home *** CD-ROM | disk | FTP | other *** search
/ PC Welt 1996 Counselor / COMPUSERVE.ISO / mailbox / antivire / fwin312 / fwin.txt < prev    next >
Encoding:
Text File  |  1996-07-14  |  52.8 KB  |  1,048 lines
  1.  
  2.  
  3.                      F  /   W   I   N        3   .   1
  4.                      =================================
  5.  
  6.                  HEURISTISCHE ERKENNUNG VON WINDOWS-VIREN
  7.  
  8.                         (c) 1996 Stefan Kurtzhals
  9.  
  10.               Internet:  kurtzhal@wrcs3.urz.uni-wuppertal.de
  11.               Fido:      2:2480/8849.2
  12.  
  13.  
  14.  
  15. 1.  WAS IST F/WIN? .........................................................
  16.  
  17. 2.  INSTALLATION UND BENUTZUNG VON F/WIN ...................................
  18.  
  19. 3.  DIE VIRENERKENNUNG UND REINIGUNGSFUNKTION VON F/WIN ....................
  20.  
  21. 4.  MÖGLICHE FEHLALARME ....................................................
  22.  
  23. 5.  DIE MELDUNGEN VON F/WIN ................................................
  24.  
  25. 6.  MAKRO- UND WINDOWS EXE-VIREN ...........................................
  26.  
  27. 7.  SHAREWARE, LIZENZBESTIMMUNGEN, GARANTIE ................................
  28.  
  29.  
  30.  
  31. 1.  WAS IST F/WIN?
  32. ============================================================================
  33.  
  34.     Im Gegensatz zu herkömmlichen Virenscannern sucht F/WIN nicht nach
  35.     Virensignaturen von bekannten Viren, sondern verwendet einen regel-
  36.     basierenden Suchansatz. Dabei wird nach einer Anzahl von für Viren
  37.     typischem Programmcode oder Makrobefehlen gesucht, oder der Programm-
  38.     aufbau der Datei "extern" analysiert. Durch diese Suchmethode ist F/WIN
  39.     in der Lage, bekannte und unbekannte Windows-Viren zu erkennen.
  40.  
  41.     Als ein Beispiel kann hier <WordMacro.Concept> aufgeführt werden. F/WIN
  42.     sucht nicht nur die Viren-Makros
  43.  
  44.        AAAZAO
  45.        AAAZFS
  46.        AutoOpen
  47.        Payload
  48.  
  49.     sondern untersucht im Gegensatz zu anderen Virenscannern auch die
  50.     Makrodefinitionen nach den entsprechenden Befehlen wie "MakroKopieren",
  51.     "DateiSpeichernUnter" und ähnliche. Verändert man die Makronamen und
  52.     den Code von <WordMacro.Concept> geringfügig (was selbst ein Laie
  53.     relativ leicht bewerkstelligen kann!), findet der größte Teil der
  54.     normalen Virenscanner den veränderten Virus bereits nicht mehr. F/WIN
  55.     meldet weiterhin:
  56.  
  57.        -  Enthält 4 Makros (1968 Bytes)
  58.        -  System-Makros:  AUTOOPEN
  59.        -  Kopiert Makros in die globale Makro-Vorlage ('MakroKopieren')
  60.        -  Benutzt das Makro 'DateiSpeichernUnter'
  61.           Ist möglicherweise mit einen Makro-Virus infiziert
  62.  
  63.     F/WIN erkennt Microsoft Word 6.0 / 7.0 Makro-Viren oder Trojaner und
  64.     Windows 3.x- sowie Windows 95-Programmviren. Desweiteren kann F/WIN
  65.     Makro-Viren, Windows 3.x und Windows 95-Viren aus infizierten Dokumenten
  66.     bzw. Programmen entfernen.
  67.  
  68.  
  69.     Was kann F/WIN besser als andere Antiviren-Programme?
  70.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  71.     -> F/WIN erkennt mit seiner heuristischen Analyse bekannte und UNBEKANNTE
  72.        Makro-Viren für Word 6.0 und Word 7.0. Andere Antiviren-Programm
  73.        können lediglich bekannte Makro-Viren finden, und bieten oft keine
  74.        Reinigungsfunktion an.
  75.  
  76.     -> Von F/WIN gereinigte Word-Vorlagen werden wieder in normale Word-
  77.        Dokumente umgewandelt.
  78.  
  79.     -> F/WIN untersucht den Makro-Code und gibt eine detailierte Analyse aus.
  80.  
  81.     -> F/WIN erkennt Makro-Viren, die Shortcuts verwenden.
  82.  
  83.     -> F/WIN erkennt und ignoriert unsauber gereinigte Dokumente.
  84.  
  85.     -> F/WIN ist selber kein Word-Makro (wie viele der herkömlichen Schutz-
  86.        Programme) und ist daher unabhängig von Winword.
  87.  
  88.     -> F/WIN erkennt bekannte und unbekannte Windows 3.x und Windows 95-
  89.        Programmviren, die auf dem häufig verwendeten Infektionsschema der
  90.        Viren <Winsurfer> und <Boza> basieren und kann diese auch aus
  91.        Windows-Programmen entfernen.
  92.  
  93.  
  94.  
  95. 2.  INSTALLATION UND BENUTZUNG VON F/WIN
  96. ============================================================================
  97.  
  98.     Die Installation erfolgt einfach, indem die Dateien von F/WIN in ein
  99.     Verzeichnis auf der Festplatte kopiert werden. F/WIN wird nicht speziell
  100.     konfiguriert und kann sofort aufgerufen werden. F/WIN ist ein DOS-
  101.     Programm, kann aber ohne Probleme unter Windows bzw. Windows95 gestartet
  102.     werden. Der Anwender kann sich bei Bedarf eine Referenz auf dem Desktop
  103.     erstellen, um den Aufruf zu beschleunigen.
  104.  
  105.     Registrierte Benutzer erhalten einen Registrierungsschlüssel (FWIN.KEY),
  106.     der einfach in das gleiche Verzeichnis wie FWIN.EXE kopiert werden muß,
  107.     um die Funktionen der Vollversion freizuschalten. Als Update kann die
  108.     ganz normale Shareware-Version bezogen werden, die wieder durch die
  109.     Datei FWIN.KEY freigeschaltet wird. Der Registrierungsschüssel sollte
  110.     gut aufbewahrt werden. Das Anlegen eines Backups dieser Datei ist zu
  111.     empfehlen!
  112.  
  113.     WICHTIG! Bevor F/WIN gestartet wird, muß Microsoft Word geschlossen
  114.     werden, da F/WIN sonst nicht die vollen Schreibzugriffe auf evtl.
  115.     geöffnete Dateien wie NORMAL.DOT erhält!
  116.  
  117.  
  118.     Wird F/WIN ohne weitere Parameter aufgerufen, zeigt es eine kurze Hilfe-
  119.     seite an und fragt dann nach dem Laufwerk, welches durchsucht werden
  120.     soll. Die Auswahl erfolgt durch Eingabe des Laufwerksbuchstabens, also
  121.     z.B. "C" für C: .
  122.  
  123.     Die sonstige Aufrufsyntax lautet wie folgt (Parameter in Klammern "[]"
  124.     sind optional und müssen nicht angegeben werden):
  125.  
  126.  
  127.     FWIN Suchpfad [/?] [/H] [/DOC] [/REPORT=Name] [/MODE=n] [/RENAMEALL]
  128.                   [/CLEANALL] [/WIPEALL] [/IGNOREALL] [/TROJAN]
  129.                   [/MOVE=Backupverzeichnis]
  130.  
  131.           Suchpfad    Ein Laufwerk oder Pfad, der von F/WIN mit sämtlichen
  132.                       Unterverzeichnissen durchsucht wird. Es kann nur ein
  133.                       Suchpfad pro Aufruf angegeben werden. F/WIN erlaubt
  134.                       auch Angaben von langen Dateinamen (Windows 95),
  135.                       allerdings darf die Angabe nicht länger als 128
  136.                       Zeichen sein. Pfadangaben mit Leerzeichen müssen in
  137.                       Anführungszeichen (") eingeklammert werden.
  138.  
  139.           /? or /H    Es wird eine kurze Hilfeseite angezeigt.
  140.  
  141.           /DOC        Es werden nur .DOC und .DOT Dateien überprüft. F/WIN
  142.                       sucht damit ausschließlich nach Makro-Viren,
  143.                       allerdings wird die Suchgeschwindigkeit durch die
  144.                       Angabe von /DOC beschleunigt.
  145.  
