home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip Hitware 6
/
Chip_Hitware_Vol_06.iso
/
chiphit6
/
_virus
/
suspic
/
susp.doc
< prev
next >
Wrap
Text File
|
1996-07-10
|
61KB
|
1,115 lines
┌───────────────────────────────────────────────────────────────────────────┐
│ │
│ S U S P I C I O U S │
│ │
│ Ein "intelligentes" Antiviren-Programm │
│ │
│ (c) 1996 Stefan Kurtzhals │
│ │
└───────────────────────────────────────────────────────────────────────────┘
[ Was ist SUSPICIOUS ? ]─────────────────────────────────────────────────────
SUSPICIOUS ist ein Antiviren-Programm, das gezielt zum Schutz, zur
Erkennung, Analyse und Reparatur von bzw. vor -unbekannten- Viren pro-
grammiert wurde. Bei der stetig steigenden Anzahl von Viren für DOS-
kompatible Rechner erscheint es sinnlos, nur nach bekannten Virensigna-
turen zu suchen. Herkömmliche Suchprogramme und residente Wächterpro-
gramme veralten innerhalb weniger Wochen, da bereits innerhalb dieses
kurzen Zeitraums unter Umständen wieder hunderte von neuen Viren auf-
tauchen, die nicht mehr erkannt werden. Hinzu kommt das verstärkte Auf-
treten von hochkomplexen polymorphen Viren, das eine Suche mit her-
kömmlichen Suchstrings unmöglich macht und die zeitintensive Entwick-
lung von speziellen Suchalgorithmen notwendig macht.
Die Programme von SUSPICIOUS suchen nicht nach bekannten Viren, sondern
nach typischen Merkmalen von Viren. Da diese Merkmale generell für
Viren gelten, werden bekannte wie völlig neu auftretende Viren erkannt.
Es soll nicht behauptet werden, daß SUSPICIOUS damit keine Updates mehr
nötig hätte, nur veraltet es nicht so schnell wie normale Virenscanner.
Das Programmpaket ist zum Teil für fortgeschrittene Anwender gedacht.
Während SCRC und SVS ohne Probleme auch von normalen Anwendern genutzt
werden können, wird für SSC eine gewisse Systemerfahrung vorausge-
setzt, da sonst die Ergebnisse der heuristischen Suche nicht interpre-
tiert werden können. Ist der Benutzer nicht in der Lage, zwischen Falsch-
meldungen und korrekt erkannten Viren zu unterscheiden, wird der Scanner
SSC fast wertlos. SSC wurde als Analyseprogramm für neue, unbekannte
Viren entwickelt und ist eigentlich nicht als Virenscanner konzipiert.
Während andere Scanner bei einem gefundenen Virus lapidar einen nicht
unbedingt sehr aussagekräftigen Namen angeben, kann SSC in der Regel
eine genaue Analyse des Virus liefern und Angaben über Virustyp, Größe
und Schaden machen. Dafür ist die Suchgeschwindigkeit von SSC im Ver-
gleich zu anderen Virenscannern sehr langsam.
[ Die Komponenten ]──────────────────────────────────────────────────────────
Das Paket SUSPICIOUS besteht aus mehreren Teilkomponenten, die völlig
unabhängig voneinander sind, sich aber untereinander ergänzen:
■ SSC - Heuristische Virenerkennung und -analyse
■ SVS - Residentes Wächterprogramm mit Prüfsummenfunktion
■ SCRC - Prüfsummen-Verwaltungsprogramm mit Reinigungsfunktion
■ SDISK - Partitions- und Bootsektorschutz
■ MEMCHK - Heuristische Virensuche für den Speicher
Mit SSC sollen neue Programme vor dem Starten getestet werden. SSC
erkennt einen hohen Prozentsatz an Viren, es ist aber möglich, daß SSC
einen Virus nicht finden kann. Die zweite Stufe ist SVS, das die Viren,
die an SSC vorbeigekommen sind, vor oder während der Aktivierung
blockiert. Sollte der Virus auch SVS passieren, wird er mit hoher
Wahrscheinlichkeit zuletzt von SCRC bemerkt und kann dann oft aus
den befallenen Dateien entfernt werden. Zusätzlich schützt noch SDISK
vor Veränderungen der Partition und des Bootsektors; MEMCHK erkennt
aktive Viren im Speicher.
SSC:
~~~~
Mit SSC können Datenträger nach infizierten Partitionen, Bootsektoren und
Programmen durchsucht werden. Jedes Programm wird auf verdächtige Befehle
hin untersucht, die für Viren typisch sind. Bei jeder gefundenen verdäch-
tigen Datei gibt SSC eine ausführliche Analyse über die ermittelten Merk-
male des vermutlichen Virus an. Aus den angegebenen Informationen läßt
sich in der Regel präzise ablesen, um was für einen Virustyp es sich han-
delt. Falls möglich, werden Angaben über Auslöse- und Schadensfunktion
des Virus gemacht, allerdings ist die Mehrzahl der bekannten Viren nur
darauf programmiert, sich zu verbreiten und verursacht keine gezielten
Schäden.
SVS:
~~~~
SVS bietet permanente Überwachung des Systems, einmal durch Vergleichen
von Prüfsummen und zum anderen durch Erkennen und Melden von virusty-
pischen Aktionen und Zugriffen. SVS kontrolliert das System auf Datei-
und auf Sektorebene und ist in der Lage, Viren zu blockieren, die sich
installieren, Programme oder die Partition infizieren, Tracer oder ähn-
liche Methoden durchführen wollen. Ebenfalls wird jede eingelegte Dis-
kette bei Zugriff wie etwa DIR A: mittels Heuristik nach Bootsektorviren
durchsucht. Des weiteren bietet SVS erweiterten Schutz des READ-ONLY
Dateiattributes, einen Schreibschutzmodus (Festplatte/Diskette) und nicht
zuletzt einen Lernmodus, der es SVS erlaubt, bekannte Falschalarme bei
weiteren Aufrufen des betroffenen Programmes zu vermeiden.
SCRC:
~~~~~
Mit SCRC haben Sie ein Prüfsummenprogramm, das sehr schnell und sicher
arbeitet, das in der Lage ist, Datei-Stealthviren zu umgehen und infi-
zierte Programme zu reinigen, wobei hundertprozentig festgestellt werden
kann, ob die Reinigung erfolgreich war. Des weiteren ist SCRC für jeden
Gebrauch konfigurierbar, es kann z.B. im DAILY-Modus betrieben werden,
was für den Batchbetrieb ideal ist. Im Gegensatz zu etlichen anderen
Prüfsummenprogrammen ist SCRC in der Lage, Companion-Viren zu erkennen
und ohne Probleme zu entfernen.
SDISK:
~~~~~~
SDISK bietet die Möglichkeit, Kopien des Partitions- und Bootsektors
extern abzuspeichern und bei Bedarf zu restaurieren. Durch einen
speziellen Anti-Stealth-Sektorzugriff ist SDISK in der Lage, so gut wie
alle Bootsektorviren zu umgehen. SDISK bietet noch weitere Features wie
das Immunisieren der Partition gegen Virenbefall, die Partition und den
Bootsektor von Festplatten und Disketten ohne vorher angelegte Kopien zu
reinigen und gelöschte Partitionen neu zu berechnen.
MEMCHK:
~~~~~~~
Mit diesem Modul erhalten die anderen SUSPICIOUS-Komponenten die Möglich-
keit, bereits aktive Viren im Speicher zu erkennen. Wie SSC arbeitet MEM-
CHK rein heuristisch und erkennt auch unbekannte, neue Viren anhand der
für Viren typischen Merkmale. MEMCHK erzeugt und prüft desweiteren Köder,
um die Aktivitäten eines residenten Dateivirus festzustellen.
[ Installation ]─────────────────────────────────────────────────────────────
Die Installation wird mit INSTALL durchgeführt. Der einzige notwendige
Parameter ist eine Pfadangabe, wo SUSPICIOUS installiert werden soll.
Im INSTALL können Sie weiterhin angeben, ob und wo SVS, SDISK und SCRC
installiert werden sollen. Auf Wunsch des Anwenders kann INSTALL eben-
falls die Prüfsummendateien für SCRC und SVS erstellen.
