Chip Hitware 6

home *** CD-ROM | disk | FTP | other *** search

/ Chip Hitware 6 / Chip_Hitware_Vol_06.iso / chiphit6 / _virus / suspic / svs.doc < prev next >

Wrap

Text File | 1996-07-10 | 130KB | 2,391 lines

┌───────────────────────────────────────────────────────────────────────────┐ │ │ │ - S V S - │ │ │ │ R E S I D E N T E R V I R E N S C H U T Z │ │ │ │ │ │ Teil des Antiviren-Programmpakets SUSPICIOUS │ │ │ │ (c) 1996 Stefan Kurtzhals │ │ │ └───────────────────────────────────────────────────────────────────────────┘ [ Systemvoraussetzungen ]──────────────────────────────────────────────────── ■ 80286 oder 100% kompatibel ■ MS-DOS 5.0-7.0 oder 100% kompatibel ■ ca. 25K freier konventioneller oder UMB DOS-Speicher ■ HIMEM.SYS oder anderer Speichermanager mit der Einstellung "DOS=HIGH" ■ Kein Software-Diskcache mit Schreibverzögerung aktiv! !!! Sollte der Rechner mit aktiviertem SVS abstürzen und SVS bereits !!! !!! in der CONFIG.SYS oder AUTOEXEC.BAT installiert sein, kann die !!! !!! Aktivierung durch Drücken der RECHTEN STRG-Taste abgebrochen !!! !!! werden. !!! SVS ist kompatibel zu EMM386, QEMM (auch Stealth-Mode) und 386MAX. SVS kann nicht in der DOS-Emulation von Windows oder OS/2 ausgeführt werden! Einige erweiterte Funktionen sind nur bedingt kompatibel zu Software- Diskcaches mit Schreibverzögerung. Daher sollten diese Schreib-Cache- Funktionen möglichst deaktiviert werden, bzw. schaltet SVS diese Option automatisch bei SMARTDRV-kompatiblen Disk-Caches ab. [ Einleitung ]─────────────────────────────────────────────────────────────── Neben dem Scannen nach bekannten oder unbekannten Viren und dem Ver- gleichen von Programmen anhand von Prüfsummen gibt es noch eine dritte Methode. Bei dem Einsatz eines residenten Wächterprogramms wird das System permanent überwacht und Viren noch vor ihrer Aktivierung erkannt und blockiert. Diese Kontrolle läuft unbeaufsichtigt im Hintergrund und ist normalerweise für den Anwender nicht sichtbar. SVS ist ein speicherresidentes Programm, das alle aufgerufenen DOS- und BIOS-Funktionen auf für Viren typische Aktionen hin überprüft. SVS ist damit nicht auf bekannte Viren beschränkt, sondern in der Lage, generell Viren zu erkennen, egal ob diese unbekannt sind oder z.B. mit Programm- packern versteckt wurden. SVS geht dabei nach drei Methoden vor. Als erstes wird jedes Programm, bevor es ausgeführt wird, auf virentypische Merkmale wie etwa ein ungültiges Dateidatum hin überprüft. Ebenso werden von SVS Prüfsummen zu den gestarteten Programmen berechnet und ver- glichen. Programme, die ohne SVS im Speicher verändert wurden, können somit auch erkannt werden. Die Hauptfunktion von SVS ist allerdings das Abfangen von Datei- und Sektorzugriffen, die für Viren typisch sind. Eine Vielzahl von weiteren typischen Virenmerkmalen werden von SVS erkannt und blockiert, wie z.B. Tracer, Kernel-Patcher, Self-Checks, TSR-Verhalten usw. Selbst wenn ein Virus sich an allen diesen Hindernissen vorbeigemogelt hat, kann SVS diesen noch erkennen, auch dann wenn der Virus bereits vor SVS aktiv wurde bzw. SVS umgeht oder versucht, an SVS vorbei Programme oder Sektoren zu verändern. Es wurde bei der Entwicklung von SVS Wert darauf gelegt, daß SVS so wenig Falschalarme wie möglich anzeigt. Sie können mit SETUP verschiedene Voreinstellungen wählen, mit denen Sie angeben, in welchem Umfang SVS den Rechner kontrolliert und Sie vor verdächtigen Aktionen warnt. [ Installation ]───────────────────────────────────────────────────────────── Die Installation kann am einfachsten mit INSTALL durchgeführt werden, z.B. wird mit INSTALL C:\SUSP das Programm im Verzeichnis C:\SUSP in- stalliert. SVS kann über INSTALL automatisch installiert werden, eine manuelle Installation ist allerdings ebenfalls möglich. Dabei muß beach- tet werden, daß SVS nur dann aus dem Speicher entfernt werden kann, wenn keine weiteren TSRs nach SVS geladen werden. Deshalb ist ein Entfernen von SVS aus dem Speicher nur möglich, wenn SVS als letztes Programm in der AUTOEXEC.BAT geladen wird. Allerdings ist eine Installation in der CONFIG.SYS wesentlich sicherer. Dazu kommt, daß SVS in der jetzigen Form recht groß ist (25K RAM) und evtl. den Rechner bei einigen Aktionen ab- bremst. Es wird daher empfohlen, SVS nur dann zu aktivieren, wenn neue und unbekannte Software getestet wird. In diesem Fall reicht es aus, SVS einfach über die Kommandozeile ohne weitere Parameter zu starten. Manuelle Installation in der CONFIG.SYS: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ !! Da SVS HIMEM.SYS oder einen anderen Speichermanager benötigt, sollte es !! am Ende der CONFIG.SYS eingefügt werden. Es gibt nur sehr wenige Viren, die SYS-Programme infizieren können und diese sind dazu noch äußerst selten. Dazu kommt der Umstand, daß viele "SYS"-Programme zwar so heißen, aber in Wirklichkeit spezielle EXE-Programme sind. Ein Beispiel dafür sind neuere Versionen von HIMEM.SYS. Solche Programme werden nicht von Viren infiziert, bzw. Viren über solche Programme nicht in der CONFIG.SYS aktiv. Es reicht also aus, wenn SVS am Ende der CONFIG.SYS installiert wird. Nach Beenden der CONFIG.SYS startet DOS als erstes COMMAND.COM, und dieses Programm ist sehr wohl ein Ziel für viele Viren. Ist SVS vor- her bereits aktiv, können solche Viren problemlos erkannt werden. Eine Erkennung solcher Viren ist aber genauso mit SCRC in der CONFIG.SYS mög- lich. Aufruf mit: INSTALLHIGH=C:\PFAD\SVS.EXE Manuelle Installation in der AUTOEXEC.BAT: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eigentlich spricht nichts dafür, daß SVS am Anfang der AUTOEXEC.BAT ein- gefügt wird. Eine Installation in der CONFIG.SYS ist, wie oben bereits erwähnt, wesentlich sicherer. Möchten Sie aber SVS permanent benutzen und SVS bei Bedarf vollständig aus dem Speicher entfernen wollen, muß SVS am Ende der AUTOEXEC.BAT, bzw. nachdem das letzte TSR geladen wurde, ge- startet werden. Aufruf mit: LOADHIGH C:\PFAD\SVS.EXE Sie sollten die Voreinstellung "Hohe Sicherheit" im SETUP wählen, wenn Sie SVS nur dann aktivieren, falls Sie neue Programme testen! Ansonsten reicht die Voreinstellung "Normale Sicherheit" aus. [ Bedienung ]──────────────────────────────────────────────────────────────── SVS kann im residenten Zustand über Tastenkombinationen (Hotkeys) ge- steuert werden. Desweiteren ist eine Steuerung der Installation möglich. Tastaturbelegung von SVS: (Hinweis: Auf amerikanischen Tastaturen heißt die <STRG>-Taste <CTRL>) <STRG>-<SHIFT LINKS>-"V" ~~~~~~~~~~~~~~~~~~~~~~~~ Mit diesem Hotkey wird SVS ein- bzw. ausgeschaltet. Ist SVS aktiv, wird in der rechten oberen Ecke des Bildschirms ein grünes Plus angezeigt; im deaktivierten Zustand ist ein rotes Minus zu sehen. Bei jedem Um- schalten ertönt ein Piepser. Die Deaktivierung mittels Hotkey kann bei Bedarf über das SETUP abgeschaltet werden. <STRG>-<SHIFT LINKS>-<ENTF> (bzw. <DEL>) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mit dieser Tastenkombination bricht SVS das aktuelle DOS-Programm ab und springt zurück zu DOS oder zur vor dem Programm gestarteten Shell wie etwa dem Norton Commander. Diese "Nottaste" sollte auch bei vielen Spielen oder abgestürzten Programmen helfen, zurück ins DOS zu kommen. <STRG>-<SHIFT LINKS>-"W" ~~~~~~~~~~~~~~~~~~~~~~~~ Die Schreibschutzfunktion für die Festplatte kann hiermit aus- bzw. eingeschaltet werden. Beim Einschalten ertönt ein Piepser und in der rechten oberen Ecke des Bildschirms wird ein blaues "H" angezeigt. <STRG>-<SHIFT LINKS>-"Q" ~~~~~~~~~~~~~~~~~~~~~~~~ Der Softwareschreibschutz für die Diskettenlaufwerke wird mit diesem Hotkey aus- und eingeschaltet. Es ertönt ebenfalls ein Piepser, wenn der Schreibschutz eingeschaltet wird. Bei aktivem Schreibschutz zeigt SVS in der rechten, oberen Bildschirmecke ein blaues "F" an. Folgende Tastenkombinationen sind nur während der Installation von SVS wirksam: <STRG RECHTS> ~~~~~~~~~~~~~ Mit <STRG RECHTS> kann die Installation von SVS in der CONFIG.SYS oder AUTOEXEC.BAT verhindert werden. Dieser Befehl ist notwendig für den Fall, daß SVS während der Installation abstürzt und die CONFIG.SYS oder AUTOEXEC.BAT nicht umgangen werden kann. Im Sicherheitsmodus ist ein Abbruch der Installation von SVS nicht möglich. <STRG LINKS> ~~~~~~~~~~~~ Befindet sich SVS im transienten Modus, installiert es sich normaler- weise nicht im Speicher. Wird diese Taste während der Installation gedrückt gehalten, überspringt SVS die Einstellung und wird speicher- resident. Erkennt SVS einen verdächtigen Zugriff, erscheint ein Fenster mit Infor- mationen über die Art und den Verursacher der Aktion. Zum Beispiel würde SVS bei dem Versuch, COMMAND.COM zu löschen, folgendes anzeigen: C:\>del command.com Deleting c:\command.com ┌─[SVS V1.3]──────────────────────────────────────┐ │ W A R N U N G ──────────────────────────── │ ░░ │ Es wird versucht eine Datei zu löschen : │ ░░ │ "C:\COMMAND.COM" │ ░░ │ │ ░░ │ │ ░░ │ │ ░░ │ Aufrufer: DOS-Kernel (7DF9:F448) │ ░░ │ Weiter Abbrechen Neustart DOS Ok Lernen │ ░░ └─────────────────────────────────────────────────┘ ░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Je nach Möglichkeit bietet SVS bei Anzeige des Warn-Fensters folgende Optionen an: [W]eiter ~~~~~~~~ SVS erlaubt die gemeldete Aktion einmal und setzt das unterbrochene Programm fort. [A]bbrechen ~~~~~~~~~~~ Der Aufruf wird unterbunden und eine Fehlermeldung an das aufrufende Programm übergeben. [R]estaurieren ~~~~~~~~~~~~~~ Diese Option wird unter anderem bei der TSR-Warnung angezeigt. Der ur- sprüngliche Zustand des Systems wird soweit wie möglich wiederherge- stellt und das laufende Programm unterbrochen. [N]eustart ~~~~~~~~~~ SVS führt einen Neustart des Rechners aus. [D]OS ~~~~~ Die gemeldete Aktion wird nicht ausgeführt und das laufende Programm wenn möglich abgebrochen und direkt zu DOS zurückgesprungen. [O]k ~~~~ SVS erlaubt den Aufruf der gemeldeten Aktion ohne weitere Warnung, bis das aktuelle Programm beendet wird. [L]ernen ~~~~~~~~ SVS speichert die Warnung, den Verursacher und die Adresse, an der die Warnung verursacht wurde. Damit wird diesem speziellen Aufrufer die Ausführung der gemeldeten Funktion permanent erlaubt. Es werden nicht immer alle der oben genannten Optionen angeboten, da ent- weder eine Durchführung nicht möglich ist oder sinnvoll wäre. [ Die Lernfunktion ]───────────────────────────────────────────────────────── Nach der Installation muß SVS erst einmal an das System angepaßt werden. Da in der Standard-Konfiguration unter anderem SVS auch vor speicherresi- denten Programmen warnt, wird wahrscheinlich der Rechner beim nächsten Neustart anhalten und SVS eine Warnung bezüglich 'Ein Programm hat die Speicherbelegung oder Interrupts permanent verändert' ausgeben. Das ist völlig normal und wird vermutlich von SMARTDRV.EXE, KEYB.COM und/oder DOSKEY.COM und anderen, in der AUTOEXEC.BAT installierten TSRs ver- ursacht. Da dies Programme sind, die berechtigterweise resident bleiben dürfen, sollte die Warnung mit der Option [L]ernen quittiert werden. Beim nächsten Neustart wird SVS keine Meldung mehr ausgeben und der Rechner kann normal genutzt werden. Hinweis: ~~~~~~~~ Seit der Version 1.30 ist die Option "Nur verdächtige TSRs melden" Standardeinstellung von SVS. Das bedeutet, daß TSR-Programme wie MOUSE, SMARTDRV oder ähnliche Tools nicht mehr von SVS gemeldet werden und somit weniger Falschalarme bei der Installation auf- treten. SVS speichert beim Lernen spezielle Informationen über das aktuelle Pro- gramm und die Adresse des Aufrufs ab. Wenn also FORMAT.COM das Forma- tieren von Disketten permanent erlaubt wurde, ist das keine Sicherheits- lücke, denn nur diese spezielle Version von FORMAT.COM kann den Zugriff ohne Warnung jetzt ausführen. Ein Virus würde blockiert werden, selbst wenn er FORMAT.COM infiziert hätte und somit unter "falschem Namen" auf- treten würde. Nach einer gewissen Lernphase erzeugt SVS also keine unnötigen Warnungen mehr, sondern zeigt nur noch für das System ungewöhnliche Zugriffe an. Hinweis: Kann SVS den Namen des Verursachers nicht feststellen, zeigt es ein "????????.???" als Aufrufer an. In diesem Fall wird die Lernfunktion nicht so gut funktionieren, da SVS jetzt anstelle des Namens andere Werte vergleichen muß, die sich schneller ändern. Wird ein solcher Zugriff ge- lernt und danach neue Treiber in der CONFIG.SYS installiert, wird SVS beim nächsten Mal die gelernte Funktion wieder melden. Die Lernoption ist also bei solchen Programmen nicht sehr wirkungsvoll. Außerdem kann die Anzeige von "????????.???" als Verursacher ein Hinweis auf Virusaktivität sein, wie der entsprechende Abschnitt der Anleitung erklärt. [ Prüfsummenkontrolle ]────────────────────────────────────────────────────── SVS erzeugt und vergleicht bei jedem Programm, was Sie starten, eine Datei, die in jedem Verzeichnis enthalten ist, und die wichtige Infor- mationen über Programmaufbau usw. enthält. Aus Geschwindigkeitsgründen vergleicht SVS nur bestimmte Teile des Programmes, die aber bei so gut wie allen Dateiviren ausreichen, um eine Modifikation zu erkennen. Wurde ein Programm verändert, warnt SVS Sie, und Sie können mit SCRC das Pro- gramm reparieren, falls ein Virusbefall vorliegt und die Reparatur möglich ist. SVS warnt natürlich auch dann, wenn Sie ein Update eines be- stehenden Programmes installieren. In diesen Fall sollten Sie die Prüf- summe mit der Option "LERNEN" aktualisieren. Falls ein Programm sich ständig selbst modifiziert, können Sie es mit SCRC von der Prüfung aus- schließen, um weitere Falschalarme zu vermeiden. SVS kann auch zur Kontrolle von unbekannten Programmen eingesetzt werden. Wenn Sie über das SETUP die entsprechende Option einschalten, warnt SVS, falls zu einem Programm noch keine Prüfsumme besteht und kann ebenfalls wahlweise auch verhindern, daß dieses Programm ausgeführt wird. Diese Option sollte unbedingt benutzt werden, wenn Sie SCRC in der CONFIG.SYS oder AUTOEXEC.BAT installiert haben, da dann SCRC für die Aktualisierung der Prüfsummen sorgt. Sie erhöhen hiermit weiter die Sicherheit von SUSPICIOUS, da es dann einem Virus nicht mehr