home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip Hitware 6
/
Chip_Hitware_Vol_06.iso
/
chiphit6
/
_virus
/
suspic
/
svs.doc
< prev
next >
Wrap
Text File
|
1996-07-10
|
130KB
|
2,391 lines
┌───────────────────────────────────────────────────────────────────────────┐
│ │
│ - S V S - │
│ │
│ R E S I D E N T E R V I R E N S C H U T Z │
│ │
│ │
│ Teil des Antiviren-Programmpakets SUSPICIOUS │
│ │
│ (c) 1996 Stefan Kurtzhals │
│ │
└───────────────────────────────────────────────────────────────────────────┘
[ Systemvoraussetzungen ]────────────────────────────────────────────────────
■ 80286 oder 100% kompatibel
■ MS-DOS 5.0-7.0 oder 100% kompatibel
■ ca. 25K freier konventioneller oder UMB DOS-Speicher
■ HIMEM.SYS oder anderer Speichermanager mit der Einstellung "DOS=HIGH"
■ Kein Software-Diskcache mit Schreibverzögerung aktiv!
!!! Sollte der Rechner mit aktiviertem SVS abstürzen und SVS bereits !!!
!!! in der CONFIG.SYS oder AUTOEXEC.BAT installiert sein, kann die !!!
!!! Aktivierung durch Drücken der RECHTEN STRG-Taste abgebrochen !!!
!!! werden. !!!
SVS ist kompatibel zu EMM386, QEMM (auch Stealth-Mode) und 386MAX.
SVS kann nicht in der DOS-Emulation von Windows oder OS/2 ausgeführt
werden!
Einige erweiterte Funktionen sind nur bedingt kompatibel zu Software-
Diskcaches mit Schreibverzögerung. Daher sollten diese Schreib-Cache-
Funktionen möglichst deaktiviert werden, bzw. schaltet SVS diese Option
automatisch bei SMARTDRV-kompatiblen Disk-Caches ab.
[ Einleitung ]───────────────────────────────────────────────────────────────
Neben dem Scannen nach bekannten oder unbekannten Viren und dem Ver-
gleichen von Programmen anhand von Prüfsummen gibt es noch eine dritte
Methode. Bei dem Einsatz eines residenten Wächterprogramms wird das
System permanent überwacht und Viren noch vor ihrer Aktivierung erkannt
und blockiert. Diese Kontrolle läuft unbeaufsichtigt im Hintergrund und
ist normalerweise für den Anwender nicht sichtbar.
SVS ist ein speicherresidentes Programm, das alle aufgerufenen DOS- und
BIOS-Funktionen auf für Viren typische Aktionen hin überprüft. SVS ist
damit nicht auf bekannte Viren beschränkt, sondern in der Lage, generell
Viren zu erkennen, egal ob diese unbekannt sind oder z.B. mit Programm-
packern versteckt wurden. SVS geht dabei nach drei Methoden vor. Als
erstes wird jedes Programm, bevor es ausgeführt wird, auf virentypische
Merkmale wie etwa ein ungültiges Dateidatum hin überprüft. Ebenso werden
von SVS Prüfsummen zu den gestarteten Programmen berechnet und ver-
glichen. Programme, die ohne SVS im Speicher verändert wurden, können
somit auch erkannt werden. Die Hauptfunktion von SVS ist allerdings das
Abfangen von Datei- und Sektorzugriffen, die für Viren typisch sind.
Eine Vielzahl von weiteren typischen Virenmerkmalen werden von SVS
erkannt und blockiert, wie z.B. Tracer, Kernel-Patcher, Self-Checks,
TSR-Verhalten usw. Selbst wenn ein Virus sich an allen diesen
Hindernissen vorbeigemogelt hat, kann SVS diesen noch erkennen, auch dann
wenn der Virus bereits vor SVS aktiv wurde bzw. SVS umgeht oder versucht,
an SVS vorbei Programme oder Sektoren zu verändern. Es wurde bei der
Entwicklung von SVS Wert darauf gelegt, daß SVS so wenig Falschalarme wie
möglich anzeigt. Sie können mit SETUP verschiedene Voreinstellungen
wählen, mit denen Sie angeben, in welchem Umfang SVS den Rechner
kontrolliert und Sie vor verdächtigen Aktionen warnt.
[ Installation ]─────────────────────────────────────────────────────────────
Die Installation kann am einfachsten mit INSTALL durchgeführt werden,
z.B. wird mit INSTALL C:\SUSP das Programm im Verzeichnis C:\SUSP in-
stalliert. SVS kann über INSTALL automatisch installiert werden, eine
manuelle Installation ist allerdings ebenfalls möglich. Dabei muß beach-
tet werden, daß SVS nur dann aus dem Speicher entfernt werden kann, wenn
keine weiteren TSRs nach SVS geladen werden. Deshalb ist ein Entfernen
von SVS aus dem Speicher nur möglich, wenn SVS als letztes Programm in
der AUTOEXEC.BAT geladen wird. Allerdings ist eine Installation in der
CONFIG.SYS wesentlich sicherer. Dazu kommt, daß SVS in der jetzigen Form
recht groß ist (25K RAM) und evtl. den Rechner bei einigen Aktionen ab-
bremst. Es wird daher empfohlen, SVS nur dann zu aktivieren, wenn neue
und unbekannte Software getestet wird. In diesem Fall reicht es aus, SVS
einfach über die Kommandozeile ohne weitere Parameter zu starten.
Manuelle Installation in der CONFIG.SYS:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
!! Da SVS HIMEM.SYS oder einen anderen Speichermanager benötigt, sollte es
!! am Ende der CONFIG.SYS eingefügt werden. Es gibt nur sehr wenige Viren,
die SYS-Programme infizieren können und diese sind dazu noch äußerst
selten. Dazu kommt der Umstand, daß viele "SYS"-Programme zwar so heißen,
aber in Wirklichkeit spezielle EXE-Programme sind. Ein Beispiel dafür
sind neuere Versionen von HIMEM.SYS. Solche Programme werden nicht von
Viren infiziert, bzw. Viren über solche Programme nicht in der CONFIG.SYS
aktiv. Es reicht also aus, wenn SVS am Ende der CONFIG.SYS installiert
wird. Nach Beenden der CONFIG.SYS startet DOS als erstes COMMAND.COM,
und dieses Programm ist sehr wohl ein Ziel für viele Viren. Ist SVS vor-
her bereits aktiv, können solche Viren problemlos erkannt werden. Eine
Erkennung solcher Viren ist aber genauso mit SCRC in der CONFIG.SYS mög-
lich.
Aufruf mit:
INSTALLHIGH=C:\PFAD\SVS.EXE
Manuelle Installation in der AUTOEXEC.BAT:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Eigentlich spricht nichts dafür, daß SVS am Anfang der AUTOEXEC.BAT ein-
gefügt wird. Eine Installation in der CONFIG.SYS ist, wie oben bereits
erwähnt, wesentlich sicherer. Möchten Sie aber SVS permanent benutzen
und SVS bei Bedarf vollständig aus dem Speicher entfernen wollen, muß SVS
am Ende der AUTOEXEC.BAT, bzw. nachdem das letzte TSR geladen wurde, ge-
startet werden.
Aufruf mit:
LOADHIGH C:\PFAD\SVS.EXE
Sie sollten die Voreinstellung "Hohe Sicherheit" im SETUP wählen, wenn
Sie SVS nur dann aktivieren, falls Sie neue Programme testen!
Ansonsten reicht die Voreinstellung "Normale Sicherheit" aus.
[ Bedienung ]────────────────────────────────────────────────────────────────
SVS kann im residenten Zustand über Tastenkombinationen (Hotkeys) ge-
steuert werden. Desweiteren ist eine Steuerung der Installation möglich.
Tastaturbelegung von SVS:
(Hinweis: Auf amerikanischen Tastaturen heißt die <STRG>-Taste <CTRL>)
<STRG>-<SHIFT LINKS>-"V"
~~~~~~~~~~~~~~~~~~~~~~~~
Mit diesem Hotkey wird SVS ein- bzw. ausgeschaltet. Ist SVS aktiv, wird
in der rechten oberen Ecke des Bildschirms ein grünes Plus angezeigt;
im deaktivierten Zustand ist ein rotes Minus zu sehen. Bei jedem Um-
schalten ertönt ein Piepser. Die Deaktivierung mittels Hotkey kann bei
Bedarf über das SETUP abgeschaltet werden.
<STRG>-<SHIFT LINKS>-<ENTF> (bzw. <DEL>)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mit dieser Tastenkombination bricht SVS das aktuelle DOS-Programm ab
und springt zurück zu DOS oder zur vor dem Programm gestarteten Shell
wie etwa dem Norton Commander. Diese "Nottaste" sollte auch bei vielen
Spielen oder abgestürzten Programmen helfen, zurück ins DOS zu kommen.
<STRG>-<SHIFT LINKS>-"W"
~~~~~~~~~~~~~~~~~~~~~~~~
Die Schreibschutzfunktion für die Festplatte kann hiermit aus- bzw.
eingeschaltet werden. Beim Einschalten ertönt ein Piepser und in der
rechten oberen Ecke des Bildschirms wird ein blaues "H" angezeigt.
<STRG>-<SHIFT LINKS>-"Q"
~~~~~~~~~~~~~~~~~~~~~~~~
Der Softwareschreibschutz für die Diskettenlaufwerke wird mit diesem
Hotkey aus- und eingeschaltet. Es ertönt ebenfalls ein Piepser, wenn
der Schreibschutz eingeschaltet wird. Bei aktivem Schreibschutz zeigt
SVS in der rechten, oberen Bildschirmecke ein blaues "F" an.
Folgende Tastenkombinationen sind nur während der Installation von
SVS wirksam:
<STRG RECHTS>
~~~~~~~~~~~~~
Mit <STRG RECHTS> kann die Installation von SVS in der CONFIG.SYS oder
AUTOEXEC.BAT verhindert werden. Dieser Befehl ist notwendig für den
Fall, daß SVS während der Installation abstürzt und die CONFIG.SYS oder
AUTOEXEC.BAT nicht umgangen werden kann. Im Sicherheitsmodus ist ein
Abbruch der Installation von SVS nicht möglich.
<STRG LINKS>
~~~~~~~~~~~~
Befindet sich SVS im transienten Modus, installiert es sich normaler-
weise nicht im Speicher. Wird diese Taste während der Installation
gedrückt gehalten, überspringt SVS die Einstellung und wird speicher-
resident.
Erkennt SVS einen verdächtigen Zugriff, erscheint ein Fenster mit Infor-
mationen über die Art und den Verursacher der Aktion. Zum Beispiel würde
SVS bei dem Versuch, COMMAND.COM zu löschen, folgendes anzeigen:
C:\>del command.com
Deleting c:\command.com
┌─[SVS V1.3]──────────────────────────────────────┐
│ W A R N U N G ──────────────────────────── │ ░░
│ Es wird versucht eine Datei zu löschen : │ ░░
│ "C:\COMMAND.COM" │ ░░
│ │ ░░
│ │ ░░
│ │ ░░
│ Aufrufer: DOS-Kernel (7DF9:F448) │ ░░
│ Weiter Abbrechen Neustart DOS Ok Lernen │ ░░
└─────────────────────────────────────────────────┘ ░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Je nach Möglichkeit bietet SVS bei Anzeige des Warn-Fensters folgende
Optionen an:
[W]eiter
~~~~~~~~
SVS erlaubt die gemeldete Aktion einmal und setzt das unterbrochene
Programm fort.
[A]bbrechen
~~~~~~~~~~~
Der Aufruf wird unterbunden und eine Fehlermeldung an das aufrufende
Programm übergeben.
[R]estaurieren
~~~~~~~~~~~~~~
Diese Option wird unter anderem bei der TSR-Warnung angezeigt. Der ur-
sprüngliche Zustand des Systems wird soweit wie möglich wiederherge-
stellt und das laufende Programm unterbrochen.
[N]eustart
~~~~~~~~~~
SVS führt einen Neustart des Rechners aus.
[D]OS
~~~~~
Die gemeldete Aktion wird nicht ausgeführt und das laufende Programm
wenn möglich abgebrochen und direkt zu DOS zurückgesprungen.
[O]k
~~~~
SVS erlaubt den Aufruf der gemeldeten Aktion ohne weitere Warnung, bis
das aktuelle Programm beendet wird.
[L]ernen
~~~~~~~~
SVS speichert die Warnung, den Verursacher und die Adresse, an der die
Warnung verursacht wurde. Damit wird diesem speziellen Aufrufer die
Ausführung der gemeldeten Funktion permanent erlaubt.
Es werden nicht immer alle der oben genannten Optionen angeboten, da ent-
weder eine Durchführung nicht möglich ist oder sinnvoll wäre.
[ Die Lernfunktion ]─────────────────────────────────────────────────────────
Nach der Installation muß SVS erst einmal an das System angepaßt werden.
Da in der Standard-Konfiguration unter anderem SVS auch vor speicherresi-
denten Programmen warnt, wird wahrscheinlich der Rechner beim nächsten
Neustart anhalten und SVS eine Warnung bezüglich 'Ein Programm hat die
Speicherbelegung oder Interrupts permanent verändert' ausgeben. Das ist
völlig normal und wird vermutlich von SMARTDRV.EXE, KEYB.COM und/oder
DOSKEY.COM und anderen, in der AUTOEXEC.BAT installierten TSRs ver-
ursacht. Da dies Programme sind, die berechtigterweise resident bleiben
dürfen, sollte die Warnung mit der Option [L]ernen quittiert werden.
Beim nächsten Neustart wird SVS keine Meldung mehr ausgeben und der
Rechner kann normal genutzt werden.
Hinweis:
~~~~~~~~
Seit der Version 1.30 ist die Option "Nur verdächtige TSRs melden"
Standardeinstellung von SVS. Das bedeutet, daß TSR-Programme wie
MOUSE, SMARTDRV oder ähnliche Tools nicht mehr von SVS gemeldet
werden und somit weniger Falschalarme bei der Installation auf-
treten.
SVS speichert beim Lernen spezielle Informationen über das aktuelle Pro-
gramm und die Adresse des Aufrufs ab. Wenn also FORMAT.COM das Forma-
tieren von Disketten permanent erlaubt wurde, ist das keine Sicherheits-
lücke, denn nur diese spezielle Version von FORMAT.COM kann den Zugriff
ohne Warnung jetzt ausführen. Ein Virus würde blockiert werden, selbst
wenn er FORMAT.COM infiziert hätte und somit unter "falschem Namen" auf-
treten würde.
Nach einer gewissen Lernphase erzeugt SVS also keine unnötigen
Warnungen mehr, sondern zeigt nur noch für das System ungewöhnliche
Zugriffe an.
Hinweis: Kann SVS den Namen des Verursachers nicht feststellen, zeigt es
ein "????????.???" als Aufrufer an. In diesem Fall wird die Lernfunktion
nicht so gut funktionieren, da SVS jetzt anstelle des Namens andere Werte
vergleichen muß, die sich schneller ändern. Wird ein solcher Zugriff ge-
lernt und danach neue Treiber in der CONFIG.SYS installiert, wird SVS
beim nächsten Mal die gelernte Funktion wieder melden. Die Lernoption ist
also bei solchen Programmen nicht sehr wirkungsvoll. Außerdem kann die
Anzeige von "????????.???" als Verursacher ein Hinweis auf Virusaktivität
sein, wie der entsprechende Abschnitt der Anleitung erklärt.
[ Prüfsummenkontrolle ]──────────────────────────────────────────────────────
SVS erzeugt und vergleicht bei jedem Programm, was Sie starten, eine
Datei, die in jedem Verzeichnis enthalten ist, und die wichtige Infor-
mationen über Programmaufbau usw. enthält. Aus Geschwindigkeitsgründen
vergleicht SVS nur bestimmte Teile des Programmes, die aber bei so gut
wie allen Dateiviren ausreichen, um eine Modifikation zu erkennen. Wurde
ein Programm verändert, warnt SVS Sie, und Sie können mit SCRC das Pro-
gramm reparieren, falls ein Virusbefall vorliegt und die Reparatur
möglich ist. SVS warnt natürlich auch dann, wenn Sie ein Update eines be-
stehenden Programmes installieren. In diesen Fall sollten Sie die Prüf-
summe mit der Option "LERNEN" aktualisieren. Falls ein Programm sich
ständig selbst modifiziert, können Sie es mit SCRC von der Prüfung aus-
schließen, um weitere Falschalarme zu vermeiden.
SVS kann auch zur Kontrolle von unbekannten Programmen eingesetzt werden.
Wenn Sie über das SETUP die entsprechende Option einschalten, warnt SVS,
falls zu einem Programm noch keine Prüfsumme besteht und kann ebenfalls
wahlweise auch verhindern, daß dieses Programm ausgeführt wird.