Weitere spezielle Hinweise zu den einzelnen Programmen finden Sie in
den jeweiligen Anleitungen (*.DOC).
Im Prinzip können Sie direkt mit den gegebenen Voreinstellungen vom
SETUP arbeiten, das einzige, was geändert werden muß, ist der Name der
Prüfsummendatei. Gehen Sie einfach im SETUP direkt auf die Option
"BEENDEN UND SPEICHERN", das Prüfsummenname-Menü wird dann automatisch
angezeigt.
Folgende Konfiguration der Programme wird empfohlen:
- SCRC: Mit Standardeinstellungen am Ende der CONFIG.SYS aufrufen.
- SDISK: Überprüfung der Sektoren am Ende der CONFIG.SYS.
- MEMCHK: Aufruf am Ende der AUTOEXEC.BAT.
- SVS: Aktivierung erst, wenn neue Programme getestet werden sollen.
- SSC: Überprüfen von neuen Programmen.
Sollten Sie SVS wie oben empfohlen nur dann einsetzen, wenn Sie neue
Programme testen, sollten Sie unbedingt die Voreinstellung für SVS
"Hohe Sicherheit" im SETUP anwählen.
Die von SDISK angelegten Dateien DISKDATA.SVS, ZEROTRK.SVS und ODMTRK.SVS
(ODMTRK.SVS wird nur bei aktivem Ontrack DiskManager erzeugt) sollten
zusammen mit SDISK auf eine DOS-Bootdiskette kopiert werden.
[ Shareware und Registrierung ]──────────────────────────────────────────────
Das SUSPICIOUS-Antivirenpaket ist Shareware. Das bedeutet, daß die Share-
wareversion beliebig vervielfältigt werden darf, solange der Inhalt des
Archives unverändert und vollständig bleibt. Sie sollen sogar SUSPICIOUS
in der Shareware-Version an möglichst viele Bekannte und Freunde weiter-
geben! Ein Upload in Mailboxen oder ins Internet (z.B. Simtel) ist aus-
drücklich erwünscht!
Der Registrierungsschlüssel der Vollversion darf hingegen in keiner
Weise vervielfältigt oder verändert werden! Die einzige Ausnahme hier-
von ist das Anlegen von Sicherheitskopien (Backups).
Shareware ist nicht Freeware! Sie dürfen SUSPICIOUS vier Wochen lang
testen, danach müssen sie sich entweder registrieren oder das Programm
nicht mehr benutzen! Die Shareware-Version unterscheidet sich von der
Vollversion durch einige Parameter wie "/REPORT" (SSC), die in der Share-
ware-Version fehlen und natürlich dadurch, daß die Vollversion keinen
lästigen Shareware-Hinweis mehr anzeigt.
Und sicherlich sind 40 DM nicht zuviel verlangt für ein Antivirenpaket
dieser Qualität und Leistungsfähigkeit. Hinter SUSPICIOUS steckt eine
Menge an Arbeit und Entwicklungszeit. Nur als Hinweis: Die gesamten
Sourcecodes (alles ASM) sind mittlerweile über 3 MB groß.
Es gibt zwei Arten der Registrierung:
■ Private Registrierung : 40 DM
■ Gewerbliche Registrierung : 110 DM
(inkl. Update-Service)
Die Registrierung gilt für das gesamte Programmpaket und ist nicht
zeitlich befristet. Die Registrierung erfolgt direkt über den Autor.
Wenn Sie SSC, SVS, SCRC, SDISK oder MEMCHK nur zu privaten Zwecken ein-
setzen, können Sie die private Nutzungslizenz erwerben. Schützen Sie
allerdings ihre gewerblichen Daten oder setzen Sie SUSPICIOUS in einen
gewerblich bzw. kommerziell genutzten Rechnersystem ein, müssen Sie die
gewerbliche Nutzungslizenz erwerben. Die gewerbliche Registrierung
beinhaltet einen Update-Service, der vier Updates in einem Zeitraum von
einen Jahr umfaßt.
Telefonische Hilfe (02191/55126) ist nur für registrierte Benutzer er-
hältlich! Es wird allerdings jedem Benutzer geholfen, der seine Fragen
oder Probleme dem Autor über E-Mail mitteilt.
[ Lizenzbestimmungen ]───────────────────────────────────────────────────────
Mit dem Registrierungsschlüssel erhalten Sie das Recht, das Antiviren-
paket SUSPICIOUS unbefristet zu nutzen. Die Nutzungslizenz kann nicht
an Dritte weiterverkauft oder in einer anderen Art übertragen werden.
Ein kommerzieller Vertrieb der Vollversion ist untersagt!
Die Vollversion darf vom Besitzer auf verschiedene Rechner übertragen
werden, vorausgesetzt, daß SUSPICIOUS nur auf einem einzigen Rechner
gleichzeitig benutzt und der Registrierungsschlüssel gegen unerlaubte
Benutzung oder Vervielfältigung geschützt ist.
Die Programme, Dokumente und der Registrierungsschlüssel von SUSPICIOUS
dürfen weder verändert, entpackt, disassembliert oder sonstwie intern
ausgewertet werden. Die Anleitungen dürfen, auch nicht teilweise, nicht
ohne schriftliche Genehmigung des Autors in einer anderen Form als den
unveränderten *.DOC-Dateien vervielfältigt oder zitiert werden.
Für das Programmpaket SUSPICIOUS hat der Autor Stefan Kurtzhals das
Urheberrecht. Alle Rechte bleiben vorbehalten.
Die Sharewareversion darf nur mit schriftlicher Genehmigung des Autors
im Sharewarevertrieb auf Diskette oder CD-ROM verkauft werden.
[ Garantie und Haftung ]─────────────────────────────────────────────────────
ES IST NICHT MÖGLICH FÜR EINE HUNDERTPROZENTIGE FUNKTIONSWEISE DER PRO-
GRAMME VON SUSPICIOUS ZU GARANTIEREN!
DER AUTOR ÜBERNIMMT KEINERLEI HAFTUNG FÜR SCHÄDEN, DIE DIREKT ODER IN-
DIREKT AUF EINE BENUTZUNG VON SUSPICIOUS ZURÜCKZUFÜHREN SIND. DIE PRO-
GRAMME ENTHALTEN ZUM TEIL KRITISCHE SYSTEMROUTINEN, DIE BEI UNSACHGE-
MÄSSER BENUTZUNG ODER INKOMPATIBILITÄT DES SYSTEMS ZUR BESCHÄDIGUNG VON
DATEN ODER PROGRAMMEN FÜHREN KÖNNEN!
DIE VERWENDETE VIRENERKENNUNG (HEURISTIK) IST NICHT HUNDERTPROZENTIG!
DAS PROGRAMMPAKET WURDE AUF MEHREREN SYSTEM AUSFÜHRLICH GETESTET.
ES IST DENNOCH NICHT MÖGLICH, EIN ABSOLUT FEHLERFREIES PROGRAMM ZU
SCHREIBEN, WAS UNTER SÄMTLICHEN MÖGLICHEN SYSTEMKONFIGURATIONEN EIN-
WANDFREI FUNKTIONIERT. BITTE BEACHTEN SIE AUCH DEN ABSCHNITT
'SYSTEMANFORDERUNGEN UND KOMPATIBILITÄT'.
DIE BENUTZUNG DES PROGRAMMPAKETS SUSPICIOUS ERFOLGT AUF EIGENE GEFAHR!
[ Systemanforderungen und Kompatibilität ]───────────────────────────────────
Die Speicheranforderungen sind je nach Komponente (SSC, SVS, SDISK,
MEMCHK und SCRC) unterschiedlich. Alle Programme benötigen mindestens
eine 80286 CPU, EGA-Graphikkarte, MS-DOS 5.0 und höher oder NOVELL
DOS 7.0. Die Komponenten wurden unter MS-DOS 5.0 bis DOS 7.0 getestet.