möglich ist, unbemerkt Prüfsummen zu löschen. Sie sollten auf jeden Fall die Prüfsummendatei mit SETUP umbenennen, um zu verhindern, daß Viren gezielt diese Dateien löschen können, um umbe- merkt zu bleiben. [ Virusaktivität? ]────────────────────────────────────────────────────────── SVS ist nicht intelligent! Sie als Anwender müssen immer selber ent- scheiden, ob die von SVS gemeldete Aktion für das betreffende Programm normal oder ein Hinweis auf Virusaktivität ist. In der Regel warnt SVS nur bei kritischen Aktionen, die typisch für Viren sind. Allerdings wird aus Sicherheitsgründen z.B. auch das Löschen oder Umbenennen von Pro- grammen gemeldet. Wenn also NCMAIN (Norton Commander) versucht, ein Pro- gramm zu löschen (bzw. Sie haben den Löschbefehl selbst gegeben), ist das normal und sollte über die Lernoption für die weitere Benutzung gelernt werden. Wenn allerdings DOOM.EXE versucht, die CONFIG.SYS zu löschen oder DMP.EXE die Festplatte formatieren will, ist Vorsicht angesagt. In der Regel sind Viren speicherresident und dieser Umstand wird von SVS oft als erstes gemeldet. Hinweis: In der vorgegebenen Standardkonfiguration meldet SVS das Löschen von Programmen nicht! SVS stellt einige Überprüfungen an, um Viren -vor- der eigentlichen Ak- tivierung zu erkennen. Sehr viele Dateiviren setzen beim Infizieren von Programmen das Dateidatum auf ungültige Werte, um dieses Programm als verseucht zu markieren und um spätere Reinfizierungen zu vermeiden. Wird also bei dem Start eines neuen, unbekannten Programmes ein ungülti- ges Dateidatum gemeldet, sollten Sie die Ausführung sofort abbrechen und das betreffende Programm mit SSC und anderen Scannern untersuchen. Ebenfalls auffällig ist es, wenn ein Programm was ".EXE" heißt, in Wirk- lichkeit ein COM-Programm ist. Eine recht große Anzahl von Viren kann EXE-Programme nicht richtig infizieren und wandelt sie vorher in COM- Programme um. Auch solche Programme sollten sofort gescannt werden. Als Beispiel soll hier einmal beschrieben werden, was passiert, wenn mit aktivem SVS ein mit <Tai-Pan.434> (Alias <Whisper>) verseuchtes Programm gestartet wird. Zuerst meldet SVS den im zu startenden Programm gefundenen ungewöhnlichen EXE-Stapel. Viele Viren setzen diesen Wert beim Infizieren falsch, so auch <Tai-Pan>. An sich ist diese Meldung nicht weiter schlimm, sondern nur als Hinweis gedacht. Also erlaubt man SVS den Programmstart mit [W]eiter. Als nächstes zeigt SVS eine Warnung bezüglich des Aufrufs einer virustypischen Selbsttestfunktion an. Diese Warnung sollte schon eher ernst genommen werden und das Programm mit [D]OS beendet und danach mit SSC oder anderen Virus-Scannern geprüft werden. Na gut, ignorieren wir auch diese Warnung und gehen noch weiter. Jetzt versucht der Virus, einen Interrupt auf einen freien Speicherbereich zu legen und danach auch ver- schiedene Funktionen aus diesem Bereich heraus aufzurufen. Das ist schon wirklich typisch für sehr viele Viren, die Speicher belegen, indem der letzte Speicherkontrollblock (MCB) verkürzt wird. Schließlich meldet SVS, daß das Programm speicherresident bleiben will. Jetzt ist der letzte Zeitpunkt, den Virus noch zu deaktivieren. Entweder mit [R]estaurieren oder [D]OS wird der Virus wieder komplett (!) aus dem Speicher entfernt und das System ist wieder sauber. Erlaubt man dem Virus sich zu aktivieren oder war Tai-Pan bereits vor SVS aktiv, werden trotzdem alle Dateizugriffe des Virus erkannt. Erlaubt man dem Virus die Installation, wird SVS z.B. erkennen, daß Interrupt- funktionen aus dem freien Speicherbereich heraus aufgerufen werden, oder daß die Zugriffe an SVS vorbei erfolgen sollen. Ein normales Arbeiten mit aktivem Virus ist zusammen mit SVS vor lauter Warnungen eigentlich nicht möglich. Ein weiteres, sicheres Indiz für einen aktiven Virus ist, daß SVS nicht erkennen kann, wer die Interruptfunktion aufgerufen hat. Als Ursprung zeigt SVS dann ein "????????.???" als Name an. Wie gesagt, rufen Viren oft auch Interrupts aus einem freien Speicherbereich von ca. 9F00:0 bis 9FFF:0 herum auf. Viren infizieren sehr oft beim Starten von Programmen; warnt also SVS vor Dateizugriff, wenn Sie ein Programm nur starten wollen, ist das ebenfalls sehr verdächtig. 'Falschalarme' treten in der Regel nur bei systemnah programmierten Tools wie etwa DISKEDIT, CALIBRAT oder Antiviren-Programmen auf. Vor allem bei Antiviren-Programmen, da diese oft sehr 'virusmäßig' programmiert wurden und die gleichen Techniken verwenden wie die Viren selber. Vor einem Betrieb von SVS zusammen mit anderen Schutzprogrammen, wie etwa VIRSTOP, VSHIELD oder TBMON wird abgeraten. SVS erfüllt alle Funktionen, die diese Programme anbieten können, bis natürlich auf das Scannen nach bekannten Viren. Aber SVS erkennt Viren sowieso nicht anhand Scanstrings, und ist somit effektiv gegen bekannte wie unbekannte Viren. Wenn Sie trotzdem zwei Wächterprogramme gleichzeitig benutzen, sollten Sie bedenken, daß diese beiden Programme sich höchstwahrscheinlich stören und gegenseitig die Leistungsfähigkeit mindern. [ Einstellungmöglichkeiten über das Setup ]────────────────────────────────── SVS im Sicherheitsmodus ~~~~~~~~~~~~~~~~~~~~~~~ Befindet sich SVS im Sicherheitsmodus, können keine verdächtigen Aktionen mehr durch Anwählen der Option "Weiter" zugelassen werden. Der Sicher- heitsmodus ist nur dann sinnvoll, wenn alle kritischen Zugriffe durch die Lernfunktion validiert wurden. Lernmodus aktiv ~~~~~~~~~~~~~~~ Wird diese Option abgeschaltet, bietet SVS beim Melden einer verdächtigen Aktion nicht mehr die Funktion "Lernen" an. Bereits validierte Zugriffe werden wieder gemeldet. SVS im Prüfsummenmodus ~~~~~~~~~~~~~~~~~~~~~~ Im Prüfsummenmodus erzeugt und vergleicht SVS Prüfsummen zu Programmen, wenn diese gestartet werden. SVS erzeugt neue Prüfsummendateien ohne Abfrage ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Normalerweise meldet SVS, wenn der Anwender versucht, ein unbekanntes Programm ohne Prüfsummen zu starten. Ist diese Option eingeschaltet, wird die Prüfsumme ohne weitere Abfragen automatisch erstellt. SVS erlaubt Aktualisierung der Prüfsummendatei ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Stellt SVS Veränderungen an einem Programm fest, kann die zugehörige Prüfsummendatei aktualisiert werden, falls die Änderung gewünscht war. Unter bestimmten Bedingungen ist es nicht wünschenswert, diese Option anzubieten. Ausführung von unbekannten/modifizierten Programmen erlauben ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Stellt SVS eine Veränderung eines Programms fest oder ist zu diesem Programm noch keine Prüfsummen erstellt worden, wird der Start dieses Programms durch SVS blockiert. Erzeugte Prüfsummendateien verstecken ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Ist diese Option eingeschaltet, setzt SVS beim Verändern oder Erzeugen der Prüfsummendateien das HIDDEN-Dateiattribut. Diese Option ist normalerweise abgeschaltet, da sie in der Regel zu Problemen mit Defragmentierungsprogrammen sorgt. SVS überprüft Dateimodifikationen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die Kontrolle von Dateizugriffen wird über diese Option aktiviert. SVS fängt verdächtige Zugriffe ab und blockiert sie, falls der Anwender dies wünscht. Jede Modifikation bestehender Programme melden ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SVS führt normalerweise ausführliche Tests durch, ob eine Datei- manipulation verdächtig ist oder einen normalen Zugriff darstellt. Regulär werden bereits existierende Programme nicht mehr verändert, nur einige selbstmodifizierende Programme werden durch diese Option gemeldet. Schreibschutzattribut von Programmen schützen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Normalerweise kann das READ-ONLY-Dateiattribut ohne Probleme mit ATTRIB oder anderen Programmen wie Norton Commander wieder entfernt werden. Ist diese Option eingeschaltet, wird dies verhindert und das READ-ONLY- Attribut kann nicht mehr ohne Warnung entfernt werden. Schreibschutzattribut von Daten schützen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SVS schützt normalerweise nur Programme vor Veränderung des Datei- attributes, mit dieser Option wird der Schutz auf alle Dateien ausge- weitet, wobei dies nicht unbedingt sinnvoll ist. Löschen von Programmen melden ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Einige Viren löschen Programme, was mit dieser Funktion blockiert werden kann. Sie ist in der Regel aber eher lästig als nützlich, es sei denn Sie wollen den Schutz des Systems zu Lasten des Bedienungskomforts noch weiter verbessern. Löschen von Daten melden ~~~~~~~~~~~~~~~~~~~~~~~~ Erweiterung der vorherigen Option. Hiermit wird jeder Aufruf der Lösch- funktion gemeldet. Typische Companion-Virus Aktivitäten melden ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Werden neue Programme erzeugt, prüft SVS, ob diese die übliche COM/EXE- Übereinstimmung haben, die bei Companion-Viren auftritt. Falschalarme sind beim Kopieren von Dateien möglich, wenn gleichnamige COM/EXE- Programme vorhanden sind. Programmtyp überprüfen ~~~~~~~~~~~~~~~~~~~~~~ Einige Viren wandeln EXE-Programme intern in COM-Programme um, ändern aber die Dateiendung nicht. SVS meldet solche Programme, bevor sie aus- geführt werden, falls diese Option eingeschaltet wird. Programmstapel bei EXE-Programmen prüfen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Relativ viele Viren sind schlampig programmiert und verändern den EXE- Programmkopf auf eine ungültige Weise. Zum Beispiel meldet SVS mit Tai-Pan infizierte Programme bevor sie gestartet werden, falls diese Funktion aktiviert ist. EXE-Programme mit vertauschter EXE-Signatur melden ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ EXE-Programme besitzen normalerweise 'MZ' als Erkennungsignatur am Dateianfang. Einige Viren vertauschen dies zu 'ZM'. SVS überprüft, ob Programme resident bleiben ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ So gut wie alle verbreiteten Dateiviren sind speicherresident. SVS kann kontrollieren, ob ein Programm nach seiner Beendigung weiterhin aktiv im Speicher bleibt und das Programm bei Bedarf aus dem Speicher entfernen. Erweiterte TSR-Überprüfung ~~~~~~~~~~~~~~~~~~~~~~~~~~ Einige Viren bleiben auf eine etwas ungewöhnliche Methode aktiv im Speicher. Diese Methode wird kaum genutzt und diese Option erhöht die Gefahr von Fehlalarmen geringfügig. Nur verdächtige TSR-Programme melden ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Um die Anzahl der lästigen Fehlalarme zu verringern, prüft SVS, ob ein Programm, das resident bleiben möchte, verdächtigen Programmcode enthält. Diese Funktion erkennt einen sehr geringen Anteil von exotisch programmierten Viren nicht und verringert daher geringfügig die Sicherheit von SVS. Alle in Deutschland verbreiteten Viren werden aber durch die TSR-Heuristik erkannt. Stealth-Interruptaufrufe melden ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Viele Viren versuchen an aktiven Wächterprogrammen vorbei auf Dateien zuzugreifen. Ist diese Funktion aktiv, meldet SVS diese Art von Zugriffen. Selbst wenn ein Virus vor SVS aktiv wurde, kann durch diese Funktion verhindert werden, daß der Virus Programme unbemerkt infizieren kann. Undokumentierte Interruptfunktionsaufrufe melden ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sehr viele residente Viren benutzen selbstdefinierte Interruptfunktionen, um ihre Aktivität im System festzustellen. Mit dieser Funktion ist SVS in der Lage, bekannte und die meisten unbekannten Viren bereits vor ihrer eigentlichen Aktivierung zu erkennen. Ursprung von Interruptfunktionen kontrollieren ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Viren nisten sich mit Vorliebe in ungenutzte oder ungewöhnliche Speicher- bereiche ein. Mit dieser Funktion kontrolliert SVS, woher ein Interrrupt aufgerufen wurde. Schreibzugriffe während eines Programmstarts melden ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ In der Regel fangen Viren den Start von Programmen ab und infizieren diese dann. Normalerweise wird aber während der eigentlichen Programm- initalisierung nicht auf die Festplatte geschrieben. Mit diese Funktion ist SVS in der Lage, auch EXE-Header-Viren zu erkennen, die Dateien per Sektorzugriff infizieren. Diese Funktion ist nur bedingt kompatibel zu Software-Diskcaches mit Schreibverzögerung, erhöht aber die Sicherheit von SVS enorm. Schreibzugriffe während des Öffnens eines Programmes melden ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fast Infector-Viren infizieren bereits beim Öffnen von Programmen. SVS kontrolliert, ob während eines solchen Zugriffs auf die Festplatte ge- schrieben wird. Diese und die nächste Option sind etwas mehr anfällig gegen Fehlalarme, erhöhen aber die Sicherheit von SVS stark. Schreibzugriffe während des Schließens einer Datei melden ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Einige Fast Infector-Viren infizieren auch beim beim Schließen von Dateien, was mit dieser Funktion auf Sektor-Ebene erkannt werden kann. Warnen, wenn der INT 21h-Schreibpuffer verändert wurde ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die sehr exotischen Slow Infector-Viren infizieren Programme, indem sie den Schreibpuffer von DOS manipulieren und nicht selber auf die Fest- platte schreiben. Diese Funktion überprüft diesen Puffer auf solche Veränderungen, sie bremst aber das System geringfügig. Warnen, wenn der INT 13h-Schreibpuffer verändert wurde ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Einige Slow Infector oder EXE-Header Viren verändern nicht den DOS- Datenbuffer, sondern direkt den Sektorbereich, der auf die Festplatte geschrieben werden soll. Genau wie die INT 21h-Pufferkontrolle bremst diese Option das System ab. Warnen, wenn interner Disk-Interrupt ermittelt werden soll ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mit einer undokumentierten Interruptfunktion kann der interne Disk- Interruptvektor ermittelt werden, den einige Viren dazu verwenden, um aktive Wächterprogramme zu umgehen. SVS meldet durch diese Funktion diese Art von Interruptfunktionen, die