  146.           /REPORT=... F/WIN erzeugt eine Reportdatei, in der alle durch-
  147.                       suchten Dateien, inklusive der Meldungen, die F/WIN beim
  148.                       Erkennen von verdächtigen Dateien anzeigt, aufgelistet
  149.                       werden. Hinter dem "="-Zeichen muß ein Dateiname
  150.                       angeben werden, der als Name für die Logdatei verwendet
  151.                       wird. Die Reportfunktion ist nur in der Vollversion
  152.                       verfügbar!
  153.  
  154.           /MODE=n     Einstellung der erweiterten Virenerkennung:
  155.                         n = 1 : Extended
  156.                         n = 2 : Paranoid
  157.  
  158.                       Normalerweise versucht F/WIN, durch eine sorgfältige
  159.                       Analyse der Dateien Falschalarme zu vermeiden. Dadurch
  160.                       kann es vorkommen, daß F/WIN z.B. nicht alle möglichen
  161.                       Makro-Trojaner erkennt. Mit /MODE:n können zwei beson-
  162.                       dere Suchmodi eingeschaltet werden, mit denen F/WIN
  163.                       auch weniger oder nur teilweise verdächtige Dokumente
  164.                       meldet. Allerdings steigt damit auch die Möglichkeit
  165.                       von Fehlalarmen, besonders im "Paranoid"-Modus.
  166.                       Wie der Name schon sagt, ist die Erkennung von F/WIN
  167.                       in diesem Suchmodus ziemlich paranoid, allerdings
  168.                       eignet sich dieser Suchmodus hervorragend für Systeme,
  169.                       in denen nie Makros eingesetzt werden da bereits
  170.                       Dokumente mit nur wenigen verdächtigen Merkmalen
  171.                       gemeldet werden.
  172.                       Der Extended-Modus ist nicht ganz so anfällig für
  173.                       Fehlalarme wie der Paranoid-Modus, es werden aber auch
  174.                       hier z.B. einige komplexe kommerzielle Makros als
  175.                       verdächtig gemeldet. Im Extended-Modus werden zusätz-
  176.                       lich auch Makros gemeldet, die zwar verdächtige Befehle
  177.                       aber keinen vollständigen Makro-Virus enthalten.
  178.                       Die /MODE Option ist nur in der Vollversion vorhanden!
  179.  
  180.           /PARANOID   Entspricht /MODE:2 und wurde aus Version 3.00 und 3.02
  181.                       übernommen.
  182.  
  183.           /RENAMEALL  Im Batch-Modus verlangt F/WIN keine Anwender-Eingaben
  184.                       mehr, sondern benennt sofort jede als verdächtig
  185.                       erkannte Datei in eine andere Dateierweiterung um
  186.                       (.VIR, .VI1, .VI2 usw.).
  187.  
  188.           /WIPEALL    F/WIN reinigt alle gefundenen verdächtigen Dokumente
  189.                       mit der Methode 2 (Makronamen löschen) ohne vorher
  190.                       auf weitere Eingaben des Anwenders zu warten. Es
  191.                       wird von jeder Datei vor der Reinigung eine Sicher-
  192.                       heitskopie angelegt. /WIPEALL funktioniert nur
  193.                       zusammen mit dem Parameter /REPORT.
  194.  
  195.           /CLEANALL   Wie bei dem Parameter /WIPEALL reinigt F/WIN alle
  196.                       gefundenen verdächtigen Dateien, bei /CLEANALL wird
  197.                       allerdings die vollständige Reinigung (Methode 1)
  198.                       benutzt. /CLEANALL funktioniert nur zusammen mit dem
  199.                       Parameter /REPORT. Es werden ebenfalls von jeder
  200.                       modifizierten Datei vorher Sicherheitskopien angelegt.
  201.  
  202.           /IGNOREALL  F/WIN wird in den Batchmodus geschaltet und hält nicht
  203.                       mehr bei der Anzeige von verdächtigen Dateien an. Die
  204.                       gemeldeten Dateien werden nicht umbenannt oder ge-
  205.                       reinigt. /IGNOREALL ist nur zusammen mit /REPORT ein-
  206.                       setzbar und ist für den Betrieb über DOS-Batchdateien
  207.                       gedacht.
  208.  
  209.           /TROJAN     Mit diesem Parameter wird die Erkennung von Trojanern
  210.                       eingeschaltet. Es wird allerdings aufgrund der erhöhten
  211.                       Fehlalarm-Wahrscheinlichkeit empfohlen, /TROJAN erst
  212.                       dann zu verwenden, wenn F/WIN im normalen Suchmodus
  213.                       ein Dokument als verdächtig gemeldet hat oder generell
  214.                       nicht mit Makros gearbeitet wird. /TROJAN ist nur in
  215.                       der Vollversion verfügbar.
  216.  
  217.           /MOVE=...   Die von F/WIN angelegten Sicherheitskopien befinden
  218.                       sich normalerweise im gleichen Verzeichnis wie die
  219.                       Originaldatei. Mit /MOVE wird ein eigenes Verzeichnis
  220.                       angelegt, in das alle Sicherheitskopien verschoben
  221.                       werden. Dieses Verzeichnis ist nochmal unterteilt in
  222.                       BACKUP (Sicherheitskopien) und DAMAGE (Dateien, die
  223.                       nicht zuverlässig gereinigt werden konnten). /MOVE kann
  224.                       nur zusammen mit /REPORT eingesetzt werden. Unter
  225.                       Windows95 können lange Verzeichnisnamen angegeben
  226.                       werden, allerdings müssen diese dann in Anführungs-
  227.                       zeichen eingeschlossen werden.
  228.  
  229.  
  230.        Beispiele:
  231.        ~~~~~~~~~~
  232.  
  233.           FWIN D:
  234.  
  235.             (durchsucht das gesamte D: Laufwerk)
  236.  
  237.  
  238.           FWIN "C:\MSOffice\WinWord\Vorlagen\Meine Texte"
  239.  
  240.             (das Verzeichnis "Meine Texte" und alle seine Unterverzeichnisse
  241.              werden durchsucht. Wichtig ist die Angabe der Anführungs-
  242.              zeichen.)
  243.  
  244.  
  245.           FWIN A:\ /REPORT=C:\FWIN.RPT /MODE:2
  246.  
  247.             (durchsucht das gesamte A: Laufwerk und legt eine Logdatei
  248.              auf Laufwerk C mit dem Namen "FWIN.RPT" an. Dabei wird der
  249.              Paranoid-Suchmodus benutzt.)
  250.  
  251.  
  252.           FWIN C:\*.DOC
  253.  
  254.           !!(ist -nicht- zulässig, da Wildcards benutzt wurden.)!!
  255.  
  256.  
  257.           FWIN D:\NEU /MOVE="C:\Sicherheitskopien" /REPORT=C:\FWIN.RPT
  258.  
  259.             (F/WIN durchsucht das Verzeichnis D:\NEU, erzeugt die Report-
  260.              Datei C:\FWIN.RPT und legt die Sicherheitskopien im Verzeichnis
  261.              "C:\Sicherheitskopien" an.)
  262.  
  263.  
  264.        Errorlevel:
  265.        ~~~~~~~~~~~
  266.           F/WIN gibt eine Anzahl von verschiedenen Errorlevel an DOS zurück
  267.           die in einer Batch-Datei abgefragt werden können:
  268.  
  269.             0   -   Es wurden keine verdächtigen Dateien gefunden und die
  270.                     Suche erfolgreich durchgeführt.
  271.             1   -   F/WIN hat eine oder mehrere verdächtige Dateien gefunden.
  272.           252   -   Die Evaluation-Testzeit ist abgelaufen.
  273.           253   -   Fehlerhafte Angabe des Suchlaufwerks oder Pfad.
  274.           254   -   Fehlerhafte Angabe eines Kommandozeilen-Parameters
  275.           255   -   F/WIN hat einen Companion-Virus gefunden, der F/WIN
  276.                     infiziert hat.
  277.  
  278.  
  279.     Findet F/WIN beim Durchsuchen des angegebenen Verzeichnisses verdächtige
  280.     Dateien, unterbricht es den Suchvorgang und zeigt einige Informationen
  281.     über die verdächtige Datei und ein Auswahlmenü an. Dieses Menü kann
  282.     z.B: so aussehen:
  283.  
  284.         Dieses Programm hat einen verdächtigen Aufbau! (32 Bit Virus?)
  285.         Datei umbenennen? [J]a, [N]ein, [A]lle, Alles [I]gnorieren
  286.                           [R]einigen :
  287.  
