home *** CD-ROM | disk | FTP | other *** search
/ PC Online 1996 October / PCO_10.ISO / filesbbs / susp.arj / FAQ.DOC < prev    next >
Encoding:
Text File  |  1996-09-05  |  32.8 KB  |  565 lines
  1.  
  2. ┌───────────────────────────────────────────────────────────────────────────┐
  3. │                                                                           │
  4. │                    S   U   S   P   I   C   I   O   U   S                  │
  5. │                                                                           │
  6. │                    Ein "intelligentes" Antiviren-Programm                 │
  7. │                                                                           │
  8. │                           (c) 1996 Stefan Kurtzhals                       │
  9. │                                                                           │
  10. └───────────────────────────────────────────────────────────────────────────┘
  11.  
  12.  
  13.  
  14. [ Generelle Tips zur Benutzung von SUSPICIOUS ]──────────────────────────────
  15.  
  16.  
  17. Was tun, wenn der Rechner bereits vor der Installation infiziert ist?
  18. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  19.     Das hängt ganz davon ab, um was für ein Virustyp es sich handelt. MEMCHK
  20.     zeigt bei seiner Analyse wahrscheinlich die Meldung "File" oder "Disk"
  21.     in der Analyse des verdächtigen Speichers bereits an. Außerdem führt
  22.     MEMCHK einen Aktivitätstest durch und wird Dateiviren explizit melden.
  23.     Ein aktiver EXE-Virus würde z.B. die folgende Meldung erzeugen:
  24.  
  25.     "Test auf aktiven Virus: ...... !! (EXE-Virus gefunden)"
  26.  
  27.     Bootviren reduzieren oft die DOS-Speicherobergrenze. Wenn also MEMCHK bei
  28.     eine Anzeige wie
  29.  
  30.     "Speicherobergrenze (TOM) ..... !! (639 KB)"
  31.  
  32.     anzeigt, ist es ziemlich wahrscheinlich, daß das System mit einen Boot-
  33.     virus infiziert ist.
  34.  
  35.     Vorgehensweise bei einer Bootvirus-Infektion:
  36.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  37.     Bootviren können mit SDISK bekämpft werden. Entweder, man benutzt die
  38.     Immunisierungsfunktion von SDISK, um den Viruscode im Partitionssektor zu
  39.     überschreiben ("SDISK /IMMUNIZE=HD0") oder (falls der Virus Tarnkappen-
  40.     Eigenschaften hat) man benutzt die Reinigungsfunktion von SDISK für
  41.     Stealth-Viren. Um festzustellen, ob der Virus Tarnkappen-Eigenschaften
  42.     hat, ruft man SDISK ohne Parameter auf (es muß nicht von einer Diskette
  43.     gestartet werden!). SDISK wird melden, daß noch keine Datei DISKDATA.SVS
  44.     vorhanden ist. Man wählt den Menüpunkt 'Erzeugen von DISKDATA.SVS' an.