allerdings auch von einigen Festplattentools oder Windows aufgerufen werden. SVS blockiert die Ermittlung des ursprünglichen Vektors auf jeden Fall, daher muß diese Option nicht unbedingt eingeschaltet werden. Direkten Festplattenzugriff über das BIOS blockieren ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SVS kann die Festplattenparameter so manipulieren, daß ein Zugriff auf die Festplatte an SVS vorbei nicht mehr möglich ist. Leider unterstützt nicht jedes BIOS diese Funktion, aber sie erhöht die Sicherheit vor allem gegen Trojanische Pferde und trickreich programmierte Viren. Warnen, wenn HDD/FDD direkt über das BIOS angesprochen wurde ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SVS erkennt mit dieser Option, ob ein Sektorzugriff an SVS vorbei stattgefunden hat. Leider kann auf diese Methode der Zugriff nicht verhindert, sondern nur gemeldet werden, aber in der Regel benutzen Viren bereits zum Lesen der Sektoren diese Art des Interruptaufrufs und werden vor der eigentlichen Schreibfunktion erkannt und blockiert. Bei Zugriff auf interne DOS-Strukturen warnen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Einige interne DOS-Strukturen wie etwa die SFT (System File Table) sind für Viren besonders interessant und werden durch diese Funktion blockiert. Kritische Fehlerbehandlung bei Dateizugriff kontrollieren ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die meisten Viren schalten während des Infizierens von Programmen die kritische Fehlerbehandlung von DOS ab, um z.B. Schreibschutz-Meldungen auf schreibgeschützten Disketten zu unterdrücken. SVS prüft mit dieser Funktion, ob während eines Dateizugriffs diese DOS-Fehlerbehandlung noch aktiv ist. SVS warnt bei direktem Ansprechen von INT 26h ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mit dem Interrupt 26h schreibt DOS Sektoren auf die Festplatte. Normaler- weise wird dieser Interrupt aber nie angesprochen, nur einige Fest- plattentools benutzen sie, dafür aber auch die meisten destruktiven Viren oder trojanische Pferde. SVS warnt bei direkten Ansprechen von INT 40h (Diskette) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Der Interrupt 40h ist für Sektorzugriffe auf die Diskettenlaufwerke zuständig und wird normalerweise nie direkt angesprochen, sondern über das BIOS aufgerufen. Einige Viren versuchen mit diesen Interrrupt Wächterprogramme zu umgehen. Schreibschutzfunktion für Festplatten ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Ist diese Funktion aktiv, blockiert SVS alle Schreibzugriffe auf die Festplatte. Schreibschutzfunktion für Disketten ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funktioniert genauso wie der Schreibschutz für die Festplatte auf Sektor- ebene und kann getrennt für Disketten aktiviert werden. Bootsektor im Laufwerk A: vor Neustart auf Viren prüfen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Führt der Anwender einen Neustart des Systems mit STRG-ALT-ENTF durch, prüft SVS vorher, ob eine eventuell in Laufwerk A: eingelegte Diskette mit einen Bootsektorvirus infiziert ist. Warnen, falls beim Neustart eine Diskette eingelegt ist ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eine Erweiterung der vorherigen Option, nur daß hier generell gewarnt wird, falls eine Diskette bei STRG-ALT-ENTF im Laufwerk A: eingelegt ist. Bootsektoren von Disketten bei jedem Zugriff durchsuchen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SVS kann bei jedem Zugriff auf den Bootsektor von Disketten diesen mittels Heuristik auf bekannte und unbekannte Bootsektorviren über- prüfen. Eine sehr praktische Funktion, die auf jeden Fall eingeschaltet werden sollte. Sektorschutz für Disketten ~~~~~~~~~~~~~~~~~~~~~~~~~~ Unterdrückt alle Warnungen von INT 13h und INT 26h-Zugriffen auf Disketten. Normalerweise würden diese Warnungen durch Programme wie FORMAT zu vielen Falschalarmen führen, und Viren greifen normalerweise auf dieser Ebene auch nur die Festplatte an. Device/DPT-Schutz vor Directory-Viren (DIR-II) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die Liste der Gerätetreiber und die Gerätetreiber selber werden durch diese Funktion im Speicher vor Veränderungen geschützt, wie sie der DIR-II oder Byway-Virus durchführen. Diese Viren sind sehr gefährlich, aber zum Glück noch nie in Deutschland aufgetreten. Diese Option ist nicht kompatibel zu Software-Diskcaches wie z.B. SMARTDRV oder Norton- Cache. Aktivitätssymbol von SVS auf dem Bildschirm anzeigen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SVS zeigt normalerweise ein grünes ASCII-Symbol auf dem Bildschirm an, um seine Bereitschaft anzuzeigen. Da dies manchmal lästig sein kann, verhindert diese Option die Anzeige des Symbols. Der Start von Windows wird nicht gemeldet ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SVS meldet normalerweise den Start von Windows, da es unter Windows nicht mehr aktiv ist und besser vorher deinstalliert werden sollte. SVS blockiert alle Aktionen, wenn Graphikmodus aktiv ist ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SVS kann im Graphikmodus keine Warnungen anzeigen, daher kann mit dieser Option SVS so eingestellt werden, daß es generell alle verdächtigen Aktionen, die bei aktivem Graphikmodus stattfinden, blockiert werden. Aktivität von SVS über STRG-SHIFT LINKS-V steuerbar ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Über den Hotkey STRG-SHIFT LINKS-V kann normalerweise SVS passiv geschaltet werden, was durch diese Option verhindert werden kann. Installationsabbruch von SVS durch Hotkey möglich ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die Installation von SVS kann normalerweise über einen Hotkey abgebrochen werden, was mit dieser Option unterbunden wird. [ Beschreibung der Warnungen ]─────────────────────────────────────────────── Speicher/Interrupts: ~~~~~~~~~~~~~~~~~~~~ ┌───────────────────────────────────────────────────┐ │ Ein Programm hat die Speicherbelegung oder │ │ Interrupt-Vektoren permanent verändert! │ │ Speicher: xxx Bytes belegt │ └───────────────────────────────────────────────────┘ Diese Warnung erscheint immer dann, wenn ein Programm nicht normal be- endet, sondern aktiv im Speicher bleibt. Solche TSRs können den komplet- ten Rechner kontrollieren, daher warnt SVS Sie vor solchen Programmen. SVS zeigt auch an, wieviel Speicher belegt bzw. freigegeben wurde. Viren sind sehr oft speicherresident, um sich besser verbreiten oder um ihre Stealthfunktion durchführen zu können. SVS ist oft in der Lage, den Virus, der bei dieser Meldung ja bereits aktiv ist, wieder komplett aus dem Speicher zu entfernen. Es kann ge- legentlich vorkommen, daß SVS den ursprünglichen Zustand nicht ganz kor- rekt wieder herstellen kann und das System nach dem Restaurieren insta- bil wird. Selbst wenn der Virus nicht hundertprozentig deaktiviert werden konnte, kann SVS alle weiteren Dateizugriffe des Virus erkennen. Hinweis: Da in vielen Systemen UMB vorhanden ist, sorgen etliche Viren durch ihre ungewöhnlichen Methoden dafür, daß dieser Speicherbereich oft nicht mehr zugänglich ist. SVS meldet dies mit einem blinkenden "(MCB!)" hinter der Speicher-Anzeige. In diesem Fall ist der Verur- sacher sehr wahrscheinlich ein Virus! SVS zeigt diese spezielle Warnung immer an, auch wenn Sie mit SETUP die TSR-Kontrolle deaktivieren. Zeigt SVS ein "(FREE!)" an, wurden Interruptvektoren auf einen freien Speicherbereich gesetzt. Auch das ist typisch für Viren und sehr ver- dächtig. Sollte ein Programm mit einem dieser beiden Hinweise speicher- resident gehen wollen, sollten Sie es sofort abbrechen ("Restaurieren"). Es ist übrigens möglich, daß SVS hinter "Speicher" keinen Wert angibt, oder nur ein "FREE!". In diesen Fall ist das TSR entweder in der Inter- rupttabelle (mit "FREE!") oder in der HMA resident geworden. In jedem Fall ist diese Methode, resident zu bleiben, besonders verdächtig und das TSR sollte mit SVS aus dem Speicher entfernt werden. Bei sauber programmierten TSRs zeigt SVS nur an, daß xxx Bytes Speicher belegt wurden, aber sonst erscheinen keine weiteren Warnungen. Vorteile und Nachteile: ~~~~~~~~~~~~~~~~~~~~~~~ Residente Viren werden frühzeitig erkannt und können in den meisten Fällen sogar deaktiviert werden. SVS benötigt diese Funktion eigentlich nicht, um Viren blockieren zu können. Erlaubt man einem Virus, sich zu aktiveren oder ist dieser bereits aktiv, wird der verdächtige Dateizugriff, den der Virus beim Infizieren auslöst, später auch ohne die TSR-Kontrolle erkannt. Bei dieser Funktion handelt es sich also lediglich um ein Frühwarn- system. Normalerweise produziert diese Funktion viele Falschalarme, besonders beim Durchlaufen der AUTOEXEC.BAT, wo sämtliche TSR- Programme geladen werden. Vor allem wenn Ihnen SVS noch unbekannt ist, stören diese Falschalarme besonders. Abhilfe schafft hier die Option "Nur bei verdächtigen TSR-Programmen warnen", die im SETUP aktiviert werden kann und auch in der normalen Konfiguration von SVS aktiv ist. Danach werden nur noch TSR-Programme mit verdächtigem Programmcode gemeldet und Programme wie MOUSE.COM usw. lösen keine Alarme mehr aus. Generell wirkt sich die TSR-Kontrolle nicht auf die System- Performance aus und sollte stets aktiv sein, vor allem deswegen, weil viele der weitverbreiteten und 'erfolgreichen' Viren resident sind und somit früher von SVS erkannt werden können. In gefährdeten Systemen sollte die Option 'Nur verdächtige TSR- Programme melden' ausgeschaltet werden, um die Sicherheit weiter zu erhöhen. Hinweis für Benutzer von "Volkov Commander": Bitte schalten Sie mit "VCSETUP" die Option "TSR Manager" aus, da es sonst Probleme mit der TSR-Erkennung von SVS geben kann. ┌───────────────────────────────────────────────────┐ │ Das Program will Speicher in der HMA belegen. │ │ Normalerweise machen das nur TSRs oder │ │ Speichermanager wie etwa DOSX. │ └───────────────────────────────────────────────────┘ Die HMA wird eigentlich nur von DOS selber, aber in letzter Zeit auch von anderen TSRs genutzt. Es gibt allerdings schon einige Viren, die sich in diesen Speicherbereich einnisten (<GoldBug>, <XYZ>, <Bacteria>). Völlig normal ist diese Meldung, wenn sich COMMAND.COM installiert, z.B. am Ende der CONFIG.SYS. Sie werden diese Warnung dort also mit Sicher- heit zu sehen kriegen und dort die Lernoption benutzen. Bei allen weit- eren Aufrufen von COMMAND.COM sollte die Meldung nicht mehr erscheinen, allerdings tritt ein Problem mit unsauber geschriebenen Programmen auf, die eine DOS-Shell bzw. andere Programme aufrufen und dazu nicht die COMSPEC-Variable, sondern direkt den Namen COMMAND.COM benutzen. Arbeiten Sie mit 4DOS, erscheint dann immer eine Warnung, daß COMMAND.COM Speicher in der HMA belegen will. Solche Programme kann man übrigens nicht sehr lange benutzen, da COMMAND.COM den HMA-Speicher nicht wieder freigibt und die HMA so langsam gefüllt wird, bis kein Platz mehr vorhanden ist. Generell ist diese Warnung nur ein Hinweis darauf, daß das gerade gestartete TSR-Programm eine etwas ungewöhnliche Methode benutzt, um Speicher zu allokieren. Programme, bei denen diese Warnung normal ist und Sie die Lernoption benutzen sollten, sind z.B. COMMAND.COM, FDREAD.EXE, DOSX.EXE, NCACHE und andere Software-Disk-Caches und TSR-Programme. ┌───────────────────────────────────────────────────┐ │ Das Programm versucht, durch Tracing den ur- │ │ sprünglichen Interrupteinsprung von DOS │ │ zu ermitteln und damit SVS zu umgehen ! │ └───────────────────────────────────────────────────┘ Bei dieser Warnung ist Vorsicht angesagt! Viele Viren benutzen den Ein- zelschrittmodus der CPU, um durch die Interruptkette hindurch zu dem ursprünglichen Einsprung ins DOS zu gelangen. Gelingt dem Virus dies, kann er beliebig auf Programme/Sektoren zugreifen, ohne daß Wächterpro- gramme etwas davon bemerken können. Wächterprogramme, die Tracer nicht blockieren, haben eine gefährliche Sicherheitslücke, aber leider haben gerade viele der meistgenutzten Antivirenprogramme diese wichtige Fähigkeit nicht! Führt ein Programm Tracing durch, sollten Sie es sofort mit "Neustart" oder mit "DOS" beenden. Selbst wenn sie das Programm mit "Weiter" durchlaufen lassen, wird der Tracer von SVS gestoppt. Darauf reagieren etliche Viren mit einen Systemhänger, da der Tracer nicht sauber pro- grammiert wurde und nun in einer Endlosschleife auf das Erreichen der gewünschten Adresse wartet. Hinweis: Eigentlich ist es egal, ob ein Virus bei aktivem SVS den ur- sprünglichen Interrupt 21h ermitteln kann. SVS wird den Dateizugriff sowieso bemerken. Das gilt allerdings nicht für INT 13h, wo ein direkter ROM-Zugriff leider erst nach der Ausführung von SVS erkannt werden kann. Brechen Sie Programme, die INT 13 tracen wollen, sofort ab! Programme, bei denen diese Warnung normal ist und Sie die Aktion er- lauben sollten, sind z.B. AVP, PV (ProView) und andere Antiviren- Programme. Tip für AVP-Benutzer: Schalten Sie mit <STRG-SHIFT-V> SVS vor dem Start von AVP ab, da sonst AVP das System beim Tracen 'einfriert'. Allerdings blockiert SVS dadurch die Speicherkontrolle von AVP und es kann vorkommen, das ein aktiver Virus von AVP nicht erkannt wird. Allerdings kann ein aktiver Virus mit SVS sowieso nicht lange unbemerkt bleiben. ┌───────────────────────────────────────────────────┐ │ Das Programm versucht, einen Tracer zu instal- │ │ lieren. Ein Versuch SVS zu umgehen? │ └───────────────────────────────────────────────────┘ SVS ist oft in der Lage, schon das Installieren eines Tracers zu be- merken. In diesem Falle können Sie das betreffende Programm ohne Pro- bleme abbrechen. Es gibt so gut wie keine Programme, die diese Funktion normalerweise durchführen. Die wenigen Antiviren-Programme, die einen Tracer benutzen, installieren komplexe Tracer mit vielen Sicherheits- Funktionen, die von SVS im Gegensatz zu den primitiven Tracern der Viren nicht erkannt werden. ┌───────────────────────────────────────────────────┐ │ Aufruf einer Interruptfunktion, die von Viren │ │ zur Selbsterkennung im Speicher benutzt und VOR │ │ der Aktivierung des Virus aufgerufen wird ! │ │ (INT xxh AX=xxxxh) │ └───────────────────────────────────────────────────┘ Viele residente Viren benutzen eine selbstdefinierte Interrupt 21h- Funktion, um sich selber im Speicher zu erkennen. <Tremor> benutzt z.B. INT 21h AX=F1E9h als Selbsterkennung. Es gibt allerdings auch normale Software, die speicherresident ist und ebenso wie die Viren undefinierte Interruptfunktionen benutzt. SVS fängt jedoch nur diejenigen Funktionen ab, die wirklich typisch für Viren sind, deshalb sollten Sie diese Warnung ernst nehmen und das entsprechende Programm sofort abbrechen. Haben Sie ein TSR, das eine solche Funktion völlig legal benutzt, bitte ich Sie, mich darüber zu informieren (Bitte die Zahlen bei INT und AX notieren!). Vorteile und Nachteile: ~~~~~~~~~~~~~~~~~~~~~~~ Da Viren ihre Selbsttests vor der eigentlichen Aktivierung aufrufen, können Sie sicher sein, daß, wenn Sie ein Programm bereits bei dieser Warnung abbrechen, der Virus nicht bereits aktiv ist. Auf der anderen Seite kann es vorkommen, daß ein TSR-Programm zufällig die gleiche Funktion benutzt wie ein Virus. Da die von SVS kontrollierten Funktionen sorgfältig ausgewählt wurden, ist dieser Fall jedoch ziemlich unwahr- scheinlich. Daher sollte diese Option stets aktiv sein, da sie passiv arbeitet und somit das System nicht bremst. Programme, bei denen diese Warnung normal ist und Sie die Aktion er- lauben sollten, sind z.B. Antivirenprogramme, die einen sogenannten Life-Test durchführen und damit feststellen wollen, ob Viren bereits aktiv im Speicher sind. Diese Methode ist äußerst unsauber, und keines der verbreiteten Antivirenprogramme benutzt diesen Weg. Antivirenprogramme, wo Sie mittels Option solche Tests einschalten können sind z.B. VIRSCAN, MEMSCAN und QMS. ┌───────────────────────────────────────────────────┐ │ Es wird versucht VSAFE oder TSAFE zu dein- │ │ stallieren. Retro-Virus ? │ └───────────────────────────────────────────────────┘ Diese beiden Wächterprogramme sind bei den Virenprogrammierern äußerst beliebt. Der Grund dafür ist, daß diese beiden Programme mit nur 8 (!) Bytes an Assemblerbefehlen deaktiviert werden können. Da diese Funktion öffentlich dokumentiert wurde, benutzt seit <Tremor> mittlerweile jeder neuere Virus diesen Trick, um VSAFE bzw. TSAFE zu umgehen. SVS macht sich diese Tatsache zunutze und meldet diesen Aufruf, der normalerweise vor der eigentlichen Aktivierung des Virus durchgeführt wird. Wenn Sie also das verdächtige Programm an dieser Stelle beenden, können Sie sicher sein, daß der Virus nicht aktiv wurde. Falschalarme sind so gut wie ausgeschlossen, da selbst die Hauptprogramme von VSAFE bzw. TSAFE diesen Aufruf nicht direkt benutzen. Ein gleichzeitiges Benutzen von SVS mit diesen beiden Programmen ist übrigens sinnlos und wird daher nicht empfohlen. Liste einiger Viren, die diesen Aufruf benutzen: Tremor, Neuroquila, Sirius.Alive, Mordor.1110, Firefly, alle NRLG-Viren, Red_Mercury, Pure, Sterculius, Oracle, Nazgul, VLAD.Ph33r, Markt.1533 Ein 'normales' Programm, das diese Warnung verursacht, sollte sofort abgebrochen und auf Virenbefall überprüft werden! ┌───────────────────────────────────────────────────┐ │ Es wird versucht, mittels einer undokumentierten │ │ Funktion interne DOS-Strukturen zu ermitteln. │ │ Fast Infector-Virus aktiv ? │ └───────────────────────────────────────────────────┘ Einige Viren benutzen zum Infizieren interne DOS-Strukturen, wie etwa die SYSTEM FILE TABLE (SFT). Diese Funktionen sind undokumentiert und werden von so gut wie keinem normalen Programm benutzt. Oft sind es Fast Infector-Viren, die mittels der SFT den Zugriffsmodus von ge- öffneten Programmen ändern. Höchstens sehr systemnah programmierte Test- und Informationsprogramme könnten diese Funktionen benötigen. Es gibt so gut wie keine Programme, die diese Funktion normalerweise durchführen. In der Regel erscheint diese Warnung, wenn ein Virus dabei ist, ein Programm zu infizieren. Da viele der gefährlicheren Viren (bezüglich Ausbreitungsrate und Programmiertricks) diese Funktionen benutzen müssen, sollten Sie diese Funktion stets eingeschaltet lassen. ┌───────────────────────────────────────────────────┐ │ Ein Programm hat SVS umgangen und führt eine │ │ kritische Dateifunktion aus !!! │ │ (INT xxh AX=xxxxh) │ └───────────────────────────────────────────────────┘ Diese Meldung erscheint dann, wenn ein Virus vor SVS aktiv wurde oder es einem Virus gelungen ist, SVS zu unterlaufen. Normalerweise kon- trolliert SVS alle Dateioperationen, bestimmte Dateizugriffe an SVS vorbei erzeugen dann diese Warnung. Es ist allerdings möglich, daß ein normales TSR, was Sie vor SVS installiert haben, der Verursacher dieser Warnung ist. Sie sollten also direkt kontrollieren, ob dies der Fall sein könnte. In Frage kommen nur TSRs, die Dateizugriffe durchführen, also etwa DPROTECT (PC-Tools) oder SMARTCAN (Norton Utilities). Diese TSRs müssen -nach- SVS geladen werden bzw. der Aufruf mittels der Lern- funktion validiert werden. Haben Sie alles kontrolliert, und es wird immer noch regelmäßig diese Warnung angezeigt, haben Sie vermutlich einen Dateivirus bereits aktiv im System. Vor allem, wenn Sie ständig mit dieser Warnung konfrontiert werden, ist dies ein sicheres Zeichen für einen aktiven Dateivirus. Vor- und Nachteile: ~~~~~~~~~~~~~~~~~~~ Diese Funktion ist eine weitere Sicherung von SVS dagegen, daß ein Virus es schafft, die INT 21h-Kontrolle von SVS sauber zu umgehen. Leider kann SVS zu dem Zeitpunkt, da diese Funktion ihre Tests ausführt, nicht viele Informationen über den Verursacher ermitteln und kann daher nicht so genau zwischen legalen und virentypischen Aufrufen unterscheiden. Besonders oft treten Falschalarme wegen der Funktion INT 21h/40h auf, die gleichzeitig zum Verändern von Programmen und zur Ausgabe von Texten (!) auf dem Bildschirm dient. Wegen der relativ vielen Falschalarme sollten Sie diese Funktion nur in gefährdeten Systemen benutzen oder dann, wenn Sie neue Software testen. SVS führt genug andere Tests aus, um das Fehlen dieser Funktion zu kompensieren, besonders die Optionen "Schreibzugriffe während ..." sind wesentlich effektiver und weitaus weniger fehleranfällig als dieser Test. Bitte stellen Sie sicher, daß keine TSRs -vor- SVS geladen wurden, die Dateioperationen durchführen, z.B. DPROTECT oder SMARTCAN. ┌───────────────────────────────────────────────────┐ │ Ein Interrupt wurde aus einem freien Speicher- │ │ bereich heraus aufgerufen. Virus aktiv ? │ │ (INT xxh AX=xxxxh) │ └───────────────────────────────────────────────────┘ Auch diese Warnung deutet auf einen bereits aktiven Virus hin. Viele der residenten Viren installieren sich, indem sie den letzten MCB ver- kürzen oder den DOS-Speicher reduzieren. SVS erkennt Interrupt- funktionen, die aus solchen Bereichen heraus aufgerufen werden. Vor allem, wenn Sie mit dieser Warnung geradezu bombardiert werden, ist dies ein sicheres Zeichen für einen bereits aktiven Virus. Normale TSRs belegen Speicher auf dokumentierte Methoden und zeigen niemals ein solches Verhalten. Sehr oft erscheint diese Warnung auch, wenn sich der Virus gerade aktivieren will; meistens auch zusammen mit der Warnung, daß ein Interrupt auf einen freien Speicherbereich verbogen werden soll. Da normale TSR-Programme solche Warnungen so gut wie nie verursachen, sollten Sie diese Option permanent benutzen. Ein sehr großer Teil der residenten Viren wird durch diese Funktion erkannt und gemeldet. Sie stellt eine primitive, aber nichtsdestotrotz sehr effektive Schutzfunktion dar, die äußerst selten Falschalarme produziert. Hinweis: ~~~~~~~~ Wenn ein Virus sich aktiviert oder bereits resident ist, werden Sie im Regelfall mit dieser Warnung geradzu bombardiert! Wird die Warnung nur ein einziges Mal angezeigt, handelte es sich dabei wahrscheinlich um einen Falschalarm. Diese Funktion kann evtl. Falschalarme verursachen, wenn per Speicher- manager mehr als 640K konventioneller DOS-Speicher eingerichtet wird. ┌───────────────────────────────────────────────────┐ │ Es wird versucht, INT xxh auf einen freien │ │ Speicherbereich zu setzen! (xxxx:xxxx) │ └───────────────────────────────────────────────────┘ Parallel zu den vorher erwähnten Meldungen ist SVS in der Lage festzu- stellen, wenn ein Virus versucht, sich nach Allokieren von Speicher in diesem freien bzw. 'ungültigen' Speicherbereich zu aktivieren. Dieses Verhalten wäre sehr verdächtig für normale TSRs, tritt aber sehr häufig bei residenten Viren auf; es ist eher sogar der Regelfall! Diese Warnung wird angezeigt, wenn sich ein Virus aktivieren will oder die DOS-Fehlerbehandlung im INT 24h während einer Infektion kurzzeitig ausschaltet. Falschalarme werden nur von TSR-Programmen erzeugt, die Speicher auf die gleiche Art wie Viren belegen, was in der Regel nur sehr selten der Fall ist. ┌───────────────────────────────────────────────────┐ │ Es wird versucht, den internen HDD/FDD-Interrupt │ │ zu ermitteln. Normalerweise benutzen nur Disk- │ │ tools oder Antivirenprogramme diese Funktion! │ └───────────────────────────────────────────────────┘ Seit DOS 3.3 gibt es eine undokumentierte, aber trotzdem allgemein bekannte INT 2Fh-Funktion, die den INT 13h-Vektor zurückliefert der direkt ins ROM-BIOS zeigt. Alle normalen TSR-Programme befinden sich 'oberhalb' dieser Adresse in der INT 13h-Kette und werden durch die Benutzung der BIOS-Adresse ohne Probleme umgangen. Diese INT 2Fh-Funktion wird denoch von einigen der gängigen Antiviren- programme nicht überwacht! Es ist völlig sinnlos, INT 13h als Fest- plattenkontrolle zu überwachen, wenn es Viren ohne Probleme möglich ist, den DOS-internen Festplatteninterrupt zu ermitteln. Auch einige trojanische Pferde benutzen diesen Aufruf, um mit der ermittelten Adresse ungestört auf der Festplatte wüten zu können. Allerdings benutzen auch Programme, die sehr systemnah auf die Fest- platte zugreifen müssen, diese Funktion. Dabei handelt es sich aber fast immer um Festplattentools, Antivirenprogramme oder Festplatten- Treiber. Programme, bei denen diese Warnung normal ist und Sie die Lernoption benutzen sollten, sind z.B. Windows (32Bit-Zugriff), Festplatten- Treiber, CALIBRATE, HYPERDISK, BOOTSAFE. Da SVS sowieso beim Aufruf dieser Funktion einen gesicherten Wert zurückliefert und nicht den ursprünglichen BIOS-Vektor, ist es eigentlich egal ob diese Funktion dem Anwender gemeldet wird oder nicht. Besonders mit Windows im 32Bit-Festplattenzugriff löst gelegentlich beim Beenden Falschalarme aus. Sie sollten diese Warnung daher nur dann aktivieren, falls neue Programme getestet werden. ┌───────────────────────────────────────────────────┐ │ Das Programm benutzt eine undokumentierte │ │ DOS-Funktion, welche normalerweise nie von │ │ Anwenderprogrammen aufgerufen wird. │ └───────────────────────────────────────────────────┘ Wieder eine Funktion, die von gewöhnlicher kommerzieller Antivirus- software nicht kontrolliert wird. Mit dieser Funktion ist es sogar ohne Tracer möglich, an allen gängigen residenten Wächterprogrammen vorbei die gesamte Palette an DOS-Funktionen aufzurufen. Normale Verwendung findet diese Interruptfunktion so gut wie nie, und sie wird auch von einigen MS-DOS-Klones nicht korrekt emuliert. Sie sollten ein Programm, was diese Warnung verursacht, sofort abbrechen und mit SSC oder anderen Virenscannern überprüfen. Es gibt so gut wie keine Programme, die diese Funktion normalerweise durchführen. Sie deutet also recht sicher auf einen Virus hin! ┌───────────────────────────────────────────────────┐ │ Die Anzahl der verfügbaren FCB's wurde ver- │ │ ringert! Möglicherweise ein residenter Virus? │ └───────────────────────────────────────────────────┘ Einige Viren benutzen den Bereich der FILE CONTROL BLOCKS, um im System resident bleiben zu können. Da die FCB-Funktionen seit DOS 3.0 so gut wie nie mehr benutzt werden, ist der FCB-Bereich meistens ungenutzt, vor allem, da normalerweise vier FCB-Blöcke von DOS allokiert werden, aber meistens nur einer davon genutzt wird. SVS meldet, wenn durch ein Programm die Anzahl der verfügbaren FCB's verringert wurde. Ein solches Verhalten ist sehr verdächtig und weist mit einiger Sicherheit auf einen (wahrscheinlich recht kurzen) residenten Virus hin, der im FCB-Bereich resident bleiben will. ┌───────────────────────────────────────────────────┐ │ # DAS BETRIEBSSYSTEM WURDE INTERN VERÄNDERT ! # │ │ Stealthviren benutzen diese Methode, um Anti- │ │ virenprogramme zu umgehen! │ └───────────────────────────────────────────────────┘ Eine wirklich wichtige und kritische Meldung, die bedeutet, daß der DOS- Code im Speicher verändert wurde. Das tritt normalerweise NIE auf! Nur einige raffinierte Stealthviren wie etwa <Frodo> oder <Neuroquila> ver- ursachen diese Warnung. Sie sollten das Programm, welches diese Warnung verursacht hat, SOFORT abbrechen, besser noch einen Neustart durchführen und das verdächtige Programm schnellstens mit SSC und anderen Viren- scannern überprüfen. Auch dieser Virustrick wird von keinem der gängigen Wächterprogramme beachtet! Ein gefundenes Fressen für <Neuroquila>, der nebenbei noch ganze Scharen von AV-Programmen im Speicher patcht. DIESE WARNUNG IST ABSOLUT KRITISCH! BITTE STARTEN SIE DEN RECHNER MÖGLICHST SCHNELL NEU UND ÜBERPRÜFEN SIE DAS PROGRAMM, DAS DIESE WARNUNG VERURSACHT HAT. DIESE WARNUNG DEUTET FAST HUNDERTPROZENTIG AUF EINEN VIRUS HIN! Falschalarme sind bei DOS-Versionen möglich, die nicht 100% MS-DOS- kompatibel sind. ┌───────────────────────────────────────────────────┐ │ ACHTUNG ! Der Programmcode von SVS im Speicher │ │ wurde verändert! Vermutlich ein Virus, der SVS │ │ ausschalten und umgehen will! │ └───────────────────────────────────────────────────┘ Es gibt nur sehr wenige Wächterprogramme, die sich selber vor direkten Manipulationen im Speicher durch Viren schützen: NEMESIS und SVS. Bei allen (!) anderen Wächterprogrammen gibt es keinen solchen Selbstschutz, und es ist für die Viren ein leichtes, diese Programme im Speicher ein- fach auszuschalten und somit sich unbemerkt zu aktivieren. Benutzten früher Viren nur die TSR-eigenen Funktionen wie etwa bei VSAFE/TSAFE, zeigen modernere