Unter NOVELL DOS 7 konnte nur für einen recht kurzen Zeitraum getestet
werden. Es sollte keine Probleme mit den gängigen Caches und Festplatten-
verdopplern geben. Einige spezielle Optionen von SVS sind allerdings
nicht kompatibel zu Disk-Caches. Bitte beachten Sie die Hinweise in
SVS.DOC und im SETUP selber. Generell sollte SVS nicht zusammen mit
Software-Disk-Caches wie SMARTDRV eingesetzt werden, wenn diese die
Schreib-Cache-Option aktiviert haben. SVS schaltet bei SMARTDRV-
kompatiblen Caches diese Funktion übrigens automatisch aus.
■ Besonders wichtig ist die Einstellung "DOS=HIGH" in der CONFIG.SYS !
SUSPICIOUS kann Probleme mit folgenden Systemumgebungen haben:
WINDOWS, WINDOWS NT, OS/2, DESQVIEW und sonstigen Multitaskern und
Betriebssystemen. Die Benutzung von SVS in Zusammenhang mit diesen
Programmen ist nicht unbedingt sinnvoll, da bestimmte Systemvektoren
und Einsprünge nicht mehr ermittelt werden können oder komplette
Systemstrukturen überhaupt nicht vorhanden sind. MEMCHK kann unter
Umständen nicht alle Tests durchführen.
SSC und SCRC konnten leider nicht im Netzwerkbetrieb getestet werden.
[ Der Autor ]────────────────────────────────────────────────────────────────
Zu meiner Person ist nicht viel zu sagen. Ich wurde am 15.12.72 geboren,
wohne in Remscheid und bin ein Student des Fachbereichs Elektrotechnik an
der Universität Wuppertal. Seit 4 Jahren programmiere ich im PC-Bereich,
hauptsächlich Assembler, und bin seit 1992 in der Virenforschung tätig.
Ich bin Mitglied im VHM (VIRUS HELP MUNICH), einer privaten Gruppe von
Virenforschern, die es sich zur Aufgabe gemacht hat, Viren zu analysieren
(ITW) und Informationen und Reinigungsprogramme für akute Viren zu er-
stellen. Mein Spezialgebiet ist die Entwicklung von regelbasierten
Suchansätzen wie z.B. SSC oder F/WIN (Heuristik) und die Virenanalyse
(z.B. die ITW-Liste).
Sie können mich kontaktieren, falls Probleme oder Fragen zu Viren, deren
Entfernung oder zu SUSPICIOUS auftreten. Da auch SUSPICIOUS, wie jedes
andere Programm, mit Sicherheit nicht hundertprozentig fehlerfrei oder
optimal ist, bitte ich Sie, mir mitzuteilen, falls Sie noch Fehler im
Programmpaket finden oder Verbesserungsvorschläge haben.
Ebenfalls bitte ich, mir Viren zuzusenden, die von SSC bzw. SVS nur un-
vollständig oder überhaupt nicht erkannt werden, damit die heuristische
Erkennung verbessert werden kann. (Zusendung bitte als Archiv per Fido
(per Crash), Internet (PGP E-Mail) oder Post)
Die Adresse:
~~~~~~~~~~~~
Stefan Kurtzhals
Dörrenberg 42
42899 Remscheid
+49 (0)2191/55126 (18:00-22:00)
E-Mail:
~~~~~~~
FidoNet: 2:2480/8849.2
InterNet: kurtzhal@wrcs3.urz.uni-wuppertal.de
Bitte diese Dokumentation und nach Möglichkeit die VIRUS.GER-FAQ durch-
lesen, bevor wegen eines vermutlichen Virus angerufen wird! Telefonische
Hilfe ist nur für registrierte Anwender erhältlich! Über E-Mail kann
jedoch jeder Benutzer Fragen zu Problemen mit SUSPICIOUS oder Viren
stellen.
Für die Registrierung:
~~~~~~~~~~~~~~~~~~~~~~
Kontonummer: 972240
BLZ: 340 500 00
Sparkasse Remscheid
Verwendungszweck: SUSPICIOUS Registrierung
■ Bitte bei der Überweisung den Namen und Verwendungszweck mit angeben!
■ Sysops bitte "SYSOP.TXT" lesen!
PGP-Schlüssel:
~~~~~~~~~~~~~~
Sie können mit PGP überprüfen, ob Sie die Programme von SUSPICIOUS unver-
ändert erhalten haben. Um z.B. SSC.EXE zu überprüfen, müssen Sie folgende
Zeile aufrufen: "PGP ssc.pgp ssc.exe". Natürlich müssen Sie vor der Über-
prüfung den Public Key des Autors in ihren PUBLIC KEY RING aufnehmen.
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.2i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=QE9d
-----END PGP PUBLIC KEY BLOCK-----
[ Updates ]──────────────────────────────────────────────────────────────────
Updates können direkt über den Autor bezogen werden. Für registrierte
Anwender ist das Update kostenlos bis auf einen ausreichend frankierten
Rückumschlag plus Diskette, die dem Autor zugeschickt werden.
Die Datei sollte unter den Namen "SUSPxxx.ARJ" requestbar sein, wobei das
"xxx" für die jeweils aktuelle Version steht, also z.B. "SUSP146.ARJ".
Über Internet, World Wide Web (WWW) und Mailboxen ist SUSPICIOUS bei
folgenden Systemen zu finden:
■ http://www.cyberbox.north.de (Support-Area)
■ http://www.valleynet.com/~joe (DOS Antiviren-Programme)
■ VHM II - Martin Roesler (2:2480/8849)
■ VHM II BBS (08638/881108) (V.34 & ISDN) (Magic: SUSP)
■ CYBERBOX <2:2426/2031-37> (49-441-3990032 [Line 2]) (Magic: SUSP)
■ CEUS (089-448-17-60) (SUSP*.EXE)
■ RRWS1.WIWI.UNI-REGENSBURG.DE/~MLRAITH/SUSP/SUSP.HTML
■ FTP.UNI-HAMBURG.DE (\PUB-INFORMATIK/VIRUS/PROGS)
■ FTP.LEO.ORG (Im Bereich .../DOS/ANTIVIRUS)
■ WWW.LEO.ORG
■ Veronikas BBS Mannheim 2:2468/6020 (Magics: SUSP, FWIN)
0621/305062 (Heinz Holdefehr)
■ STAR FORTRESS (049-9401-79462) (24H Online)
Michael Raith 2:2494/340 (Magic: SUSP)
■ Media 2000 (030-217-67-93)
■ SHOOTING STAR ODERNHEIM (06755/1781)
■ A Question of Time (+49-30-774 33 96)
(Sven Leutloff)
■ Markus Busche 2:240/2116 (V.42bis) 2:240/2136 (ISDN) (Magic: SUSP)
Beer Drinkers BBS 1 (+49-431-16742)
■ Winfried Schuster 2:245/6811 (Magic: SUSP)
KMAN (+49-6821-22628)
■ Thomas Dobusch 2:2476/260 (Magic: SUSP)
Thommys Chaoten BBS (+49-7223-999652)
■ Volker Martin: Streitroß Box (0511/7590481)
■ WareHouse BBS (0511/6062348)
(Olaf Rabing 2:241/1118)
■ Private Mail (02594/948906 (Analog), 02594/948908 (ISDN))
(Dirk Beinhauer)
■ DiskWorld BBS (Holger Quander, 2:2452/311)
0651/9950041 (V34)
0651/9950040 (X75)
■ Black Panther BBS (Mike Bremer, 2:2410/210.7, Magic: SUSP
+49 30 9981929, 24h online)
■ Dagobah System (Axel Merkel, 2:2426/2050)
(04403-64490)
■ Renraku Base BBS (Willi Wojtynek, 06831-988457)
(Sollte in einer der zuletzt genannten Mailboxen die neueste SUSPICIOUS-
Version nicht erhältlich sein, kann dem Sysop ruhig mal auf die Finger
geklopft werden! Die Sysops haben sich dazu verpflichtet, die jeweils
neuste Version von SUSPICIOUS zur Verfügung zu stellen.)
Die neuesten Shareware- oder Beta-Versionen sind in der Regel nur bzw. als
erstes in der VHM II und der Cyberbox zu haben.