Diese Option sollte unbedingt benutzt werden, wenn Sie SCRC in der
CONFIG.SYS oder AUTOEXEC.BAT installiert haben, da dann SCRC für die
Aktualisierung der Prüfsummen sorgt. Sie erhöhen hiermit weiter die
Sicherheit von SUSPICIOUS, da es dann einem Virus nicht mehr möglich
ist, unbemerkt Prüfsummen zu löschen.
Sie sollten auf jeden Fall die Prüfsummendatei mit SETUP umbenennen, um
zu verhindern, daß Viren gezielt diese Dateien löschen können, um umbe-
merkt zu bleiben.
[ Virusaktivität? ]──────────────────────────────────────────────────────────
SVS ist nicht intelligent! Sie als Anwender müssen immer selber ent-
scheiden, ob die von SVS gemeldete Aktion für das betreffende Programm
normal oder ein Hinweis auf Virusaktivität ist. In der Regel warnt SVS
nur bei kritischen Aktionen, die typisch für Viren sind. Allerdings wird
aus Sicherheitsgründen z.B. auch das Löschen oder Umbenennen von Pro-
grammen gemeldet. Wenn also NCMAIN (Norton Commander) versucht, ein Pro-
gramm zu löschen (bzw. Sie haben den Löschbefehl selbst gegeben), ist das
normal und sollte über die Lernoption für die weitere Benutzung gelernt
werden. Wenn allerdings DOOM.EXE versucht, die CONFIG.SYS zu löschen oder
DMP.EXE die Festplatte formatieren will, ist Vorsicht angesagt. In der
Regel sind Viren speicherresident und dieser Umstand wird von SVS oft
als erstes gemeldet. Hinweis: In der vorgegebenen Standardkonfiguration
meldet SVS das Löschen von Programmen nicht!
SVS stellt einige Überprüfungen an, um Viren -vor- der eigentlichen Ak-
tivierung zu erkennen. Sehr viele Dateiviren setzen beim Infizieren von
Programmen das Dateidatum auf ungültige Werte, um dieses Programm als
verseucht zu markieren und um spätere Reinfizierungen zu vermeiden.
Wird also bei dem Start eines neuen, unbekannten Programmes ein ungülti-
ges Dateidatum gemeldet, sollten Sie die Ausführung sofort abbrechen und
das betreffende Programm mit SSC und anderen Scannern untersuchen.
Ebenfalls auffällig ist es, wenn ein Programm was ".EXE" heißt, in Wirk-
lichkeit ein COM-Programm ist. Eine recht große Anzahl von Viren kann
EXE-Programme nicht richtig infizieren und wandelt sie vorher in COM-
Programme um. Auch solche Programme sollten sofort gescannt werden.
Als Beispiel soll hier einmal beschrieben werden, was passiert, wenn mit
aktivem SVS ein mit <Tai-Pan.434> (Alias <Whisper>) verseuchtes Programm
gestartet wird.
Zuerst meldet SVS den im zu startenden Programm gefundenen ungewöhnlichen
EXE-Stapel. Viele Viren setzen diesen Wert beim Infizieren falsch, so
auch <Tai-Pan>. An sich ist diese Meldung nicht weiter schlimm, sondern
nur als Hinweis gedacht. Also erlaubt man SVS den Programmstart mit
[W]eiter. Als nächstes zeigt SVS eine Warnung bezüglich des Aufrufs einer
virustypischen Selbsttestfunktion an. Diese Warnung sollte schon eher
ernst genommen werden und das Programm mit [D]OS beendet und danach mit
SSC oder anderen Virus-Scannern geprüft werden. Na gut, ignorieren wir
auch diese Warnung und gehen noch weiter. Jetzt versucht der Virus, einen
Interrupt auf einen freien Speicherbereich zu legen und danach auch ver-
schiedene Funktionen aus diesem Bereich heraus aufzurufen. Das ist schon
wirklich typisch für sehr viele Viren, die Speicher belegen, indem der
letzte Speicherkontrollblock (MCB) verkürzt wird.
Schließlich meldet SVS, daß das Programm speicherresident bleiben will.
Jetzt ist der letzte Zeitpunkt, den Virus noch zu deaktivieren. Entweder
mit [R]estaurieren oder [D]OS wird der Virus wieder komplett (!) aus dem
Speicher entfernt und das System ist wieder sauber.
Erlaubt man dem Virus sich zu aktivieren oder war Tai-Pan bereits vor SVS
aktiv, werden trotzdem alle Dateizugriffe des Virus erkannt. Erlaubt man
dem Virus die Installation, wird SVS z.B. erkennen, daß Interrupt-
funktionen aus dem freien Speicherbereich heraus aufgerufen werden, oder
daß die Zugriffe an SVS vorbei erfolgen sollen. Ein normales Arbeiten mit
aktivem Virus ist zusammen mit SVS vor lauter Warnungen eigentlich nicht
möglich.
Ein weiteres, sicheres Indiz für einen aktiven Virus ist, daß SVS nicht
erkennen kann, wer die Interruptfunktion aufgerufen hat. Als Ursprung
zeigt SVS dann ein "????????.???" als Name an. Wie gesagt, rufen Viren
oft auch Interrupts aus einem freien Speicherbereich von ca. 9F00:0 bis
9FFF:0 herum auf.
Viren infizieren sehr oft beim Starten von Programmen; warnt also SVS vor
Dateizugriff, wenn Sie ein Programm nur starten wollen, ist das ebenfalls
sehr verdächtig.
'Falschalarme' treten in der Regel nur bei systemnah programmierten Tools
wie etwa DISKEDIT, CALIBRAT oder Antiviren-Programmen auf. Vor allem bei
Antiviren-Programmen, da diese oft sehr 'virusmäßig' programmiert wurden
und die gleichen Techniken verwenden wie die Viren selber.
Vor einem Betrieb von SVS zusammen mit anderen Schutzprogrammen, wie etwa
VIRSTOP, VSHIELD oder TBMON wird abgeraten. SVS erfüllt alle Funktionen,
die diese Programme anbieten können, bis natürlich auf das Scannen nach
bekannten Viren. Aber SVS erkennt Viren sowieso nicht anhand Scanstrings,
und ist somit effektiv gegen bekannte wie unbekannte Viren.
Wenn Sie trotzdem zwei Wächterprogramme gleichzeitig benutzen, sollten
Sie bedenken, daß diese beiden Programme sich höchstwahrscheinlich stören
und gegenseitig die Leistungsfähigkeit mindern.
[ Einstellungmöglichkeiten über das Setup ]──────────────────────────────────
SVS im Sicherheitsmodus
~~~~~~~~~~~~~~~~~~~~~~~
Befindet sich SVS im Sicherheitsmodus, können keine verdächtigen Aktionen
mehr durch Anwählen der Option "Weiter" zugelassen werden. Der Sicher-
heitsmodus ist nur dann sinnvoll, wenn alle kritischen Zugriffe durch die
Lernfunktion validiert wurden.
Lernmodus aktiv
~~~~~~~~~~~~~~~
Wird diese Option abgeschaltet, bietet SVS beim Melden einer verdächtigen
Aktion nicht mehr die Funktion "Lernen" an. Bereits validierte Zugriffe
werden wieder gemeldet.
SVS im Prüfsummenmodus
~~~~~~~~~~~~~~~~~~~~~~
Im Prüfsummenmodus erzeugt und vergleicht SVS Prüfsummen zu Programmen,
wenn diese gestartet werden.
SVS erzeugt neue Prüfsummendateien ohne Abfrage
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Normalerweise meldet SVS, wenn der Anwender versucht, ein unbekanntes
Programm ohne Prüfsummen zu starten. Ist diese Option eingeschaltet, wird
die Prüfsumme ohne weitere Abfragen automatisch erstellt.
SVS erlaubt Aktualisierung der Prüfsummendatei
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Stellt SVS Veränderungen an einem Programm fest, kann die zugehörige
Prüfsummendatei aktualisiert werden, falls die Änderung gewünscht war.
Unter bestimmten Bedingungen ist es nicht wünschenswert, diese Option
anzubieten.
Ausführung von unbekannten/modifizierten Programmen erlauben
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Stellt SVS eine Veränderung eines Programms fest oder ist zu diesem
Programm noch keine Prüfsummen erstellt worden, wird der Start dieses
Programms durch SVS blockiert.
Erzeugte Prüfsummendateien verstecken
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ist diese Option eingeschaltet, setzt SVS beim Verändern oder Erzeugen
der Prüfsummendateien das HIDDEN-Dateiattribut. Diese Option ist
normalerweise abgeschaltet, da sie in der Regel zu Problemen mit
Defragmentierungsprogrammen sorgt.
SVS überprüft Dateimodifikationen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die Kontrolle von Dateizugriffen wird über diese Option aktiviert. SVS
fängt verdächtige Zugriffe ab und blockiert sie, falls der Anwender dies
wünscht.
Jede Modifikation bestehender Programme melden
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SVS führt normalerweise ausführliche Tests durch, ob eine Datei-
manipulation verdächtig ist oder einen normalen Zugriff darstellt.
Regulär werden bereits existierende Programme nicht mehr verändert, nur
einige selbstmodifizierende Programme werden durch diese Option gemeldet.
Schreibschutzattribut von Programmen schützen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Normalerweise kann das READ-ONLY-Dateiattribut ohne Probleme mit ATTRIB
oder anderen Programmen wie Norton Commander wieder entfernt werden. Ist
diese Option eingeschaltet, wird dies verhindert und das READ-ONLY-
Attribut kann nicht mehr ohne Warnung entfernt werden.
Schreibschutzattribut von Daten schützen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SVS schützt normalerweise nur Programme vor Veränderung des Datei-
attributes, mit dieser Option wird der Schutz auf alle Dateien ausge-
weitet, wobei dies nicht unbedingt sinnvoll ist.
Löschen von Programmen melden
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Einige Viren löschen Programme, was mit dieser Funktion blockiert werden
kann. Sie ist in der Regel aber eher lästig als nützlich, es sei denn Sie
wollen den Schutz des Systems zu Lasten des Bedienungskomforts noch weiter
verbessern.
Löschen von Daten melden
~~~~~~~~~~~~~~~~~~~~~~~~
Erweiterung der vorherigen Option. Hiermit wird jeder Aufruf der Lösch-
funktion gemeldet.
Typische Companion-Virus Aktivitäten melden
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Werden neue Programme erzeugt, prüft SVS, ob diese die übliche COM/EXE-
Übereinstimmung haben, die bei Companion-Viren auftritt. Falschalarme
sind beim Kopieren von Dateien möglich, wenn gleichnamige COM/EXE-
Programme vorhanden sind.
Programmtyp überprüfen
~~~~~~~~~~~~~~~~~~~~~~
Einige Viren wandeln EXE-Programme intern in COM-Programme um, ändern
aber die Dateiendung nicht. SVS meldet solche Programme, bevor sie aus-
geführt werden, falls diese Option eingeschaltet wird.
Programmstapel bei EXE-Programmen prüfen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Relativ viele Viren sind schlampig programmiert und verändern den EXE-
Programmkopf auf eine ungültige Weise. Zum Beispiel meldet SVS mit
Tai-Pan infizierte Programme bevor sie gestartet werden, falls diese
Funktion aktiviert ist.
EXE-Programme mit vertauschter EXE-Signatur melden
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EXE-Programme besitzen normalerweise 'MZ' als Erkennungsignatur am
Dateianfang. Einige Viren vertauschen dies zu 'ZM'.
SVS überprüft, ob Programme resident bleiben
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
So gut wie alle verbreiteten Dateiviren sind speicherresident. SVS
kann kontrollieren, ob ein Programm nach seiner Beendigung weiterhin
aktiv im Speicher bleibt und das Programm bei Bedarf aus dem Speicher
entfernen.
Erweiterte TSR-Überprüfung
~~~~~~~~~~~~~~~~~~~~~~~~~~
Einige Viren bleiben auf eine etwas ungewöhnliche Methode aktiv im
Speicher. Diese Methode wird kaum genutzt und diese Option erhöht die
Gefahr von Fehlalarmen geringfügig.
Nur verdächtige TSR-Programme melden
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Um die Anzahl der lästigen Fehlalarme zu verringern, prüft SVS, ob ein
Programm, das resident bleiben möchte, verdächtigen Programmcode enthält.
Diese Funktion erkennt einen sehr geringen Anteil von exotisch
programmierten Viren nicht und verringert daher geringfügig die
Sicherheit von SVS. Alle in Deutschland verbreiteten Viren werden aber
durch die TSR-Heuristik erkannt.
Stealth-Interruptaufrufe melden
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Viele Viren versuchen an aktiven Wächterprogrammen vorbei auf Dateien
zuzugreifen. Ist diese Funktion aktiv, meldet SVS diese Art von Zugriffen.
Selbst wenn ein Virus vor SVS aktiv wurde, kann durch diese Funktion
verhindert werden, daß der Virus Programme unbemerkt infizieren kann.
Undokumentierte Interruptfunktionsaufrufe melden
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sehr viele residente Viren benutzen selbstdefinierte Interruptfunktionen,
um ihre Aktivität im System festzustellen. Mit dieser Funktion ist SVS
in der Lage, bekannte und die meisten unbekannten Viren bereits vor ihrer
eigentlichen Aktivierung zu erkennen.
Ursprung von Interruptfunktionen kontrollieren
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Viren nisten sich mit Vorliebe in ungenutzte oder ungewöhnliche Speicher-
bereiche ein. Mit dieser Funktion kontrolliert SVS, woher ein Interrrupt
aufgerufen wurde.
Schreibzugriffe während eines Programmstarts melden
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
In der Regel fangen Viren den Start von Programmen ab und infizieren
diese dann. Normalerweise wird aber während der eigentlichen Programm-
initalisierung nicht auf die Festplatte geschrieben. Mit diese Funktion
ist SVS in der Lage, auch EXE-Header-Viren zu erkennen, die Dateien per
Sektorzugriff infizieren. Diese Funktion ist nur bedingt kompatibel zu
Software-Diskcaches mit Schreibverzögerung, erhöht aber die Sicherheit
von SVS enorm.
Schreibzugriffe während des Öffnens eines Programmes melden
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fast Infector-Viren infizieren bereits beim Öffnen von Programmen. SVS
kontrolliert, ob während eines solchen Zugriffs auf die Festplatte ge-
schrieben wird. Diese und die nächste Option sind etwas mehr anfällig
gegen Fehlalarme, erhöhen aber die Sicherheit von SVS stark.
Schreibzugriffe während des Schließens einer Datei melden
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Einige Fast Infector-Viren infizieren auch beim beim Schließen von
Dateien, was mit dieser Funktion auf Sektor-Ebene erkannt werden kann.
Warnen, wenn der INT 21h-Schreibpuffer verändert wurde
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die sehr exotischen Slow Infector-Viren infizieren Programme, indem sie
den Schreibpuffer von DOS manipulieren und nicht selber auf die Fest-
platte schreiben. Diese Funktion überprüft diesen Puffer auf solche
Veränderungen, sie bremst aber das System geringfügig.
Warnen, wenn der INT 13h-Schreibpuffer verändert wurde
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Einige Slow Infector oder EXE-Header Viren verändern nicht den DOS-
Datenbuffer, sondern direkt den Sektorbereich, der auf die Festplatte
geschrieben werden soll. Genau wie die INT 21h-Pufferkontrolle bremst
diese Option das System ab.
Warnen, wenn interner Disk-Interrupt ermittelt werden soll
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mit einer undokumentierten Interruptfunktion kann der interne Disk-
Interruptvektor ermittelt werden, den einige Viren dazu verwenden, um
aktive Wächterprogramme zu umgehen. SVS meldet durch diese Funktion
diese Art von Interruptfunktionen, die allerdings auch von einigen
Festplattentools oder Windows aufgerufen werden. SVS blockiert die
Ermittlung des ursprünglichen Vektors auf jeden Fall, daher muß
diese Option nicht unbedingt eingeschaltet werden.
Direkten Festplattenzugriff über das BIOS blockieren
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SVS kann die Festplattenparameter so manipulieren, daß ein Zugriff auf
die Festplatte an SVS vorbei nicht mehr möglich ist. Leider unterstützt
nicht jedes BIOS diese Funktion, aber sie erhöht die Sicherheit vor
allem gegen Trojanische Pferde und trickreich programmierte Viren.
Warnen, wenn HDD/FDD direkt über das BIOS angesprochen wurde
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SVS erkennt mit dieser Option, ob ein Sektorzugriff an SVS vorbei
stattgefunden hat. Leider kann auf diese Methode der Zugriff nicht
verhindert, sondern nur gemeldet werden, aber in der Regel benutzen
Viren bereits zum Lesen der Sektoren diese Art des Interruptaufrufs
und werden vor der eigentlichen Schreibfunktion erkannt und blockiert.