  45.     SDISK wird dann entsprechende Tests durchführen und entweder melden, daß
  46.     der Partitionssektor verdächtig, oder daß ein Stealthvirus aktiv ist. Im
  47.     letzteren Fall kann man einen speziellen Menüpunkt zur Reinigung von
  48.     Stealth-Viren anwählen, im ersten Fall muß die Immunisierungsfunktion von
  49.     SDISK benutzt werden. SDISK kann die Festplatte auch mit aktivem Virus
  50.     immunisieren, es ist allerdings zu empfehlen, vorher von einer sauberen
  51.     Startdiskette zu booten. Der Aufruf erfolgt, wie bereits erwähnt, mit
  52.     "SDISK /IMMUNIZE=HD0". SDISK prüft, ob der aktuelle Partitionssektor noch
  53.     gültig ist. Einige Viren wie <Monkey> oder <Neuroquila> fügen eine un-
  54.     gültige Partitionstabelle ein, die z.B. bei FDISK /MBR zu Datenverlust
  55.     führen würde. SDISK erkennt solche Sektoren ohne Probleme. Meldet SDISK,
  56.     daß die Immunisierung nicht möglich ist, bleibt noch eine dritte Methode:
  57.     "SDISK /RESCAN". Im RESCAN-Modus versucht SDISK, anhand der meistens noch
  58.     vorhandenen Bootsektoren eine neue Partitionstabelle zu berechnen und
  59.     durchsucht gleichzeitig die ungenutzten Bereiche der Festplatte nach
  60.     Kopien des Partitionssektors, wie Viren sie oft anlegen. Findet SDISK
  61.     im RESCAN-Modus passende Kopien oder ist es in der Lage, die Partition
  62.     erfolgreich zu rekonstruieren, kann der neue Partitionssektor geschrieben
  63.     und damit der Virus entfernt werden. Sollte SDISK Kopien finden, sind
  64.     diese stets dem berechneten Sektor vorzuziehen. Allerdings sollte un-
  65.     bedingt darauf geachtet werden, daß im angezeigten Sektor die richtige
  66.     Anzahl von Partitionen und die richtige Größe eingetragen sind!
  67.  
  68.     Hat man den Bootvirus erfolgreich aus der Partition entfernt, muß jede
  69.     Diskette überprüft werden, die in letzter Zeit benutzt wurde. Das kann
  70.     entweder mit Scannen durch SSC erfolgen oder 'passiv' durch SVS, das bei
  71.     jedem Lesen von einer Diskette den Bootsektor auf Virenbefall prüft.
  72.  
  73.  
  74.     Vorgehensweise bei einer Dateivirus-Infektion:
  75.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  76.     Das Entfernen eines Dateivirus ist schon weitaus problematischer, als das
  77.     Entfernen eines Bootvirus. Wenn vor der Infektion keine Prüfsummendateien
  78.     mit SCRC angelegt wurden, ist es prinzipiell nur dann möglich, den Virus
  79.     zu entfernen, wenn dieser Tarnkappen-Eigenschaften hat, also dem Anwender
  80.     angeblich saubere Programme vortäuscht. MEMCHK ist meistens in der Lage,
  81.     einen Stealthvirus auch als solches zu identifizieren ('Stealth-Virus
  82.     gefunden'). Hat der Virus Tarnkappen-Eigenschaften, kann er problemlos
  83.     durch sich selbst gereinigt werden! Dazu muss wie folgt vorgegangen
  84.     werden:
  85.  
  86.     1. Eine Datendiskette anlegen, die SDISK.EXE enthält.
  87.        (SDISK.EXE nicht auf die Startdiskette kopieren!)
  88.     2. Den Rechner normal starten, damit der Virus aktiv ist (!).
  89.     3. "SCRC /ALLDRV /INIT /NOAS" aufrufen.
  90.     4. "SCRC /ALLDRV" aufrufen.
  91.     5. Alle Programme, die jetzt als verändert gemeldet werden, können
  92.        anhand der Prüfsumme gereinigt werden.
  93.     6. Den Rechner sofort ausschalten und von einer sauberen Bootdiskette
  94.        neu starten.
  95.     7. Von der Datendiskette "SDISK /IMMUNIZE=HD0" aufrufen, um den
  96.        Partitionssektor zu reinigen (falls es sich bei dem Virus um einen
  97.        Hybrid-Virus handelt).
  98.  
  99.     Der Trick besteht darin, den Anti-Stealth-Zugriff von SCRC abzuschalten
  100.     und die vom Virus gelieferten sauberen Werte abzuspeichern. Beim zweiten
  101.     Durchlauf wird dann der Anti-Stealth-Modus wieder benutzt und SCRC kann
  102.     am Virus vorbei die Dateien reinigen. SDISK ist deshalb notwendig, da
  103.     einige Stealth-Viren gleichzeitig auch Hybrid-Viren sind und neben
  104.     Programmen auch den Partitionssektor infiziert haben.
  105.  