Viren immer häufiger dieses aggressivere und effek- tivere Verhalten, um sich an bekannten residenten Antivirenprogrammen vorbeizumogeln. Die Schutzfunktion von SVS ist nicht sehr komplex, da sie sonst den Rechnerbetrieb erheblich bremsen würde. Sollte es einem Virus wider Erwarten gelingen, SVS zu manipulieren, wird sofort ein Update er- hältlich sein. Außerdem wird der Schutz in jeder neuen Version variiert, um gegen solche Angriffe vorzubeugen. DIESE WARNUNG IST ABSOLUT KRITISCH! BITTE STARTEN SIE DEN RECHNER MÖGLICHST SCHNELL UND ÜBERPRÜFEN SIE DAS PROGRAMM, DAS DIESE WARNUNG VERURSACHT HAT. DIESE WARNUNG DEUTET FAST HUNDERTPROZENTIG AUF EINEN VIRUS HIN! ┌───────────────────────────────────────────────────┐ │ Ungültiger Versuch zu ermitteln, ob SVS im │ │ Speicher aktiv ist! │ └───────────────────────────────────────────────────┘ Eine andere gängige Methode von Viren ist es, festzustellen, ob Wächter- programme aktiv sind, die den Virus bemerken und blockieren würden. Wird ein solches TSR gefunden, bleibt der Virus inaktiv und fällt somit dem Anwender nicht auf. Einige Wächterprogramme machen es geradezu lächerlich einfach, diese Überprüfungen durchzuführen! Eine mögliche Methode dafür ist es, den Devicenamen des TSRs zu öffnen, bei SVS z.B. "SVSXXXX0". SVS meldet solche Aufrufe, und eigentlich kann es sich bei dem Verursacher dieser Warnung nur um einen Virus handeln, der fest- stellen will, ob SVS aktiv ist. Möglicherweise könnte diese Meldung auch noch von speziellen Device-Testprogrammen verursacht werden. ┌───────────────────────────────────────────────────┐ │ Entweder versucht ein Virus festzustellen, ob │ │ NEMESIS aktiv ist oder NEMESIS will sich │ │ installieren. │ └───────────────────────────────────────────────────┘ NEMESIS, ein anderes residentes Wächterprogramm, bietet wie viele andere TSRs eine neudefinierte Funktion an, um festzustellen, ob es aktiv im Speicher ist. Dieser Aufruf wird allerdings von NEMESIS selber auch geschützt, trotzdem gibt es einige Viren, die mit dieser Methode ver- suchen, NEMESIS zu finden. Ein weiterer Grund für diese Warnung ist, daß SVS nicht zusammen mit NEMESIS gleichzeitig benutzt werden kann. Entweder haben Sie NEMESIS gestartet oder Sie haben einen Virus, der feststellen möchte, ob NEMESIS aktiv ist. Prüfsummen: ~~~~~~~~~~~ ┌───────────────────────────────────────────────────┐ │ Das Programm wurde verändert ! │ │ Soll es trotzdem ausgeführt werden ? │ │ Name: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ Diese Meldung erscheint, wenn Sie ein Programm starten wollen, das vom Aufbau nicht mehr mit den Daten, die in der zugehörigen Prüfliste ge- speichert wurden, übereinstimmt. Eine spezielle Funktion hat hier die Lernoption. Wählen Sie diese Option, aktualisiert SVS die Prüfliste und diese Veränderung des Programmes wird nicht mehr gemeldet. Sie sollten die Lernoption nur dann benutzen, wenn Sie genau wissen, daß Sie dieses Programm verändert haben, z.B. durch ein Update. Ansonsten sollten Sie den Aufruf abbrechen und das Programm mit SSC und anderen Virenscannern untersuchen. Wenn dies ein selbstmodifizierendes Programm ist, können Sie mit SCRC die Daten von der Prüfung ausschließen. Diese Warnung erscheint immer dann, wenn ein Programm verändert wurde. Sie ist normal, wenn Sie z.B. das Update eines bereits vorhandenen Programmes installiert haben. Sollte diese Warnung bei COMMAND.COM oder anderen DOS-Programmen auftreten und Sie haben keine neue DOS-Version installiert, sollten Sie das Programm sofort abbrechen und auf Viren überprüfen! ┌───────────────────────────────────────────────────┐ │ Das zu startende Programm hat keine Prüfsumme ! │ │ Soll es trotzdem ausgeführt werden ? │ │ Name: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ Diese Warnung erscheint nur dann, wenn Sie SVS über SETUP entsprechend konfiguriert haben, also die Option "PRÜFSUMMEN AUTOMATISCH ERSTELLEN" auf "AUS" gestellt haben. Mit der Lernoption können Sie SVS anweisen, die Prüfsumme für das Programm zu berechnen. Sie können SVS per SETUP anweisen, den Start von Programmen ohne gültige Prüfsumme zu unterbinden. Damit kann verhindert werden, daß neue und ungeprüfte Software in das System eingeführt wird. Sektorzugriff Diskette/Festplatte: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ┌───────────────────────────────────────────────────┐ │ Der Bootsektor der eingelegten Diskette enthält │ │ ungewöhnlichen Programmcode, der auf einen │ │ Bootsektorvirus hinweisen könnte! │ └───────────────────────────────────────────────────┘ SVS überprüft bei jedem Lesen des Bootsektors von Disketten, ob dieser mit einem Virus infiziert ist. Das geschieht z.B. schon bei "DIR A:". Sie sollten die gemeldete Diskette sofort mit einen Virenscanner über- prüfen und auf jeden Fall vor dem nächsten Neustart des Rechners aus dem Laufwerk A: entfernen! Hinweis: Sie können gefahrlos Daten und Programme von infizierten Disketten lesen, bevor Sie diese mit "SYS C: A:" oder "FORMAT A:" be- arbeiten. Der Virus könnte nur aktiv werden, wenn Sie die Diskette beim Booten in Laufwerk A: eingelegt lassen. DIESE WARNUNG IST ABSOLUT KRITISCH! BITTE ÜBERPRÜFEN SIE DIE DISKETTE MÖGLICHST SCHNELL MIT EINEN VIRENSCANNER ODER ENTFERNEN SIE DEN VIRUS ENTWEDER MIT "SYS C: A:" ODER "FORMAT A: /U" Hinweis: Meldet SVS eine Diskette als verdächtig, können ohne jede Gefahr sämtliche Daten oder Programme von der Diskette kopiert werden, ohne den möglichen Virus zu aktivieren. Ist das geschehen, sollten Sie entweder die Diskette mit "SYS C: A:" oder "FORMAT A: /U" reinigen. ┌───────────────────────────────────────────────────┐ │ Laufwerk A: enthält Diskette mit verdächtigem │ │ Programmcode, der auf einen Bootvirus hinweist! │ │ * DER RECHNER IST JETZT GESPERRT ! * │ └───────────────────────────────────────────────────┘ Zusätzlich überprüft SVS noch bei einen Neustart des Rechners über STRG-ALT-ENTF, ob eine infizierte Diskette im Laufwerk A: eingelegt ist. Sie werden also auf jeden Fall darauf hingewiesen, falls Sie eine in- fizierte Diskette in Laufwerk A: vergessen haben. DIESE WARNUNG IST ABSOLUT KRITISCH! BITTE ÜBERPRÜFEN SIE DIE DISKETTE MÖGLICHST SCHNELL MIT EINEN VIRENSCANNER ODER ENTFERNEN SIE DEN VIRUS ENTWEDER MIT "SYS C: A:" ODER "FORMAT A: /U" ┌───────────────────────────────────────────────────┐ │ Eine Diskette ist in Laufwerk A: eingelegt ! │ └───────────────────────────────────────────────────┘ Diese Meldung erscheint nur, wenn Sie SVS über SETUP entsprechend kon- figuriert haben. Sie ist eigentlich eine reine Vorsichtsmaßnahme, da bei einem Neustart des Rechners möglichst nie eine Diskette in Laufwerk A: vergessen werden sollte. Diese Meldung ist also nur ein Hinweis, keine Viruswarnung. Effektiver ist es, wenn Sie im CMOS-SETUP ihres Rechners die Start- sequenz von "A: C:" auf "C: A:" abändern. Das ist bei vielen der neueren BIOS-Versionen möglich. Damit wird es für normale Bootsektorviren un- möglich, ins System zu gelangen. ┌───────────────────────────────────────────────────┐ │ Der Bootsektor des Laufwerks X: soll mit INT 26 │ │ beschrieben werden! │ └───────────────────────────────────────────────────┘ Der Partitions- und Bootsektor sind durch Viren besonders gefährdet und werden von SVS gesondert geschützt. Normalerweise sollte der Bootsektor eines Laufwerks über INT 26 (nicht INT 13!) nur mit FORMAT.COM oder anderen Formatierungsprogrammen beschrieben werden. Ein Beschreiben von Festplatten wie C: und höher ist also sehr unwahrscheinlich, außer Sie wollen wirklich die Festplatte formatieren. Von Viren wird dieser Interrupt eigentlich auch eher selten genutzt, aber einige Trojanische Pferde sowie destruktive Viren arbeiten mit dieser Funktion. <Dark_Avenger.1800> ist einer der Viren, die diese Funktion benutzen. Generell würde diese Warnung beim Formatieren oder Kopieren von Disketten auftreten, daher ist sie per SETUP in der Standard- Konfiguration deaktiviert. Programme, bei denen diese Warnung normal ist und Sie die Lernoption benutzen sollten, sind z.B. SYS.COM, FORMAT.COM, SFORMAT.EXE bzw. SF.EXE, PCFORMAT und möglicherweise LABEL einiger MSDOS-Klone. ┌───────────────────────────────────────────────────┐ │ Während des Starts, Öffnens oder Schließens │ │ eines Programms soll auf die Festplatte ge- │ │ schrieben werden! Virus aktiv? │ └───────────────────────────────────────────────────┘ Die Kontrolle von Schreibzugriffen während bestimmter DOS-Funktionen stellt eine äußerst wirksame Schutzfunktion dar, da fast alle residenten Dateiviren während des Starts, Öffnens oder Schließens von Programmen diese infizieren. In einen normalen System wird während des Ausführens dieser Funktionen nichts auf die Festplatte geschrieben. Residente Viren fangen diese Funktionen ab und lassen sich Programmnamen quasi "frei Haus" liefern und infizieren dann die angegebenen Programme. Da SVS den Schreibzugriff auf INT13h- also Sektorebene abfängt, ist die Funktion sehr sicher und erkennt z.B. auch Header-Viren oder Viren, die es geschafft haben, die INT 21h-Kontrolle von SVS komplett zu umgehen. Diese Funktion hat jedoch zwei Probleme: 1) Programme, die den normalen Ablauf eines Schreibzugriffs verändern, lösen unter gewissen Umständen Falschalarme aus. Besonders Software- Diskcaches mit einer Schreibverzögerungsfunktion (z.B. SMARTDRV C+) oder Multitasking-Betriebsysteme verzögern den eigentlichen Schreib- zugriff und sorgen damit für Falschalarme. Speziell SMARTDRV ist jedoch seit DOS 6.2 so eingestellt, daß nach dem Verlassen eines Programmes sämtliche Daten geschrieben werden, bevor der Anwender weiterarbeiten kann. Wird diese Einstellung benutzt, ist SVS kompatibel zu SMARTDRV. Da der SMARTDRV-Parameter /N auch so für massive Probleme sorgen kann, sollten Sie ihn möglichst nicht benutzen. Andere Diskcaches haben ähnliche Parameter und sollten equivalent konfiguriert werden. (z.B. NCACHE: /QUICK=OFF) Ein Konfikt dieser Funktion mit Multitaskern ist nicht möglich, da SVS an sich nicht unter diesen Systemen gestartet werden kann. 2) Um wirklich jeden INT 21h-Aufruf beobachten zu können, muß SVS den aktuellen INT 21h-Eigentümer so verändern, daß stets eine spezielle Routine von SVS als erstes in der INT 21h-Kette aufgerufen wird. Einige wenige Programme sind zu dieser Methode nicht kompatibel, leider erkennt man das erst durch einen Absturz des Systems. Im Regelfall funktioniert aber so gut wie jedes Programm mit dieser Option von SVS. Zusätzlich zu der Option "Schreibzugriffe während Programmstarts melden" kann SVS desweiteren Schreibzugriffe während des Aufrufs der DOS- Funktion 'Datei öffnen' und 'Datei schließen' abfangen. Dies ist sinnvoll, da viele neuere Viren Programme nicht nur beim Starten sondern auch beim Öffnen und Schließen der Datei infizieren (Fast Infectors). Insgesamt bietet diese Funktion ein sehr hohes Maß an Sicherheit, wesentlich mehr als z.B. das reine Abfangen von virentypischen Datei- manipulationen über INT 21h bietet - vor allem deswegen, weil SVS bei dieser Option den Schreibzugriff auf Sektorebene kontrolliert. Damit können auch Headerviren blockiert werden, die EXE-Programme auf Sektorebene infizieren. Sofern keine Kompatibilitätsprobleme mit dieser Funktion auf dem System auftreten, sollten Sie unbedingt diese drei Optionen per SETUP aktivieren. Hinweis: ~~~~~~~~ Falls Sie einen Cache mit Schreibverzögerung benutzen, sollten Sie ihn so konfigurieren, daß nach dem Beenden eines Programmes alle Daten im Cachepuffer zurückgeschrieben werden, bevor der DOS-Prompt erscheint. SVS ist voll kompatibel zu allen Caches, die sich an die SMARTDRV-API halten. Das sind neben SMARTDRV selber PC-Cache und neuere Versionen des Norton-Caches. Sollten denoch unerwartete Falschalarme auftreten, muß entweder die Schreibverzögerung deaktiviert oder die SVS-Option ausgeschaltet werden. ┌───────────────────────────────────────────────────┐ │ Der Datenbuffer wurde manipuliert, bevor er │ │ auf die Festplatte geschrieben wurde! │ │ Virus aktiv? │ └───────────────────────────────────────────────────┘ Diese Meldung wird von zwei verschiedenen Testfunktionen ausgelöst. Beide prüfen, ob der Schreibpuffer verändert wurde, d.h. wenn Sie Programme oder Daten kopieren oder verändern, prüft SVS anhand von Prüfsummen und Längenangaben, ob die Informationen, die das eigentliche Programm schreiben will, auch korrekt auf die Festplatte übertragen werden. Sinnvoll sind diese Tests gegen sogenannte Slow-Infector-Viren, die nur dann Programme infizieren, wenn Sie selber Programme kopieren oder erzeugen. Diese Viren schreiben also nicht selber auf die Fest- platte, sondern warten, bis der Anwender eine entsprechende Funktion auslöst. Diese Infektionsmethode ist sehr effektiv und wird von nur sehr wenigen Wächterprogrammen erkannt. Auch Prüfsummenprogramme, die eine CRC kompletter Dateien ermitteln und vergleichen, können solche Viren nicht bemerken, da ja nur neue Programme infiziert werden, zu denen noch keine Prüfsummeninformationen vorhanden sind. Selbst wenn Sie ein TSR mit Schreibschutzfunktion benutzen, kann sich der Virus ausbreiten, da Sie ja selber Programme erzeugen oder verändern wollen und daher den Schreibzugriff für legitim halten und erlauben. Zum Glück haben Slow-Infector-Viren, wie ihr Name schon sagt, eine recht langsame Ausbreitungrate und sind daher kaum verbreitet. Die Kontrolle des INT 13h-Schreibpuffers sorgt dafür, daß destruktive Viren erkannt werden, die z.B. zufällig Bytes im Schreibpuffer ver- tauschen. <Ripper> ist ein solcher Virus und in Deutschland stark ver- breitet. Außerdem erkennt die INT 13h-Kontrolle noch einige Header- Viren, die die Schutz-Funktionen 'Schreibzugriffe während Starts melden' umgehen. ACHTUNG: ~~~~~~~~ Die beiden Optionen ('Warnen, wenn der INT 21/13h-Schreibpuffer verändert wurde') verlangsamen den Festplattenzugriff um ca. 2-3%. Die INT 21h-Kontrolle bremst allerdings weitaus weniger als die Sektor- kontrolle über INT 13h. Hinzu kommt, daß diese Optionen zwangsweise spezielle INT 21h und INT 13h-Routinen benötigen, die evtl. unkompatibel zu manchen Programmen sind. Sollten Probleme