  288.     oder
  289.  
  290.         Dieses Dokument hat einen verdächtige Aufbau oder Inhalt:
  291.         Datei unbenennen? [J]a, [N]ein, [A]lle, [R]einigen,
  292.                           [M]akronamen entfernen, [I]gnorieren :
  293.  
  294.     Durch Betätigen der in Klammern "[]" angegebenen Buchstaben wird die
  295.     betreffende Option ausgewählt. In der Anzeige von F/WIN erscheinen diese
  296.     Buchstaben farblich unterlegt.
  297.  
  298.     Datei umbenennen? [J]a:
  299.  
  300.         F/WIN reinigt die gemeldete Datei nicht, sondern benennt sie
  301.         lediglich um. Dabei wird die Dateierweiterung durch ".VIR" ersetzt.
  302.         Findet F/WIN weitere verdächtige Dateien, wird das Auswahlmenü
  303.         erneut angezeigt. Werden weitere Dateien mit gleichem Namen
  304.         umbenannt, numeriert F/WIN diese Dateien, z.B VIRUS.VI1, VIRUS.VI2.
  305.  
  306.     Datei umbenennen? [N]ein:
  307.  
  308.         Die Datei wird nicht verändert und nicht umbenannt. Findet F/WIN
  309.         weitere verdächtige Dateien, wird das Auswahlmenü erneut angezeigt.
  310.  
  311.     Datei umbenennen? [A]lle:
  312.  
  313.         Diese und alle weiteren verdächtigen Dateien werden ohne weitere
  314.         Abfrage umbenannt. Diese Option gilt für Makro- und EXE-Viren,
  315.         zwischen denen dann nicht mehr unterschieden wird.
  316.  
  317.     Alles [I]gnorieren:
  318.  
  319.         F/WIN setzt den Suchdurchgang bis zum Ende fort und unterbricht
  320.         ihn nicht mehr, falls weitere verdächtige Programme gefunden werden.
  321.         Die gefundenen Dateien werden zwar angezeigt, aber nicht umbenannt
  322.         oder verändert.
  323.  
  324.     [R]einigen:
  325.  
  326.         Bei einer Makro-Virus-Infektion:
  327.  
  328.         F/WIN entfernt den Makro-Virus aus dem gemeldeten Dokument. Diese
  329.         Option benutzt die vollständige Reinigungsmethode (Methode 1), bei
  330.         der die Makrodefinitionen und die Makrolisten gelöscht werden.
  331.         Falls diese Funktion fehlschlägt, sollten Sie versuchen, die
  332.         Reinigungsmethode 2 zu benutzen (siehe folgende Option).
  333.         Bevor F/WIN die Datei verändert, wird eine Sicherheitskopie davon
  334.         mit der Endung ".VIR" angelegt.
  335.  
  336.         Bei einer NE-EXE oder PE-EXE (Windows 3.x/95)-Virus-Infektion:
  337.  
  338.         F/WIN entfernt den Virus vollständig aus dem Programm, legt aber
  339.         vorher eine Sicherheitskopie an (.VIR).
  340.  
  341.  
  342.     [M]akronamen entfernen:
  343.  
  344.         Die Makros werden entfernt, indem die Makroliste komplett
  345.         überschrieben wird. Diese Methode (Methode 2) ist wesentlich weniger
  346.         fehleranfällig als die vollständige Reinigung. Genau wie bei der
  347.         vorherigen Option legt F/WIN vor der Reinigung eine Sicherheitskopie
  348.         der Datei an (die meisten anderen Antiviren-Programme reinigen auf
  349.         diese Methode, wenn überhaupt).
  350.  
  351.  
  352. 3.  DIE VIRENERKENNUNG UND REINIGUNGSFUNKTION VON F/WIN
  353. ============================================================================
  354.  
  355.        In der jetzigen Version kann F/WIN nur infizierte Dokumente und
  356.        NE-EXE-Viren (Windows 3.x) sowie PE-EXE (Windows 95) reinigen.
  357.  
  358.        Microsoft Word Dokumente bestehen aus OLE-Objekten und sind daher
  359.        extrem komplex aufgebaut. Hinzu kommt, daß Microsoft genauere
  360.        Informationen über das .DOC-Format nicht ohne weiteres freigibt.
  361.        F/WIN muß daher immer die gesamte Datei durchsuchen, um alle
  362.        notwendigen Informationen zu ermitteln. Dabei wird nicht speziell
  363.        auf das OLE-Format eingegangen, was dazu führen kann, daß F/WIN nicht
  364.        hundertprozentig alle Fragmente der Makros lokalisieren kann. OLE-
  365.        Objekte wie .DOC-Dateien sind intern weiter aufgeteilt, wobei diese
  366.        Elemente wie Festplattencluster fragmentiert sein können und sogar
  367.        einen Cluster Overhead (Slack Area) besitzen. Für die Viren-
  368.        erkennung von F/WIN bedeutet dies in der Regel keine Probleme, dafür
  369.        kann unter bestimmten Bedingungen die Reinigung eines Dokuments
  370.        fehlschlagen. F/WIN bietet daher zwei verschiedene Arten der Makro-
  371.        Reinigung an. Die erste Methode entfernt die Makros vollständig, d.h.
  372.        die Makrodefinitionen und die Makrolisten innerhalb des Dokuments
  373.        werden überschrieben. Wie gesagt: dies kann durch Fragmentierung der
  374.        DOC-Objekte fehlschlagen, daher bietet F/WIN auch die Option an,
  375.        lediglich die Makroliste zu löschen. Diese ist weitaus leichter zu
  376.        lokalisieren und zu entfernen. Daß die Makrodefinitionen weiterhin
  377.        im Dokument erhalten bleiben, ist nicht weiter problematisch; durch
  378.        das Löschen der Makroliste können die Makros nicht mehr über
  379.        Microsoft Word selber erreicht werden. Lediglich über einen Sektor-
  380.        editor könnte ein Anwender versuchen, die Fragmente des Virus zu
  381.        extrahieren, was allerdings einiges an Fachwissen voraussetzt. Zudem
  382.        sind die Makros in "unleserlichen" Tokens abgespeichert und die
  383.        meisten Makro-Viren speichern diese auch noch verschlüsselt ab.
  384.        Wenn also die Reinigungsmethode 1 fehlschlägt, kann in so gut wie
  385.        allen Fällen mit der Methode 2 der Virus trotzdem entfernt werden.
  386.        F/WIN legt vor der eigentlichen Reinigung stets eine Sicherheitskopie
  387.        der zu bearbeitenden Datei an. Ist dies nicht möglich, wird die
  388.        Reinigung nicht durchgeführt! Treten Probleme mit fragmentierten
  389.        Dokumenten auf, meldet F/WIN dies.
  390.  
  391.        Windows 3.x-Viren können dann entfernt werden, wenn sie sich an das
  392.        VLAD-Infektionsschema halten und einen Relokationseintrag am Datei-
  393.        ende angefügt haben. Anhand dieses Eintrags kann F/WIN den alten
  394.        Programmeinsprung feststellen und die Datei reparieren. F/WIN kann
  395.        folgende Viren entfernen: Ph33r, Wintiny, Winlame und Tentacle.
  396.        Dabei ist es egal ob der Virus verschüsselt oder gar polymorph ist.
  397.        Winsurfer und Cyberriot benutzen andere Methoden um den alten
  398.        Programmeinsprung zu speichern und können daher nicht gereinigt
  399.        werden.
  400.  
  401.        Hinweise:
  402.        ~~~~~~~~~
  403.        F/WIN entfernt -alle- Makros aus einem Dokument, nicht nur die
  404.        Makros, welche die verdächtigen Strukturen enthalten!
  405.  
  406.        Dokumente, die mit einem Passwort geschützt sind, können nicht
  407.        überprüft oder gereinigt werden! Makro-Viren, die sich innerhalb
  408.        eines solchen Dokuments befinden, werden erst nach Angabe des
  409.        Passworts aktiv.
  410.  
  411.        Die Reinigungsfunktion ist in der Shareware-Version von F/WIN nur
  412.        beschränkt verfügbar. Es kann nur NORMAL.DOT gereinigt werden.
  413.  
  414.        F/WIN kann nur Viren in Microsoft Word 6.0 oder 7.0 Dokumenten
  415.        erkennen und entfernen.
  416.  