[ Danksagungen ]────────────────────────────────────────────────────────────-
Ich möchte hiermit den Personen danken, die mich bei der Entwicklung von
SUSPICIOUS unterstützt haben:
Martin Rösler, Robert Hörner, Matthias Genkel, Joe Hartmann, Vesselin
Bontchev, Malte Eppert, Tjark Auerbach, Howard Fuhs, Hans Naudszus &
Sascha Klose, Klaus Kulbarsch, Fabiano Ralo Monterio, Bernhard
Weingärtner, Uli Schäfer, Ralph Roth, Karsten Horn, Dirk Pähl, Peter
Braun, Rainer Link, Bernard Henter, Jörg Henselewski, Christian
Schäbsdat, Michael Raith, Axel Schmidt, Burghard Herziger, Stefan Meisel,
Heinz Diehl, Georg Tüller, Wolfgang Schroedl, Thomas Springer, Winfried
Schuster, Ralf Borgmann, Holger Hunger, Dietrich Krieger, Thomas Lokau,
Robert Woschee, Georg Nahde, Franklin Schiftan, Lukas-Fabian Moser,
Alfred Schroeder, Heinz Holdefehr, Christian Klak, Raimund Winter, Marco
Schnitzler, Gerrit Harre, Thomas Hein, Maik Gogol, Richard Klein, Mirko
"MUD" Pilger und alle anderen, die ich wiedermal vergessen habe...
NOCH EINMAL VIELEN DANK FÜR EURE UNTERSTÜTZUNG!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
[ Glossar ]──────────────────────────────────────────────────────────────────
Mit Sicherheit tauchen in den Dokumentationen und Programmen einige Fach-
begriffe auf, mit denen ein normaler Anwender nichts anzufangen weiß.
ANSI-Bombe:
~~~~~~~~~~~
Sequenzen, die in normale Texte eingebunden werden und bei der Anzeige
die Tastaturbelegung verändern. Zum Beispiel könnte "FORMAT C:"+RETURN
auf die Taste "a" gelegt werden. ANSI-Bomben benötigen den ANSI.SYS
Treiber, um überhaupt aktiv werden zu können. Es gibt allerdings schon
mehrere Alternativen zu ANSI.SYS, die diese Tastaturreprogrammierung
unterbinden und somit effektiv vor ANSI-Bomben schützen.
"AM" - Analysemeldung:
~~~~~~~~~~~~~~~~~~~~~~
Die Analysemeldungen geben genau an, was genau ein gefundener Virus
macht und welchen Schaden er auslöst. Konnte die Information nicht
verifiziert werden, zeigt SSC ein "(?)" hinter der Meldung an.
Bootsektor:
~~~~~~~~~~~
Jeder DOS-Datenträger besitzt einen Bootsektor, auch RAMDRIVES und
reine Daten-Disketten. Hier werden die logischen Daten wie Größe des
Mediums, Anzahl der Cluster usw. angegeben. Der Bootsektor ist stets
der erste logische Sektor eines Datenträgers. Ist der Bootsektor un-
gültig, zeigt DOS einen "GENERAL FAILURE DRIVE X:" an.
Bootsektorviren (BSI):
~~~~~~~~~~~~~~~~~~~~~~
Bootsektorviren infizieren den Bootsektor von Disketten; bei Fest-
platten wird normalerweise die Partition infiziert. In der Regel
wird auf Disketten einfach der letzte Sektor des Hauptverzeichnisses
gelöscht, was zu Datenverlust führen kann, wenn die betroffene
Diskette viele Programmeinträge enthält.
Bootsektorviren können nur auf zwei Arten aktiviert werden:
- Booten mit einer infizierten Diskette im Laufwerk A:
- Starten eines "Droppers" oder eines mit einem Multipartite-Virus
infizierten Programms.
!! BOOTVIREN WERDEN NICHT DURCH "DIR A:" -AKTIVIERT- !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wird dennoch nach "DIR A:" von einem Virenscanner der Virus bereits
im Speicher gefunden, so ist das ein Falschalarm! Der benutzte Viren-
scanner verwendet dann einen sehr primitiven Speichercheck.
Die Ursache für den Falschalarm liegt darin, daß DOS den Bootsektor
einer Diskette lesen muß, um z.B. den Diskettentyp zu ermitteln.
DOS legt den Sektor in seinen Buffers ab und wertet die Daten aus,
startet aber nicht den Programmcode des Sektors, was sowieso direkt
zum Absturz des Rechners führen würde. Das Antivirenprogramm findet
also den Sektor samt Virus in den Buffers und nicht aktiv im
Speicher.
!! Ist der Virus allerdings erst einmal aktiv, wird bei DIR A:
!! (oder B:) jede eingelegte nicht-schreibgeschütze Diskette infiziert!
Bootviren fallen i.d.R. durch Reduzierung des TOM-Wertes auf, d.h.
der Rechner besitzt angeblich nur noch z.B. 638 oder 639K DOS-
Speicher anstatt der üblichen 640K. Sie können dies leicht mit MEM
überprüfen.
Cluster:
~~~~~~~~
Da eine Verwaltung der Festplatte in Sektoren zu aufwendig wäre,
werden bei DOS mehrere Sektoren zu einem Cluster zusammengefaßt.
Diese Cluster werden wiederum in der FAT verwaltet. Es kann
mit DOS leider recht schnell vorkommen, daß die FAT nicht korrekt
aktualisiert wird und sogenannte "Verlorene Cluster" oder
"Verlorene Ketten" gefunden werden. Diese sollten Sie sofort mit
SCANDISK oder anderen Festplattentools löschen, bevor ernsthafte
Fehler wie "Querverkettete Ketten" auftreten, wo eine Reparatur
fast unmöglich ist.
CMOS:
~~~~~
Externer Speicher, der durch eine Batterie mit Strom versorgt wird
und rechnerspezifische Informationen wie Uhrzeit, Datum, Größe des
DOS-RAM, die Festplattenwerte usw. enthält.
Es ist, entgegen dem beliebten Gerücht, -nicht- möglich, in diesem
Bereich aktiven Viruscode zu speichern oder zu starten. Würde ein
Virus diese Bereiche überschreiben, würden die kritischen Werte für
Festplattengröße, Wait-States usw. gelöscht werden und der Rechner
abstürzen.
Es gibt allerdings Viren, die das CMOS gezielt löschen oder mani-
pulieren, um Systemabstürze zu verursachen oder, wie der <AntiCMOS>,
durch trickreiche Manipulation des CMOS verhindern, daß der
Rechner von einer sauberen Diskette gestartet werden kann.
Companion-Viren (Split-Viren):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Companion-Viren nutzen die Eigenschaft von DOS aus, daß ein COM-Pro-
gramm stets vor einem gleichnamigen EXE-Programm gestartet wird.
Companion-Viren suchen also nach EXE-Programmen und erzeugen gleich-
namige COM-Dateien, die den Virus enthalten und beim Starten des
Virus vor dem eigentlichen Programm ausgeführt und somit aktiv
werden. Diese Dateien sind i.d.R. gleichlang und meistens durch
Setzen des HIDDEN oder SYSTEM-Dateiattributes versteckt. Das Ent-
fernen eines Companion-Virus ist recht einfach: alle erzeugten COM-
Programme müssen einfach gelöscht werden.
Oft sind HLL-Viren Companion-Viren, weil in Hochsprachen die not-
wendigen Strukturen für einen normalen Dateivirus nicht so einfach
zu programmieren sind.
Es gibt auch andere Möglichkeiten für Companion-Viren, ihre Dateien
zu verstecken, z.B. im Pfad oder durch komplettes Umbenennen der
"infizierten" Datei. <GoldBug> z.B. infiziert Programme, indem die
Originaldatei in "*." umbenannt und eine neue Datei mit Virus unter
den alten Namen (*.COM und *.EXE) angelegt wird.
Möglich ist auch, BAT-Dateien zu erzeugen, die erst den Virus und
dann das ursprüngliche Programm aufrufen, wie z.B. <Honecker> dies
versucht.
Construction Kits:
~~~~~~~~~~~~~~~~~~
Mit solchen Construction Kits kann jeder normale Anwender eigene
Viren generieren. Die Kits sind allerdings alle recht primitiv;
die erzeugten Viren ähneln sich alle sehr und können oft ohne Pro-
bleme mit einem einzigen Scanstring gefunden werden. Trotzdem er-
scheinen monatlich eine Unmenge neuer Kit-Viren, die sich nur
minimal unterscheiden. Bekannte Construction Kits sind VCL, PS-MPC,
G², BW, IVP, VCS und NRLG.