Bei Zugriff auf interne DOS-Strukturen warnen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Einige interne DOS-Strukturen wie etwa die SFT (System File Table) sind
für Viren besonders interessant und werden durch diese Funktion
blockiert.
Kritische Fehlerbehandlung bei Dateizugriff kontrollieren
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die meisten Viren schalten während des Infizierens von Programmen die
kritische Fehlerbehandlung von DOS ab, um z.B. Schreibschutz-Meldungen
auf schreibgeschützten Disketten zu unterdrücken. SVS prüft mit dieser
Funktion, ob während eines Dateizugriffs diese DOS-Fehlerbehandlung noch
aktiv ist.
SVS warnt bei direktem Ansprechen von INT 26h
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mit dem Interrupt 26h schreibt DOS Sektoren auf die Festplatte. Normaler-
weise wird dieser Interrupt aber nie angesprochen, nur einige Fest-
plattentools benutzen sie, dafür aber auch die meisten destruktiven Viren
oder trojanische Pferde.
SVS warnt bei direkten Ansprechen von INT 40h (Diskette)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Der Interrupt 40h ist für Sektorzugriffe auf die Diskettenlaufwerke
zuständig und wird normalerweise nie direkt angesprochen, sondern über
das BIOS aufgerufen. Einige Viren versuchen mit diesen Interrrupt
Wächterprogramme zu umgehen.
Schreibschutzfunktion für Festplatten
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ist diese Funktion aktiv, blockiert SVS alle Schreibzugriffe auf die
Festplatte.
Schreibschutzfunktion für Disketten
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funktioniert genauso wie der Schreibschutz für die Festplatte auf Sektor-
ebene und kann getrennt für Disketten aktiviert werden.
Bootsektor im Laufwerk A: vor Neustart auf Viren prüfen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Führt der Anwender einen Neustart des Systems mit STRG-ALT-ENTF durch,
prüft SVS vorher, ob eine eventuell in Laufwerk A: eingelegte Diskette
mit einen Bootsektorvirus infiziert ist.
Warnen, falls beim Neustart eine Diskette eingelegt ist
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Eine Erweiterung der vorherigen Option, nur daß hier generell gewarnt
wird, falls eine Diskette bei STRG-ALT-ENTF im Laufwerk A: eingelegt
ist.
Bootsektoren von Disketten bei jedem Zugriff durchsuchen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SVS kann bei jedem Zugriff auf den Bootsektor von Disketten diesen
mittels Heuristik auf bekannte und unbekannte Bootsektorviren über-
prüfen. Eine sehr praktische Funktion, die auf jeden Fall eingeschaltet
werden sollte.
Sektorschutz für Disketten
~~~~~~~~~~~~~~~~~~~~~~~~~~
Unterdrückt alle Warnungen von INT 13h und INT 26h-Zugriffen auf
Disketten. Normalerweise würden diese Warnungen durch Programme wie
FORMAT zu vielen Falschalarmen führen, und Viren greifen normalerweise
auf dieser Ebene auch nur die Festplatte an.
Device/DPT-Schutz vor Directory-Viren (DIR-II)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die Liste der Gerätetreiber und die Gerätetreiber selber werden durch
diese Funktion im Speicher vor Veränderungen geschützt, wie sie der
DIR-II oder Byway-Virus durchführen. Diese Viren sind sehr gefährlich,
aber zum Glück noch nie in Deutschland aufgetreten. Diese Option ist
nicht kompatibel zu Software-Diskcaches wie z.B. SMARTDRV oder Norton-
Cache.
Aktivitätssymbol von SVS auf dem Bildschirm anzeigen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SVS zeigt normalerweise ein grünes ASCII-Symbol auf dem Bildschirm an,
um seine Bereitschaft anzuzeigen. Da dies manchmal lästig sein kann,
verhindert diese Option die Anzeige des Symbols.
Der Start von Windows wird nicht gemeldet
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SVS meldet normalerweise den Start von Windows, da es unter Windows
nicht mehr aktiv ist und besser vorher deinstalliert werden sollte.
SVS blockiert alle Aktionen, wenn Graphikmodus aktiv ist
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SVS kann im Graphikmodus keine Warnungen anzeigen, daher kann mit dieser
Option SVS so eingestellt werden, daß es generell alle verdächtigen
Aktionen, die bei aktivem Graphikmodus stattfinden, blockiert werden.
Aktivität von SVS über STRG-SHIFT LINKS-V steuerbar
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Über den Hotkey STRG-SHIFT LINKS-V kann normalerweise SVS passiv
geschaltet werden, was durch diese Option verhindert werden kann.
Installationsabbruch von SVS durch Hotkey möglich
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die Installation von SVS kann normalerweise über einen Hotkey
abgebrochen werden, was mit dieser Option unterbunden wird.
[ Beschreibung der Warnungen ]───────────────────────────────────────────────
Speicher/Interrupts:
~~~~~~~~~~~~~~~~~~~~
┌───────────────────────────────────────────────────┐
│ Ein Programm hat die Speicherbelegung oder │
│ Interrupt-Vektoren permanent verändert! │
│ Speicher: xxx Bytes belegt │
└───────────────────────────────────────────────────┘
Diese Warnung erscheint immer dann, wenn ein Programm nicht normal be-
endet, sondern aktiv im Speicher bleibt. Solche TSRs können den komplet-
ten Rechner kontrollieren, daher warnt SVS Sie vor solchen Programmen.
SVS zeigt auch an, wieviel Speicher belegt bzw. freigegeben wurde. Viren
sind sehr oft speicherresident, um sich besser verbreiten oder um ihre
Stealthfunktion durchführen zu können.
SVS ist oft in der Lage, den Virus, der bei dieser Meldung ja bereits
aktiv ist, wieder komplett aus dem Speicher zu entfernen. Es kann ge-
legentlich vorkommen, daß SVS den ursprünglichen Zustand nicht ganz kor-
rekt wieder herstellen kann und das System nach dem Restaurieren insta-
bil wird. Selbst wenn der Virus nicht hundertprozentig deaktiviert
werden konnte, kann SVS alle weiteren Dateizugriffe des Virus erkennen.
Hinweis: Da in vielen Systemen UMB vorhanden ist, sorgen etliche Viren
durch ihre ungewöhnlichen Methoden dafür, daß dieser Speicherbereich
oft nicht mehr zugänglich ist. SVS meldet dies mit einem blinkenden
"(MCB!)" hinter der Speicher-Anzeige. In diesem Fall ist der Verur-
sacher sehr wahrscheinlich ein Virus! SVS zeigt diese spezielle Warnung
immer an, auch wenn Sie mit SETUP die TSR-Kontrolle deaktivieren.
Zeigt SVS ein "(FREE!)" an, wurden Interruptvektoren auf einen freien
Speicherbereich gesetzt. Auch das ist typisch für Viren und sehr ver-
dächtig. Sollte ein Programm mit einem dieser beiden Hinweise speicher-
resident gehen wollen, sollten Sie es sofort abbrechen ("Restaurieren").
Es ist übrigens möglich, daß SVS hinter "Speicher" keinen Wert angibt,
oder nur ein "FREE!". In diesen Fall ist das TSR entweder in der Inter-
rupttabelle (mit "FREE!") oder in der HMA resident geworden. In jedem
Fall ist diese Methode, resident zu bleiben, besonders verdächtig und
das TSR sollte mit SVS aus dem Speicher entfernt werden.
Bei sauber programmierten TSRs zeigt SVS nur an, daß xxx Bytes Speicher
belegt wurden, aber sonst erscheinen keine weiteren Warnungen.
Vorteile und Nachteile:
~~~~~~~~~~~~~~~~~~~~~~~
Residente Viren werden frühzeitig erkannt und können in den meisten
Fällen sogar deaktiviert werden. SVS benötigt diese Funktion
eigentlich nicht, um Viren blockieren zu können. Erlaubt man einem
Virus, sich zu aktiveren oder ist dieser bereits aktiv, wird der
verdächtige Dateizugriff, den der Virus beim Infizieren auslöst,
später auch ohne die TSR-Kontrolle erkannt.
Bei dieser Funktion handelt es sich also lediglich um ein Frühwarn-
system. Normalerweise produziert diese Funktion viele Falschalarme,
besonders beim Durchlaufen der AUTOEXEC.BAT, wo sämtliche TSR-
Programme geladen werden. Vor allem wenn Ihnen SVS noch unbekannt
ist, stören diese Falschalarme besonders. Abhilfe schafft hier die
Option "Nur bei verdächtigen TSR-Programmen warnen", die im SETUP
aktiviert werden kann und auch in der normalen Konfiguration von
SVS aktiv ist. Danach werden nur noch TSR-Programme mit verdächtigem
Programmcode gemeldet und Programme wie MOUSE.COM usw. lösen keine
Alarme mehr aus.
Generell wirkt sich die TSR-Kontrolle nicht auf die System-
Performance aus und sollte stets aktiv sein, vor allem deswegen,
weil viele der weitverbreiteten und 'erfolgreichen' Viren resident
sind und somit früher von SVS erkannt werden können.
In gefährdeten Systemen sollte die Option 'Nur verdächtige TSR-
Programme melden' ausgeschaltet werden, um die Sicherheit weiter
zu erhöhen.
Hinweis für Benutzer von "Volkov Commander": Bitte schalten Sie mit
"VCSETUP" die Option "TSR Manager" aus, da es sonst Probleme mit der
TSR-Erkennung von SVS geben kann.
┌───────────────────────────────────────────────────┐
│ Das Program will Speicher in der HMA belegen. │
│ Normalerweise machen das nur TSRs oder │
│ Speichermanager wie etwa DOSX. │
└───────────────────────────────────────────────────┘
Die HMA wird eigentlich nur von DOS selber, aber in letzter Zeit auch
von anderen TSRs genutzt. Es gibt allerdings schon einige Viren, die
sich in diesen Speicherbereich einnisten (<GoldBug>, <XYZ>, <Bacteria>).
Völlig normal ist diese Meldung, wenn sich COMMAND.COM installiert, z.B.
am Ende der CONFIG.SYS. Sie werden diese Warnung dort also mit Sicher-
heit zu sehen kriegen und dort die Lernoption benutzen. Bei allen weit-
eren Aufrufen von COMMAND.COM sollte die Meldung nicht mehr erscheinen,
allerdings tritt ein Problem mit unsauber geschriebenen Programmen auf,
die eine DOS-Shell bzw. andere Programme aufrufen und dazu nicht die
COMSPEC-Variable, sondern direkt den Namen COMMAND.COM benutzen.
Arbeiten Sie mit 4DOS, erscheint dann immer eine Warnung, daß
COMMAND.COM Speicher in der HMA belegen will. Solche Programme kann man
übrigens nicht sehr lange benutzen, da COMMAND.COM den HMA-Speicher
nicht wieder freigibt und die HMA so langsam gefüllt wird, bis kein
Platz mehr vorhanden ist.
Generell ist diese Warnung nur ein Hinweis darauf, daß das gerade
gestartete TSR-Programm eine etwas ungewöhnliche Methode benutzt, um
Speicher zu allokieren.
Programme, bei denen diese Warnung normal ist und Sie die Lernoption
benutzen sollten, sind z.B. COMMAND.COM, FDREAD.EXE, DOSX.EXE, NCACHE
und andere Software-Disk-Caches und TSR-Programme.
┌───────────────────────────────────────────────────┐
│ Das Programm versucht, durch Tracing den ur- │
│ sprünglichen Interrupteinsprung von DOS │
│ zu ermitteln und damit SVS zu umgehen ! │
└───────────────────────────────────────────────────┘
Bei dieser Warnung ist Vorsicht angesagt! Viele Viren benutzen den Ein-
zelschrittmodus der CPU, um durch die Interruptkette hindurch zu dem
ursprünglichen Einsprung ins DOS zu gelangen. Gelingt dem Virus dies,
kann er beliebig auf Programme/Sektoren zugreifen, ohne daß Wächterpro-
gramme etwas davon bemerken können. Wächterprogramme, die Tracer nicht
blockieren, haben eine gefährliche Sicherheitslücke, aber leider haben
gerade viele der meistgenutzten Antivirenprogramme diese wichtige
Fähigkeit nicht!
Führt ein Programm Tracing durch, sollten Sie es sofort mit "Neustart"
oder mit "DOS" beenden. Selbst wenn sie das Programm mit "Weiter"
durchlaufen lassen, wird der Tracer von SVS gestoppt. Darauf reagieren
etliche Viren mit einen Systemhänger, da der Tracer nicht sauber pro-
grammiert wurde und nun in einer Endlosschleife auf das Erreichen der
gewünschten Adresse wartet.
Hinweis: Eigentlich ist es egal, ob ein Virus bei aktivem SVS den ur-
sprünglichen Interrupt 21h ermitteln kann. SVS wird den Dateizugriff
sowieso bemerken. Das gilt allerdings nicht für INT 13h, wo ein direkter
ROM-Zugriff leider erst nach der Ausführung von SVS erkannt werden kann.
Brechen Sie Programme, die INT 13 tracen wollen, sofort ab!
Programme, bei denen diese Warnung normal ist und Sie die Aktion er-
lauben sollten, sind z.B. AVP, PV (ProView) und andere Antiviren-
Programme.
Tip für AVP-Benutzer: Schalten Sie mit <STRG-SHIFT-V> SVS vor dem
Start von AVP ab, da sonst AVP das System beim Tracen 'einfriert'.
Allerdings blockiert SVS dadurch die Speicherkontrolle von AVP und
es kann vorkommen, das ein aktiver Virus von AVP nicht erkannt
wird. Allerdings kann ein aktiver Virus mit SVS sowieso nicht lange
unbemerkt bleiben.
┌───────────────────────────────────────────────────┐
│ Das Programm versucht, einen Tracer zu instal- │
│ lieren. Ein Versuch SVS zu umgehen? │
└───────────────────────────────────────────────────┘
SVS ist oft in der Lage, schon das Installieren eines Tracers zu be-
merken. In diesem Falle können Sie das betreffende Programm ohne Pro-
bleme abbrechen.
Es gibt so gut wie keine Programme, die diese Funktion normalerweise
durchführen. Die wenigen Antiviren-Programme, die einen Tracer
benutzen, installieren komplexe Tracer mit vielen Sicherheits-
Funktionen, die von SVS im Gegensatz zu den primitiven Tracern der
Viren nicht erkannt werden.
┌───────────────────────────────────────────────────┐
│ Aufruf einer Interruptfunktion, die von Viren │
│ zur Selbsterkennung im Speicher benutzt und VOR │
│ der Aktivierung des Virus aufgerufen wird ! │
│ (INT xxh AX=xxxxh) │
└───────────────────────────────────────────────────┘
Viele residente Viren benutzen eine selbstdefinierte Interrupt 21h-
Funktion, um sich selber im Speicher zu erkennen. <Tremor> benutzt z.B.
INT 21h AX=F1E9h als Selbsterkennung. Es gibt allerdings auch normale
Software, die speicherresident ist und ebenso wie die Viren undefinierte
Interruptfunktionen benutzt. SVS fängt jedoch nur diejenigen Funktionen
ab, die wirklich typisch für Viren sind, deshalb sollten Sie diese
Warnung ernst nehmen und das entsprechende Programm sofort abbrechen.
Haben Sie ein TSR, das eine solche Funktion völlig legal benutzt, bitte
ich Sie, mich darüber zu informieren (Bitte die Zahlen bei INT und AX
notieren!).
Vorteile und Nachteile:
~~~~~~~~~~~~~~~~~~~~~~~
Da Viren ihre Selbsttests vor der eigentlichen Aktivierung aufrufen,
können Sie sicher sein, daß, wenn Sie ein Programm bereits bei dieser
Warnung abbrechen, der Virus nicht bereits aktiv ist. Auf der anderen
Seite kann es vorkommen, daß ein TSR-Programm zufällig die gleiche
Funktion benutzt wie ein Virus. Da die von SVS kontrollierten Funktionen
sorgfältig ausgewählt wurden, ist dieser Fall jedoch ziemlich unwahr-
scheinlich. Daher sollte diese Option stets aktiv sein, da sie passiv
arbeitet und somit das System nicht bremst.
Programme, bei denen diese Warnung normal ist und Sie die Aktion er-
lauben sollten, sind z.B. Antivirenprogramme, die einen sogenannten
Life-Test durchführen und damit feststellen wollen, ob Viren bereits
aktiv im Speicher sind. Diese Methode ist äußerst unsauber, und keines
der verbreiteten Antivirenprogramme benutzt diesen Weg.
Antivirenprogramme, wo Sie mittels Option solche Tests einschalten
können sind z.B. VIRSCAN, MEMSCAN und QMS.