  417.        Es wird empfohlen, nicht die Schnellspeicherung von Microsoft Word
  418.        zu benutzen. Erstens belegen Dokumente nach einer Schnellspeicherung
  419.        (zum Teil erheblich) mehr Platz als sonst, zweitens kann F/WIN
  420.        solche Dokumente wegen ihres komplexen internen Aufbaus nicht immer
  421.        hunderprozentig reinigen (s. Fragmentierungswarunung).
  422.  
  423.        Windows EXE-Viren werden auf eine ganz andere Art erkannt, als die
  424.        Microsoft Word Makro-Viren. F/WIN analysiert dabei den Programmkopf
  425.        von NE-EXE (Windows 3.x) und PE-EXE (Windows 95 und Windows NT) auf
  426.        verdächtige Segmente und deren Anordnungen. Da Windows-Programme so
  427.        gut wie immer in Hochsprachen programmiert werden, besitzen sie einen
  428.        quasi fest definierten Programmkopf und weitere voraussagbare
  429.        Strukturen. Die Windows EXE-Viren manipulieren diesen Programmkopf
  430.        während der Infektion auf eine sehr auffällige Art und Weise, die
  431.        F/WIN erkennen kann. Damit ist klar, daß F/WIN nicht den eigentlichen
  432.        Codeinhalt der Segmente überprüft, sondern nur die externe Anordnung.
  433.        Aufgrund der geringen Anzahl von Windows EXE-Viren ist es noch nicht
  434.        möglich, zuverlässige Code-Heuristiken zu erstellen. F/WIN erkennt
  435.        alle Windows EXE-Viren, die auf dem Infektionsschema der Viren
  436.        <NE.Winsurfer> und <PE.Boza> basieren. Mit diesen beiden Windows-
  437.        Viren wurde jeweils ein neues Infektionsschema eingeführt, das allen
  438.        bisherigen Methoden eindeutig überlegen ist und daher wahrscheinlich
  439.        von anderen Virenprogrammierern in zukünftigen Viren übernommen wird.
  440.  
  441.  
  442. 4.  MÖGLICHE FEHLALARME
  443. ============================================================================
  444.  
  445.        Wie jede andere Heuristik, so ist auch der von F/WIN benutzte Such-
  446.        ansatz nicht immun gegen Fehlalarme. Das Problem bei der Erstellung
  447.        einer Heuristik ist, daß möglichst viele Viren erkannt, aber gleich-
  448.        zeitig möglichst wenig Fehlalarme produziert werden sollen. Da die
  449.        Anzahl von Makro- und Windows EXE-Viren bisher noch recht begrenzt
  450.        ist, kann die Heuristik von F/WIN noch nicht besonders "fein" ausge-
  451.        wogen werden. Fehlalarme sind daher eher möglich als bei Heuristiken
  452.        für DOS-Viren.
  453.  
  454.        Bei der Makro-Analyse sind die Hauptquelle von Fehlalarmen die von
  455.        einigen Antiviren-Firmen angebotenen Antivirus-Makros, die Sie direkt
  456.        in Microsoft Word gegen Infektionen schützen sollen. Diese Antivirus-
  457.        Makros benutzen so gut wie alle Befehle, die auch von Makro-Viren
  458.        verwendet werden. Eine Unterscheidung ist daher nur sehr schwer
  459.        möglich, zudem würde eine Ausschließung bei der Erkennung den Viren-
  460.        programmierern eine Möglichkeit geben, Viren zu schreiben, die von
  461.        F/WIN nicht mehr erkannt werden. Bei einem Teil der bekannten Anti-
  462.        Virus-Makros wird F/WIN diese erkennen und ihre Existenz melden.
  463.        Eine zuverlässige Virenerkennung durch F/WIN ist nicht möglich, wenn
  464.        Sie weiterhin Antiviren-Makros benutzen! Im übrigen ist der Schutz,
  465.        den diese Makros anbieten, eher gering, da sie alle nur gegen bekannte
  466.        Makro-Viren schützen und sich sämtliche Optionen von Microsoft Word
  467.        wiederum von anderen Makros beliebig ändern lassen. Von der Benutzung
  468.        solcher Antivirus-Makros ist also abzuraten, vor allem, da diese
  469.        Makros hervorragende Vorlagen für neue Makro-Viren sind!
  470.        Fehlalarme durch Antivirus-Makros werden entweder von F/WIN selber
  471.        gemeldet ("Enthält möglicherweise ein Antivirus-Makro!") oder sind
  472.        dadurch zu erkennen, daß nur NORMAL.DOT und die Ursprungsdatei des
  473.        Schutzmakros als "infiziert" gemeldet werden (die Schutzmakros müssen
  474.        sich natürlich in die globale Makrovorlage NORMAL.DOT installieren).
  475.        Werden noch weitere, normale Dokumente als verdächtig gemeldet,
  476.        handelt es sich vermutlich um einen neuen Virus, der sich als Anti-
  477.        virus-Makro tarnen will. Bekannte Antivirus-Makros sind SCANPROT,
  478.        WVFIX, AVPWW, WWAMK und CHEKWORD.
  479.        Weitere mögliche Fehlalarme werden durch einige kommerzielle oder
  480.        Shareware-Makros ausgelöst.
  481.        Generell kann gesagt werden, daß Fehlalarme nicht möglich sind, wenn
  482.        Sie keine Makros verwenden, wie das bei vielen Microsoft Word
  483.        Benutzern der Fall ist. Hier können sogar die TROJAN und PARANOID-
  484.        Suchmodi von F/WIN ohne Probleme eingesetzt werden, um die Erkennung
  485.        von F/WIN noch weiter zu verbessern.
  486.  
  487.  
  488.        Bei Windows EXE-Viren sieht das Problem mit Fehlalarmen ganz anders
  489.        aus. Die Strukturen, nach denen F/WIN sucht, sind so atypisch, daß
  490.        eigentlich keine Fehlalarme auftreten sollten. Allerdings ist die
  491.        Anzahl der Viren, aus denen die Heuristik abgeleitet wurde, auch sehr
  492.        gering und die Heuristik daher noch nicht hundertprozentig
  493.        ausgereift.
  494.  
  495.        Wenn Sie bei einer Meldung von F/WIN unsicher sind, ob wirklich eine
  496.        Infektion vorliegt, sollten Sie die Datei auf jeden Fall dem Autor
  497.        zur Analyse vorlegen. Eine solche Analyse ist schnell erledigt und
  498.        gleichzeitig kann F/WIN weiter verbessert werden und, falls es sich
  499.        wirklich um einen neuen Virus handelt, wird dieser an weitere Viren-
  500.        forscher weitergeleitet. Wenn Sie dem Autor Viren zuschicken
  501.        möchten, sollte dies möglichst als verschlüsselte PGP-Nachricht über
  502.        das Internet oder direkt per Post erfolgen. Auf keinen Fall sollten
  503.        potentielle Viren ohne Sicherungen verschickt werden! Der
  504.        notwendige Public PGP-Schlüssel und die Adresse befinden sich in der
  505.        Datei KURTZHAL.PGP bzw. REGISTER.TXT oder am Ende dieser Anleitung.
  506.  
  507.  
  508. 5.  DIE MELDUNGEN VON F/WIN
  509. ============================================================================
  510.  
  511.        F/WIN zeigt beim Erkennen eines verdächtigen Programms eine Reihe von
  512.        Meldungen an. Diese werden im folgenden erklärt:
  513.  
  514.  
  515.        "Dieses Programm hat einen verdächtigen Aufbau! (16 Bit Virus?)"
  516.  
  517.            F/WIN zeigt diese Meldung an, wenn es ein Windows-Programm mit
  518.            verdächtigen internen Strukturen findet. Es handelt sich dabei
  519.            dann wahrscheinlich um einen Windows 3.x EXE Virus.
  520.            Bitte schicken Sie dem Autor als verdächtig gemeldete Dateien zu!
  521.  
  522.  
  523.        "Dieses Programm hat einen verdächtigen Aufbau! (32 Bit Virus?)"
  524.  
  525.            Wie NE-EXE Viren, so werden auch PE-EXE Viren anhand ihrer
  526.            internen Strukturen erkannt. Zur Zeit ist nur ein einziger PE-EXE
  527.            Virus bekannt, <PE.Boza> (mit drei Varianten). Bitte schicken Sie
  528.            dem Autor alle als verdächtig gemeldeten Dateien zu!
  529.  
  530.  
  531.        "Dieses Dokument hat einen verdächtigen Aufbau oder Inhalt"
  532.  