Correlation-Scanning:
~~~~~~~~~~~~~~~~~~~~~
Eine etwas unübliche Methode, infizierte Programme zu finden. Der
Scanner benötigt eine garantiert infizierte Datei als Vorlage und
vergleicht dann, bis zu welchen Grade alle anderen durchsuchten
Programme mit diesem Muster übereinstimmen. Diese Methode funk-
tioniert sehr gut bei unverschlüsselten bzw. nur statisch ver-
schlüsselten Viren. Bei Viren, die eine komplexe Polymorphic Engine
benutzen, versagt Correlation-Scanning fast völlig oder produziert
eine Unmenge an Falschalarmen.
DIR-Viren / Verzeichnis-Viren:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Dieser Virustyp infiziert keine Sektoren oder Dateien mehr, sondern
manipuliert direkt die Verzeichnisse von DOS. DIR-Viren breiten sich
unglaublich schnell aus, da schon ein DIR-Befehl in dem Verzeichnis
ausreicht, dieses Verzeichnis komplett und fast ohne spürbaren Zeit-
verlust zu infizieren. Beim Booten von einer sauberen Diskette sind
alle infizierten Dateien querverbunden, da alle Dateien auf den
selben Cluster zeigen.
Zum Glück gibt es nur den <DIR-II>-Virus, der diese Methode benutzt
und dazu nicht einmal kompatibel zu DOS 5.0 und höher ist.
Direct Action-Viren:
~~~~~~~~~~~~~~~~~~~~
Diese Viren werden nicht speicherresident und suchen sofort nach
Programmen, die sie infizieren können. Die einfachste Sorte sucht
nur im aktuellen Verzeichnis, besser programmierte Direct Action-
Viren durchsuchen auch andere Verzeichnisse oder über PATH ange-
gebene Verzeichnisstrukturen. Da solche Viren sehr einfach zu pro-
grammieren sind, gibt es eine große Anzahl von Direct Action-Viren,
die aber letztendlich kaum verbreitet sind.
Dropper / Partitions- oder Bootsektorvirusstarter:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Normalerweise können reine Bootsektorviren nicht über Programme in
ein System eindringen. Es gibt jedoch eine Methode, dies zu bewerk-
stelligen, und zwar wird der Virus in einem speziellen Programm ver-
steckt, welches den Virus quasi in der Partition installiert.
Die Datei selber ist also nicht infiziert, enthält aber den Virus,
der beim Aufruf des Programmes auf der Festplatte/Diskette instal-
liert wird. Der Virus wird dann erst beim nächsten Neustart aktiv.
Es gibt auch Dropper für normale Dateiviren, in diesem Fall wurde
der Virus mit Absicht versteckt, um ein Erkennen mit Virenscannern
unmöglich zu machen.
"EM" - Erkennungsmeldung:
~~~~~~~~~~~~~~~~~~~~~~~~~
Wird bei heuristischen Scannern zur eigentlichen Erkennung der Viren
benutzt. Jede EM repräsentiert eine typische Virenstruktur. Wird eine
bestimmte Anzahl oder Kombination von EMs gefunden, gilt das Programm
als verdächtig oder sogar als infiziert.
EXE-Header:
~~~~~~~~~~~
EXE-Programme haben einen definierten Programmkopf, der wichtige
Informationen wie die Länge und Startadresse des Codes enthält.
EXE-Programme können an dem "MZ" bzw. "ZM" am Programmanfang erkannt
werden. Viren müssen diesen Bereich ändern, wenn sie Programme
infizieren wollen. Oft erzeugen Viren beim Infizieren auch ungültige
EXE-Header, die von SSC und SVS erkannt werden.
COM-Programme haben keinen eigentlichen Programmkopf, das Programm
beginnt direkt am Dateianfang. Auch hier verändern Viren Programme,
um diese zu infizieren.
Windows-Programme haben ebenfalls einen EXE-Header, dazu aber noch
einen speziellen New-EXE Programmkopf, der nur von Windows benutzt
wird. Viele Viren erkennen Windows-Programme nicht und zerstören
diese beim Infizieren. Das gleiche gilt übrigens auch für OS/2-
Programme.
Familien-String / Signatur:
~~~~~~~~~~~~~~~~~~~~~~~~~~~
SSC benutzt Virensignaturen nur, um die wirklich verbreitetsten Viren
genauer zu erkennen. Im Report erscheint dann:
"Dieser Virus ist ähnlich zu: xxx Virus"
Fast Infector:
~~~~~~~~~~~~~~
Als Fast Infector gelten alle Viren, die schon beim Dateiöffnen bzw.
-schließen diese infizieren. Scannen der Festplatte mit aktivem Fast-
Infector-Virus hat zur Folge, daß fast jedes Programm danach infi-
ziert ist! Fast Infectors sorgen also für richtige Viren-Epidemien,
allerdings werden solche Viren durch das Abbremsen des Systems auch
recht schnell vom Anwender bemerkt.
FAT / File Allocation Table / Dateizuordnungstabelle
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Hier wird angegeben, welche Cluster von welcher Datei belegt werden.
Die FAT ist gelegentlich ein Ziel für destruktive Viren.
Interrupt:
~~~~~~~~~~
Ein Interruptaufruf unterbricht das laufende Programm, führt be-
stimmte Systemroutinen aus und setzt danach das Programm wieder
fort. Unter DOS werden mit Interrupts sämtliche Systemfunktionen
angesprochen, wie etwa Sektor- und Dateizugriff, Bildschirmausgaben
usw.
In the wild (ITW) - Viren in freier Wildbahn:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diese Viren sind extrem verbreitet und machen fast 95% aller
Infektionen aus. Dabei sind diese Viren keinesfalls besonders
neu oder trickreich, wie etwa der sehr stark verbreitete <FORM>
oder <Parity_Boot.B>, und werden von fast jedem Antiviren-Programm
gefunden. ITW-Viren treten immer wieder auf und sind kaum auszu-
rotten. In Deutschland gibt es ca. 20 bis 30 ITW-Viren, darunter
z.B. <FORM>, <Parity_Boot.B>, <Tremor> oder <Tai-Pan>.
Integrity-Checker:
~~~~~~~~~~~~~~~~~~
Prüfsummenprogramme sind eigentlich keine direkten Antiviren-Pro-
gramme, sondern erkennen jede Art von Dateiveränderungen. Da Viren
spezielle Bereiche eines Programms beim Infizieren ändern müssen,
werden oft aus Geschwindigkeitsgründen nur genau diese Bereiche ge-
prüft, wenn der Integrity-Checker für den Einsatz gegen Viren ge-
dacht ist.
Header-Viren:
~~~~~~~~~~~~~
Dieser Virustyp ist recht neu, aber kaum verbreitet, obwohl die
möglichen Stealthfunktionen sehr effektiv sind. Header-Viren in-
fizieren Programme, allerdings nicht, wie sonst üblich, über den
INT 21h, sondern durch eine direkte Sektormanipulation mittels
INT 13h. Sie infizieren nur EXE-Programme, die einen 'leeren' Pro-
grammkopf haben. Da dieser Typ heutzutage äußerst selten auftritt,
finden Header-Viren kaum Opfer zum Infizieren. Desweiteren infi-
zieren Header-Viren oft nur EXE-Programm, die kleiner als 64K sind,
was die Zahl der möglichen Opfer noch weiter einschränkt.
Header-Viren sind außerdem oft Fast Infectors und können Programme
auf DBLSPACE, RAMDRIVES und anderen logischen Laufwerken nicht in-
fizieren.
Im Prinzip zählen Header-Viren zu den Stack-Viren, das einzig Neue
ist das Infizieren über INT 13h, was durch Wächterprogramme leider
kaum abzufangen ist.
Erkennbar sind Header-Viren daran, daß infizierte EXE-Programme
keine "MZ"-Erkennung mehr am Dateianfang haben. Solche Programme
sind sehr ungewöhnlich und werden von SVS gemeldet.
HLL-Viren:
~~~~~~~~~~
Unter diesem Begriff fallen alle mit Hochsprachen erzeugten Viren.