┌───────────────────────────────────────────────────┐
│ Es wird versucht VSAFE oder TSAFE zu dein- │
│ stallieren. Retro-Virus ? │
└───────────────────────────────────────────────────┘
Diese beiden Wächterprogramme sind bei den Virenprogrammierern äußerst
beliebt. Der Grund dafür ist, daß diese beiden Programme mit nur 8 (!)
Bytes an Assemblerbefehlen deaktiviert werden können. Da diese Funktion
öffentlich dokumentiert wurde, benutzt seit <Tremor> mittlerweile jeder
neuere Virus diesen Trick, um VSAFE bzw. TSAFE zu umgehen.
SVS macht sich diese Tatsache zunutze und meldet diesen Aufruf, der
normalerweise vor der eigentlichen Aktivierung des Virus durchgeführt
wird. Wenn Sie also das verdächtige Programm an dieser Stelle beenden,
können Sie sicher sein, daß der Virus nicht aktiv wurde. Falschalarme
sind so gut wie ausgeschlossen, da selbst die Hauptprogramme von VSAFE
bzw. TSAFE diesen Aufruf nicht direkt benutzen.
Ein gleichzeitiges Benutzen von SVS mit diesen beiden Programmen ist
übrigens sinnlos und wird daher nicht empfohlen.
Liste einiger Viren, die diesen Aufruf benutzen:
Tremor, Neuroquila, Sirius.Alive, Mordor.1110, Firefly, alle NRLG-Viren,
Red_Mercury, Pure, Sterculius, Oracle, Nazgul, VLAD.Ph33r, Markt.1533
Ein 'normales' Programm, das diese Warnung verursacht, sollte sofort
abgebrochen und auf Virenbefall überprüft werden!
┌───────────────────────────────────────────────────┐
│ Es wird versucht, mittels einer undokumentierten │
│ Funktion interne DOS-Strukturen zu ermitteln. │
│ Fast Infector-Virus aktiv ? │
└───────────────────────────────────────────────────┘
Einige Viren benutzen zum Infizieren interne DOS-Strukturen, wie etwa
die SYSTEM FILE TABLE (SFT). Diese Funktionen sind undokumentiert und
werden von so gut wie keinem normalen Programm benutzt. Oft sind es
Fast Infector-Viren, die mittels der SFT den Zugriffsmodus von ge-
öffneten Programmen ändern. Höchstens sehr systemnah programmierte
Test- und Informationsprogramme könnten diese Funktionen benötigen.
Es gibt so gut wie keine Programme, die diese Funktion normalerweise
durchführen. In der Regel erscheint diese Warnung, wenn ein Virus dabei
ist, ein Programm zu infizieren. Da viele der gefährlicheren Viren
(bezüglich Ausbreitungsrate und Programmiertricks) diese Funktionen
benutzen müssen, sollten Sie diese Funktion stets eingeschaltet lassen.
┌───────────────────────────────────────────────────┐
│ Ein Programm hat SVS umgangen und führt eine │
│ kritische Dateifunktion aus !!! │
│ (INT xxh AX=xxxxh) │
└───────────────────────────────────────────────────┘
Diese Meldung erscheint dann, wenn ein Virus vor SVS aktiv wurde oder
es einem Virus gelungen ist, SVS zu unterlaufen. Normalerweise kon-
trolliert SVS alle Dateioperationen, bestimmte Dateizugriffe an SVS
vorbei erzeugen dann diese Warnung. Es ist allerdings möglich, daß ein
normales TSR, was Sie vor SVS installiert haben, der Verursacher dieser
Warnung ist. Sie sollten also direkt kontrollieren, ob dies der Fall
sein könnte. In Frage kommen nur TSRs, die Dateizugriffe durchführen,
also etwa DPROTECT (PC-Tools) oder SMARTCAN (Norton Utilities). Diese
TSRs müssen -nach- SVS geladen werden bzw. der Aufruf mittels der Lern-
funktion validiert werden. Haben Sie alles kontrolliert, und es wird
immer noch regelmäßig diese Warnung angezeigt, haben Sie vermutlich
einen Dateivirus bereits aktiv im System. Vor allem, wenn Sie ständig
mit dieser Warnung konfrontiert werden, ist dies ein sicheres Zeichen
für einen aktiven Dateivirus.
Vor- und Nachteile:
~~~~~~~~~~~~~~~~~~~
Diese Funktion ist eine weitere Sicherung von SVS dagegen, daß ein Virus
es schafft, die INT 21h-Kontrolle von SVS sauber zu umgehen. Leider kann
SVS zu dem Zeitpunkt, da diese Funktion ihre Tests ausführt, nicht viele
Informationen über den Verursacher ermitteln und kann daher nicht so
genau zwischen legalen und virentypischen Aufrufen unterscheiden.
Besonders oft treten Falschalarme wegen der Funktion INT 21h/40h auf,
die gleichzeitig zum Verändern von Programmen und zur Ausgabe von
Texten (!) auf dem Bildschirm dient.
Wegen der relativ vielen Falschalarme sollten Sie diese Funktion nur
in gefährdeten Systemen benutzen oder dann, wenn Sie neue Software
testen. SVS führt genug andere Tests aus, um das Fehlen dieser Funktion
zu kompensieren, besonders die Optionen "Schreibzugriffe während ..."
sind wesentlich effektiver und weitaus weniger fehleranfällig als
dieser Test.
Bitte stellen Sie sicher, daß keine TSRs -vor- SVS geladen wurden, die
Dateioperationen durchführen, z.B. DPROTECT oder SMARTCAN.
┌───────────────────────────────────────────────────┐
│ Ein Interrupt wurde aus einem freien Speicher- │
│ bereich heraus aufgerufen. Virus aktiv ? │
│ (INT xxh AX=xxxxh) │
└───────────────────────────────────────────────────┘
Auch diese Warnung deutet auf einen bereits aktiven Virus hin. Viele
der residenten Viren installieren sich, indem sie den letzten MCB ver-
kürzen oder den DOS-Speicher reduzieren. SVS erkennt Interrupt-
funktionen, die aus solchen Bereichen heraus aufgerufen werden.
Vor allem, wenn Sie mit dieser Warnung geradezu bombardiert werden, ist
dies ein sicheres Zeichen für einen bereits aktiven Virus.
Normale TSRs belegen Speicher auf dokumentierte Methoden und zeigen
niemals ein solches Verhalten.
Sehr oft erscheint diese Warnung auch, wenn sich der Virus gerade
aktivieren will; meistens auch zusammen mit der Warnung, daß ein
Interrupt auf einen freien Speicherbereich verbogen werden soll.
Da normale TSR-Programme solche Warnungen so gut wie nie verursachen,
sollten Sie diese Option permanent benutzen. Ein sehr großer Teil der
residenten Viren wird durch diese Funktion erkannt und gemeldet.
Sie stellt eine primitive, aber nichtsdestotrotz sehr effektive
Schutzfunktion dar, die äußerst selten Falschalarme produziert.
Hinweis:
~~~~~~~~
Wenn ein Virus sich aktiviert oder bereits resident ist, werden Sie im
Regelfall mit dieser Warnung geradzu bombardiert! Wird die Warnung nur
ein einziges Mal angezeigt, handelte es sich dabei wahrscheinlich um
einen Falschalarm.
Diese Funktion kann evtl. Falschalarme verursachen, wenn per Speicher-
manager mehr als 640K konventioneller DOS-Speicher eingerichtet wird.
┌───────────────────────────────────────────────────┐
│ Es wird versucht, INT xxh auf einen freien │
│ Speicherbereich zu setzen! (xxxx:xxxx) │
└───────────────────────────────────────────────────┘
Parallel zu den vorher erwähnten Meldungen ist SVS in der Lage festzu-
stellen, wenn ein Virus versucht, sich nach Allokieren von Speicher in
diesem freien bzw. 'ungültigen' Speicherbereich zu aktivieren. Dieses
Verhalten wäre sehr verdächtig für normale TSRs, tritt aber sehr häufig
bei residenten Viren auf; es ist eher sogar der Regelfall!
Diese Warnung wird angezeigt, wenn sich ein Virus aktivieren will oder
die DOS-Fehlerbehandlung im INT 24h während einer Infektion kurzzeitig
ausschaltet. Falschalarme werden nur von TSR-Programmen erzeugt, die
Speicher auf die gleiche Art wie Viren belegen, was in der Regel nur
sehr selten der Fall ist.
┌───────────────────────────────────────────────────┐
│ Es wird versucht, den internen HDD/FDD-Interrupt │
│ zu ermitteln. Normalerweise benutzen nur Disk- │
│ tools oder Antivirenprogramme diese Funktion! │
└───────────────────────────────────────────────────┘
Seit DOS 3.3 gibt es eine undokumentierte, aber trotzdem allgemein
bekannte INT 2Fh-Funktion, die den INT 13h-Vektor zurückliefert der
direkt ins ROM-BIOS zeigt. Alle normalen TSR-Programme befinden
sich 'oberhalb' dieser Adresse in der INT 13h-Kette und werden durch
die Benutzung der BIOS-Adresse ohne Probleme umgangen.
Diese INT 2Fh-Funktion wird denoch von einigen der gängigen Antiviren-
programme nicht überwacht! Es ist völlig sinnlos, INT 13h als Fest-
plattenkontrolle zu überwachen, wenn es Viren ohne Probleme möglich ist,
den DOS-internen Festplatteninterrupt zu ermitteln. Auch einige
trojanische Pferde benutzen diesen Aufruf, um mit der ermittelten
Adresse ungestört auf der Festplatte wüten zu können.
Allerdings benutzen auch Programme, die sehr systemnah auf die Fest-
platte zugreifen müssen, diese Funktion. Dabei handelt es sich aber
fast immer um Festplattentools, Antivirenprogramme oder Festplatten-
Treiber.
Programme, bei denen diese Warnung normal ist und Sie die Lernoption
benutzen sollten, sind z.B. Windows (32Bit-Zugriff), Festplatten-
Treiber, CALIBRATE, HYPERDISK, BOOTSAFE.
Da SVS sowieso beim Aufruf dieser Funktion einen gesicherten Wert
zurückliefert und nicht den ursprünglichen BIOS-Vektor, ist es
eigentlich egal ob diese Funktion dem Anwender gemeldet wird oder
nicht. Besonders mit Windows im 32Bit-Festplattenzugriff löst
gelegentlich beim Beenden Falschalarme aus. Sie sollten diese
Warnung daher nur dann aktivieren, falls neue Programme getestet
werden.
┌───────────────────────────────────────────────────┐
│ Das Programm benutzt eine undokumentierte │
│ DOS-Funktion, welche normalerweise nie von │
│ Anwenderprogrammen aufgerufen wird. │
└───────────────────────────────────────────────────┘
Wieder eine Funktion, die von gewöhnlicher kommerzieller Antivirus-
software nicht kontrolliert wird. Mit dieser Funktion ist es sogar
ohne Tracer möglich, an allen gängigen residenten Wächterprogrammen
vorbei die gesamte Palette an DOS-Funktionen aufzurufen. Normale
Verwendung findet diese Interruptfunktion so gut wie nie, und sie
wird auch von einigen MS-DOS-Klones nicht korrekt emuliert.
Sie sollten ein Programm, was diese Warnung verursacht, sofort abbrechen
und mit SSC oder anderen Virenscannern überprüfen.
Es gibt so gut wie keine Programme, die diese Funktion normalerweise
durchführen. Sie deutet also recht sicher auf einen Virus hin!
┌───────────────────────────────────────────────────┐
│ Die Anzahl der verfügbaren FCB's wurde ver- │
│ ringert! Möglicherweise ein residenter Virus? │
└───────────────────────────────────────────────────┘
Einige Viren benutzen den Bereich der FILE CONTROL BLOCKS, um im System
resident bleiben zu können. Da die FCB-Funktionen seit DOS 3.0 so gut
wie nie mehr benutzt werden, ist der FCB-Bereich meistens ungenutzt, vor
allem, da normalerweise vier FCB-Blöcke von DOS allokiert werden, aber
meistens nur einer davon genutzt wird.
SVS meldet, wenn durch ein Programm die Anzahl der verfügbaren FCB's
verringert wurde. Ein solches Verhalten ist sehr verdächtig und weist
mit einiger Sicherheit auf einen (wahrscheinlich recht kurzen)
residenten Virus hin, der im FCB-Bereich resident bleiben will.
┌───────────────────────────────────────────────────┐
│ # DAS BETRIEBSSYSTEM WURDE INTERN VERÄNDERT ! # │
│ Stealthviren benutzen diese Methode, um Anti- │
│ virenprogramme zu umgehen! │
└───────────────────────────────────────────────────┘
Eine wirklich wichtige und kritische Meldung, die bedeutet, daß der DOS-
Code im Speicher verändert wurde. Das tritt normalerweise NIE auf! Nur
einige raffinierte Stealthviren wie etwa <Frodo> oder <Neuroquila> ver-
ursachen diese Warnung. Sie sollten das Programm, welches diese Warnung
verursacht hat, SOFORT abbrechen, besser noch einen Neustart durchführen
und das verdächtige Programm schnellstens mit SSC und anderen Viren-
scannern überprüfen. Auch dieser Virustrick wird von keinem der gängigen
Wächterprogramme beachtet! Ein gefundenes Fressen für <Neuroquila>, der
nebenbei noch ganze Scharen von AV-Programmen im Speicher patcht.
DIESE WARNUNG IST ABSOLUT KRITISCH! BITTE STARTEN SIE DEN RECHNER
MÖGLICHST SCHNELL NEU UND ÜBERPRÜFEN SIE DAS PROGRAMM, DAS DIESE
WARNUNG VERURSACHT HAT. DIESE WARNUNG DEUTET FAST HUNDERTPROZENTIG
AUF EINEN VIRUS HIN!
Falschalarme sind bei DOS-Versionen möglich, die nicht 100% MS-DOS-
kompatibel sind.
┌───────────────────────────────────────────────────┐
│ ACHTUNG ! Der Programmcode von SVS im Speicher │
│ wurde verändert! Vermutlich ein Virus, der SVS │
│ ausschalten und umgehen will! │
└───────────────────────────────────────────────────┘
Es gibt nur sehr wenige Wächterprogramme, die sich selber vor direkten
Manipulationen im Speicher durch Viren schützen: NEMESIS und SVS. Bei
allen (!) anderen Wächterprogrammen gibt es keinen solchen Selbstschutz,
und es ist für die Viren ein leichtes, diese Programme im Speicher ein-
fach auszuschalten und somit sich unbemerkt zu aktivieren. Benutzten
früher Viren nur die TSR-eigenen Funktionen wie etwa bei VSAFE/TSAFE,
zeigen modernere Viren immer häufiger dieses aggressivere und effek-
tivere Verhalten, um sich an bekannten residenten Antivirenprogrammen
vorbeizumogeln.
Die Schutzfunktion von SVS ist nicht sehr komplex, da sie sonst den
Rechnerbetrieb erheblich bremsen würde. Sollte es einem Virus wider
Erwarten gelingen, SVS zu manipulieren, wird sofort ein Update er-
hältlich sein. Außerdem wird der Schutz in jeder neuen Version variiert,
um gegen solche Angriffe vorzubeugen.
DIESE WARNUNG IST ABSOLUT KRITISCH! BITTE STARTEN SIE DEN RECHNER
MÖGLICHST SCHNELL UND ÜBERPRÜFEN SIE DAS PROGRAMM, DAS DIESE WARNUNG
VERURSACHT HAT. DIESE WARNUNG DEUTET FAST HUNDERTPROZENTIG AUF
EINEN VIRUS HIN!
┌───────────────────────────────────────────────────┐
│ Ungültiger Versuch zu ermitteln, ob SVS im │
│ Speicher aktiv ist! │
└───────────────────────────────────────────────────┘
Eine andere gängige Methode von Viren ist es, festzustellen, ob Wächter-
programme aktiv sind, die den Virus bemerken und blockieren würden.
Wird ein solches TSR gefunden, bleibt der Virus inaktiv und fällt somit
dem Anwender nicht auf. Einige Wächterprogramme machen es geradezu
lächerlich einfach, diese Überprüfungen durchzuführen! Eine mögliche
Methode dafür ist es, den Devicenamen des TSRs zu öffnen, bei SVS z.B.
"SVSXXXX0". SVS meldet solche Aufrufe, und eigentlich kann es sich bei
dem Verursacher dieser Warnung nur um einen Virus handeln, der fest-
stellen will, ob SVS aktiv ist. Möglicherweise könnte diese Meldung auch
noch von speziellen Device-Testprogrammen verursacht werden.