  533.            F/WIN hat innerhalb des Dokuments eine Anzahl von verdächtigen
  534.            Strukturen und Befehlen gefunden, was aber noch nicht ganz auf
  535.            eine Infektion durch einen Makro-Virus schließen läßt. Die
  536.            gefundenen Befehle sind verdächtig, stellen wahrscheinlich aber
  537.            noch keinen Virus dar. Evtl. enthält das Dokument ein Trojan.
  538.            Diese Warnung wird erst im Extended oder Paranoid-Suchmodus
  539.            angezeigt (/MODE:1 oder /MODE:2).
  540.  
  541.  
  542.        "Ist moeglicherweise mit einen Makro-Virus infiziert!"
  543.  
  544.            F/WIN hat innerhalb des Dokuments eine große Anzahl von
  545.            verdächtigen Strukturen und Befehlen gefunden, was auf eine
  546.            Infektion durch einen Makro-Virus schließen läßt.
  547.  
  548.            Die Virenerkennung von F/WIN ist wie bei jedem anderen Anti-
  549.            viren-Programm nicht hundertprozentig. Obwohl F/WIN eine sehr
  550.            hohe Erkennungsrate bei verdächtigen oder gefährlichen Makro-
  551.            befehlen hat, ist es doch nicht in der Lage, OLE2-Objekte wie
  552.            Microsoft Word Dokumente korrekt zu untersuchen, da das OLE2-
  553.            Dateiformat dem Autor nicht vorlag. Fehlalarme sind daher
  554.            leider nicht auszuschließen.
  555.  
  556.            Dieser Warntext wird auch bei einigen Antivirus-Makros angezeigt,
  557.            da diese so gut wie alle Befehle enthalten, die auch in den
  558.            Makro-Viren zu finden sind. Es ist nicht möglich, diese Schutz-
  559.            Makros von Viren zu unterscheiden. Bei einigen der bekannten
  560.            Antivirus-Makros zeigt F/WIN allerdings einen Hinweis dazu an.
  561.  
  562.  
  563.        "Enthält moeglicherweise eine Bombe (Trojan)!"
  564.  
  565.            Das Dokument enthält verdächtige Befehle, es fehlen aber genau
  566.            die Kommandos, die ein Makro-Virus benötigt, um sich verbreiten
  567.            zu können. Evtl. wurden auch eindeutig destruktive Befehle wie
  568.            'Kill' gefunden, was insgesamt auf einen Makro-Trojan schließen
  569.            läßt.
  570.  
  571.  
  572.        "Enthält moeglicherweise ein Antivirus-Makro (Bitte prüfen!)"
  573.  
  574.            Mittlerweile gibt es eine recht große Anzahl von Antivirus-
  575.            Makros, die den Microsoft Word-Anwender vor Infektionen durch
  576.            Makro-Viren schützen sollen. Diese Schutz-Makros enthalten
  577.            allerdings so gut wie alle Befehle, die auch in den eigentlichen
  578.            Makro-Viren enthalten sind und lassen sich daher nur schwer von
  579.            diesen unterscheiden (und sie eignen sich leider hervorragend als
  580.            Vorlage für neue Viren).
  581.            F/WIN erkennt einige dieser Antivirus-Makros und meldet diese,
  582.            falls ein verdächtiges Dokument mit entsprechendem Inhalt
  583.            gefunden wurde. Sie sollten auf jeden Fall überprüfen, ob es sich
  584.            dabei wirklich um eins dieser Antivirus-Makros handelt, da es
  585.            auch denkbar wäre, daß sich ein Makro-Virus als ein solches
  586.            Schutz-Makro tarnt. Generell ist von der Benutzung solcher
  587.            Schutz-Makros abzuraten, da der durch sie erreichte Schutzlevel
  588.            nicht besonders hoch liegt.
  589.  
  590.  
  591.        "F/WIN kann diese Datei nicht zuverlässig reinigen!"
  592.  
  593.            Diese Meldung zeigt F/WIN an, wenn die erste Reinigungsmethode
  594.            nicht korrekt ausgeführt werden konnte. In diesen Fall sollten
  595.            Sie Methode 2 ("Makronamen löschen") benutzen.
  596.  
  597.  
  598.        "Dieses Dokument ist intern fragmentiert."
  599.        "Die Reparatur könnte fehlgeschlagen sein!"
  600.  
  601.            F/WIN überprüft bei der Reinigung, ob das Dokument fragmentiert
  602.            ist. Ein solches Dokument kann durch seinen komplizierten internen
  603.            Aufbau nicht mehr ohne weiteres gereinigt werden. Bis zu einen
  604.            gewissen Grad ist F/WIN in der Lage, fragmentierte Dokumente zu
  605.            behandeln. Zeigt F/WIN diese Warnung an, sollte zuerst die
  606.            Reinigungsmethode 2 ("Makronamen löschen") probiert werden. Oft
  607.            führt diese noch zum Erfolg, wenn das Dokument stark fragmentiert
  608.            ist und der Virus kann noch erfolgreich entfernt werden. Wird
  609.            allerdings auch bei der Reinigungsmethode 2 die Fragmentierungs-
  610.            Warnung angezeigt, kann das Dokument nicht hundertprozentig sicher
  611.            korrekt gereinigt werden. Bitte schicken Sie dem Autor solche
  612.            Fälle zu, damit F/WIN weiter verbessert werden kann!
  613.  
  614.  
  615.        "Die Makros innerhalb der Datei sind deaktiviert!"
  616.  
  617.            Einige Antiviren-Programm entfernen Makro-Viren einfach indem nur
  618.            bestimmte Bytes in der Makro-Liste gelöscht werden. Der Virus ist
  619.            zwar damit vollständig deaktiviert, aber der gesamte Programmcode
  620.            des Virus ist noch vorhanden (kann aber nicht mehr angesprochen
  621.            werden). Etliche Antiviren-Programme erkennen derart gereinigte
  622.            Dokumente immer noch als infiziert, da sie das DOC-Format nicht
  623.            genau genug (oder überhaupt nicht) analysieren. Besonders schlecht
  624.            programmierte Antiviren-Programme reinigen Makro-Viren nur durch
  625.            ein simples Überschreiben der Makronamen mit Leerzeichen; der
  626.            Virus ist zwar vorerst deaktiviert, aber nicht gelöscht und kann
  627.            immer noch ausgeführt werden.
  628.  
  629.  
  630.        "F/WIN kann keine Winword 2.0-Dokumente überprüfen!"
  631.  
  632.            F/WIN kann Makro-Viren lediglich in Dokumenten der Version 6.0
  633.            oder 7.0 von Microsoft Word erkennen.
  634.  
  635.  
  636.        "- Startet andere DOS- oder Windows-Programme! (Shell)"
  637.  
  638.            Es ist möglich, über WordBasic andere DOS- oder Windows-Programme
  639.            zu starten. Einige Viren nutzen dies aus und rufen Programme wie
  640.            FORMAT oder DELTREE auf, um Schaden anzurichten.
  641.  
  642.  
  643.        "- Loescht andere Dateien! (Kill)"
  644.  
  645.            Mit diesen Befehl werden Dateien auf der Festplatte gelöscht.
  646.            Normalerweise wird dieser Befehl eher selten von normalen Makros
  647.            benutzt.
  648.  
  649.  
  650.        "- Ändert die Dateiattribute anderer Dateien"
  651.  
  652.            Mit diesen Befehl können Dateiattribute wie READ-ONLY, HIDDEN
  653.            oder SYSTEM verändert werden. Einige Viren benutzen diesen
  654.            Befehl, um geschützte Dateien (z.B. IO.SYS, MSDOS.SYS)
  655.            manipulieren zu können.
  656.  
  657.  
  658.        "- Direkter Schreibzugriff auf andere Dateien (Write)"
  659.  
  660.            'Write' verändert den Dateiinhalt von beliebigen Dateien. Viren
  661.            wie z.B. <WordMacro.Nuclear> benutzen diesen Befehl, um Debug-
  662.            Scripts mit DOS-Viren ins System einschleusen zu können.
  663.  
  664.  
  665.        "- Benutzt das Makro 'DateiSpeichernUnter' ('FileSaveAs')"
  666.  
  667.            Dieses Makro wird von jedem der bisher bekannten Makro-Viren
  668.            benutzt, um beim Speichern von Dokumenten diese in Makro-Vorlagen
  669.            umwandeln zu können. Normale Makros benutzen diesen Befehl eher
  670.            selten.
  671.  
  672.  