Man unterscheidet weiter in HLLP (Parasitic), HLLC (Companion) und
HLLO (Overwriting) -Viren, wobei letzteres am häufigsten auftritt,
weil es so einfach zu programmieren ist. HLLP sind sehr selten,
da die notwendigen Strukturen in Hochsprache nur sehr schwierig zu
programmieren sind.
Hybrid-Viren:
~~~~~~~~~~~~~
-> Multipartite-Virus
Kernel-Viren:
~~~~~~~~~~~~~
Kernel-Viren infizieren zuerst bestimmte Programme des Betriebs-
sytems, bei DOS also IO.SYS oder MSDOS.SYS. Von dieser Virensorte
existiert nur ein bekannter Virus, <3APA3A> (Russ. Slang, Zaraza).
Dieser ist eigentlich eine Mischung aus einem DIR- und Bootsektor-
virus, da auf Festplatten IO.SYS durch direkte Veränderung des Ver-
zeichniseintrages und auf Disketten der Bootsektor infiziert wird.
Laborviren / Research-Viren:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Als Research-Viren werden alle diejenigen Viren bezeichnet, die
direkt Virenforschern zugespielt wurden und nicht in freier
'Wildbahn' gefunden wurden. Fast alle der mittlerweile über 5000
bekannten Virenvarianten sind solche Laborviren und sind nur
in den Virensammlungen der Forscher zu finden.
Makro-Viren:
~~~~~~~~~~~~
Makro-Viren nutzen die zum Teil sehr unfangreichen Makro-Sprachen
bestimmter Anwenderprogramme aus. Verbreitet sind derzeit nur
Makro-Viren für das Programm Microsoft Word, wie etwa der Virus
<Concept>. SSC kann keine Word Makro-Viren finden, da es nur für
DOS-Programmviren ausgelegt ist. Das Programm F/WIN ist in der
Lage, bekannte und unbekannte Word Makro-Viren zu finden und zu
entfernen.
MBR - Master Boot Record:
~~~~~~~~~~~~~~~~~~~~~~~~~
-> Partition
MCB - Memory Control Block / Speicherkontrollblock:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die MCBs werden von DOS benutzt, um Programmen Speicher zuzuweisen.
Ein MCB enthält Angaben über Eigentümer und Länge des Speicherbe-
reichs. Viele Viren reservieren sich Speicher, indem die MCB-Kette
verkürzt wird und der Code in die entstandene Lücke kopiert wird,
die dann als SYSTEM AREA markiert wird. Solche Blöcke sind oft
direkt unterhalb der 640K-Grenze zu finden, also bei 9F??:0.
Multipartite-Viren / Hybrid-Viren:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Multipartite-Viren infizieren nicht nur Programme, sondern auch noch
den MBR der Festplatte oder Bootsektoren von Disketten oder gar alle
drei Elemente! Bei der Reinigung muß darauf geachtet werden, daß der
Virus nicht nur aus einer Komponente, sondern aus allen infizierten
Komponenten entfernt wird!
Oligomorph:
~~~~~~~~~~~
Eine Bezeichnung für polymorphe Viren, deren Polymorphic Engine
nur sehr primitiv ist und noch mit Scanstrings gefunden werden
kann. Ein Beispiel ist der <Tequila>-Virus.
OS/2:
~~~~~
Für diese 32-Bit-Betriebssystem gibt es bereits ein paar Viren
(3 oder 4), die jedoch aufgrund ihrer primitiven Programmierung
nicht verbreitet sind. Paradoxerweise finden die meisten Viren-
scanner für OS/2 nur DOS-Viren und erkennen kaum einen der OS/2-
Viren. Wird ein DOS-Virus in der DOS-Box aktiv, kann er sich unge-
stört ausbreiten, je nachdem wie kompatibel der Virus programmiert
wurde. Versucht ein DOS-Virus, OS/2-EXE-Programme zu infizieren,
werden diese dadurch zerstört.
Padding / Gerundete Dateigröße:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Manche Viren müssen stets an der gleichen Offsetadresse gestartet
werden. Deshalb fügen sie zusätzliche 1-15 Bytes Code ein, um diese
Adresse zu erreichen. Einige Viren benutzen auch eine auf 32, 64,
128 oder 256 gerundete Dateigröße als Infektionsmarkierung.
Das Problem bei der Entfernung solcher Viren ist, daß das Antiviren-
Programm nicht mehr feststellen kann, wie lang das ursprüngliche
Programm war und die gereinigten Dateien einige 'Schrott'-Bytes am
Ende enthalten.
Partition:
~~~~~~~~~~
Der Partitionssektor ist der erste physikalische Sektor einer Fest-
platte. Hier findet man ein kleines Bootprogramm und die Partitions-
daten, die zur logischen Einteilung der Festplatte dienen. Bei
neueren Betriebssytemen wie OS/2 oder Windows/NT wird hier auch der
Bootmanager gespeichert.
Das Bootprogramm ist das erste veränderbare Programm, was auf einem
Rechner bei einem Neustart ausgeführt wird.
Partitionsviren:
~~~~~~~~~~~~~~~~
Partitionsviren verändern die Partition entweder direkt oder die An-
gabe des ersten logischen Sektors und werden sofort beim Starten des
Rechners aktiv. Meist reicht ein Aufruf von "FDISK /MBR" von einer
Bootdiskette aus, um den Virus zu entfernen.
!! VORSICHT! Bitte überprüfen Sie, ob Sie von der Bootdiskette aus noch
!! "DIR C:" ausführen können und dabei korrekt das Verzeichnis der
!! Festplatte angezeigt kriegen. Meldet DOS lediglich "INVALID DRIVE C:"
!! oder "UNGÜLTIGES LAUFWERK C:" haben Sie vermutlich einen Sektorvirus
!! der neueren Generation ( <GoldBug>, <Neuroquila> ), der die Partition
!! verschlüsselt und ohne aktiven Virus unzugänglich macht.
!! EIN "FDISK /MBR" WIRD DANN ZU -DATENVERLUST- FÜHREN!!!
!! Der neueste Schrei bei Sektorviren ist ein Trick, der verhindert, daß
!! der Anwender von einer sauberen MS-DOS 5.0 bis 7.0 Startdiskette
!! booten kann. Dafür sind lediglich ein paar kleinere Modifikationen an
!! der Partitionstabelle notwendig. Versucht man danach, von einer
!! sauberen Bootdiskette zu starten, liest MS-DOS den Partitionssektor
!! endlos ein und hängt sich in einer Schleife auf. Um diesen Trick zu
!! umgehen, benötigt man entweder eine MS-DOS 4.0 oder IBM-DOS Start-
!! diskette. Der Trick funktioniert übrigens auch mit Novell-DOS.
Polymorphe Viren:
~~~~~~~~~~~~~~~~~
Polymorphe Viren sind verschlüsselt und ändern mit jedem neu infi-
zierten Programm den Aufbau der Entschlüsselungsroutine. Damit ist
eine Suche mittels Suchstrings unmöglich. Die Mutation Engine <MtE>
erzeugt mehrere Millionen Arten von Verschlüsselungen! Polymorphe
Viren können nur durch eine algorithmische Suche oder durch heur-
istische Analyse und Codeemulation zuverlässig gefunden werden.
Die sogenannten Polymorphic Engines wie etwa <MtE> oder <TPE> sind
OBJ-Programme, die in beliebige Viren eingebunden werden können und
diese damit polymorph machen. Allerdings haben sich die Engines nie
richtig durchgesetzt, da jeder Virus, der eine bekannte Engine be-
nutzt, sofort gefunden wird, sobald die Engine selber bekannt ist.
Ein Trend bei der Entwicklung von polymorphen Viren sind Slow Poly-
morphic Engines, die nur sehr langsam mutieren und damit eine voll-
ständige Analyse erschweren. Ein Beispiel hierfür ist <Tremor>, der
selbst Monate nach seiner Entdeckung immer noch nicht von allen
Antiviren-Programmen vollständig gefunden wurde.
Es gibt eine Vielzahl an Polymorphic Engines, z.B. MtE, TPE, DAME,
DSCE, NED, SMEG, MutaGen, VICE, GCAE, GPE, DSME, DGME, PME, VME
und andere.