┌───────────────────────────────────────────────────┐
│ Entweder versucht ein Virus festzustellen, ob │
│ NEMESIS aktiv ist oder NEMESIS will sich │
│ installieren. │
└───────────────────────────────────────────────────┘
NEMESIS, ein anderes residentes Wächterprogramm, bietet wie viele andere
TSRs eine neudefinierte Funktion an, um festzustellen, ob es aktiv im
Speicher ist. Dieser Aufruf wird allerdings von NEMESIS selber auch
geschützt, trotzdem gibt es einige Viren, die mit dieser Methode ver-
suchen, NEMESIS zu finden. Ein weiterer Grund für diese Warnung ist,
daß SVS nicht zusammen mit NEMESIS gleichzeitig benutzt werden kann.
Entweder haben Sie NEMESIS gestartet oder Sie haben einen Virus, der
feststellen möchte, ob NEMESIS aktiv ist.
Prüfsummen:
~~~~~~~~~~~
┌───────────────────────────────────────────────────┐
│ Das Programm wurde verändert ! │
│ Soll es trotzdem ausgeführt werden ? │
│ Name: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
Diese Meldung erscheint, wenn Sie ein Programm starten wollen, das vom
Aufbau nicht mehr mit den Daten, die in der zugehörigen Prüfliste ge-
speichert wurden, übereinstimmt. Eine spezielle Funktion hat hier die
Lernoption. Wählen Sie diese Option, aktualisiert SVS die Prüfliste
und diese Veränderung des Programmes wird nicht mehr gemeldet.
Sie sollten die Lernoption nur dann benutzen, wenn Sie genau wissen,
daß Sie dieses Programm verändert haben, z.B. durch ein Update.
Ansonsten sollten Sie den Aufruf abbrechen und das Programm mit SSC und
anderen Virenscannern untersuchen.
Wenn dies ein selbstmodifizierendes Programm ist, können Sie mit SCRC
die Daten von der Prüfung ausschließen.
Diese Warnung erscheint immer dann, wenn ein Programm verändert wurde.
Sie ist normal, wenn Sie z.B. das Update eines bereits vorhandenen
Programmes installiert haben. Sollte diese Warnung bei COMMAND.COM oder
anderen DOS-Programmen auftreten und Sie haben keine neue DOS-Version
installiert, sollten Sie das Programm sofort abbrechen und auf Viren
überprüfen!
┌───────────────────────────────────────────────────┐
│ Das zu startende Programm hat keine Prüfsumme ! │
│ Soll es trotzdem ausgeführt werden ? │
│ Name: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
Diese Warnung erscheint nur dann, wenn Sie SVS über SETUP entsprechend
konfiguriert haben, also die Option "PRÜFSUMMEN AUTOMATISCH ERSTELLEN"
auf "AUS" gestellt haben. Mit der Lernoption können Sie SVS anweisen,
die Prüfsumme für das Programm zu berechnen.
Sie können SVS per SETUP anweisen, den Start von Programmen ohne gültige
Prüfsumme zu unterbinden. Damit kann verhindert werden, daß neue und
ungeprüfte Software in das System eingeführt wird.
Sektorzugriff Diskette/Festplatte:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
┌───────────────────────────────────────────────────┐
│ Der Bootsektor der eingelegten Diskette enthält │
│ ungewöhnlichen Programmcode, der auf einen │
│ Bootsektorvirus hinweisen könnte! │
└───────────────────────────────────────────────────┘
SVS überprüft bei jedem Lesen des Bootsektors von Disketten, ob dieser
mit einem Virus infiziert ist. Das geschieht z.B. schon bei "DIR A:".
Sie sollten die gemeldete Diskette sofort mit einen Virenscanner über-
prüfen und auf jeden Fall vor dem nächsten Neustart des Rechners aus
dem Laufwerk A: entfernen!
Hinweis: Sie können gefahrlos Daten und Programme von infizierten
Disketten lesen, bevor Sie diese mit "SYS C: A:" oder "FORMAT A:" be-
arbeiten. Der Virus könnte nur aktiv werden, wenn Sie die Diskette beim
Booten in Laufwerk A: eingelegt lassen.
DIESE WARNUNG IST ABSOLUT KRITISCH! BITTE ÜBERPRÜFEN SIE DIE DISKETTE
MÖGLICHST SCHNELL MIT EINEN VIRENSCANNER ODER ENTFERNEN SIE DEN VIRUS
ENTWEDER MIT "SYS C: A:" ODER "FORMAT A: /U"
Hinweis: Meldet SVS eine Diskette als verdächtig, können ohne jede
Gefahr sämtliche Daten oder Programme von der Diskette kopiert werden,
ohne den möglichen Virus zu aktivieren. Ist das geschehen, sollten Sie
entweder die Diskette mit "SYS C: A:" oder "FORMAT A: /U" reinigen.
┌───────────────────────────────────────────────────┐
│ Laufwerk A: enthält Diskette mit verdächtigem │
│ Programmcode, der auf einen Bootvirus hinweist! │
│ * DER RECHNER IST JETZT GESPERRT ! * │
└───────────────────────────────────────────────────┘
Zusätzlich überprüft SVS noch bei einen Neustart des Rechners über
STRG-ALT-ENTF, ob eine infizierte Diskette im Laufwerk A: eingelegt ist.
Sie werden also auf jeden Fall darauf hingewiesen, falls Sie eine in-
fizierte Diskette in Laufwerk A: vergessen haben.
DIESE WARNUNG IST ABSOLUT KRITISCH! BITTE ÜBERPRÜFEN SIE DIE DISKETTE
MÖGLICHST SCHNELL MIT EINEN VIRENSCANNER ODER ENTFERNEN SIE DEN VIRUS
ENTWEDER MIT "SYS C: A:" ODER "FORMAT A: /U"
┌───────────────────────────────────────────────────┐
│ Eine Diskette ist in Laufwerk A: eingelegt ! │
└───────────────────────────────────────────────────┘
Diese Meldung erscheint nur, wenn Sie SVS über SETUP entsprechend kon-
figuriert haben. Sie ist eigentlich eine reine Vorsichtsmaßnahme, da bei
einem Neustart des Rechners möglichst nie eine Diskette in Laufwerk A:
vergessen werden sollte.
Diese Meldung ist also nur ein Hinweis, keine Viruswarnung.
Effektiver ist es, wenn Sie im CMOS-SETUP ihres Rechners die Start-
sequenz von "A: C:" auf "C: A:" abändern. Das ist bei vielen der neueren
BIOS-Versionen möglich. Damit wird es für normale Bootsektorviren un-
möglich, ins System zu gelangen.
┌───────────────────────────────────────────────────┐
│ Der Bootsektor des Laufwerks X: soll mit INT 26 │
│ beschrieben werden! │
└───────────────────────────────────────────────────┘
Der Partitions- und Bootsektor sind durch Viren besonders gefährdet und
werden von SVS gesondert geschützt. Normalerweise sollte der Bootsektor
eines Laufwerks über INT 26 (nicht INT 13!) nur mit FORMAT.COM oder
anderen Formatierungsprogrammen beschrieben werden. Ein Beschreiben von
Festplatten wie C: und höher ist also sehr unwahrscheinlich, außer Sie
wollen wirklich die Festplatte formatieren.
Von Viren wird dieser Interrupt eigentlich auch eher selten genutzt,
aber einige Trojanische Pferde sowie destruktive Viren arbeiten mit
dieser Funktion. <Dark_Avenger.1800> ist einer der Viren, die diese
Funktion benutzen.
Generell würde diese Warnung beim Formatieren oder Kopieren von
Disketten auftreten, daher ist sie per SETUP in der Standard-
Konfiguration deaktiviert.
Programme, bei denen diese Warnung normal ist und Sie die Lernoption
benutzen sollten, sind z.B. SYS.COM, FORMAT.COM, SFORMAT.EXE bzw.
SF.EXE, PCFORMAT und möglicherweise LABEL einiger MSDOS-Klone.
┌───────────────────────────────────────────────────┐
│ Während des Starts, Öffnens oder Schließens │
│ eines Programms soll auf die Festplatte ge- │
│ schrieben werden! Virus aktiv? │
└───────────────────────────────────────────────────┘
Die Kontrolle von Schreibzugriffen während bestimmter DOS-Funktionen
stellt eine äußerst wirksame Schutzfunktion dar, da fast alle residenten
Dateiviren während des Starts, Öffnens oder Schließens von Programmen
diese infizieren. In einen normalen System wird während des Ausführens
dieser Funktionen nichts auf die Festplatte geschrieben. Residente
Viren fangen diese Funktionen ab und lassen sich Programmnamen quasi
"frei Haus" liefern und infizieren dann die angegebenen Programme.
Da SVS den Schreibzugriff auf INT13h- also Sektorebene abfängt, ist die
Funktion sehr sicher und erkennt z.B. auch Header-Viren oder Viren, die
es geschafft haben, die INT 21h-Kontrolle von SVS komplett zu umgehen.
Diese Funktion hat jedoch zwei Probleme:
1) Programme, die den normalen Ablauf eines Schreibzugriffs verändern,
lösen unter gewissen Umständen Falschalarme aus. Besonders Software-
Diskcaches mit einer Schreibverzögerungsfunktion (z.B. SMARTDRV C+)
oder Multitasking-Betriebsysteme verzögern den eigentlichen Schreib-
zugriff und sorgen damit für Falschalarme. Speziell SMARTDRV ist
jedoch seit DOS 6.2 so eingestellt, daß nach dem Verlassen eines
Programmes sämtliche Daten geschrieben werden, bevor der Anwender
weiterarbeiten kann. Wird diese Einstellung benutzt, ist SVS
kompatibel zu SMARTDRV. Da der SMARTDRV-Parameter /N auch so für
massive Probleme sorgen kann, sollten Sie ihn möglichst nicht
benutzen. Andere Diskcaches haben ähnliche Parameter und sollten
equivalent konfiguriert werden. (z.B. NCACHE: /QUICK=OFF)
Ein Konfikt dieser Funktion mit Multitaskern ist nicht möglich, da
SVS an sich nicht unter diesen Systemen gestartet werden kann.
2) Um wirklich jeden INT 21h-Aufruf beobachten zu können, muß SVS den
aktuellen INT 21h-Eigentümer so verändern, daß stets eine spezielle
Routine von SVS als erstes in der INT 21h-Kette aufgerufen wird.
Einige wenige Programme sind zu dieser Methode nicht kompatibel,
leider erkennt man das erst durch einen Absturz des Systems.
Im Regelfall funktioniert aber so gut wie jedes Programm mit dieser
Option von SVS.
Zusätzlich zu der Option "Schreibzugriffe während Programmstarts melden"
kann SVS desweiteren Schreibzugriffe während des Aufrufs der DOS-
Funktion 'Datei öffnen' und 'Datei schließen' abfangen. Dies ist
sinnvoll, da viele neuere Viren Programme nicht nur beim Starten sondern
auch beim Öffnen und Schließen der Datei infizieren (Fast Infectors).
Insgesamt bietet diese Funktion ein sehr hohes Maß an Sicherheit,
wesentlich mehr als z.B. das reine Abfangen von virentypischen Datei-
manipulationen über INT 21h bietet - vor allem deswegen, weil SVS bei
dieser Option den Schreibzugriff auf Sektorebene kontrolliert.
Damit können auch Headerviren blockiert werden, die EXE-Programme auf
Sektorebene infizieren.
Sofern keine Kompatibilitätsprobleme mit dieser Funktion auf dem System
auftreten, sollten Sie unbedingt diese drei Optionen per SETUP
aktivieren.
Hinweis:
~~~~~~~~
Falls Sie einen Cache mit Schreibverzögerung benutzen, sollten Sie ihn
so konfigurieren, daß nach dem Beenden eines Programmes alle Daten im
Cachepuffer zurückgeschrieben werden, bevor der DOS-Prompt erscheint.
SVS ist voll kompatibel zu allen Caches, die sich an die SMARTDRV-API
halten. Das sind neben SMARTDRV selber PC-Cache und neuere Versionen
des Norton-Caches. Sollten denoch unerwartete Falschalarme auftreten,
muß entweder die Schreibverzögerung deaktiviert oder die SVS-Option
ausgeschaltet werden.
┌───────────────────────────────────────────────────┐
│ Der Datenbuffer wurde manipuliert, bevor er │
│ auf die Festplatte geschrieben wurde! │
│ Virus aktiv? │
└───────────────────────────────────────────────────┘
Diese Meldung wird von zwei verschiedenen Testfunktionen ausgelöst.
Beide prüfen, ob der Schreibpuffer verändert wurde, d.h. wenn Sie
Programme oder Daten kopieren oder verändern, prüft SVS anhand von
Prüfsummen und Längenangaben, ob die Informationen, die das eigentliche
Programm schreiben will, auch korrekt auf die Festplatte übertragen
werden. Sinnvoll sind diese Tests gegen sogenannte Slow-Infector-Viren,
die nur dann Programme infizieren, wenn Sie selber Programme kopieren
oder erzeugen. Diese Viren schreiben also nicht selber auf die Fest-
platte, sondern warten, bis der Anwender eine entsprechende Funktion
auslöst. Diese Infektionsmethode ist sehr effektiv und wird von nur sehr
wenigen Wächterprogrammen erkannt. Auch Prüfsummenprogramme, die eine
CRC kompletter Dateien ermitteln und vergleichen, können solche Viren
nicht bemerken, da ja nur neue Programme infiziert werden, zu denen noch
keine Prüfsummeninformationen vorhanden sind. Selbst wenn Sie ein TSR
mit Schreibschutzfunktion benutzen, kann sich der Virus ausbreiten, da
Sie ja selber Programme erzeugen oder verändern wollen und daher den
Schreibzugriff für legitim halten und erlauben.
Zum Glück haben Slow-Infector-Viren, wie ihr Name schon sagt, eine recht
langsame Ausbreitungrate und sind daher kaum verbreitet.
Die Kontrolle des INT 13h-Schreibpuffers sorgt dafür, daß destruktive
Viren erkannt werden, die z.B. zufällig Bytes im Schreibpuffer ver-
tauschen. <Ripper> ist ein solcher Virus und in Deutschland stark ver-
breitet. Außerdem erkennt die INT 13h-Kontrolle noch einige Header-
Viren, die die Schutz-Funktionen 'Schreibzugriffe während Starts melden'
umgehen.
ACHTUNG:
~~~~~~~~
Die beiden Optionen ('Warnen, wenn der INT 21/13h-Schreibpuffer
verändert wurde') verlangsamen den Festplattenzugriff um ca. 2-3%. Die
INT 21h-Kontrolle bremst allerdings weitaus weniger als die Sektor-
kontrolle über INT 13h. Hinzu kommt, daß diese Optionen zwangsweise
spezielle INT 21h und INT 13h-Routinen benötigen, die evtl. unkompatibel
zu manchen Programmen sind. Sollten Probleme auftreten, sollten Sie
versuchen, zuerst die INT 13h und dann die INT 21h-Kontrolle
abzuschalten. Evtl. ist die INT 13h-Kontrolle unkompatibel zu einigen
Festplatten-Komprimierern wie Stacker.
Wenn diese Option keine Kompatibilitätsprobleme verursacht und die
geringe Verringerung der Festplattenleistung (nur beim Schreiben!)
Sie nicht stört, sollten Sie diese Funktion unbedingt eingeschaltet
lassen.
Hinweis:
~~~~~~~~
Wenn diese Warnung erscheint und Sie den Schreibzugriff abbrechen,
sollten Sie unbedingt schnellstens den Rechner ausschalten, von einer
Diskette booten und mit SCANDISK, DISKFIX oder ähnlichen Tools die
Dateisystemstruktur (FAT und Verzeichnisse) überprüfen lassen!
Oft entstehen durch den Abbruch verlorene Ketten (Cluster).
┌───────────────────────────────────────────────────┐
│ Es wird versucht, die Partition der Festplatte │
│ mittels INT 13 zu beschreiben. │
└───────────────────────────────────────────────────┘
Die Partition ist ein Ziel vieler Hybrid-Viren und Sie sollten bei
dieser Warnung sofort hellhörig werden, wenn Sie nicht gerade FDISK
aufgerufen haben, das eigentlich das einzige Programm ist, das auf
die Partition schreibend zugreift. Sollte das gestartete Programm kein
Festplatten-Tool sein, sollten Sie es sofort abbrechen! Auch trojanische
Pferde oder destruktive Viren löschen vorzugsweise den Partitionssektor,
da ohne die in ihn enthaltenen Informationen das Betriebssystem nicht
mehr starten kann.
┌───────────────────────────────────────────────────┐
│ Es wird versucht, den Bootsektor der Festplatte │
│ mittels INT 13 zu beschreiben. │
└───────────────────────────────────────────────────┘
Auch diese Warnung sollte eigentlich nie von normalen Programmen ver-
ursacht werden. Viren versuchen eher die Partition als den Bootsektor
zu verändern. Nur eine sehr geringe Anzahl von Sektorviren infiziert
den Festplattenbootsektor, allerdings ist gerade der in Deutschland
sehr stark verbreitete <Form.A> einer dieser Viren. Da aber Bootsektor-
Viren in der Regel die Festplatte nur dann infizieren, wenn von einer
infizierten Diskette gebootet wird, ist der Verursacher dieser Warnung
wahrscheinlich kein Virus. Aufgerufen wird diese Warnung eigentlich nur
von den DOS-Befehlen SYS und LABEL, eventuell von einigen Formatierungs-
programmen (Wollen Sie die Festplatte Low-level formatieren ???).