  673.        "- Kopiert Makros in die globale Vorlage ('KopiereMakro')"
  674.  
  675.            Auch dieser Befehl wird von allen bisher bekannten Makro-Viren
  676.            benötigt, da hiermit die eigentlichen Makros in weitere Dokumente
  677.            übertragen werden. Als erstes versuchen Makro-Viren meistens die
  678.            globale Makro-Vorlage NORMAL.DOT zu infizieren.
  679.  
  680.  
  681.        "- Benutzt den Befehl 'Organisieren .Kopieren' um Makros zu kopieren"
  682.  
  683.            Neben dem Befehl 'KopiereMakro' können Makros auch über die
  684.            Funktion 'Organisieren .Kopieren' kopiert werden. Einige Makro-
  685.            Viren benutzen diesen Befehl alternativ um der Erkennung durch
  686.            Antiviren-Programme zu entgehen.
  687.  
  688.  
  689.        "- Schaltet die Warnungen beim Schreibzugriff auf NORMAL.DOT ab"
  690.  
  691.            Über die Option 'Extras/Optionen' kann der Anwender Word so
  692.            konfigurieren, daß es vor der Veränderung der globalen Makro-
  693.            Vorlage NORMAL.DOT den Schreibzugriff meldet. Diese Option kann
  694.            als Schutz vor Makro-Viren dienen, da diese NORMAL.DOT in der
  695.            Regel als erstes infizieren. Leider läßt sich dieser Schutz
  696.            genauso schnell wieder durch einen Virus ausschalten.
  697.  
  698.  
  699.        "- Schaltet die Funktionen der Auto-Makros wieder ein"
  700.  
  701.            Mit dem Befehl 'AutoMakroUnterdrücken' kann verhindert werden,
  702.            daß Microsoft Word Makros wie AutoOpen, AutoExit oder AutoExec
  703.            automatisch ohne Abfrage ausführt. Dies ist normalerweise der
  704.            Fall, wird aber von einigen Anwendern als einfacher Virenschutz
  705.            ausgeschaltet. Dieser Schutz ist an sich schon zweifelhaft: Viren
  706.            können immer noch über Makros wie DateiSpeichern, DateiBeenden
  707.            und andere System-Makros aktiv werden und die Blockierung von
  708.            Auto-Makros wieder ausschalten.
  709.  
  710.  
  711.        "- Enthält Makros, hat aber trotzdem die Namensendung '.DOC'"
  712.  
  713.            Regulär benennt Microsoft Word Makro-Vorlagen mit der Datei-
  714.            erweiterung ".DOT". Da sie sonst zu schnell auffallen würden,
  715.            behalten die Makro-Viren beim Umwandeln der Dokumente in Makro-
  716.            Vorlagen die alte Dateiendung ".DOC" bei. Microsoft Word selber
  717.            benötigt diese Endung nicht, um die beiden Dateitypen zu unter-
  718.            scheiden. Makro-Vorlagen, die eine ".DOC"-Dateiendung aufweisen,
  719.            können schon als recht verdächtig angesehen werden.
  720.  
  721.  
  722.        "- Enthält Execute-Only Makros (Verschüsselte Makros)"
  723.  
  724.            Durch Angabe bestimmter Parameter kann Microsoft Word beim
  725.            Kopieren von Makros über den Befehl "KopiereMakro" das Attribut
  726.            "Execute-Only" setzen. Execute-Only Makros können nur noch
  727.            gestartet, umbenannt oder gelöscht werden; ein Editieren oder
  728.            Betrachten ist nicht mehr möglich. Diese Funktion ist ideal
  729.            für Makro-Viren, die damit ihren Programmcode vor den Anwendern
  730.            verstecken können; daher benutzen bis auf <WordMacro.Concept>
  731.            alle bekannten Makro-Viren diese Funktion. Enthält ein Dokument
  732.            Execute-Only- und System-Makros wie 'AutoOpen' und 'DateiSpeichern
  733.            Unter' und ist zusätzlich noch in ".DOC" umbenannt, kann man mit
  734.            einiger Sicherheit von einer Infektion durch einen Makro-Virus
  735.            ausgehen. F/WIN kann verschlüsselte Makros problemlos untersuchen,
  736.            dabei werden unter anderem einfache "Brute-Force" oder "X-Ray"-
  737.            Techniken verwendet (d.h. das F/WIN annimmt, daß jedes Dokument
  738.            verschlüsselt ist und daher dekodiert werden muß).
  739.  
  740.  
  741.        "- Enthält Makros"
  742.  
  743.            F/WIN zeigt diese Warnung an, wenn das Dokument generell Makros
  744.            enthält. Dabei müssen diese nicht unbedingt System- oder Auto-
  745.            Makros wie etwa AutoOpen oder DateiSchließen sein, allerdings
  746.            zeigt F/WIN Warnungen erst bei einer gewissen Konstellation von
  747.            verdächtigen Befehlen an. Findet F/WIN nur reguläre Makros ohne
  748.            verdächtigen Inhalt, wird die Suche nicht unterbrochen.
  749.  
  750.  
  751.        "- System-Makros: ..."
  752.  
  753.            Hier wird genau aufgelistet, welche System- oder Auto-Makros das
  754.            Dokument enthält. System-Makros sind wichtig für die Funktion von
  755.            Microsoft Word und werden daher von den Viren manipuliert und
  756.            durch eigene Funktionen ersetzt. Besonders oft werden die
  757.            Funktionen "AutoOpen" und "AutoClose" von Viren übernommen, aber
  758.            neuere Makroviren benutzen verstärkt andere Funktionen, um
  759.            Antiviren-Programme und Schutzfunktionen zu umgehen.
  760.  
  761.  
  762.        "- Enthält Makro-Shortcuts"
  763.  
  764.            Es ist möglich, Makros bestimmte Tasten oder Tastenkombinationen
  765.            zuzuweisen. Zum Beispiel könnte ein Makro beim Drücken der Taste
  766.            'BildAb' (PgDn) aktiviert werden. Die bekannten Makro-Viren nutzen
  767.            dies noch nicht aus, aber es ist nur eine Frage der Zeit, bis
  768.            Viren erscheinen, die diese Funktion ausnutzen. Mit Hilfe von
  769.            Shortcuts sind Viren nicht mehr auf die sonst für sie so wichtigen
  770.            Systemmakros wie 'AutoOpen', 'DateiSchließen' usw. angewiesen.
  771.  
  772.  
  773.        "- Schaltet die Schnellspeicherungs-Funktion ein
  774.  
  775.            Dokumente, die mit aktivierter Schnellspeicherungs-Option ge-
  776.            speichert wurden sind intern wesentlich komplizierter aufgebaut.
  777.            Einige Antiviren-Programme kommen mit solchen Dokumenten nicht
  778.            zurecht, daher versuchen einige Makro-Viren durch Einschalten
  779.            dieser Option unerkannt zu bleiben. Ein weiterer Grund für die
  780.            Benutzung ist, daß Aktivität des Makro-Virus weiter beschleunigt
  781.            wird und der Virus somit weniger schnell auffällt.
  782.  
  783.  
  784.        "- Entfält Formularfelder mit Makroverbindung"
  785.  
  786.            Neben den Systemmakros wie z.B. AutoOpen oder DateiSpeichernUnter
  787.            kann ein Makro-Virus auch Formularfelder mit On-Entry und On-Exit
  788.            Makros verwenden, um sich automatisch aktivieren zu lassen.
  789.  
  790.  
  791.        "- Entfernt Dokumentschutz für Formularfelder"
  792.  
  793.            Die On-Entry und On-Exit-Makros von Formularfelders werden nur
  794.            automatisch ausgeführt, wenn das Dokument geschützt ist. Ein
  795.            Makro-Virus, der diese Aktivierungsmethode ausnutzen will, muß
  796.            also diesen Dokumentschutz aus- und einschalten, um mit den
  797.            infizierten Dokument arbeiten zu können.
  798.  
  799.  
  800.        "- Dieser Virus basiert auf <Concept>"
  801.  
  802.            <Concept> war der erste bekannte Makro-Virus, der sich bei den
  803.            Anwendern weltweit ausbreiten konnte. Mittlerweile gilt er sogar
  804.            als der verbreiteste Virus weltweit überhaupt. Viele Viren-
  805.            programmierer verwenden <Concept> als Vorlage, um neue Makro-Viren
  806.            zu schreiben. F/WIN meldet Viren, die Teile des ursprünglichen
  807.            <Concept>-Virus enthalten.
  808.  
