.
8. SCRC versucht anhand der gespeicherten Daten das Programm zu re-
parieren. Sie können diese Option ohne Gefahr benutzen: SCRC legt eine
Sicherheitskopie des Programmes an und überprüft anhand der CRC32-
Prüfsumme, ob die Reinigung erfolgreich war.
9. Alle weiteren, infizierten Programme innerhalb des aktuellen Ver-
zeichnis werden repariert.
Ein Programm wurde gelöscht:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die Datei, die zu diesem Eintrag in der Prüfsummendatei gehört, existiert
nicht mehr und wurde wahrscheinlich gelöscht.
[1] Den Eintrag dieses Programmes aus der Prüfsummendatei entfernen
[2] Innerhalb dieses Verz. alle Einträge von gelöschten Dateien entfernen
[3] Alle weiteren Einträge von gelöschten Programmen entfernen
[4] Diesen Eintrag nicht aus der Prüfsummendatei entfernen
[5] Innerhalb dieses Verzeichnisses keine weiteren Einträge entfernen
[6] Alle weiteren Einträge von gelöschten Programme bestehen lassen
Normalerweise ist der Parameter "/AUTODEL" eingeschaltet und dieses Menü
wird nicht angezeigt. Wollen Sie über gelöschte Programme informiert
werden, müssen Sie über das SETUP den Parameter "/AUTODEL" deaktivieren.
Verdacht auf Companion-Virus:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
"WARNUNG! In diesem Verzeichnis existieren zwei gleichnamige Programme,"
"die sich nur in der Dateierweiterung unterscheiden: NAME.COM / NAME.EXE"
"(Dateilänge: xxx Bytes)"
Und zusätzlich entweder:
"Das könnte auf einen Companion-Virus hinweisen!"
oder
"Das COM-Programm ist versteckt! Möglicherweise ein Companion-Virus ?"
je nachdem, welchen Aufbau das Programm hat. Die erste Meldung ist
im Prinzip nur ein Hinweis, erst wenn Sie die zweite Warnung erhalten,
sollten Sie hellhörig werden!
Wurden bereits mehrere doppelte Programme mit gleicher Länge gefunden,
zeigt SCRC diese Warnung an:
"Es wurde bereits ein anderes COM-Programm mit der gleichen Dateilänge"
"gefunden! Wahrscheinlich ein Companion-Virus !"
Das Menü:
[1] Die Warnung ignorieren und nach weiteren gleichgroßen Prog. suchen
[2] Die Warnung ignorieren, dieser 'Companion' gehört zum Programm
[3] Ignorieren und nicht mehr nach doppelten Programmen suchen
[4] Das COM-Programm löschen!
[5] Diese und alle weiteren Kopien des COM-Programmes löschen!
1. SCRC benutzt das gerade gemeldete Programme als "Vorlage" und sucht
nach weiteren gleichgroßen Programmen.
2. Wenn Sie genau wissen, daß das gerade gemeldete Programm legitim und
mit Sicherheit kein Virus ist MÜSSEN Sie diese Option wählen, da sonst
SCRC die vorher gespeicherte Dateilänge mit den aktuellen Daten er-
setzt und die weiteren Kopien des möglichen Companion-Virus nicht mehr
erkennen kann. Normale 'Companions' sind z.B. MSD.COM, DOSHELL.COM
oder OPTIMIZE.COM.
3. SCRC wird in allen weiteren Verzeichnissen nicht mehr nach Companion-
Viren suchen.
4. Wenn Sie sicher sind, daß das gerade gemeldete Programm in den Ver-
zeichnis nichts zu suchen hat, können Sie mit dieser Option das Pro-
gramm löschen lassen.
5. SCRC löscht automatisch alle weiteren gleichgroßen COM-Dateien die
es findet. Sie sollten diese Option nur mit Vorsicht benutzen!
Hinweis:
~~~~~~~~
Companion-Viren setzen in der Regel entweder das VERSTECKT oder SYSTEM-
Dateiattribut. Sie sollten bei gemeldeten Programmen, bei denen das nicht
der Fall ist, erstmal nicht von einen Virus ausgehen, vor allem, wenn Sie
das Programm schon länger benutzen. Um sicher zu gehen, können Sie vor dem
nächsten Start des gemeldeten Programmes SVS aktivieren, das die Aktivität
eines Companion-Virus sofort melden wird.