Programme, die diese Funktion normalerweise ausführen und bei denen Sie
die Lernoption benutzen sollten, sind die DOS-Befehle SYS und LABEL.
Einige Software-Diskcaches optimieren den Schreibzugriff und fassen
dazu mehrere Einzelzugriffe zu einen grossen Block zusammen. Dabei kann
es vorkommen, daß auch in den Bootsektor geschrieben wird, der dabei
allerdings nicht geändert wird.
┌───────────────────────────────────────────────────┐
│ Es wird versucht, den Bootsektor der Diskette │
│ mittels INT 13 zu beschreiben. │
└───────────────────────────────────────────────────┘
Diese Meldung werden Sie höchstwahrscheinlich beim Formatieren oder
Kopieren von Disketten angezeigt kriegen, also von FORMAT, DISKCOPY oder
SYS. Wenn diese Meldung allerdings schon bei einem "DIR A:" erscheint,
haben Sie höchstwahrscheinlich einen Bootsektorvirus aktiv im Speicher.
Programme, die diese Funktion normalerweise ausführen und bei denen Sie
die Lernoption benutzen sollten sind FORMAT, DISKCOPY, SYS und LABEL.
VORSICHT, WENN DIESE MELDUNG BEREITS BEI "DIR A:" ANGEZEIGT WIRD!
┌───────────────────────────────────────────────────┐
│ Es wird versucht, in die erste physikalische │
│ Spur der Festplatte zu schreiben! Dieser │
│ Bereich ist normalerweise ungenutzt und enthält │
│ nur den Partitionssektor. │
└───────────────────────────────────────────────────┘
Die erste physikalische Spur einer Partition ist in der Regel bis auf
den Partitionssektor ungenutzt. Viele Bootsektorviren nisten sich mit
Vorliebe in diesen Bereich ein und speichern hier Kopien des Partitions-
oder Bootsektors, bevor dieser infiziert wird. Neben Viren nutzen aber
auch spezielle Festplattentreiber (z.B. EZ-Drive) und Partitionsmanager
(z.B. OS/2) diesen Bereich. Diese Funktion kommt nur zum Tragen, wenn
ein Multipartite-Virus nach dem Start eines verseuchten Programms
versucht, sich in der Partition zu installieren (z.B. Tequila, Natas).
Sollte der Verursacher dieser Warnung nichts mit Festplattenzugriffen
zu tun haben, ist diese Warnung auf jeden Fall ernst zu nehmen!
┌───────────────────────────────────────────────────┐
│ Es wird versucht, eine Festplatte physikalisch │
│ (Lowlevel) zu formatieren! │
└───────────────────────────────────────────────────┘
Diese Warnung sollten Sie -nie- zu sehen kriegen! Selbst wenn Sie mit
FORMAT die Festplatte neu formatieren, wird diese nur gelöscht, aber
nie richtig formatiert. Einzig über das BIOS sollte diese Aktion
möglich sein, und da ist SVS natürlich noch nicht geladen.
Es gibt allerdings einige destruktive Viren, die mit dieser Funktion
die Daten auf der Festplatte zerstören wollen.
Sie sollten übrigens moderne Festplatten niemals Lowlevel-formatieren!
Mit einiger Wahrscheinlichkeit haben Sie hinterher weniger Platz zur
Verfügung als vorher oder die Festplatte kann gar nicht mehr benutzt
werden. Nur ein Formatieren mit DOS FORMAT.COM ist bei Festplatten
sinnvoll.
DIESE WARNUNG IST ABSOLUT KRITISCH! BITTE STARTEN SIE DEN RECHNER
MÖGLICHST SCHNELL NEU UND ÜBERPRÜFEN SIE DAS PROGRAMM, DAS DIESE WARNUNG
VERURSACHT HAT. DIESE WARNUNG DEUTET MIT HOHER WAHRSCHEINLICHKEIT
AUF EINEN -DESTRUKTIVEN- VIRUS HIN!
┌───────────────────────────────────────────────────┐
│ Es wird versucht, eine Diskette physikalisch │
│ (Lowlevel) zu formatieren! │
└───────────────────────────────────────────────────┘
Diese Warnung zeigt SVS nur an, wenn Sie mittels SETUP den Disketten-
Schutz eingeschaltet haben. Ein Low-Level Formatieren von Disketten
ist immer bei der ersten Formatierung notwendig. Alle weiteren späteren
'Formatierungen' sind eigentlich keine; die Programme löschen nur den
Bootsektor, die Verzeichnisse, die FAT und prüfen, ob alle Sektoren noch
lesbar sind. Viren werden diese Meldung eher selten verursachen, da ihr
Ziel meistens die Festplatte ist und nicht in erster Linie Disketten.
Einige Viren benutzen allerdings Extraspuren auf der Diskette, die
natürlich vorher formatiert werden müssen (Bespiel: <Neuroquila>)
Programme, die diese Funktion normalerweise ausführen und bei denen Sie
die Lernoption benutzen sollten, sind FORMAT, SFORMAT, PC-FORMAT,
FDFORMAT und andere Formatierbefehle.
┌───────────────────────────────────────────────────┐
│ Es wird versucht, mit "Long Sector Write" die │
│ Festplatte zu beschreiben. Diese Funktion wird │
│ normalerweise nie benutzt. │
└───────────────────────────────────────────────────┘
Ein Zugriff mittels der "Long Sector"-Funktion ist sehr ungewöhnlich
und kann auf Viren hinweisen. Diese Funktion existiert nicht in
allen BIOS-Versionen, daher benutzt kein DOS-Programm sie. Nur auf
PS/2-Rechnern wird diese Funktion unterstützt, und dort zu Diagnose-
zwecke benutzt.
Es gibt allerdings einige Viren, die diese 'Hintertür' benutzen, um
an residenten Wächterprogrammen vorbei Sektoren, wie etwa die Partition,
beschreiben zu können. Ein besonders ausgefallener Virus konvertiert
sogar mit dieser Funktion normale Sektoren in ein eigenes Format um,
mit dem Resultat, daß nach dem Entfernen des Virus jede Menge fehler-
hafter Sektoren gefunden werden und die Festplatte unbrauchbar ist,
bis die Sektoren wieder mühsam zurückkonvertiert werden.
Einige Antivirenprogramme nutzen ebenfalls diesen Interrupt, z.B.
einige der älteren Invircible-Versionen.
DIESE WARNUNG SOLLTE NORMALERWEISE NIE ERSCHEINEN. BRECHEN SIE DAS
BETROFFENE PROGRAMM SOFORT AB UND ÜBERPRÜFEN SIE ES AUF VIRENBEFALL!
┌───────────────────────────────────────────────────┐
│ Die Festplatte/Diskette wird direkt über den │
│ internen Disk-Interrupt angesprochen, ohne │
│ INT 13 zu benutzen. │
└───────────────────────────────────────────────────┘
Normalerweise benutzt jedes Programm DOS, um auf die Festplatte zu
schreiben. Einige Festplatten-Tools greifen jedoch direkt auf den
DOS-internen Disketten-Interrupt zu, die Regel ist jedoch, daß ein
solcher Aufruf als sehr verdächtig gilt und wahrscheinlich von einem
Virus stammt. Viren springen diese Adresse oft direkt an, um residente
Wächterprogramme zu umgehen, die in der Regel nur den normalen INT 13
kontrollieren und diesen Aufruf überhaupt nicht bemerken.
Diese Meldung ist in höchstem Maße verdächtig, wenn als nächste
Operation versucht wird, die Partition zu beschreiben. In diesem
Fall ist es so gut wie sicher, daß Sie gerade einen Hybrid-Virus oder
einen trickreichen Sektorvirus-Dropper gestartet haben.
Möglich ist diese Meldung auch, wenn Sie einem TSR erlaubt haben, sich
in den internen DOS-Interrupt 13h einzuklinken. Unsauber programmierte
Caches machen dies gelegentlich. Ein solches Verhalten wurde aller-
dings z.B. nicht mit HYPERDISK beobachtet, das den Interrupt 13 auf
genau diese Weise belegt.
Konflikte könnte es auch mit speziellen Festplattentreibern geben,
die sich ebenfalls auf dieser Ebene in die INT 13h-Behandlung
einklinken.
WARNUNG! DIES IST EINE KRITISCHE AKTION, WENN DAS PROGRAMM, DAS DIESE
MELDUNG VERURSACHT HAT, NICHTS MIT FESTPLATTENZUGRIFF ZU TUN HAT.
IST DAS DER FALL, BRECHEN SIE DIE AKTION SOFORT AB!
Mögliche Verursacher dieser Meldung: CALIBRAT, Festplattentreiber
┌───────────────────────────────────────────────────┐
│ Es fand ein direkter Festplattenzugriff über │
│ das ROM-BIOS statt! Stealth-Virus ? │
└───────────────────────────────────────────────────┘
SVS erkennt, wenn auf die Festplatte zugegriffen wurde und dabei die
normale INT 13-Kette komplett übersprungen wurde. Das kann eigentlich
nur bedeuten, daß der Festplatten-Interrupt direkt im BIOS aufgerufen
wurde. Mit sehr hoher Wahrscheinlichkeit hat ein Virus diese Warnung
verursacht, der mittels bestimmter Methoden den BIOS-Einsprung be-
rechnet hat. Der <Dark Avenger>-Virus macht dies zum Beispiel.
Leider ist es SVS nicht möglich, den Zugriff -vor- der Ausführung zu
blockieren. Der Virus konnte also seinen (Schreib-)Zugriff bereits
durchführen! Sie sollten umgehend alle Programme und Daten auf der
Festplatte kontrollieren ("SCRC /FULLCRC")! Sehr oft ist die Partition
ein besonderes Ziel vieler Viren; Sie sollten diesen Sektor von einer
sauberen Bootdiskette aus zuerst überprüfen (Den Rechner komplett
ausschalten, da einige Viren den Tastatur-Reset überleben!).
Obwohl der Zugriff erst erkannt wird, wenn er ausgeführt wurde, ist
diese Art der Erkennung dennoch sinnvoll, da Viren in der Regel vor dem
kritischen Schreibzugriff einen oder mehrere Lesezugriffe durchführen,
und dazu ebenfalls den INT 13h im BIOS ansprechen. Es besteht also die
Möglichkeit, daß beim Erscheinen dieser Warnung noch keine Daten ver-
ändert wurden.
WARNUNG! DIESE MELDUNG IST KRITISCH! KEIN NORMALES PROGRAMM VERURSACHT
EINEN SOLCHEN ZUGRIFF! BRECHEN SIE DAS PROGRAMM, DAS DIESE MELDUNG VER-
URSACHT HAT, SOFORT AB UND ÜBERPRÜFEN SIE ES MIT SSC UND ANDEREN VIREN-
SCANNERN.
Hinweis:
~~~~~~~~
Dieser Aufruf kann auch von AT-BUS CD-ROM-Laufwerken und PCI/VLB/EIDE-
Treibern verursacht werden! Das erkennt man daran, das sofort nach
der Aktivierung von SVS bei jeder Art von Festplattenzugriff diese
Warnung erscheint. In diesen Fall müssen Sie leider auf diese Schutz-
Funktion verzichten und diese per SETUP abschalten.
('Warnen, wenn die HDD/FDD direkt über das BIOS angesprochen wurde')
┌───────────────────────────────────────────────────┐
│ Der BIOS-Interrupt für Diskettenzugriff wird │
│ direkt mit einer Schreibfunktion aufgerufen! │
└───────────────────────────────────────────────────┘
INT 40h ist ausschließlich für den Diskettenzugriff zuständig und wird
normalerweise nie direkt aufgerufen. Nur einige Viren benutzen diese
'Hintertür', um an residenten Wächterprogrammen vorbeizukommen.
Sie sollten solche Aufrufe in jeden Fall abbrechen, da, wenn Sie einen
Software-Disk-Cache installiert haben, dieser den INT 40h-Zugriff
eventuell nicht bemerkt und somit beim nächsten normalen Zugriff auf
diese Diskette völlig falsche Daten wiedergibt. Datenverlust ist dann
die Folge!
┌───────────────────────────────────────────────────┐
│ ACHTUNG !!! Es wird versucht, ein ungültiges │
│ Verzeichnis zu schreiben ! DIR II Virus ? │
└───────────────────────────────────────────────────┘
Diese Option muß erst mit SETUP eingestellt werden, da die entsprechende
Überprüfung der Treiber leider nicht kompatibel zu vielen Festplatten-
Caches wie etwa SMARTDRV ist. Viren wie <DIR-II> infizieren Programme
nicht mehr direkt, sondern manipulieren den Eintrag in dessen
Verzeichnis. Dabei werden reservierte Bereiche benutzt und SVS kann
dann anhand dieser Manipulation solche Zugriffe erkennen. Mit dem Ver-
zeichnisschutz von SVS ist es z.B. dem <DIR-II> nicht mehr möglich, die
Festplatte zu infizieren!
<DIR-II> ist übrigens nicht funktionsfähig unter DOS 5.0 und höher, es
gibt allerings Varianten, bei denen dieser Fehler behoben wurde.
WARNUNG! DIESE MELDUNG IST KRITISCH! KEIN NORMALES PROGRAMM VERURSACHT
EINEN SOLCHEN ZUGRIFF! BRECHEN SIE DAS PROGRAMM, DAS DIESE MELDUNG VER-
URSACHT HAT, SOFORT AB UND ÜBERPRÜFEN SIE ES MIT SSC UND ANDEREN VIREN-
SCANNERN.
HINWEIS: DIESE OPTION IST NICHT KOMPATIBEL ZU SOFTWARE-DISK-CACHES!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Das mit Windows 95 eingeführte VFAT-Dateisystem benutzt die ehemals
reservierten Speicherbereiche. Ein Directory-Virus wie <DIR-II> ist
unter Windows 95 nicht funktionsfähig und führt wahrscheinlich zum
kompletten Datenverlust, da die vom Virus als Zwischenbuffer verwendeten
Abschnitte eines Verzeichniseintrags wichtige Parameter von VFAT
enthalten.
DIESE OPTION IST NICHT KOMPATIBEL ZUM VFAT-DATEISYSTEM! (WINDOWS95)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
┌───────────────────────────────────────────────────┐
│ Ein Deviceeintrag der DRIVE PARAMETER TABLE │
│ wurde verändert ! Cache oder DIR-II Virus ? │
└───────────────────────────────────────────────────┘
Wenn Sie diese Meldung sehen, wurde sie wahrscheinlich von einen Fest-
platten-Cache ausgelöst. Ist aber dies genau nicht der Fall, sollten
Sie das Programm sofort abbrechen!
Wegen der vielen Falschalarme sollten Sie diese Option nicht benutzen,
wenn Sie einen Software-Disk-Cache installiert haben.
Wenn Sie trotzdem einen Schutz der DPT und vor <DIR II>-Viren haben
wollen, müssen Sie den Cache -vor- SVS installieren.
Der <DIR-II>-Virus wird aktiv, indem er Einträge in der DPT so ver-
ändert, das diese auf seinen eigenen Programmcode zeigen. Bei jeden
Lese- oder Schreibzugriff auf Verzeichnisse infiziert der Virus
Programme, indem er einfach die Verzeichniseinträge verändert.
Wird diese Warnung durch einen Virus wie den <DIR-II> ausgelöst,
sollten Sie sofort den Rechner auschalten und das verdächtige Programm
auf Virenbefall testen. Der <DIR-II>-Virus und entsprechende Varianten
sind sehr gefährlich und äußerst schwer zu entfernen und sollten mit
entsprechender Vorsicht behandelt werden!
WARNUNG! DIESE MELDUNG IST KRITISCH, WENN SIE NICHT VON EINEM FEST-
PLATTEN-CACHE VERURSACHT WURDE!
Mögliche Verursacher dieser Meldung: Festplatten-Caches wie NCACHE,
PC-CACHE, SMARTDRV usw.
HINWEIS: DIESE OPTION IST NICHT KOMPATIBEL ZU SOFTWARE-DISK-CACHES!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
┌───────────────────────────────────────────────────┐
│ Die Festplatte soll mit INT 26 ohne │
│ DOS-Zugriff beschrieben werden! │
└───────────────────────────────────────────────────┘
┌───────────────────────────────────────────────────┐
│ Eine Diskette soll mit INT 26 ohne │
│ DOS-Zugriff beschrieben werden! │
└───────────────────────────────────────────────────┘
Mit INT 26h werden Sektoren direkt beschrieben, aber normalerweise be-
nutzt DOS diesen Interrupt nicht direkt. In der Regel verursachen
Formatierprogramme, Festplattentools und Sektoreditoren diese Warnungen.