  809.  
  810.        "- Dieser Virus hat Ähnlichkeiten mit <...>"
  811.  
  812.            Zusätzlich zu der Analyse des Virus gibt F/WIN den Namen des
  813.            Virus an, wenn es sich um einen der bisher bekannten Makro-Viren
  814.            handelt.
  815.  
  816.  
  817.        "- Aktiviert Makros über Add-In's"
  818.  
  819.            Add-In's stellen eine weitere Möglichkeit für Makro-Viren dar,
  820.            sich unbemerkt ins System einschleusen zu können. Add-Ins werden
  821.            zusammen mit der globalen Makrovorlage NORMAL.DOT geladen, daher
  822.            muß ein Virus, der sich als Add-In deklariert nicht mehr selber
  823.            in NORMAL.DOT kopieren.
  824.  
  825.  
  826.  
  827. 6.  MAKRO- UND WINDOWS EXE-VIREN
  828. ============================================================================
  829.  
  830.        Makro-Viren sind keine neue Erfindung, die Idee besteht schon seit
  831.        Jahren. Aber erst 1994 untersuchte ein amerikanischer Sicherheits-
  832.        techniker die Gefahr von Makro-Viren speziell für Microsoft Word und
  833.        Microsoft Excel. Seine sehr ausführliche Analyse enthielt unter
  834.        anderen zwei Demonstrations-Viren, <WordMacro.DMV> und <Excel.DMV>,
  835.        wobei DMV für Demo Macro Virus steht. Trotz dieser Warnungen
  836.        reagierten die Hersteller der Antiviren-Programme nicht, wie es
  837.        leider in der AV-Branche allgemein üblich ist. Erst als Mitte 1995
  838.        der erste Microsoft Word Makro-Virus in freier Wildbahn gefunden
  839.        wurde, brach bei den Anwendern Panik und bei den Antiviren-Firmen
  840.        große Hektik aus; es galt, schnell eine Lösung zu finden.
  841.        <WordMacro.Concept> war dieser erste verbreitete Makro-Virus, sein
  842.        genauer Ursprung ist unbekannt. <Concept> breitete sich sehr schnell
  843.        aus und gilt heute international als sehr verbreitet (ITW). <Concept>
  844.        ist an sich harmlos, er zeigt lediglich ein Fenster mit einer "1"
  845.        bei seiner ersten Aktivierung an. Das Makro mit dem bezeichnenden
  846.        Namen "Payload" blieb offenbar absichtlich leer. Der Virus enthält
  847.        den Text "That's enough to prove my point", der allerdings nicht
  848.        angezeigt wird.
  849.        Weitere Makro-Viren ließen nicht lange auf sich warten, als nächstes
  850.        erschienen <WordMacro.Nuclear> und <WordMacro.Colors>. Beide sind
  851.        fortschrittlicher als <Concept> und benutzen Execute-Only Makros, um
  852.        ihre Analyse zu erschweren. <Nuclear> enthält einen normalen DOS-
  853.        Virus, der aus dem Dokument ins System eingeschleust wird bzw.
  854.        eingeschleust werden soll; der Virus hat einen Bug, der dies
  855.        verhindert. Zu bestimmten Uhrzeiten fügt dieser Virus beim Versenden
  856.        von Dokumenten den Text "And finally I would like to say - STOP ALL
  857.        FRENCH NUCLEAR TESTING IN THE PACIFIC!" hinzu. <Colors> ist nicht so
  858.        fehlerhaft wie die beiden vorherigen Makro-Viren programmiert und
  859.        ändert die Bildschirmfarben von Windows.
  860.        Da in der deutschen Version von Microsoft Word neben den normalen
  861.        Anzeigen auch die Makro-Namen übersetzt wurden, funktionieren die
  862.        englischen Makro-Viren in Deutschland nicht richtig; nur NORMAL.DOT
  863.        wird infiziert, ansonsten bleiben die Viren inaktiv. Es ist
  864.        allerdings relativ leicht, unverschlüsselte Viren wie <Concept> zu
  865.        "übersetzen", damit sie mit der deutschen Version von Microsoft Word
  866.        funktionieren. Bisher sind aber noch keine solchen Fälle aufgetreten
  867.        und die ursprünglichen Makro-Viren sind in Deutschland kaum
  868.        verbreitet. Denoch sollte die Gefahr durch Makro-Viren nicht unter-
  869.        schätzt werden, WordBasic bietet eine sehr große Anzahl von
  870.        Möglichkeiten für Makro-Viren oder Trojaner.
  871.        Mittlerweile ist ein deutscher Makro-Virus bekannt, <Xenixos>, der
  872.        unter anderem den DOS-Virus <Neuroquila> enthält und ins System ein-
  873.        schleust.
  874.  
  875.        Windows EXE-Viren sind relativ schwierig zu programmieren, erstens
  876.        weil das Windows-Programmformat sich erheblich von den DOS-EXE unter-
  877.        scheidet (und kaum dokumentiert ist) und zweitens, weil nicht die
  878.        herkömmlichen DOS-Funktionen für den Dateizugriff benutzt werden
  879.        können (oder nur teilweise über DPMI). Es gab vor <NE.Winsurfer>
  880.        eine Reihe von Windows EXE-Viren, wie etwa <WinVir>, <Twitch> oder
  881.        <WinVik>. Alle diese Viren beherrschen allerdings das Windows EXE-
  882.        Dateiformat (NE-EXE) nicht besonders gut und waren zum Teil fehler-
  883.        haft. Diese Windows EXE-Viren galten als reine Laborviren, bis 1995
  884.        ein australischer Virenprogrammierer einen Windows EXE-Virus schrieb,
  885.        der diese Programme "effektiv" und voll funktionsfähig infizeren
  886.        konnte. Die Infektionsmethode von <NE.Winsurfer> ist den bisherigen
  887.        Windows EXE-Viren überlegen und wird vermutlich weiter von anderen
  888.        Virenprogrammierern kopiert werden. Bis jetzt sind vier Viren bekannt,
  889.        die dieses Infektionsschema benutzen. Trotz der neuen Infektions-
  890.        methode gelten auch diese Windows EXE-Viren als reine Laborviren, bis
  891.        auf <NE.Ph33r>, der durch <WordMacro.Nuclear> eine relativ weite
  892.        Verbreitung erreichte.
  893.  
  894.        Anfang Februar 1996 ging die Meldung über den ersten Virus durch die
  895.        Presse. <PE.Boza> stammt von der gleichen Programmierergruppe aus
  896.        Australien wie <Winsurfer> und <Ph33r> und ist ein nicht-residenter
  897.        Windows95 EXE-Virus. Der Virus sorgte für einiges Aufsehen, obwohl
  898.        er bis heute nur in den Virensammlungen der Virenforscher zu finden
  899.        ist (oder sein sollte) und aufgrund technischer Mängel sich
  900.        vermutlich nie weit verbreiten wird. Ähnlich wie bei den Windows EXE-
  901.        Programmen ist das Windows95 EXE-Format erheblich schwieriger zu
  902.        infizieren, als die alten DOS EXE-Programme. Genau wie <Winsurfer>
  903.        benutzt <Boza> eine recht "markante" Methode, Programme zu
  904.        infizieren. Der Virus ist zudem fehlerhaft und vergrößert unter
  905.        Umständen Programme bis zu einigen Megabytes, ansonsten ist er
  906.        harmlos und zeigt gelegentlich ein Fenster mit Texten an, in denen
  907.        die Virenprogrammierer mit ihrer "Leistung" angeben.
  908.  
  909.        Weder die Windows (NE-EXE) noch die Windows 95 (PE-EXE)-Viren sind
  910.        in Deutschland verbreitet, aber denoch besteht die Gefahr, daß andere
  911.        Virenprogrammierer die bestehenden Viren als Vorlage benutzen und
  912.        weitere Windows EXE-Viren schreiben werden; vor allem deswegen, weil
  913.        die australischen Virenprogrammierer die Sourcecodes der Viren mit
  914.        genauen Beschreibungen der Infektionsmethoden veröffentlicht haben.
  915.  
  916.  
  917. 7.  SHAREWARE, LIZENZBESTIMMUNGEN, GARANTIE
  918. ============================================================================
  919.  
  920.        F/WIN ist SHAREWARE. Das bedeutet, daß Sie die SHAREWARE-Version
  921.        30 Tage lang testen dürfen. Wollen Sie das Programm nach dieser
  922.        Testzeit weiterhin benutzen, müssen Sie sich registrieren und eine
  923.        Nutzungslizenz erwerben. Ansonsten müssen Sie nach den 30 Tagen
  924.        das Programm von Ihren Computer entfernen.