auftreten, sollten Sie versuchen, zuerst die INT 13h und dann die INT 21h-Kontrolle abzuschalten. Evtl. ist die INT 13h-Kontrolle unkompatibel zu einigen Festplatten-Komprimierern wie Stacker. Wenn diese Option keine Kompatibilitätsprobleme verursacht und die geringe Verringerung der Festplattenleistung (nur beim Schreiben!) Sie nicht stört, sollten Sie diese Funktion unbedingt eingeschaltet lassen. Hinweis: ~~~~~~~~ Wenn diese Warnung erscheint und Sie den Schreibzugriff abbrechen, sollten Sie unbedingt schnellstens den Rechner ausschalten, von einer Diskette booten und mit SCANDISK, DISKFIX oder ähnlichen Tools die Dateisystemstruktur (FAT und Verzeichnisse) überprüfen lassen! Oft entstehen durch den Abbruch verlorene Ketten (Cluster). ┌───────────────────────────────────────────────────┐ │ Es wird versucht, die Partition der Festplatte │ │ mittels INT 13 zu beschreiben. │ └───────────────────────────────────────────────────┘ Die Partition ist ein Ziel vieler Hybrid-Viren und Sie sollten bei dieser Warnung sofort hellhörig werden, wenn Sie nicht gerade FDISK aufgerufen haben, das eigentlich das einzige Programm ist, das auf die Partition schreibend zugreift. Sollte das gestartete Programm kein Festplatten-Tool sein, sollten Sie es sofort abbrechen! Auch trojanische Pferde oder destruktive Viren löschen vorzugsweise den Partitionssektor, da ohne die in ihn enthaltenen Informationen das Betriebssystem nicht mehr starten kann. ┌───────────────────────────────────────────────────┐ │ Es wird versucht, den Bootsektor der Festplatte │ │ mittels INT 13 zu beschreiben. │ └───────────────────────────────────────────────────┘ Auch diese Warnung sollte eigentlich nie von normalen Programmen ver- ursacht werden. Viren versuchen eher die Partition als den Bootsektor zu verändern. Nur eine sehr geringe Anzahl von Sektorviren infiziert den Festplattenbootsektor, allerdings ist gerade der in Deutschland sehr stark verbreitete <Form.A> einer dieser Viren. Da aber Bootsektor- Viren in der Regel die Festplatte nur dann infizieren, wenn von einer infizierten Diskette gebootet wird, ist der Verursacher dieser Warnung wahrscheinlich kein Virus. Aufgerufen wird diese Warnung eigentlich nur von den DOS-Befehlen SYS und LABEL, eventuell von einigen Formatierungs- programmen (Wollen Sie die Festplatte Low-level formatieren ???). Programme, die diese Funktion normalerweise ausführen und bei denen Sie die Lernoption benutzen sollten, sind die DOS-Befehle SYS und LABEL. Einige Software-Diskcaches optimieren den Schreibzugriff und fassen dazu mehrere Einzelzugriffe zu einen grossen Block zusammen. Dabei kann es vorkommen, daß auch in den Bootsektor geschrieben wird, der dabei allerdings nicht geändert wird. ┌───────────────────────────────────────────────────┐ │ Es wird versucht, den Bootsektor der Diskette │ │ mittels INT 13 zu beschreiben. │ └───────────────────────────────────────────────────┘ Diese Meldung werden Sie höchstwahrscheinlich beim Formatieren oder Kopieren von Disketten angezeigt kriegen, also von FORMAT, DISKCOPY oder SYS. Wenn diese Meldung allerdings schon bei einem "DIR A:" erscheint, haben Sie höchstwahrscheinlich einen Bootsektorvirus aktiv im Speicher. Programme, die diese Funktion normalerweise ausführen und bei denen Sie die Lernoption benutzen sollten sind FORMAT, DISKCOPY, SYS und LABEL. VORSICHT, WENN DIESE MELDUNG BEREITS BEI "DIR A:" ANGEZEIGT WIRD! ┌───────────────────────────────────────────────────┐ │ Es wird versucht, in die erste physikalische │ │ Spur der Festplatte zu schreiben! Dieser │ │ Bereich ist normalerweise ungenutzt und enthält │ │ nur den Partitionssektor. │ └───────────────────────────────────────────────────┘ Die erste physikalische Spur einer Partition ist in der Regel bis auf den Partitionssektor ungenutzt. Viele Bootsektorviren nisten sich mit Vorliebe in diesen Bereich ein und speichern hier Kopien des Partitions- oder Bootsektors, bevor dieser infiziert wird. Neben Viren nutzen aber auch spezielle Festplattentreiber (z.B. EZ-Drive) und Partitionsmanager (z.B. OS/2) diesen Bereich. Diese Funktion kommt nur zum Tragen, wenn ein Multipartite-Virus nach dem Start eines verseuchten Programms versucht, sich in der Partition zu installieren (z.B. Tequila, Natas). Sollte der Verursacher dieser Warnung nichts mit Festplattenzugriffen zu tun haben, ist diese Warnung auf jeden Fall ernst zu nehmen! ┌───────────────────────────────────────────────────┐ │ Es wird versucht, eine Festplatte physikalisch │ │ (Lowlevel) zu formatieren! │ └───────────────────────────────────────────────────┘ Diese Warnung sollten Sie -nie- zu sehen kriegen! Selbst wenn Sie mit FORMAT die Festplatte neu formatieren, wird diese nur gelöscht, aber nie richtig formatiert. Einzig über das BIOS sollte diese Aktion möglich sein, und da ist SVS natürlich noch nicht geladen. Es gibt allerdings einige destruktive Viren, die mit dieser Funktion die Daten auf der Festplatte zerstören wollen. Sie sollten übrigens moderne Festplatten niemals Lowlevel-formatieren! Mit einiger Wahrscheinlichkeit haben Sie hinterher weniger Platz zur Verfügung als vorher oder die Festplatte kann gar nicht mehr benutzt werden. Nur ein Formatieren mit DOS FORMAT.COM ist bei Festplatten sinnvoll. DIESE WARNUNG IST ABSOLUT KRITISCH! BITTE STARTEN SIE DEN RECHNER MÖGLICHST SCHNELL NEU UND ÜBERPRÜFEN SIE DAS PROGRAMM, DAS DIESE WARNUNG VERURSACHT HAT. DIESE WARNUNG DEUTET MIT HOHER WAHRSCHEINLICHKEIT AUF EINEN -DESTRUKTIVEN- VIRUS HIN! ┌───────────────────────────────────────────────────┐ │ Es wird versucht, eine Diskette physikalisch │ │ (Lowlevel) zu formatieren! │ └───────────────────────────────────────────────────┘ Diese Warnung zeigt SVS nur an, wenn Sie mittels SETUP den Disketten- Schutz eingeschaltet haben. Ein Low-Level Formatieren von Disketten ist immer bei der ersten Formatierung notwendig. Alle weiteren späteren 'Formatierungen' sind eigentlich keine; die Programme löschen nur den Bootsektor, die Verzeichnisse, die FAT und prüfen, ob alle Sektoren noch lesbar sind. Viren werden diese Meldung eher selten verursachen, da ihr Ziel meistens die Festplatte ist und nicht in erster Linie Disketten. Einige Viren benutzen allerdings Extraspuren auf der Diskette, die natürlich vorher formatiert werden müssen (Bespiel: <Neuroquila>) Programme, die diese Funktion normalerweise ausführen und bei denen Sie die Lernoption benutzen sollten, sind FORMAT, SFORMAT, PC-FORMAT, FDFORMAT und andere Formatierbefehle. ┌───────────────────────────────────────────────────┐ │ Es wird versucht, mit "Long Sector Write" die │ │ Festplatte zu beschreiben. Diese Funktion wird │ │ normalerweise nie benutzt. │ └───────────────────────────────────────────────────┘ Ein Zugriff mittels der "Long Sector"-Funktion ist sehr ungewöhnlich und kann auf Viren hinweisen. Diese Funktion existiert nicht in allen BIOS-Versionen, daher benutzt kein DOS-Programm sie. Nur auf PS/2-Rechnern wird diese Funktion unterstützt, und dort zu Diagnose- zwecke benutzt. Es gibt allerdings einige Viren, die diese 'Hintertür' benutzen, um an residenten Wächterprogrammen vorbei Sektoren, wie etwa die Partition, beschreiben zu können. Ein besonders ausgefallener Virus konvertiert sogar mit dieser Funktion normale Sektoren in ein eigenes Format um, mit dem Resultat, daß nach dem Entfernen des Virus jede Menge fehler- hafter Sektoren gefunden werden und die Festplatte unbrauchbar ist, bis die Sektoren wieder mühsam zurückkonvertiert werden. Einige Antivirenprogramme nutzen ebenfalls diesen Interrupt, z.B. einige der älteren Invircible-Versionen. DIESE WARNUNG SOLLTE NORMALERWEISE NIE ERSCHEINEN. BRECHEN SIE DAS BETROFFENE PROGRAMM SOFORT AB UND ÜBERPRÜFEN SIE ES AUF VIRENBEFALL! ┌───────────────────────────────────────────────────┐ │ Die Festplatte/Diskette wird direkt über den │ │ internen Disk-Interrupt angesprochen, ohne │ │ INT 13 zu benutzen. │ └───────────────────────────────────────────────────┘ Normalerweise benutzt jedes Programm DOS, um auf die Festplatte zu schreiben. Einige Festplatten-Tools greifen jedoch direkt auf den DOS-internen Disketten-Interrupt zu, die Regel ist jedoch, daß ein solcher Aufruf als sehr verdächtig gilt und wahrscheinlich von einem Virus stammt. Viren springen diese Adresse oft direkt an, um residente Wächterprogramme zu umgehen, die in der Regel nur den normalen INT 13 kontrollieren und diesen Aufruf überhaupt nicht bemerken. Diese Meldung ist in höchstem Maße verdächtig, wenn als nächste Operation versucht wird, die Partition zu beschreiben. In diesem Fall ist es so gut wie sicher, daß Sie gerade einen Hybrid-Virus oder einen trickreichen Sektorvirus-Dropper gestartet haben. Möglich ist diese Meldung auch, wenn Sie einem TSR erlaubt haben, sich in den internen DOS-Interrupt 13h einzuklinken. Unsauber programmierte Caches machen dies gelegentlich. Ein solches Verhalten wurde aller- dings z.B. nicht mit HYPERDISK beobachtet, das den Interrupt 13 auf genau diese Weise belegt. Konflikte könnte es auch mit speziellen Festplattentreibern geben, die sich ebenfalls auf dieser Ebene in die INT 13h-Behandlung einklinken. WARNUNG! DIES IST EINE KRITISCHE AKTION, WENN DAS PROGRAMM, DAS DIESE MELDUNG VERURSACHT HAT, NICHTS MIT FESTPLATTENZUGRIFF ZU TUN HAT. IST DAS DER FALL, BRECHEN SIE DIE AKTION SOFORT AB! Mögliche Verursacher dieser Meldung: CALIBRAT, Festplattentreiber ┌───────────────────────────────────────────────────┐ │ Es fand ein direkter Festplattenzugriff über │ │ das ROM-BIOS statt! Stealth-Virus ? │ └───────────────────────────────────────────────────┘ SVS erkennt, wenn auf die Festplatte zugegriffen wurde und dabei die normale INT 13-Kette komplett übersprungen wurde. Das kann eigentlich nur bedeuten, daß der Festplatten-Interrupt direkt im BIOS aufgerufen wurde. Mit sehr hoher Wahrscheinlichkeit hat ein Virus diese Warnung verursacht, der mittels bestimmter Methoden den BIOS-Einsprung be- rechnet hat. Der <Dark Avenger>-Virus macht dies zum Beispiel. Leider ist es SVS nicht möglich, den Zugriff -vor- der Ausführung zu blockieren. Der Virus konnte also seinen (Schreib-)Zugriff bereits durchführen! Sie sollten umgehend alle Programme und Daten auf der Festplatte kontrollieren ("SCRC /FULLCRC")! Sehr oft ist die Partition ein besonderes Ziel vieler Viren; Sie sollten diesen Sektor von einer sauberen Bootdiskette aus zuerst überprüfen (Den Rechner komplett ausschalten, da einige Viren den Tastatur-Reset überleben!). Obwohl der Zugriff erst erkannt wird, wenn er ausgeführt wurde, ist diese Art der Erkennung dennoch sinnvoll, da Viren in der Regel vor dem kritischen Schreibzugriff einen oder mehrere Lesezugriffe durchführen, und dazu ebenfalls den INT 13h im BIOS ansprechen. Es besteht also die Möglichkeit, daß beim Erscheinen dieser Warnung noch keine Daten ver- ändert wurden. WARNUNG! DIESE MELDUNG IST KRITISCH! KEIN NORMALES PROGRAMM VERURSACHT EINEN SOLCHEN ZUGRIFF! BRECHEN SIE DAS PROGRAMM, DAS DIESE MELDUNG VER- URSACHT HAT, SOFORT AB UND ÜBERPRÜFEN SIE ES MIT SSC UND ANDEREN VIREN- SCANNERN. Hinweis: ~~~~~~~~ Dieser Aufruf kann auch von AT-BUS CD-ROM-Laufwerken und PCI/VLB/EIDE- Treibern verursacht werden! Das erkennt man daran, das sofort nach der Aktivierung von SVS bei jeder Art von Festplattenzugriff diese Warnung erscheint. In diesen Fall müssen Sie leider auf diese Schutz- Funktion verzichten und diese per SETUP abschalten. ('Warnen, wenn die HDD/FDD direkt über das BIOS angesprochen wurde') ┌───────────────────────────────────────────────────┐ │ Der BIOS-Interrupt für Diskettenzugriff wird │ │ direkt mit einer Schreibfunktion aufgerufen! │ └───────────────────────────────────────────────────┘ INT 40h ist ausschließlich für den Diskettenzugriff zuständig und wird normalerweise nie direkt aufgerufen. Nur einige Viren benutzen diese 'Hintertür', um an residenten Wächterprogrammen vorbeizukommen. Sie sollten solche Aufrufe in jeden Fall abbrechen, da, wenn Sie einen Software-Disk-Cache installiert haben, dieser den INT 40h-Zugriff eventuell nicht bemerkt und somit beim nächsten normalen Zugriff auf diese Diskette völlig falsche Daten wiedergibt. Datenverlust ist dann die Folge! ┌───────────────────────────────────────────────────┐ │ ACHTUNG !!! Es wird versucht, ein ungültiges │ │ Verzeichnis zu schreiben ! DIR II Virus ? │ └───────────────────────────────────────────────────┘ Diese Option muß erst mit SETUP eingestellt werden, da die entsprechende Überprüfung der Treiber leider nicht kompatibel zu vielen Festplatten- Caches wie etwa SMARTDRV ist. Viren wie <DIR-II> infizieren Programme nicht mehr direkt, sondern manipulieren den Eintrag in dessen Verzeichnis. Dabei werden reservierte Bereiche benutzt und SVS kann dann anhand dieser Manipulation solche Zugriffe erkennen. Mit dem Ver- zeichnisschutz von SVS ist es z.B. dem <DIR-II> nicht mehr möglich, die Festplatte zu infizieren! <DIR-II> ist übrigens nicht funktionsfähig unter DOS 5.0 und höher, es gibt allerings Varianten, bei denen dieser Fehler behoben wurde. WARNUNG! DIESE MELDUNG IST KRITISCH! KEIN NORMALES PROGRAMM VERURSACHT EINEN SOLCHEN ZUGRIFF! BRECHEN SIE DAS PROGRAMM, DAS DIESE MELDUNG VER- URSACHT HAT, SOFORT AB UND ÜBERPRÜFEN SIE ES MIT SSC UND ANDEREN VIREN- SCANNERN. HINWEIS: DIESE OPTION IST NICHT KOMPATIBEL ZU SOFTWARE-DISK-CACHES! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Das mit Windows 95 eingeführte VFAT-Dateisystem benutzt die ehemals reservierten Speicherbereiche. Ein Directory-Virus wie <DIR-II> ist unter Windows 95 nicht funktionsfähig und führt wahrscheinlich zum kompletten Datenverlust, da die vom Virus als Zwischenbuffer verwendeten Abschnitte eines Verzeichniseintrags wichtige Parameter von VFAT enthalten. DIESE OPTION IST NICHT KOMPATIBEL ZUM VFAT-DATEISYSTEM! (WINDOWS95) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ┌───────────────────────────────────────────────────┐ │ Ein Deviceeintrag der DRIVE PARAMETER TABLE │ │ wurde verändert ! Cache oder DIR-II Virus ? │ └───────────────────────────────────────────────────┘ Wenn Sie diese Meldung sehen, wurde sie wahrscheinlich von einen Fest- platten-Cache ausgelöst. Ist aber dies genau nicht der Fall, sollten Sie das Programm sofort abbrechen! Wegen der vielen Falschalarme sollten Sie diese Option nicht benutzen, wenn Sie einen Software-Disk-Cache installiert haben. Wenn Sie trotzdem einen Schutz der DPT und vor <DIR II>-Viren haben wollen, müssen Sie den Cache -vor- SVS installieren. Der <DIR-II>-Virus wird aktiv, indem er Einträge in der DPT so ver- ändert, das diese auf seinen eigenen Programmcode zeigen. Bei jeden Lese- oder Schreibzugriff auf Verzeichnisse infiziert der Virus Programme, indem er einfach die Verzeichniseinträge verändert. Wird diese Warnung durch einen Virus wie den <DIR-II> ausgelöst, sollten Sie sofort den Rechner auschalten und das verdächtige Programm auf Virenbefall testen. Der <DIR-II>-Virus und entsprechende Varianten sind sehr gefährlich und äußerst schwer zu entfernen und sollten mit entsprechender Vorsicht behandelt werden! WARNUNG! DIESE MELDUNG IST KRITISCH, WENN SIE NICHT VON EINEM FEST- PLATTEN-CACHE VERURSACHT WURDE! Mögliche Verursacher dieser Meldung: Festplatten-Caches wie NCACHE, PC-CACHE, SMARTDRV usw. HINWEIS: DIESE OPTION IST NICHT KOMPATIBEL ZU SOFTWARE-DISK-CACHES! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ┌───────────────────────────────────────────────────┐ │ Die Festplatte soll mit INT 26 ohne │ │ DOS-Zugriff beschrieben werden! │ └───────────────────────────────────────────────────┘ ┌───────────────────────────────────────────────────┐ │ Eine Diskette soll mit INT 26 ohne │ │ DOS-Zugriff beschrieben werden! │ └───────────────────────────────────────────────────┘ Mit INT 26h werden Sektoren direkt beschrieben, aber normalerweise be- nutzt DOS diesen Interrupt nicht direkt. In der Regel verursachen Formatierprogramme, Festplattentools und Sektoreditoren diese Warnungen. Wenn diese Warnung von keinem Programm dieser Art verursacht wurde, sollten Sie den Vorgang sofort abbrechen! Viele Trojanische Pferde be- nutzen diese Funktion, um Daten auf der Festplatte zu zerstören! WARNUNG! DIESE MELDUNG IST KRITISCH WENN SIE VON KEINEM FESTPLATTEN- TOOL VERURSACHT WURDE UND KÖNNTE AUF EIN TROJANISCHES PFERD HINWEISEN! Mögliche Verursacher dieser Meldung: FORMAT, SCANDISK, NDD, DISKFIX, COMPRESS, SPEEDISK, DEFRAG, DISKEDIT ┌───────────────────────────────────────────────────┐ │ Es wird versucht, auf die schreibgeschützte │ │ Festplatte zu schreiben ! │ └───────────────────────────────────────────────────┘ ┌───────────────────────────────────────────────────┐ │ Es wird versucht, auf eine schreibgeschützte │ │ Diskette zu schreiben ! │ └───────────────────────────────────────────────────┘ Diese beiden Meldungen erscheinen nur, wenn Sie den Festplatten- bzw. Diskettenschreibschutz per SETUP oder Hotkey aktiviert haben. Im Schreibschutzmodus fängt SVS generell jeden Zugriff auf die Festplatte bzw. die Diskette ab, der Daten verändern soll. Hinweis: ~~~~~~~~ Schreibzugriffe, die SVS selber ausführt, sind zulässig und werden nicht gemeldet. Wenn also z.B. SVS im automatischen Prüfsummenmodus betrieben wird, kann das TSR trotz Schreibschutz weiterhin Prüfsummen auf den Datenträger schreiben. Programmtyp-Warnungen: ~~~~~~~~~~~~~~~~~~~~~~ ┌───────────────────────────────────────────────────┐ │ Das Programm hat ein ungültiges Dateidatum ! │ │ Viele Viren benutzen diese Methode, um │ │ infizierte Programme zu markieren. │ │ Name: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ Sehr viele Dateiviren setzen beim Infizieren das Dateidatum auf einen speziellen Wert, um die verseuchten Programme hinterher wiederzuerkennen oder um Stealthfunktionen durchführen zu können. Das Programm, was Sie starten wollten, ist also mit hoher Wahr- scheinlichkeit infiziert! Kein normales DOS-Programm setzt die Sekunde auf 60 oder 62 bzw. die Jahreszahl des Dateidatums auf über 2080. Hinweis: Wenn Sie einmal einen Virus im System hatten und diesen erfolg- reich mit einen Virenkiller entfernen konnten, bleibt oft das ungültige Dateidatum erhalten. Setzen Sie in diesem Fall einfach mit einem Datei- Tool das Datum neu, um Falschalarme von SVS zu vermeiden. ┌───────────────────────────────────────────────────┐ │ Das Programm hat COM-Struktur, obwohl die │ │ Dateierweiterung "EXE" lautet ! │ │ Name: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ Eine Anzahl von Viren ist nicht in der Lage, EXE-Programme richtig zu infizieren, deshalb wandelt der Virus sie vorher in die COM-Struktur um, beläßt aber den alten Dateinamen. Vor allem Header-Viren verändern Programme auf diese Art. In diesem Fall dürften als nächstes Warnungen der "Schreibzugriff bei Programmstart"-Funktion erscheinen. Diese Meldung ist kein sicherer Hinweis auf einen Virus, aber verdächtig ist das gemeldete Programm auf jeden Fall. ┌───────────────────────────────────────────────────┐ │ Das Programm hat einen ungewöhnlichen Stapel ! │ │ Viele Viren setzen diesen Wert beim Infizieren │ │ falsch ein. Das Programm ist verdächtig! │ │ Name: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ Die unsicherste der Programmtyp-Warnungen, da es einige Programme gibt, die unsauber programmiert wurden und ebenfalls einen seltsamen Stapel aufweisen. Normalerweise erzeugen Compiler oder Assembler immer gerade Werte für diese Angabe, aber einige Viren achten beim Infizieren nicht darauf und setzen einfach beliebige Werte ein. (Beispiel: <Tai-Pan.438>) Vor allem Programme, die mit Turbo Anti-Virus oder Central Point Anti- Virus immunisiert wurden, verursachen diese Meldung. Da diese Immunisierung selber Probleme verursacht sollten, Sie sie nach Möglich- keit nicht benutzen. HINWEIS: Ein Programm, was diese Warnung verursacht, ist verdächtig, muß aber nicht unbedingt infiziert sein. Sie sollten es denoch abbrechen und auf Virenbefall überprüfen. ┌───────────────────────────────────────────────────┐ │ Das Programm hat eine vertauschte EXE-Signatur! │ └───────────────────────────────────────────────────┘ EXE-Programme besitzen einen speziellen Programmkopf, der durch eine Signatur gekennzeichnet ist. Normalerweise lautet diese Signatur 'MZ', 'ZM' ist aber ebenfalls möglich. Einige Viren nutzen diesen Umstand aus und markieren infizierte Programme, indem sie während der notwendigen Manipulation des EXE-Programmkopfs gleichzeitig die EXE-Signatur vertauschen. Diese Warnung zeigt nur an, daß das aufgerufene Programm einen ungewöhnlichen Aufbau hat, muß aber nicht auf Virenbefall hinweisen. Da normale Programme mit einer "ZM"-Kennung sehr selten sind, sollten Sie eine Datei, bei der SVS diese Warnung anzeigt, vor dem Starten auf Virenbefall überprüfen! Dateizugriff und Modifikation: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ┌───────────────────────────────────────────────────┐ │ Der Dateianfang eines Programmes soll geändert │ │ werden! So infizieren Viren Programme! │ │ Datei: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ ┌───────────────────────────────────────────────────┐ │ Es sollen Daten an das Programmende angefügt │ │ werden! So infizieren Viren Programme! │ │ Datei: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ SVS kontrolliert sämtliche Dateizugriffe und meldet alle für Viren typischen Aktionen. Viren müssen zwei Bereiche eines Programmes beim Infizieren ändern: den Dateianfang und das Dateiende. In der Regel sollte SVS erkennen, wenn Sie nur Programme kopieren oder entpacken und diese Warnung bei solchen normalen Aktionen nie anzeigen. Selbstmodifizierende Programme verändern meist Bytes vor dem Dateiende und nicht am Dateianfang. Besonders auffällig ist diese Warnung, wenn Sie gerade ein Programm starten oder scannen wollten. Viele Viren infizieren genau bei diesen beiden Aktionen: Programme starten und Dateien öffnen/schließen. WARNUNG! DIESE MELDUNG IST KRITISCH! SIE SOLLTEN GENAU ÜBERLEGEN, OB DAS GEMELDETE PROGRAMM VERÄNDERT WERDEN DARF. DIESE WARNUNG WURDE MÖGLICHERWEISE VON EINEN DATEIVIRUS VERURSACHT! Programme, die diese Meldung verursachen und wo Sie die Lernoption be- nutzen sollten, sind: - XTREE GOLD (Überschreiben von existierenden Programmen) - NORTON COMMANDER 5.0 (Überschreiben von existierenden Programmen) ┌───────────────────────────────────────────────────┐ │ Ein bereits vorhandenes Programm soll modi- │ │ fiziert werden ! │ │ Datei: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ Sie können den Dateischutz von SVS noch weiter erhöhen, indem Sie SVS so konfigurieren, daß der Dateischutz bereits bei jeglicher Modi- fikation von existierenden Programmen ansprechen soll. Bei dieser genaueren Überprüfung sind allerdings mehr Falschmeldungen möglich, als bei der normalen Kontrolle. Viren dürften sowieso zuerst die üblichen Meldungen wie "Dateianfang/ende soll verändert werden" verursachen, bevor diese Meldung erscheint. Diese Option ist nur ein weiteres Sicherheitsfeature und sollte nicht eingeschaltet werden, wenn Sie nicht einen speziellen Grund dafür haben. ┌───────────────────────────────────────────────────┐ │ Eine Datei soll auf 0 Bytes gekürzt werden! │ │ Datei: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ Eine Schutzmaßnahme gegen Viren, die Programme einfach überschreiben und nicht verlängern. Diese Warnung kann allerdings auch von Programmen ausgelöst werden, die bereits existierende Programme überschreiben wollen und dabei die alten Dateien nicht direkt löschen, sondern intern überschreiben. Das Archivierungsprogramm ARJ macht dies zum Beispiel, andere Archivierer wie ZIP oder LHA benutzen eine "saubere" Methode. ┌───────────────────────────────────────────────────┐ │ Es wird versucht, einer Datei ein ungültiges │ │ Dateidatum zuzuordnen. Virus ? │ │ Datei: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ Wie bereits erwähnt, benutzen viele Viren ein ungültiges Dateidatum als Markierung für bereits infizierte Programme. SVS erkennt, wenn ein Pro- gramm ein solches Datum erhalten soll. Eigentlich kann diese Meldung nur von einen Virus ausgelöst werden, da normalerweise nie Programme mit einem solchen Datum auf der Festplatte vorhanden sind. Mögliche Falschalarme erscheinen dann, wenn Sie ein Programm mit ungültigem Datum kopieren wollen, da DOS ja das verdächtige Datum mit überträgt. In diesem Fall sollte "DOS-Kernel" als Verursacher gemeldet werden. Oft bleibt nach dem Entfernen von Viren das ungültige Dateidatum erhalten. Setzen Sie einfach mit FILEDATE oder anderen Tools ein korrektes Dateidatum ein. Besonders verdächtig ist diese Meldung, wenn als Verursacher ein "????????.???" (Unbekannt) angegeben wird! WARNUNG! DIESE MELDUNG DEUTET AUF EINEN DATEIVIRUS HIN! ÜBERPRÜFEN SIE DAS GEMELDETE PROGRAMM AUF VIRUSBEFALL! ┌───────────────────────────────────────────────────┐ │ Eine COM-Datei soll zu einem gleichnamigen EXE- │ │ Programm erzeugt werden. Companionvirus ? │ │ Name: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ Diese Warnung deutet auf einen Companion-Virus hin, der versucht, ein Programm zu "infizieren". Companion-Viren verändern Programme nicht direkt, sondern erzeugen gleichnamige Programme mit Extension COM. Da DOS immer zuerst das COM-Programm startet, wird also der Virus stets als erstes gestartet. Diese Warnung könnte evtl. auch erscheinen, wenn Sie mit COPY oder Oberflächen wie NORTON COMMANDER Programme kopieren, bei denen ebenfalls doppelte Programmnamen vorhanden sind. WARNUNG! DIESE MELDUNG DEUTET MIT EINIGER WAHRSCHEINLICHKEIT AUF EINEN AKTIVEN COMPANION-VIRUS HIN! BRECHEN SIE DIESE AKTION AB ODER LÖSCHEN SIE SPÄTER DIE ERZEUGTE DATEI. ┌───────────────────────────────────────────────────┐ │ Zum Dateizugriff wird ein Standard DOS-Handle │ │ benutzt! │ │ Datei: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ DOS benutzt 5 Datei-Handles für interne Zugriffe, wie etwa NUL, PRN, AUX usw. Normale Dateioperationen benutzen nur Handles, die oberhalb dieser DOS-Handles liegen, einige Viren leiten jedoch den Zugriff um, da einige Wächterprogramme Dateimanipulationen über die DOS-Handles nicht kontrol- lieren. Einige etwas seltsam programmierte DOS-Befehle wie SYS (!) be- nutzen ebenfalls DOS-Handles zum Dateizugriff, aber SVS sollte in der Lage sein, eine legale Benutzung dieser Handles zu erkennen. WARNUNG! DIESE MELDUNG IST KRITISCH UND DEUTET AUF EINEN DATEIVIRUS HIN! Mögliche Falschalarme: SYS.COM ┌───────────────────────────────────────────────────┐ │ Ein für Viren typischer Suchbefehl soll ausge- │ │ führt werden! (Infektionsroutine) │ └───────────────────────────────────────────────────┘ Einige Direct-Action Viren versuchen mit speziellen Suchmustern Anti- viren-Programme auszutricksen. So wird z.B. anstatt nach '*.COM' dann nach '??