Wenn diese Warnung von keinem Programm dieser Art verursacht wurde,
sollten Sie den Vorgang sofort abbrechen! Viele Trojanische Pferde be-
nutzen diese Funktion, um Daten auf der Festplatte zu zerstören!
WARNUNG! DIESE MELDUNG IST KRITISCH WENN SIE VON KEINEM FESTPLATTEN-
TOOL VERURSACHT WURDE UND KÖNNTE AUF EIN TROJANISCHES PFERD HINWEISEN!
Mögliche Verursacher dieser Meldung: FORMAT, SCANDISK, NDD, DISKFIX,
COMPRESS, SPEEDISK, DEFRAG, DISKEDIT
┌───────────────────────────────────────────────────┐
│ Es wird versucht, auf die schreibgeschützte │
│ Festplatte zu schreiben ! │
└───────────────────────────────────────────────────┘
┌───────────────────────────────────────────────────┐
│ Es wird versucht, auf eine schreibgeschützte │
│ Diskette zu schreiben ! │
└───────────────────────────────────────────────────┘
Diese beiden Meldungen erscheinen nur, wenn Sie den Festplatten- bzw.
Diskettenschreibschutz per SETUP oder Hotkey aktiviert haben. Im
Schreibschutzmodus fängt SVS generell jeden Zugriff auf die Festplatte
bzw. die Diskette ab, der Daten verändern soll.
Hinweis:
~~~~~~~~
Schreibzugriffe, die SVS selber ausführt, sind zulässig und werden
nicht gemeldet. Wenn also z.B. SVS im automatischen Prüfsummenmodus
betrieben wird, kann das TSR trotz Schreibschutz weiterhin Prüfsummen
auf den Datenträger schreiben.
Programmtyp-Warnungen:
~~~~~~~~~~~~~~~~~~~~~~
┌───────────────────────────────────────────────────┐
│ Das Programm hat ein ungültiges Dateidatum ! │
│ Viele Viren benutzen diese Methode, um │
│ infizierte Programme zu markieren. │
│ Name: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
Sehr viele Dateiviren setzen beim Infizieren das Dateidatum auf einen
speziellen Wert, um die verseuchten Programme hinterher wiederzuerkennen
oder um Stealthfunktionen durchführen zu können.
Das Programm, was Sie starten wollten, ist also mit hoher Wahr-
scheinlichkeit infiziert! Kein normales DOS-Programm setzt die Sekunde
auf 60 oder 62 bzw. die Jahreszahl des Dateidatums auf über 2080.
Hinweis: Wenn Sie einmal einen Virus im System hatten und diesen erfolg-
reich mit einen Virenkiller entfernen konnten, bleibt oft das ungültige
Dateidatum erhalten. Setzen Sie in diesem Fall einfach mit einem Datei-
Tool das Datum neu, um Falschalarme von SVS zu vermeiden.
┌───────────────────────────────────────────────────┐
│ Das Programm hat COM-Struktur, obwohl die │
│ Dateierweiterung "EXE" lautet ! │
│ Name: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
Eine Anzahl von Viren ist nicht in der Lage, EXE-Programme richtig zu
infizieren, deshalb wandelt der Virus sie vorher in die COM-Struktur
um, beläßt aber den alten Dateinamen. Vor allem Header-Viren verändern
Programme auf diese Art. In diesem Fall dürften als nächstes Warnungen
der "Schreibzugriff bei Programmstart"-Funktion erscheinen.
Diese Meldung ist kein sicherer Hinweis auf einen Virus, aber verdächtig
ist das gemeldete Programm auf jeden Fall.
┌───────────────────────────────────────────────────┐
│ Das Programm hat einen ungewöhnlichen Stapel ! │
│ Viele Viren setzen diesen Wert beim Infizieren │
│ falsch ein. Das Programm ist verdächtig! │
│ Name: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
Die unsicherste der Programmtyp-Warnungen, da es einige Programme gibt,
die unsauber programmiert wurden und ebenfalls einen seltsamen Stapel
aufweisen. Normalerweise erzeugen Compiler oder Assembler immer gerade
Werte für diese Angabe, aber einige Viren achten beim Infizieren nicht
darauf und setzen einfach beliebige Werte ein. (Beispiel: <Tai-Pan.438>)
Vor allem Programme, die mit Turbo Anti-Virus oder Central Point Anti-
Virus immunisiert wurden, verursachen diese Meldung. Da diese
Immunisierung selber Probleme verursacht sollten, Sie sie nach Möglich-
keit nicht benutzen.
HINWEIS: Ein Programm, was diese Warnung verursacht, ist verdächtig, muß
aber nicht unbedingt infiziert sein. Sie sollten es denoch abbrechen und
auf Virenbefall überprüfen.
┌───────────────────────────────────────────────────┐
│ Das Programm hat eine vertauschte EXE-Signatur! │
└───────────────────────────────────────────────────┘
EXE-Programme besitzen einen speziellen Programmkopf, der durch eine
Signatur gekennzeichnet ist. Normalerweise lautet diese Signatur 'MZ',
'ZM' ist aber ebenfalls möglich. Einige Viren nutzen diesen Umstand aus
und markieren infizierte Programme, indem sie während der notwendigen
Manipulation des EXE-Programmkopfs gleichzeitig die EXE-Signatur
vertauschen.
Diese Warnung zeigt nur an, daß das aufgerufene Programm einen
ungewöhnlichen Aufbau hat, muß aber nicht auf Virenbefall hinweisen.
Da normale Programme mit einer "ZM"-Kennung sehr selten sind, sollten
Sie eine Datei, bei der SVS diese Warnung anzeigt, vor dem Starten auf
Virenbefall überprüfen!
Dateizugriff und Modifikation:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
┌───────────────────────────────────────────────────┐
│ Der Dateianfang eines Programmes soll geändert │
│ werden! So infizieren Viren Programme! │
│ Datei: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
┌───────────────────────────────────────────────────┐
│ Es sollen Daten an das Programmende angefügt │
│ werden! So infizieren Viren Programme! │
│ Datei: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
SVS kontrolliert sämtliche Dateizugriffe und meldet alle für Viren
typischen Aktionen. Viren müssen zwei Bereiche eines Programmes beim
Infizieren ändern: den Dateianfang und das Dateiende.
In der Regel sollte SVS erkennen, wenn Sie nur Programme kopieren
oder entpacken und diese Warnung bei solchen normalen Aktionen nie
anzeigen. Selbstmodifizierende Programme verändern meist Bytes vor
dem Dateiende und nicht am Dateianfang.
Besonders auffällig ist diese Warnung, wenn Sie gerade ein Programm
starten oder scannen wollten. Viele Viren infizieren genau bei
diesen beiden Aktionen: Programme starten und Dateien öffnen/schließen.
WARNUNG! DIESE MELDUNG IST KRITISCH! SIE SOLLTEN GENAU ÜBERLEGEN, OB
DAS GEMELDETE PROGRAMM VERÄNDERT WERDEN DARF. DIESE WARNUNG WURDE
MÖGLICHERWEISE VON EINEN DATEIVIRUS VERURSACHT!
Programme, die diese Meldung verursachen und wo Sie die Lernoption be-
nutzen sollten, sind:
- XTREE GOLD (Überschreiben von existierenden Programmen)
- NORTON COMMANDER 5.0 (Überschreiben von existierenden Programmen)
┌───────────────────────────────────────────────────┐
│ Ein bereits vorhandenes Programm soll modi- │
│ fiziert werden ! │
│ Datei: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
Sie können den Dateischutz von SVS noch weiter erhöhen, indem Sie SVS
so konfigurieren, daß der Dateischutz bereits bei jeglicher Modi-
fikation von existierenden Programmen ansprechen soll.
Bei dieser genaueren Überprüfung sind allerdings mehr Falschmeldungen
möglich, als bei der normalen Kontrolle. Viren dürften sowieso zuerst
die üblichen Meldungen wie "Dateianfang/ende soll verändert werden"
verursachen, bevor diese Meldung erscheint.
Diese Option ist nur ein weiteres Sicherheitsfeature und sollte nicht
eingeschaltet werden, wenn Sie nicht einen speziellen Grund dafür haben.
┌───────────────────────────────────────────────────┐
│ Eine Datei soll auf 0 Bytes gekürzt werden! │
│ Datei: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
Eine Schutzmaßnahme gegen Viren, die Programme einfach überschreiben
und nicht verlängern. Diese Warnung kann allerdings auch von Programmen
ausgelöst werden, die bereits existierende Programme überschreiben
wollen und dabei die alten Dateien nicht direkt löschen, sondern intern
überschreiben. Das Archivierungsprogramm ARJ macht dies zum Beispiel,
andere Archivierer wie ZIP oder LHA benutzen eine "saubere" Methode.
┌───────────────────────────────────────────────────┐
│ Es wird versucht, einer Datei ein ungültiges │
│ Dateidatum zuzuordnen. Virus ? │
│ Datei: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
Wie bereits erwähnt, benutzen viele Viren ein ungültiges Dateidatum als
Markierung für bereits infizierte Programme. SVS erkennt, wenn ein Pro-
gramm ein solches Datum erhalten soll.
Eigentlich kann diese Meldung nur von einen Virus ausgelöst werden, da
normalerweise nie Programme mit einem solchen Datum auf der Festplatte
vorhanden sind. Mögliche Falschalarme erscheinen dann, wenn Sie ein
Programm mit ungültigem Datum kopieren wollen, da DOS ja das verdächtige
Datum mit überträgt. In diesem Fall sollte "DOS-Kernel" als Verursacher
gemeldet werden. Oft bleibt nach dem Entfernen von Viren das ungültige
Dateidatum erhalten. Setzen Sie einfach mit FILEDATE oder anderen Tools
ein korrektes Dateidatum ein.
Besonders verdächtig ist diese Meldung, wenn als Verursacher ein
"????????.???" (Unbekannt) angegeben wird!
WARNUNG! DIESE MELDUNG DEUTET AUF EINEN DATEIVIRUS HIN! ÜBERPRÜFEN SIE
DAS GEMELDETE PROGRAMM AUF VIRUSBEFALL!
┌───────────────────────────────────────────────────┐
│ Eine COM-Datei soll zu einem gleichnamigen EXE- │
│ Programm erzeugt werden. Companionvirus ? │
│ Name: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
Diese Warnung deutet auf einen Companion-Virus hin, der versucht, ein
Programm zu "infizieren". Companion-Viren verändern Programme nicht
direkt, sondern erzeugen gleichnamige Programme mit Extension COM.
Da DOS immer zuerst das COM-Programm startet, wird also der Virus stets
als erstes gestartet. Diese Warnung könnte evtl. auch erscheinen, wenn
Sie mit COPY oder Oberflächen wie NORTON COMMANDER Programme kopieren,
bei denen ebenfalls doppelte Programmnamen vorhanden sind.
WARNUNG! DIESE MELDUNG DEUTET MIT EINIGER WAHRSCHEINLICHKEIT AUF EINEN
AKTIVEN COMPANION-VIRUS HIN! BRECHEN SIE DIESE AKTION AB ODER LÖSCHEN
SIE SPÄTER DIE ERZEUGTE DATEI.
┌───────────────────────────────────────────────────┐
│ Zum Dateizugriff wird ein Standard DOS-Handle │
│ benutzt! │
│ Datei: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
DOS benutzt 5 Datei-Handles für interne Zugriffe, wie etwa NUL, PRN, AUX
usw. Normale Dateioperationen benutzen nur Handles, die oberhalb dieser
DOS-Handles liegen, einige Viren leiten jedoch den Zugriff um, da einige
Wächterprogramme Dateimanipulationen über die DOS-Handles nicht kontrol-
lieren. Einige etwas seltsam programmierte DOS-Befehle wie SYS (!) be-
nutzen ebenfalls DOS-Handles zum Dateizugriff, aber SVS sollte in der
Lage sein, eine legale Benutzung dieser Handles zu erkennen.
WARNUNG! DIESE MELDUNG IST KRITISCH UND DEUTET AUF EINEN DATEIVIRUS HIN!
Mögliche Falschalarme: SYS.COM
┌───────────────────────────────────────────────────┐
│ Ein für Viren typischer Suchbefehl soll ausge- │
│ führt werden! (Infektionsroutine) │
└───────────────────────────────────────────────────┘
Einige Direct-Action Viren versuchen mit speziellen Suchmustern Anti-
viren-Programme auszutricksen. So wird z.B. anstatt nach '*.COM' dann
nach '??*viRus.cOm' gesucht. Diese Art von Suchroutinen findet man nur
in nicht-residenten Programmviren. Vorsichtshalber sollten Sie das
betreffende Programm erst einmal abbrechen und mit Virescannern über-
prüfen.
┌───────────────────────────────────────────────────┐
│ Datei-Schreibzugriff mit deaktiviertem │
│ DOS Critical Error Handler ! Dateivirus ? │
└───────────────────────────────────────────────────┘
Der CRITICAL ERROR HANDLER ist für Meldungen wie etwa die Schreibschutz-
fehlermeldungen auf Disketten zuständig. Jedes Anwenderprogramm benutzt
entweder den von DOS definierten INT 24h oder installiert seinen eigenen
Code, Viren aber wollen die Schreibschutzmeldung unterdrücken und
schalten so gut wie immer diesen Interrupt aus, bevor sie Programme in-
fizieren. Das gemeldete Prgramm ist also im höchsten Grade verdächtig
und sollte sofort abgebrochen werden!
WARNUNG! DIESE MELDUNG IST KRITISCH UND DEUTET AUF EINEN DATEIVIRUS HIN!
BRECHEN SIE DAS GEMELDETE PROGRAMM SOFORT AB!
┌───────────────────────────────────────────────────┐
│ Ein Programm hat SVS umgangen und will mit │
│ deaktiviertem INT 2Ah einen Schreibzugriff │
│ durchführen. Stealth-Virus ? │
└───────────────────────────────────────────────────┘
Eine wirklich wichtige Warnung, die hundertprozentig auf einen aktiven
Virus hinweist! Es gibt kein normales Programm, was den INT 2Ah im
Speicher ausschaltet und dann Schreibzugriffe durchführt, sehr wohl
machen dies aber einige Viren, die damit residente Wächterprogramme
umgehen wollen.
Hinweis:
~~~~~~~~
INT 2Ah wird von manchen Netzwerk-Treibern benutzt. Evtl. kann es
mit solchen Treibern zu Falschalarmen kommen.
┌───────────────────────────────────────────────────┐
│ Eine veraltete FCB-Funktion wird zum Dateizu- │
│ griff verwendet. Normalerweise wird diese Art │
│ von Dateizugriff nicht mehr benutzt! │
└───────────────────────────────────────────────────┘
FCBs (File Control Block) für den Dateizugriff sind ein Relikt aus
DOS 1.0 und werden heutzutage von keinem Programm außer einigen alten
DOS-Befehlen mehr benutzt. Da diese Art von Zugriff von einigen re-
sidenten Wächterprogrammen ebenfalls nicht mehr beachtet wird, haben
einige Virenautoren ihre Viren gezielt nur mit FCB-Funktionen für
den Dateizugriff programmiert. Eigentlich kann diese Warnung also
nur noch von Viren verursacht worden sein, kein normales Anwenderpro-
gramm verläßt sich auf diese Funktionen, da sie z.B. von OS/2 oder
Windows nicht mehr unterstützt werden.
Hinweis: SVS erkennt nur, daß FCB-Funktionen benutzt werden, aber den
eigentlichen Dateizugriff kann SVS nicht erkennen. Brechen Sie Pro-
gramme sofort ab, die FCB-Funktionen benutzen, es sei denn es sind DOS-
Befehle als Verursacher erkannt worden.
┌───────────────────────────────────────────────────┐
│ Es wird versucht, eine Datei zu löschen: │
│ Datei: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
┌───────────────────────────────────────────────────┐
│ Es sollen ein oder mehrere Programme gelöscht │
│ werden! (FCB) │
│ Datei: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
Diese Meldung erscheint nur, wenn Sie den Löschschutz von SVS aktiviert
haben. Normalerweise meldet SVS das Löschen von Programmen nicht, da
es eine alltägliche Funktion ist und andauernd Falschalarme produzieren
würde. Wenn Sie allerdings neue und unbekannte Software ausprobieren,
sollten Sie den Löschschutz für Programme/Daten einschalten. Viele
einfache Trojanische Pferde löschen einfach nur Dateien oder Programme.
Im Löschschutz-Modus warnt SVS übrigens immer vor einen "DEL *.*".