Port-Level-Zugriff:
~~~~~~~~~~~~~~~~~~~
Festplatten werden auf unterster Ebene durch direkten Port-I/O ange-
sprochen. Dieses Verfahren funktioniert nur auf WD-kompatiblen AT-
BUS-Festplatten, ist aber sehr effektiv, da die meisten Viren nur
auf Interruptebene das System kontrollieren.
Prüfsumme / Prüfsummendateien:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Anhand einer Prüfsumme wird rechnerisch kontrolliert, ob Daten ver-
ändert wurden. Prüfsummen sind sehr beliebt, da eine komplette Kopie
der Datei viel zu viel Platz belegen würde, eine Prüfsumme dagegen
nur ein paar Bytes. Es gibt eine Unmenge an möglichen Algorithmen,
z.B. CRC16, CRC32 oder MD5.
SVS und SCRC speichern neben der Prüfsumme noch weitere Informationen
über die geprüften Programme in speziellen Dateien ab. Anhand dieser
Dateien können SVS und SCRC später Programmveränderungen feststellen
und, falls möglich, den Virus entfernen.
Rekursive Partition:
~~~~~~~~~~~~~~~~~~~~
Ein Trick, der zum Glück noch von sehr wenigen Bootviren benutzt
wird. Dabei wird in die Partitionstabelle (MBR) eine bestimmte
Partition eingetragen. Startet man das System danach von einer
MS-DOS oder Novell-DOS-Bootdiskette bleibt der Rechner nach der
Meldung 'Starte DOS' stehen und der Virus kann nicht entfernt
werden. Ein Booten von einer sauberen Diskette wird damit unmöglich!
Benutzt man eine Bootdiskette eines anderen Herstellers, kann man
zwar von der Bootdiskette starten, die Festplatte bleibt jedoch
für DOS immer noch unerreichbar ('Ungültiges Laufwerk C:').
Residente Viren:
~~~~~~~~~~~~~~~~
Im Gegensatz zu den Direct Action-Viren belegen diese Viren Speicher
und hängen sich in den Interrupt 21h und/oder 13h. Über INT 21h
werden sämtliche internen DOS-Funktionen wie Programme starten,
öffnen, kopieren, löschen usw. abgewickelt. Der Virus kriegt sozu-
sagen Programmnamen zum Infizieren frei Haus geliefert. INT 13h ist
für den Festplatten- bzw. Diskettenzugriff zuständig und wird von
Sektor- und Multipartite-Viren belegt.
Dateiviren belegen Speicher i.d.R. durch Verkürzen des letzten MCBs,
es findet sich also oft ein verdächtiger Speicherbereich direkt
unterhalb der 640K-Grenze bei ca. 9F??:0. Bei Sektorviren ist es
üblich, Speicher durch die Reduzierung des TOM-Wertes zu belegen; es
sind oft nur noch 639K oder 638K DOS-Speicher vorhanden.
Eine weitere Methode ist das Belegen von Speicher in von DOS unge-
nutzten Bereichen, oft unterhalb von IO.SYS im Speicher. Da dort nur
sehr wenig Speicher zur Verfügung steht, können diese Methode auch
nur sehr kleine Viren benutzen, die dann oft abstürzen.
Neuere Viren sind auch in der Lage, gezielt UMB zu belegen oder sogar
sich in der HMA einzunisten. Die Möglichkeiten eines Virus in der
HMA sind allerdings stark begrenzt, deswegen ist diese Methode nicht
sehr stark verbreitet. XMS wird nie und EMS von nur ein oder zwei
Viren insgesamt benutzt.
Retroviren:
~~~~~~~~~~~
Retroviren greifen bestimmte Antiviren-Programme gezielt an. Mög-
lich ist z.B., daß bestimmte Programme mit Namen wie SCAN einfach
vor dem Aufruf gelöscht werden oder der Start mit einer Fehler-
meldung wie "Not enough memory" abbgebrochen wird. Gängig ist das
Löschen von Prüfsummendateien wie CHKLIST.MS, ANTI-VIR.DAT usw.,
da die Virenscanner leider oft ohne Abfrage neue Prüfsummen er-
zeugen und den Virus nicht bemerken.
Auch residente Wächterprogramme sind oft ein Ziel von Viren, wie
z.B. VSAFE, das mit 8 Bytes (!) aus dem Speicher entfernt werden
kann oder TBMON, das neuerdings immer öfter angegriffen wird.
Entweder bleiben die Viren inaktiv, falls sie ein residentes Wächter-
programm entdecken oder sie versuchen, es durch Patchen oder andere
Tricks auszuschalten. Da so gut wie alle Antiviren-Programme sich
gegen solche Attacken nicht schützen, werden wohl immer mehr Viren
Retrofähigkeiten aufweisen und Antiviren-Programme gezielt angreifen.
Scanstrings / Suchstring / Virensignatur:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die herkömmliche Methode, einen Virus zu finden: Man extrahiert eine
eindeutige Bytefolge aus dem Virus und durchsucht alle Dateien nach
diesem 'Fingerabdruck'. Scanner, die alleine auf Virensignaturen
basieren, veralten schnell: der Virus muß nur geschickt modifiziert
werden, um nicht mehr entdeckt zu werden.
Scannen:
~~~~~~~~
Die übliche Methode, um Viren zu finden. Dabei wird nach einer be-
stimmten Bytekombination gesucht, die praktisch einem Fingerabdruck
eines Virus entspricht. Scannen ist recht einfach zu programmieren
und ist sehr schnell. Scanner müssen allerdings regelmäßig aktua-
lisiert werden, um mit der Entwicklung von neuen Viren mithalten zu
können.
Slack-Viren:
~~~~~~~~~~~~
Als Slackbereich bezeichnet man den Platz direkt nach einer Datei,
die ihren letzten belegten Cluster nicht komplett füllt. Ist auf der
Festplatte also ein Cluster 8192 Bytes groß und eine Datei nur 7000
Bytes lang, hat diese Datei 1192 Bytes Slack, der bei jedem Programm-
start mitgeladen wird, aber keine Daten enthält. Slack-Viren nutzen
diesen Umstand und verlängern Programme nicht, sondern verändern nur
den Programmanfang. Infizierte Programme fallen nicht so schnell auf,
weil die Dateilänge selbst bei deaktiviertem Virus immer noch gleich-
geblieben ist. Es gibt nur wenige Slack-Viren wie etwa <Assassin>
oder <No_of_the Beast>, die jedoch kaum verbreitet sind. Benutzt der
Anwender DEFRAG oder andere Tools dieser Art, wird der Slackbereich
überschrieben und infizierte Programme zerstört.
Slow Infector:
~~~~~~~~~~~~~~
Slow Infector-Viren infizieren nur dann, wenn durch den Benutzer
selber Daten verändert werden. So kann ein Virus z.B. beim Er-
stellen oder Schreiben von Programmen diese infizieren. Diese Technik
wird benutzt, um Prüfsummenprogramme und residente Wächterprogramme
zu überlisten: da eine neue Datei erstellt wird, ist noch keine ent-
sprechende Prüfsumme vorhanden bzw. DOS selber verändert das Programm
und die Infektion bleibt völlig unbemerkt. Viren dieser Art verbrei-
ten sich nur langsam, aber bleiben dafür oft viel länger unbemerkt.
Es gibt nur relativ wenige Slow Infector-Viren, dafür aber eine sehr
große Anzahl von Fast Infector-Viren.
Soft-Tracer:
~~~~~~~~~~~~
Soft-Tracer benutzen nicht mehr den Einzelschritt-Modus-Interrupt
INT 1 um den Interrupt 21h oder 13h zu durchlaufen. Sie durchsuchen
(scannen) einfach die Interrupts nach Sprungbefehlen und hangeln sich
so durch die jeweilige Interrupt-Kette. Im Gegensatz zum 'echten'
Tracing lassen sich Soft-Tracer nicht blockieren. Der einzige Schutz
dagegen ist, wenn das Antivirus-TSR so programmiert wird, daß der
Tracer die Befehlsfolgen nicht mehr richtig emulieren kann
(SVS wurde entsprechend modifiziert).