*viRus.cOm' gesucht. Diese Art von Suchroutinen findet man nur in nicht-residenten Programmviren. Vorsichtshalber sollten Sie das betreffende Programm erst einmal abbrechen und mit Virescannern über- prüfen. ┌───────────────────────────────────────────────────┐ │ Datei-Schreibzugriff mit deaktiviertem │ │ DOS Critical Error Handler ! Dateivirus ? │ └───────────────────────────────────────────────────┘ Der CRITICAL ERROR HANDLER ist für Meldungen wie etwa die Schreibschutz- fehlermeldungen auf Disketten zuständig. Jedes Anwenderprogramm benutzt entweder den von DOS definierten INT 24h oder installiert seinen eigenen Code, Viren aber wollen die Schreibschutzmeldung unterdrücken und schalten so gut wie immer diesen Interrupt aus, bevor sie Programme in- fizieren. Das gemeldete Prgramm ist also im höchsten Grade verdächtig und sollte sofort abgebrochen werden! WARNUNG! DIESE MELDUNG IST KRITISCH UND DEUTET AUF EINEN DATEIVIRUS HIN! BRECHEN SIE DAS GEMELDETE PROGRAMM SOFORT AB! ┌───────────────────────────────────────────────────┐ │ Ein Programm hat SVS umgangen und will mit │ │ deaktiviertem INT 2Ah einen Schreibzugriff │ │ durchführen. Stealth-Virus ? │ └───────────────────────────────────────────────────┘ Eine wirklich wichtige Warnung, die hundertprozentig auf einen aktiven Virus hinweist! Es gibt kein normales Programm, was den INT 2Ah im Speicher ausschaltet und dann Schreibzugriffe durchführt, sehr wohl machen dies aber einige Viren, die damit residente Wächterprogramme umgehen wollen. Hinweis: ~~~~~~~~ INT 2Ah wird von manchen Netzwerk-Treibern benutzt. Evtl. kann es mit solchen Treibern zu Falschalarmen kommen. ┌───────────────────────────────────────────────────┐ │ Eine veraltete FCB-Funktion wird zum Dateizu- │ │ griff verwendet. Normalerweise wird diese Art │ │ von Dateizugriff nicht mehr benutzt! │ └───────────────────────────────────────────────────┘ FCBs (File Control Block) für den Dateizugriff sind ein Relikt aus DOS 1.0 und werden heutzutage von keinem Programm außer einigen alten DOS-Befehlen mehr benutzt. Da diese Art von Zugriff von einigen re- sidenten Wächterprogrammen ebenfalls nicht mehr beachtet wird, haben einige Virenautoren ihre Viren gezielt nur mit FCB-Funktionen für den Dateizugriff programmiert. Eigentlich kann diese Warnung also nur noch von Viren verursacht worden sein, kein normales Anwenderpro- gramm verläßt sich auf diese Funktionen, da sie z.B. von OS/2 oder Windows nicht mehr unterstützt werden. Hinweis: SVS erkennt nur, daß FCB-Funktionen benutzt werden, aber den eigentlichen Dateizugriff kann SVS nicht erkennen. Brechen Sie Pro- gramme sofort ab, die FCB-Funktionen benutzen, es sei denn es sind DOS- Befehle als Verursacher erkannt worden. ┌───────────────────────────────────────────────────┐ │ Es wird versucht, eine Datei zu löschen: │ │ Datei: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ ┌───────────────────────────────────────────────────┐ │ Es sollen ein oder mehrere Programme gelöscht │ │ werden! (FCB) │ │ Datei: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ Diese Meldung erscheint nur, wenn Sie den Löschschutz von SVS aktiviert haben. Normalerweise meldet SVS das Löschen von Programmen nicht, da es eine alltägliche Funktion ist und andauernd Falschalarme produzieren würde. Wenn Sie allerdings neue und unbekannte Software ausprobieren, sollten Sie den Löschschutz für Programme/Daten einschalten. Viele einfache Trojanische Pferde löschen einfach nur Dateien oder Programme. Im Löschschutz-Modus warnt SVS übrigens immer vor einen "DEL *.*". ┌───────────────────────────────────────────────────┐ │ Das Programm versucht, das Schreibschutzattribut │ │ einer Datei zu entfernen: │ │ Datei: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ Normalerweise nützt Ihnen das Dateiattribut "NUR LESEN"/"READ ONLY" nichts gegen Viren, da es ohne weiteres genauso einfach gelöscht wie gesetzt werden kann. Mit SVS erhält das Dateiattribut nun einen er- weiterten Schutz und kann nicht mehr so ohne weiteres entfernt und die geschützten Programme dann auch nicht mehr infiziert werden. Der Schutz für Programme und Daten ist getrennt einschaltbar. ┌───────────────────────────────────────────────────┐ │ Ein Programm soll in eine ungeschützte Datei- │ │ erweiterung umbenannt werden! │ │ Datei: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ ┌───────────────────────────────────────────────────┐ │ Es sollen ein oder mehrere Programme in unge- │ │ schütze Dateierweiterungen umbenannt werden! │ │ Datei: "xxxxxxxx.xxx" │ └───────────────────────────────────────────────────┘ SVS schützt Dateien mit bestimmten Namensendungen besonders. Eine simple Methode, SVS zu umgehen, wäre dann, ein Programm einfach in eine von SVS nicht mehr kontrollierte Dateiendung umzubenennen. Genau dagegen schützt sich SVS mit dieser Überprüfung. Hinweis: EXE-Programme werden immer geschützt, egal wie sie benannt sind. Auch so exotische Dateiendungen wie DLL, FNT oder CPL werden automatisch geschützt. Allgemeines: ~~~~~~~~~~~~ ┌───────────────────────────────────────────────────┐ │ SVS ist unter MS Windows nicht wirksam! │ └───────────────────────────────────────────────────┘ Dies ist nur ein Hinweis darauf, daß SVS als DOS-TSR unter Windows zwar 'aktiv' ist, aber keine Warnungen mehr anzeigen kann. Deswegen de- aktiviert sich SVS solange, bis Sie Windows wieder verlassen. !! Beachten Sie, daß SVS auch in der DOS-Box -nicht- aktiv ist! [ Leistungsmerkmale ]──────────────────────────────────────────────────────── SVS kann in der jetzigen Version: - Prüfsummen zu Programmen anlegen und vergleichen, Updates der Prüf- summen auch über das TSR möglich - Blockieren von Viren mit Tracern (<Tremor>, <Tequila>, ...) - Erkennung und Blockieren von residenten Programmen mit Heuristik zur Erkennung von TSR-Programmen mit verdächtigem Programmcode - Kontrolle von virentypischen Dateizugriffen (Modifikationen, Un- gültige Zeit setzen, Löschen usw.) - Kontrolle von virentypischen Sektorzugriffen (Partitions- und Boot- sektor-Schutz, Schutz vor Formatieren, LongSector Read/Write usw.) - Erkennen von verdächtigen Schreibzugriffen während des Startens, Öffnens oder Schließens von Programmen auf Sektorebene. - Erkennen von Slow-Infector-Viren (INT 21h) - Erkennen, ob der Schreibpuffer des INT 13h manipuliert wird (erkennt destruktive Viren wie Ripper) - Blockieren von Dateisystemviren (<DIR-2>) (Nicht kompatibel zu Caches!) - Schutz vor direkter Benutzung des INT 26h - Schutz vor direktem Zugriff auf den DOS-internen INT 13h und INT 40h - Warnen, falls die Festplatte direkt über das BIOS angesprochen wurde - Schutz des DOS-Kernels vor Patchen (-> <4096>, <Neuroquila>) - Schutz des eigenen TSRs vor Patchen durch Retroviren - Erkennen und Umgehen von bereits aktiven (Stealth-)Dateiviren - Erkennen von Zugriffen auf DOS-interne Strukturen (SFT und andere) - Erkennen von verdächtigen Dateien -vor- der eigentlichen Ausführung anhand eines verdächtigen Dateidatums oder Programmkopfes - Erkennen typischer Aktivität von Companion-Viren - Erweiterter Schutz des READ-ONLY Dateiattributes - Typische 'Are you there ?' Selbsttest-Interruptfunktionen von Viren werden gemeldet - Erkennen von Interruptfunktionen, die aus freien oder ungültigen Speicherbereichen heraus aufgerufen werden - Erkennen, ob Interrupts auf freie/ungültige Speicherbereiche umge- bogen werden sollen - In der CONFIG.SYS installierbar (Schutz vor Viren in COMMAND.COM) - Lernfunktion: Zulässige Operationen können permanent gelernt werden - Schreibschutzfunktion für Festplatten/Disketten, Kontrolle über Hotkeys - Sicherheitsmodus: SVS kann unbefugte Operationen komplett unterbinden - Diskette im Laufwerk A: wird bei STRG-ALT-ENTF mit Heuristik nach bekannten/unbekannten Bootsektorviren durchsucht - Kompatibel zu Windows, unter Windows allerdings nicht aktiv Was SVS nicht kann: ~~~~~~~~~~~~~~~~~~~ - SVS kann trojanische Pferde oder destruktive Viren nicht blockieren, die willkürlich Sektoren der Festplatte überschreiben, wenn dazu INT 13 benutzt wird. Viele Trojanische Pferde benutzen INT 26h oder Formatieren die Festplatte, was SVS blockiert. Gegen zufälliges Überschreiben von Sektoren mittels INT 13 kann nur "NEMESIS" schützen, allerdings sind nur wenige der verbreiteten Viren destruktiv. - Wirklich alle Bootsektorviren auf Disketten können nicht erkannt werden. Einige Viren haben absolut keinen verdächtigen Aufbau, den die Heuristik erkennen könnte. Alle wirklich verbreiteten Sektor- viren werden allerdings ohne Probleme gefunden. !! - Die Schutzfunktionen sind unter graphischen Oberflächen wie z.B. !! Windows nicht aktiv. Um die Leistungsfähigkeit festzustellen, wurden folgende Viren mit aktivem SVS gestartet bzw. gesucht: Erkennung von Bootsektorviren bei DIR A: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die Heuristik erkennt eine sehr große Anzahl von bekannten wie unbe- kannten Bootsektorviren, unter anderen auch so gut wie alle Stoned- Varianten (>100). Speziell hat SVS folgende Bootsektorviren erkannt: Anti-EXE.A Anti-Tel Beryllium Boot-437 BootEXE.451 Brain.Standard Breasts Buptboot Denzuko.A Disk_Killer EDV Exebug.A Exebug.C Filler.A Filler.B FORM.A FORM.B Galicia GoldBug.A GoldBug.B J&M.A Jerusalem.AntiCAD.4096.A Joshi.A Jumper.B Junkie.1027 Key_Drop.A Megastealth Musicbug Natas.4744 Natas.4746 Neuroquila.A Neuroquila.B NYB (B1) Parity_Boot.A Parity_Boot.B Ping-Pong.Standard.A Ping-Pong.H PrintScreen_Boot Quandary (Newboot) Ripper (Jack_Ripper) Sampo Stealth_Boot.C Stealth_Boot.D Stoned.16.A Stoned.Angelina Stoned.Azusa Stoned.Empire.Monkey.B Stoned.Flame Stoned.June_4th Stoned.NoInt.A Stoned.Standard.A Stoned.Michelangelo.A Swiss_Boot Tea_For_Two Tornado V-Sign (Cansu) Verify VLAD.Neuron WET.A X-Boot Yale.A Erkennung von Dateiviren, wenn ein infiziertes Programm gestartet wird: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die Kürzel hinter dem Virusnamen geben an, welche Aktionen des Virus von SVS erkannt wurden. Inf - Ein Programm soll infiziert werden WriteMBR - Veränderung des Partitionssektors (HDD) WriteBOOT - Veränderung des Bootsektors (HDD) Companion - Der Virus erzeugt Companions FCB - Dateizugriff über veraltete FCB-Funktionen Ren - Dateien werden in ungeschützte Endungen umbenannt 62/2080 - Das Programm hat ein ungültiges Dateidatum Stack - Das Programm hat einen ungültigen EXE-Stack COM/MZ - Das Programm heißt EXE, hat aber keine EXE-Kennung CallFree - Ein Interrupt wurde aus einem freien Bereich aus aufgerufen SetFree - Ein Interrupt wird auf einen freien Bereich gesetzt SelfChk - Virustypischer Interrupt-Selbsttest InstTrace - Ein Tracer soll aktiviert werden Trace - Ein Trace wird durchgeführt NoCrit - Dateizugriff mit deaktiviertem INT 24h GetINDOS - Versuch, den internen Disk-Interrupt zu ermitteln INDOS13 - Direkter Festplattenzugriff ohne DOS VSlay - Versuch, VSAFE/TSAFE zu deinstallieren Kernel - Das DOS-Kernel im RAM wurde verändert Patch - SVS selber wurde verändert SFT - Zugriff auf SFT TSR:xxx - Speicherresident mit xxx Bytes TSR:xxx! - Speicherresident mit xxx Bytes, VERDÄCHTIG! -TSR- - Virus konnte resident werden, ohne daß SVS warnt HMA - Resident in der HMA Crash - Der Virus stürzt durch die Blockierung von SVS ab (-> ... ) - Warnungen von SVS mit aktivem Virus Amoeba.1392 - TSR:3072! * Argyle.2761 - 62/2080, Trace, CallFree, -TSR- (-> FreeCall, Inf) ASStral_Zeuss - Inf AT.140.A - TSR:! (-> CallFree, Inf) AtomAnt.2143 - 62/2080, FreeCall, TSR:2160! Bomber - SelfChk, Inf, TSR:2752 BootEXE.451 - COM/MZ, CallFree, WriteBOOT, TSR:2048! Burger.560.A - Inf Butterfly.Butterfly - Inf BW.CF-2055 - TSR:5120 BW100.TestVirus1 - TSR:? Carbuncle - Ren Cascade.1701.S - SelfChk, TSR:2112 Chemnitz - SetFree, TSR:832! Civil_Defense.6672 - WriteMBR, Inf? Cruncher.4000 - SelfChk, SetFree, TSR:4256! CyberCide.2256 - SelfChk, SetFree, FreeCall, TSR:4800! Dark_Avenger.1800.A - WriteBOOT, FreeCall, TSR:3680! * Dark_Avenger.2100.SI.A - 62/2080, GetINDOS, Crash, -TSR- (-> CallFree, Inf) Devil's_Dance.A - Inf DIR.760 - SelfInt, TSR:? Dos_1 - FCB DR&ET.B.1710 - TSR:1760 (-> FreeCall, SetFree, Inf) Eight_Tunes.A - CallFree, SetFree, TSR:2016! ExeHeader.Cluster.384 - COM/MZ, SetFree, CallFree, TSR:784! ExeHeader.Mumzi - HMA, Crash ExeHeader.Pure.441.B - COM/MZ, VSlay, HMA, Trace13 * Exeheader.SkidRow.432 - -TSR- Explosion - CallFree, TSR:1008! FCB.405 - FCB Flash.688.A - SetFree, TSR:976! Flip.2343 - 62/2080, SelfInt, Trace, SetFree, WriteMBR, TSR:2864! Frodo.Frodo.A - 62/2080, Trace, Crash Ginger.2774 - Trace, TSR:! Goblin.1759.Delwin - 62/2080, Trace, WriteMBR GoldBug.A - COM/MZ, HMA, INDOS13, WriteMBR, TSR:? HellSpawn - TSR:400! HLLC.ScreenAlive - Del \COMMAND.COM, Companion HWF.937 - VSlay, Inf Int13 - GetINDOS, Crash Involuntary.1401 - Inf (HIMEM.SYS) Jerusalem.1808.Standard - TSR:1792 Jerusalem.AntiCad.3012 - SelfInt, TSR:3264 (-> NoCrit, Inf) Jerusalem.AntiCad.4096 - SelfChk, TSR:5120 Jerusalem.Sunday.A - TSR:1872 Junkie.1027 - VSlay, WriteMBR Kaczor.4444 - Stack, CallFree, Trace, Crash Kaos4.697 - Inf Keeper.Lemming.2160 - 62/2080, InstTrace, Trace, TSR:4352! Kode_4 - Inf LionKing.3531 - SelfChk, CallFree, Inf, Crash Maltese_Amoeba - SelfChk, TSR:4096! Mayak.2370 - Inf MM.5415 - MBR, TSR! Mnemonix.Dei.1948 - Trace, SFT, Inf, TSR:3952! Mnemonix.Neuropath - SelfInt, TSR:3072! MtE.Fear - Inf MtE.Pogue - SelfChk, TSR:9028! MutaGen200.Secret Agent - 62/2080, SelfChk, TSR:7168! Natas.4746 - 62/2080, Trace, WriteMBR, TSR:5664! Necropolis.A - SFT, Trace, Crash Neuroquila.B - SelfInt, Trace, GetINDOS, Crash Neuroquila.N8FALL.B - FreeCall, Kernel Neuroquila.N8FALL.Comp - FreeCall, TSR:656! Nuke.Marauder.860.B - Inf One_Half.3577 - SelfInt, InstTrace, Trace, WriteMBR, FreeCall, SetFree, TSR:4080! Oropax.A - SelfInt, TSR:3024 Peace_Keeper - 62/2080,SelfChk,SetFree,CallFree,TSR:6192! Phoenix.800 - GetINDOS, TSR:8192 Prepender - InvScan, Cut Pixel.342 - Inf PS-MPC.331 - Inf PS-MPC.Gold - Stack, TSR:2048! Quicky.1376 - TSR:1616 (-> Inf) RDA.Fighter.7408 - Trace13, Trace21, MBR, File, TSR:! SatanBug.A - 62/2080, SelfChk, TSR:10016! SBC.1024 - CallFree, Inf, TSR:3072! Scitzo.A - SetFree, CallFree, Inf, TSR:1344! Screaming_Fist.927 - Stack, SelfInt, WriteMBR, Crash Semtex.1000.A - CallFree, Inf, TSR: 4096! Shifter.760 - SelfChk, TSR:2048! Sirius.Ebbelwoi.400 - Inf SMEG03.TrivSmeg - Inf SterculiusII.440 - TSR:! SVC.4661 - Stack, SelfInt, WriteMBR Swiss_Phoenix - 62/2080, SFT, Inf (COMMAND.COM) Tai-Pan.438 - Stack, SelfInt, CallFree, SetFree, TSR:496! Taz.1106 - VSlay, TSR:4096! Telecom.3784 - CallFree, Trace, Crash Tenbytes.1554.A - Patch Tequila - 62/2080, SelfInt, InstTrace, SetFree, Trace, WriteMBR Tide - TSR:! TPE.Bosnia - SelfInt, TSR:9216! TPE13.CivilWar.2049 - TSR:8192! (-> FreeCall, NoCrit, Inf) Tremor.B - 62/2080, SelfInt, InstTrace, Trace Tremor.B - 62/2080, SelfInt, InstTracer, Trace Trident.914 - 62/2080, SelfChk, SetFree, TSR:2080! Trinity.Cruxifixion - TSR:2944! Trivial.68 - Inf Uddy.2617 - CallFree, SetFree, TSR:2864! Uruguay.2456.#3 - SFT, Trace, CallFree, TSR:5120, Patch Uruguay.4879.#6 - SFT, Trace, CallFree, TSR:9504, Patch V2P6.Chameleon.1993 - Inf Vacsina.TP.5.A - TSR:1200 (-> FCB, NoCrit) Vice.04.One13th - VSlay, TSR:6144! Vienna.645.A - COM/MZ, 62/2080, Inf Vienna.648.Reboot.A - 62/2080, Inf Vlad.Hemlock - Crash VLamiX.1090 - SetFree, TSR:1120! XA1 - Inf XPH.1100 - TSR:1152 (-> CallFree,SetFree,NoCrit,Inf) Yankee_Doodle.TP.44.A - SelfChk,SetFree,InstTrace,Trace,TSR:3008! Yankee_Doodle.TP.46 - SelfInt, SetFree,InstTrace, Trace,TSR:3104! Yankee_Doodle.XPEH.4928 - Trace, SetFree, CallFree, Inf? Zero_Hunter.411 - TSR:!