  925.  
  926.        Die SHAREWARE-Version darf beliebig kopiert und vervielfältigt
  927.        werden, solange die Programme und zugehörigen Dateien von F/WIN
  928.        unverändert und vollständig bleiben. Es ist ausdrücklich erlaubt
  929.        und erwünscht, daß F/WIN in Mailboxen oder anderen Online-Diensten
  930.        verbreitet wird.
  931.  
  932.        Als registrierter Anwender erhalten Sie eine Nutzungslizenz, die
  933.        Ihnen das Recht gibt, F/WIN auf jeweils einem System einzusetzen.
  934.        F/WIN kann auf mehrere Systeme kopiert werden, es darf aber nur
  935.        auf einem Computer zeitgleich benutzt werden und es muß sicher-
  936.        gestellt werden, daß keine weiteren Personen die Vollversion
  937.        benutzen oder sich den Registrierungsschüssel aneignen können.
  938.        Die Nutzungslizenz ist exklusiv und kann nicht verkauft, übertragen,
  939.        vermietet, verpachtet oder verliehen werden, egal ob zeitweise oder
  940.        dauerhaft. Es ist nicht gestattet, den Registrierungsschlüssel der
  941.        Vollversion in irgendeiner Weise zu vervielfältigen, kopieren oder
  942.        zu verändern. Allerdings darf der Registrierungsschlüssel zu
  943.        Sicherungszwecken (Backup) kopiert werden.
  944.  
  945.        Für das Programm F/WIN hat der Autor Stefan Kurtzhals das Urheber-
  946.        recht. Alle Rechte bleiben vorbehalten. Es ist untersagt, das
  947.        Programm auf irgendeine Art zu verändern, disassemblieren, zu
  948.        debuggen oder auf andere Weise intern auszuwerten.
  949.  
  950.        ------------------------------------------------------------------
  951.        Der Autor übernimmt  keinerlei Garantie oder  Haftung für Schäden,
  952.        die direkt oder indirekt auf  einen Gebrauch oder durch die Nicht-
  953.        verwendbarkeit von F/WIN zurückzuführen sind.  Das gilt auch dann,
  954.        wenn der Autor über die Möglichkeit solcher Schäden informiert war
  955.        oder ist. Das verwendete Such- und Reinigungsverfahren (Heuristik)
  956.        erkennt und reinigt  Viren nicht auf jeden  Fall hundertprozentig.
  957.        ------------------------------------------------------------------
  958.  
  959.  
  960.        Informationen über die Shareware-Version:
  961.        ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  962.  
  963.        Die Shareware-Version hat gegenüber der Vollversion folgende
  964.        Beschränkungen:
  965.  
  966.          1) Die Reinigungsfunktion für Makro-Viren kann nur die Datei
  967.             NORMAL.DOT reinigen.
  968.          2) Windows-EXE-Viren können nicht gereinigt werden.
  969.          3) Die Funktion /REPORT ist nicht verfügbar.
  970.             (und damit sämtliche Batch-Modi)
  971.          4) Der Parameter /MODE:n (erweiterte Suchmodi) ist nicht verfügbar.
  972.  
  973.        Die Shareware-Version darf 30 Tage lang getestet werden, danach
  974.        muß der Anwender entweder die Vollversion erwerben oder das
  975.        Programm von seinem Computer entfernen.
  976.  
  977.        Um die Vollversion zu bestellen, füllen Sie bitte das Formular
  978.        in der Datei REGISTER.TXT aus und schicken Sie es an die unten
  979.        angegebene Adresse. Falls der Registrierungsschlüssel als PGP-
  980.        Mail über das Internet verschickt werden soll, wird unbedingt Ihr
  981.        Public PGP Key benötigt!
  982.  
  983.        Es gibt zwei Arten der Registrierung:
  984.  
  985.        ■ Private Registrierung     : 30 DM
  986.        ■ Gewerbliche Registrierung : 100 DM
  987.  
  988.        Wenn Sie F/WIN nur zu privaten Zwecken einsetzen, können Sie die
  989.        private Nutzungslizenz erwerben. Schützen Sie allerdings ihre ge-
  990.        werblichen Daten oder setzen Sie F/WIN in einen gewerblich bzw.
  991.        kommerziell genutzten Rechnersystem ein, müssen Sie die gewerbliche
  992.        Nutzungslizenz erwerben. Die gewerbliche Registrierung umfaßt einen
  993.        Update-Service mit vier Updates innerhalb eines Jahres.
  994.  
  995.        Falls Sie verdächtige Dateien oder Programme finden und diese
  996.        auf Virenbefall untersuchen lassen möchten, sollten Sie diese
  997.        Dateien mit PKZIP, ARJ oder RAR komprimieren, mit PGP ver-
  998.        schlüsseln (z.B. PGP -esa DATEI.ZIP) und ebenfalls an die unten
  999.        angegebene Adresse schicken.
  1000.  
  1001.        Anschrift:
  1002.  
  1003.        Stefan Kurtzhals
  1004.        Dörrenberg 42
  1005.        42899 Remscheid
  1006.        E-Mail: kurtzhal@wrcs3.urz.uni-wuppertal.de
  1007.        Tel.: 02191/55126 (Nur von 18:00 bis 21:00)
  1008.  
  1009.  
  1010.        -----BEGIN PGP PUBLIC KEY BLOCK-----
  1011.        Version: 2.6.2i
  1012.  
  1013.        mQCNAi4XHkkAAAEEALTiHszMExp438UEmjJ1g7I6In1DbZW3uOWH97rD1d+h2MaX
  1014.        kyIdav/2rF8MlmK2rsc/YdlfeWNeNTrGH7EISnVBsgqT3H/hGp3ypkzOMZ2neOEN
  1015.        fbu7be+cHtFs9HYXZTg5vkO0J4gqLUbnBEVDVbdcKLJW9p5IJBQJonPBt/hRAAUR
  1016.        tDZTdGVmYW4gS3VydHpoYWxzIDxrdXJ0emhhbEB3cmNzMy51cnoudW5pLXd1cHBl
  1017.        cnRhbC5kZT60NlN0ZWZhbiBLdXJ0emhhbHMgPGt1cnR6aGFsQHdyY3MxLnVyei51
  1018.        bmktd3VwcGVydGFsLmRlPokAlQIFEC4XHn4UCaJzwbf4UQEBAggD/2ir4yfJtOMD
  1019.        GdSynA8zBrrszmh/N8OSKMWtcv65Htje5nPmHvecJlhKUtl17/HBEnMtf3vvBpEL
  1020.        RXrH9qs3u9v23VBrUHl6JLuWIOUBTPP8rhoOCHt9Kcafczr0LtGxKwI6N6brcgHk
  1021.        zVIx+XKkdFZ7EnaSHoHi+iHeGtvy1o7o
  1022.        =QE9d
  1023.        -----END PGP PUBLIC KEY BLOCK-----
  1024.  
  1025.  
  1026.        Um neue Versionen von F/WIN zu erhalten können Sie sich die jeweils
  1027.        neuste Shareware-Version über Mailboxen, Internet oder direkt vom
  1028.        Autor besorgen. Durch Ihren Registrierungsschlüssel wird diese dann
  1029.        in eine voll funktionsfähige Version umgewandelt. Die Shareware-
  1030.        Version von F/WIN ist z.B. bei folgenden Adressen unter dem Namen
  1031.        "FWINnnnG.ZIP" (nnn für die Versionsnummer, z.B FWIN309G.ZIP) zu
  1032.        beziehen:
  1033.  
  1034.        ■ WWW.GEN.COM/FWIN (Homepage)
  1035.        ■ WWW.CYBERBOX.NORTH.DE
  1036.  
  1037.        ■ CYBERBOX - Sascha Klose <2:2426/2031-34> (Magic: FWIN)
  1038.        ■ CYBERBOX BBS (v32b: 0441-3990032, v34: -3990033, ISDN: -9396977)
  1039.        ■ VHM II - Martin Roesler <2:2480/8849> (Magic: FWIN)
  1040.        ■ VHM II BBS (v32 und ISDN: 08638/881108>
  1041.        ■ CEUS BBS (089-448-17-60)
  1042.  
  1043.  
  1044.                                      *
  1045.  
  1046.  
  1047.               F/WIN - Copyright (c) 1996 by Stefan Kurtzhals
  1048.