Stack-Viren:
~~~~~~~~~~~~
Stack-Viren verlängern Programme nicht, sondern suchen sich Blöcke
innerhalb des Progammes, in die sie sich umbemerkt schreiben können.
In der Regel suchen Stack-Viren nach einem ausreichend großen Block
voller Nullbytes und überschreiben diese. Da die meisten Programme
heutzutage mit PKLITE, EXEPACK usw. komprimiert werden, sind diese
Viren kaum verbreitet.
Stealthviren / Tarnkappenviren:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Stealthviren verbergen die Tatsache, daß infizierte Dateien oder
Sektoren verlängert bzw. verändert wurden, und können damit so gut
wie alle Virensuchprogramme und Prüfsummenchecker täuschen. Man
unterscheidet zwischen Semi- und Vollstealth-Viren, wobei Semi-
stealth-Viren nur die Dateiverlängerung verbergen, nicht aber die
eigentliche Dateiveränderung.
Stealthviren zu entfernen, erfordert das Starten des Rechners von
einer sauberen Bootdiskette aus, da sonst der Virus noch aktiv im
Speicher ist und damit eine Reinigung unmöglich macht bzw. das ge-
reinigte Programm sofort wieder reinfiziert. Datei-Stealthviren
fallen oft durch Fehlermeldungen bei CHKDSK auf, die durch den
Unterschied zwischen FAT und Verzeichniseintrag entstehen.
!! BEI CHKDSK -NIE- den Parameter "/F" angeben! DATENVERLUST!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Stealthviren lassen sich möglicherweise austricksen und recht
einfach entfernen! Da ein Stealthvirus allen Programmen vorgaukelt,
daß infizierte Programme 'sauber' sind, kann man einfach mit
Archivierern wie PKZIP oder ARJ alle Programme der Festplatte
komprimieren. Nachdem von einer sauberen Bootdisk gestartet wurde,
sollte man mit einer sauberen Version von PKZIP und ARJ einfach
wieder über die infizierten Programme auf der Festplatte entpacken.
Da der Virus ja Stealth ist, sind alle Programme im Archiv sauber.
Dieser Trick klappt allerdings nur bei Full-Stealthviren und nicht
bei Semi-Stealthviren, die nur die alte Dateilänge vortäuschen.
In einigen Dokumenten wird der Begriff "Stealth" übrigens generell
für alle möglichen Viren-Tricks benutzt, wie etwa Verschlüsselung.
Symptome / Schäden:
~~~~~~~~~~~~~~~~~~~
Im Gegensatz zu der allgemeinen Meinung sind nur sehr wenige Viren
wirklich destruktiv. Oft beschränken sie sich völlig auf das Infi-
zieren von Programmen. Ein Virus kann alles mögliche verursachen,
z.B. Texte ausgeben, Musik spielen, den Rechner bremsen, Programme
mit unechten Fehlermeldungen abbrechen, Daten manipulieren oder
löschen, Graphikeffekte zeigen oder einfach nur Rechnerabstürze ver-
ursachen. Es ist Viren allerdings definitiv nicht möglich, Hardware
wie etwa die Graphikkarte oder die Festplatte zu zerstören, wie es
oft gerne behauptet wird.
TOM (Top Of Memory) / Speicherobergrenze:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Der TOM-Wert gibt die Obergrenze für den konventionellen DOS-Speicher
an und normalerweise beträgt dieser Wert genau 640K. Vor allem Boot-
viren reduzieren diese Größe und kopieren sich in den nun geschützten
Bereich, da dies beim Booten fast die einzige Möglichkeit ist,
Speicher zu belegen. Einige Rechner belegen allerdings 1K für BIOS-
Daten, wenn im CMOS-SETUP kein Shadow-RAM aktiviert wurde. Der TOM-
Wert kann z.B. mit MEM anzeigt werden.
Tracer / Interruptdurchlauf im Einzelschrittmodus:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Viele Viren versuchen, residente Antivirenprogramme durch einen
Tracer zu umgehen. Dabei wird Interrupt 21h (DOS) und/oder Interrupt
13h (Festplatte/Diskette) im Einzelschrittmodus der CPU solange
durchlaufen, bis der ursprüngliche DOS-Eintrag gefunden wurde. Ge-
lingt es dem Virus, diese Adresse erfolgreich zu ermitteln, kann er
unbemerkt an allen residenten Wächterprogrammen vorbei Programme und
Sektoren infizieren und verändern. Gut programmierte Wächterprogramme
können Tracer blockieren, viele der meistgenutzten Programme wie
VIRSTOP oder VSAFE/TSAFE können dies allerdings nicht.
Eine neue Entwicklung sind die "Soft-Tracer", die nicht mehr den
Einzelschritt-Modus der CPU benutzen, da dies oft von Antivirus-TSRs
abgefangen wird. Diese Tracer emulieren einfach die Assembler-
Befehle des aktuellen INT 21h-Vektors und suchen nach Sprungbefehlen,
die in der INT 21h-Kette weiter nach 'unten' verzweigen. Diese
Methode ist fast genauso effektiv wie das INT 1-Tracen, kann aller-
dings nicht von Antiviren-TSRs direkt abgefangen werden. Das Modul
ART eines australischen Virenprogrammierers emuliert sogar sämtliche
CPU-Befehle und ist somit noch effektiver als die üblichen Soft-
Tracer.
Trigger / Auslöser:
~~~~~~~~~~~~~~~~~~~
Viele Viren verhalten sich eine zeitlang bis auf das Infizieren
völlig ruhig, um dann ihre Schadensfunktion zu aktivieren. Das
kann z.B. beim Überschreiten eines bestimmten Datums oder beim
Erreichen der x-ten Infektion geschehen.
Trojanisches Pferd:
~~~~~~~~~~~~~~~~~~~
Trojanische Pferde werden oft auch als Bomben bezeichnet und haben
einzig und allein den Zweck, Dateien zu zerstören. Das kann sofort
oder auch erst an einem bestimmten Datum geschehen. Oft werden
Trojaner als neue Versionen bekannter und beliebter Programme ge-
tarnt, um eine hohe Ausbreitung zu garantieren (Hack oder Fake).
Trojanische Pferde an sich können sich selber nicht vermehren.
Überschreibende Viren (Overwriting):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Der einfachste aller Virentypen. Es gibt Overwriting-Viren mit nur
23 Bytes Länge! Wie der Name allerdings schon sagt, infizieren diese
Viren Programme nicht, sondern zerstören sie. Eine Reinigung ist
nicht möglich und 'infizierte' Programme funktionieren i.d.R. auch
nicht mehr. Überschreibende Viren sind nicht resident und suchen
i.d.R. nur im aktuellen Verzeichnis nach Opfern.
Windows:
~~~~~~~~
Viele Viren funktionieren nicht unter Windows oder zerstören
Windows-Programme beim Infizieren. Such- und Wächterprogramme,
die nur unter Windows arbeiten, sind sinnlos, da sie im Ernst-
fall nicht mehr startbar sind oder nicht, wie unter DOS, die
volle Kontrolle über das System haben und somit wesentlich
leichter von Stealth-Viren ausgetrickst werden können.
Von den bisher bekannten ca. 10 Windows-Viren sind die meisten
so primitiv, daß sie sich nie weit verbreitet haben. Erst mit
dem Bekanntwerden von <WinSurfer> hat sich die Situation geändert.
Dieser Virus infiziert NE-EXE korrekt und sorgt, im Gegesatz zu den
älteren Windows-Viren dafür, daß das infizierte Programm korrekt
ausgeführt wird. Der Sourcecode wurde veröffentlicht und es sind
bereits mehrere Viren mit einem ähnlichen Infektionsschema erschienen,
das weitaus effektiver als die alten Methoden ist und somit Windows-
Viren zu einer echten Bedrohung machen. Der Nachfolger von
<WinSurfer> ist sogar in der Lage, korrekt und ohne Manipulation der
SYSTEM.INI speicherresident zu werden und infiziert zudem noch
DOS-Programme, was seine Gefährlichkeit weiter steigert.
Anfang 1996 wurde der erste Windows95-Virus <Boza> gefunden, der
allerdings ziemlich fehlerhaft ist und sich nie weit verbreiten
wird.