┌───────────────────────────────────────────────────┐
│ Das Programm versucht, das Schreibschutzattribut │
│ einer Datei zu entfernen: │
│ Datei: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
Normalerweise nützt Ihnen das Dateiattribut "NUR LESEN"/"READ ONLY"
nichts gegen Viren, da es ohne weiteres genauso einfach gelöscht wie
gesetzt werden kann. Mit SVS erhält das Dateiattribut nun einen er-
weiterten Schutz und kann nicht mehr so ohne weiteres entfernt und die
geschützten Programme dann auch nicht mehr infiziert werden.
Der Schutz für Programme und Daten ist getrennt einschaltbar.
┌───────────────────────────────────────────────────┐
│ Ein Programm soll in eine ungeschützte Datei- │
│ erweiterung umbenannt werden! │
│ Datei: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
┌───────────────────────────────────────────────────┐
│ Es sollen ein oder mehrere Programme in unge- │
│ schütze Dateierweiterungen umbenannt werden! │
│ Datei: "xxxxxxxx.xxx" │
└───────────────────────────────────────────────────┘
SVS schützt Dateien mit bestimmten Namensendungen besonders. Eine
simple Methode, SVS zu umgehen, wäre dann, ein Programm einfach in
eine von SVS nicht mehr kontrollierte Dateiendung umzubenennen. Genau
dagegen schützt sich SVS mit dieser Überprüfung.
Hinweis: EXE-Programme werden immer geschützt, egal wie sie benannt
sind. Auch so exotische Dateiendungen wie DLL, FNT oder CPL werden
automatisch geschützt.
Allgemeines:
~~~~~~~~~~~~
┌───────────────────────────────────────────────────┐
│ SVS ist unter MS Windows nicht wirksam! │
└───────────────────────────────────────────────────┘
Dies ist nur ein Hinweis darauf, daß SVS als DOS-TSR unter Windows zwar
'aktiv' ist, aber keine Warnungen mehr anzeigen kann. Deswegen de-
aktiviert sich SVS solange, bis Sie Windows wieder verlassen.
!! Beachten Sie, daß SVS auch in der DOS-Box -nicht- aktiv ist!
[ Leistungsmerkmale ]────────────────────────────────────────────────────────
SVS kann in der jetzigen Version:
- Prüfsummen zu Programmen anlegen und vergleichen, Updates der Prüf-
summen auch über das TSR möglich
- Blockieren von Viren mit Tracern (<Tremor>, <Tequila>, ...)
- Erkennung und Blockieren von residenten Programmen mit Heuristik
zur Erkennung von TSR-Programmen mit verdächtigem Programmcode
- Kontrolle von virentypischen Dateizugriffen (Modifikationen, Un-
gültige Zeit setzen, Löschen usw.)
- Kontrolle von virentypischen Sektorzugriffen (Partitions- und Boot-
sektor-Schutz, Schutz vor Formatieren, LongSector Read/Write usw.)
- Erkennen von verdächtigen Schreibzugriffen während des Startens,
Öffnens oder Schließens von Programmen auf Sektorebene.
- Erkennen von Slow-Infector-Viren (INT 21h)
- Erkennen, ob der Schreibpuffer des INT 13h manipuliert wird
(erkennt destruktive Viren wie Ripper)
- Blockieren von Dateisystemviren (<DIR-2>) (Nicht kompatibel zu Caches!)
- Schutz vor direkter Benutzung des INT 26h
- Schutz vor direktem Zugriff auf den DOS-internen INT 13h und INT 40h
- Warnen, falls die Festplatte direkt über das BIOS angesprochen wurde
- Schutz des DOS-Kernels vor Patchen (-> <4096>, <Neuroquila>)
- Schutz des eigenen TSRs vor Patchen durch Retroviren
- Erkennen und Umgehen von bereits aktiven (Stealth-)Dateiviren
- Erkennen von Zugriffen auf DOS-interne Strukturen (SFT und andere)
- Erkennen von verdächtigen Dateien -vor- der eigentlichen Ausführung
anhand eines verdächtigen Dateidatums oder Programmkopfes
- Erkennen typischer Aktivität von Companion-Viren
- Erweiterter Schutz des READ-ONLY Dateiattributes
- Typische 'Are you there ?' Selbsttest-Interruptfunktionen von
Viren werden gemeldet
- Erkennen von Interruptfunktionen, die aus freien oder ungültigen
Speicherbereichen heraus aufgerufen werden
- Erkennen, ob Interrupts auf freie/ungültige Speicherbereiche umge-
bogen werden sollen
- In der CONFIG.SYS installierbar (Schutz vor Viren in COMMAND.COM)
- Lernfunktion: Zulässige Operationen können permanent gelernt werden
- Schreibschutzfunktion für Festplatten/Disketten, Kontrolle über Hotkeys
- Sicherheitsmodus: SVS kann unbefugte Operationen komplett unterbinden
- Diskette im Laufwerk A: wird bei STRG-ALT-ENTF mit Heuristik nach
bekannten/unbekannten Bootsektorviren durchsucht
- Kompatibel zu Windows, unter Windows allerdings nicht aktiv
Was SVS nicht kann:
~~~~~~~~~~~~~~~~~~~
- SVS kann trojanische Pferde oder destruktive Viren nicht blockieren,
die willkürlich Sektoren der Festplatte überschreiben, wenn dazu
INT 13 benutzt wird. Viele Trojanische Pferde benutzen INT 26h oder
Formatieren die Festplatte, was SVS blockiert. Gegen zufälliges
Überschreiben von Sektoren mittels INT 13 kann nur "NEMESIS" schützen,
allerdings sind nur wenige der verbreiteten Viren destruktiv.
- Wirklich alle Bootsektorviren auf Disketten können nicht erkannt
werden. Einige Viren haben absolut keinen verdächtigen Aufbau, den
die Heuristik erkennen könnte. Alle wirklich verbreiteten Sektor-
viren werden allerdings ohne Probleme gefunden.
!! - Die Schutzfunktionen sind unter graphischen Oberflächen wie z.B.
!! Windows nicht aktiv.
Um die Leistungsfähigkeit festzustellen, wurden folgende Viren mit
aktivem SVS gestartet bzw. gesucht:
Erkennung von Bootsektorviren bei DIR A:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die Heuristik erkennt eine sehr große Anzahl von bekannten wie unbe-
kannten Bootsektorviren, unter anderen auch so gut wie alle Stoned-
Varianten (>100). Speziell hat SVS folgende Bootsektorviren erkannt:
Anti-EXE.A
Anti-Tel
Beryllium
Boot-437
BootEXE.451
Brain.Standard
Breasts
Buptboot
Denzuko.A
Disk_Killer
EDV
Exebug.A
Exebug.C
Filler.A
Filler.B
FORM.A
FORM.B
Galicia
GoldBug.A
GoldBug.B
J&M.A
Jerusalem.AntiCAD.4096.A
Joshi.A
Jumper.B
Junkie.1027
Key_Drop.A
Megastealth
Musicbug
Natas.4744
Natas.4746
Neuroquila.A
Neuroquila.B
NYB (B1)
Parity_Boot.A
Parity_Boot.B
Ping-Pong.Standard.A
Ping-Pong.H
PrintScreen_Boot
Quandary (Newboot)
Ripper (Jack_Ripper)
Sampo
Stealth_Boot.C
Stealth_Boot.D
Stoned.16.A
Stoned.Angelina
Stoned.Azusa
Stoned.Empire.Monkey.B
Stoned.Flame
Stoned.June_4th
Stoned.NoInt.A
Stoned.Standard.A
Stoned.Michelangelo.A
Swiss_Boot
Tea_For_Two
Tornado
V-Sign (Cansu)
Verify
VLAD.Neuron
WET.A
X-Boot
Yale.A
Erkennung von Dateiviren, wenn ein infiziertes Programm gestartet wird:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die Kürzel hinter dem Virusnamen geben an, welche Aktionen des
Virus von SVS erkannt wurden.
Inf - Ein Programm soll infiziert werden
WriteMBR - Veränderung des Partitionssektors (HDD)
WriteBOOT - Veränderung des Bootsektors (HDD)
Companion - Der Virus erzeugt Companions
FCB - Dateizugriff über veraltete FCB-Funktionen
Ren - Dateien werden in ungeschützte Endungen umbenannt
62/2080 - Das Programm hat ein ungültiges Dateidatum
Stack - Das Programm hat einen ungültigen EXE-Stack
COM/MZ - Das Programm heißt EXE, hat aber keine EXE-Kennung
CallFree - Ein Interrupt wurde aus einem freien Bereich
aus aufgerufen
SetFree - Ein Interrupt wird auf einen freien Bereich
gesetzt
SelfChk - Virustypischer Interrupt-Selbsttest
InstTrace - Ein Tracer soll aktiviert werden
Trace - Ein Trace wird durchgeführt
NoCrit - Dateizugriff mit deaktiviertem INT 24h
GetINDOS - Versuch, den internen Disk-Interrupt zu ermitteln
INDOS13 - Direkter Festplattenzugriff ohne DOS
VSlay - Versuch, VSAFE/TSAFE zu deinstallieren
Kernel - Das DOS-Kernel im RAM wurde verändert
Patch - SVS selber wurde verändert
SFT - Zugriff auf SFT
TSR:xxx - Speicherresident mit xxx Bytes
TSR:xxx! - Speicherresident mit xxx Bytes, VERDÄCHTIG!
-TSR- - Virus konnte resident werden, ohne daß SVS warnt
HMA - Resident in der HMA
Crash - Der Virus stürzt durch die Blockierung von SVS ab
(-> ... ) - Warnungen von SVS mit aktivem Virus
Amoeba.1392 - TSR:3072!
* Argyle.2761 - 62/2080, Trace, CallFree, -TSR-
(-> FreeCall, Inf)
ASStral_Zeuss - Inf
AT.140.A - TSR:! (-> CallFree, Inf)
AtomAnt.2143 - 62/2080, FreeCall, TSR:2160!
Bomber - SelfChk, Inf, TSR:2752
BootEXE.451 - COM/MZ, CallFree, WriteBOOT, TSR:2048!
Burger.560.A - Inf
Butterfly.Butterfly - Inf
BW.CF-2055 - TSR:5120
BW100.TestVirus1 - TSR:?
Carbuncle - Ren
Cascade.1701.S - SelfChk, TSR:2112
Chemnitz - SetFree, TSR:832!
Civil_Defense.6672 - WriteMBR, Inf?
Cruncher.4000 - SelfChk, SetFree, TSR:4256!
CyberCide.2256 - SelfChk, SetFree, FreeCall, TSR:4800!
Dark_Avenger.1800.A - WriteBOOT, FreeCall, TSR:3680!
* Dark_Avenger.2100.SI.A - 62/2080, GetINDOS, Crash, -TSR-
(-> CallFree, Inf)
Devil's_Dance.A - Inf
DIR.760 - SelfInt, TSR:?
Dos_1 - FCB
DR&ET.B.1710 - TSR:1760 (-> FreeCall, SetFree, Inf)
Eight_Tunes.A - CallFree, SetFree, TSR:2016!
ExeHeader.Cluster.384 - COM/MZ, SetFree, CallFree, TSR:784!
ExeHeader.Mumzi - HMA, Crash
ExeHeader.Pure.441.B - COM/MZ, VSlay, HMA, Trace13
* Exeheader.SkidRow.432 - -TSR-
Explosion - CallFree, TSR:1008!
FCB.405 - FCB
Flash.688.A - SetFree, TSR:976!
Flip.2343 - 62/2080, SelfInt, Trace, SetFree,
WriteMBR, TSR:2864!
Frodo.Frodo.A - 62/2080, Trace, Crash
Ginger.2774 - Trace, TSR:!
Goblin.1759.Delwin - 62/2080, Trace, WriteMBR
GoldBug.A - COM/MZ, HMA, INDOS13, WriteMBR, TSR:?
HellSpawn - TSR:400!
HLLC.ScreenAlive - Del \COMMAND.COM, Companion
HWF.937 - VSlay, Inf
Int13 - GetINDOS, Crash
Involuntary.1401 - Inf (HIMEM.SYS)
Jerusalem.1808.Standard - TSR:1792
Jerusalem.AntiCad.3012 - SelfInt, TSR:3264 (-> NoCrit, Inf)
Jerusalem.AntiCad.4096 - SelfChk, TSR:5120
Jerusalem.Sunday.A - TSR:1872
Junkie.1027 - VSlay, WriteMBR
Kaczor.4444 - Stack, CallFree, Trace, Crash
Kaos4.697 - Inf
Keeper.Lemming.2160 - 62/2080, InstTrace, Trace, TSR:4352!
Kode_4 - Inf
LionKing.3531 - SelfChk, CallFree, Inf, Crash
Maltese_Amoeba - SelfChk, TSR:4096!
Mayak.2370 - Inf
MM.5415 - MBR, TSR!
Mnemonix.Dei.1948 - Trace, SFT, Inf, TSR:3952!
Mnemonix.Neuropath - SelfInt, TSR:3072!
MtE.Fear - Inf
MtE.Pogue - SelfChk, TSR:9028!
MutaGen200.Secret Agent - 62/2080, SelfChk, TSR:7168!
Natas.4746 - 62/2080, Trace, WriteMBR, TSR:5664!
Necropolis.A - SFT, Trace, Crash
Neuroquila.B - SelfInt, Trace, GetINDOS, Crash
Neuroquila.N8FALL.B - FreeCall, Kernel
Neuroquila.N8FALL.Comp - FreeCall, TSR:656!
Nuke.Marauder.860.B - Inf
One_Half.3577 - SelfInt, InstTrace, Trace, WriteMBR,
FreeCall, SetFree, TSR:4080!
Oropax.A - SelfInt, TSR:3024
Peace_Keeper - 62/2080,SelfChk,SetFree,CallFree,TSR:6192!
Phoenix.800 - GetINDOS, TSR:8192
Prepender - InvScan, Cut
Pixel.342 - Inf
PS-MPC.331 - Inf
PS-MPC.Gold - Stack, TSR:2048!
Quicky.1376 - TSR:1616 (-> Inf)
RDA.Fighter.7408 - Trace13, Trace21, MBR, File, TSR:!
SatanBug.A - 62/2080, SelfChk, TSR:10016!
SBC.1024 - CallFree, Inf, TSR:3072!
Scitzo.A - SetFree, CallFree, Inf, TSR:1344!
Screaming_Fist.927 - Stack, SelfInt, WriteMBR, Crash
Semtex.1000.A - CallFree, Inf, TSR: 4096!
Shifter.760 - SelfChk, TSR:2048!
Sirius.Ebbelwoi.400 - Inf
SMEG03.TrivSmeg - Inf
SterculiusII.440 - TSR:!
SVC.4661 - Stack, SelfInt, WriteMBR
Swiss_Phoenix - 62/2080, SFT, Inf (COMMAND.COM)
Tai-Pan.438 - Stack, SelfInt, CallFree, SetFree, TSR:496!
Taz.1106 - VSlay, TSR:4096!
Telecom.3784 - CallFree, Trace, Crash
Tenbytes.1554.A - Patch
Tequila - 62/2080, SelfInt, InstTrace, SetFree,
Trace, WriteMBR
Tide - TSR:!
TPE.Bosnia - SelfInt, TSR:9216!
TPE13.CivilWar.2049 - TSR:8192! (-> FreeCall, NoCrit, Inf)
Tremor.B - 62/2080, SelfInt, InstTrace, Trace
Tremor.B - 62/2080, SelfInt, InstTracer, Trace
Trident.914 - 62/2080, SelfChk, SetFree, TSR:2080!
Trinity.Cruxifixion - TSR:2944!
Trivial.68 - Inf
Uddy.2617 - CallFree, SetFree, TSR:2864!
Uruguay.2456.#3 - SFT, Trace, CallFree, TSR:5120, Patch
Uruguay.4879.#6 - SFT, Trace, CallFree, TSR:9504, Patch
V2P6.Chameleon.1993 - Inf
Vacsina.TP.5.A - TSR:1200 (-> FCB, NoCrit)
Vice.04.One13th - VSlay, TSR:6144!
Vienna.645.A - COM/MZ, 62/2080, Inf
Vienna.648.Reboot.A - 62/2080, Inf
Vlad.Hemlock - Crash
VLamiX.1090 - SetFree, TSR:1120!
XA1 - Inf
XPH.1100 - TSR:1152 (-> CallFree,SetFree,NoCrit,Inf)
Yankee_Doodle.TP.44.A - SelfChk,SetFree,InstTrace,Trace,TSR:3008!
Yankee_Doodle.TP.46 - SelfInt, SetFree,InstTrace, Trace,TSR:3104!
Yankee_Doodle.XPEH.4928 - Trace, SetFree, CallFree, Inf?
Zero_Hunter.411 - TSR:!