  106.  
  107. Was tun, wenn der Rechner infiziert wird und SUSPICIOUS installiert ist?
  108. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  109.     Hat man alle Vorsichtsmaßnahmen getroffen und neben einer Rettungs-
  110.     diskette mit SDISK sowie den aktuellen Partitionsdaten auch über SCRC
  111.     Prüfsummen zu allen Programmen auf der Festplatte angelegt, ist die
  112.     Reinigung in den meisten Fällen eine Sachen von Minuten! Keiner der in
  113.     Deutschland (und auch kaum einer der weltweit verbreiteten) Viren benutzt
  114.     Infektionsmethoden, die für SCRC oder SDISK ein Problem sind.
  115.     Folgende Schritte reichen in den meisten Fällen aus, um den Virus zu
  116.     entfernen:
  117.  
  118.     1. Den Rechner komplett ausschalten und von einer sauberen Startdiskette
  119.        booten (Tip: Die Diskette sollte HIMEM.SYS in der CONFIG.SYS einge-
  120.        tragen haben).
  121.  
  122.     2. Auf die Rettungsdiskette wechseln und SDISK aufrufen. Ist der Boot-
  123.        oder Partitionssektor verändert, sollte er anhand der angelegten
  124.        Kopien wiederhergestellt werden. Wurden Sektoren neu geschrieben, muß
  125.        wieder bei Schritt 1. angefangen werden.
  126.        Wichtig: Falls Sie ihre Partition verändern oder neue Festplatten
  127.        installiert haben, müssen Sie unbedingt auch die Sektorkopien von
  128.        SDISK auf der Rettungsdiskette aktualisieren!
  129.  
  130.     3. SCRC /ALLDRV aufrufen und alle veränderten Programme reparieren lassen.
  131.        Lassen sich alle Programme problemlos reinigen oder sind keine ver-
  132.        änderten Programme vorhanden, ist der Rechner mit jetzt so gut wie
  133.        sicher wieder virenfrei. Kann SCRC einige der Dateien nicht reinigen,
  134.        müssen Sie sich die Namen und Position der betreffenden Programme
  135.        merken und diese durch Backup oder Neuinstallation ersetzen. Kann SCRC
  136.        keins der veränderten Programme reinigen, rufen Sie mich bitte um-
  137.        gehend an (ein solcher Fall ist unwahrscheinlich, da alle deutschen
  138.        ITW-Viren die übliche 0815-Infektionsmethode verwenden).
  139.        Wichtig: Die Prüfsummendateien müssen immer auf den aktuellsten Stand
  140.        gehalten werden. Ein tägliches Aufrufen (z.B. mit der /DAILY-Option)
  141.        in der CONFIG.SYS ist sehr zu empfehlen! Wenn SCRC keine korrekten
  142.        und aktuellen Prüfsummendaten einer Datei zur Verfügung hat, kann
  143.        diese auch nicht gereinigt werden.
  144.  
  145.     4. Danach muß die Quelle der Infektion festgestellt werden. Falls es sich
  146.        bei dem Virus um einen Bootvirus handelt, müssen alle Disketten (auch
  147.        reine Datendisketten!) mit SSC (direktes Scannen) oder SVS (passives
  148.        Scannen) überprüft werden. Falls noch nicht geschehen und wenn das
  149.        BIOS diese Option anbietet, sollte unbedingt die Startsequenz des
  150.        Rechners von "A: C:" auf "C: A:" umgestellt werden, um weitere
  151.        Infektionen durch Bootviren zu vermeiden.
  152.        Bei Dateiviren ist die Suche mitunter weitaus problematischer, da
  153.        Dateiviren weitaus raffinierter als Bootviren versteckt werden können.
  154.        Wenn der Virus nicht bereits im ersten Durchgang (z.B. von SSC)
  155.        entdeckt wurde, ist die Wahrscheinlichkeit hoch, daß er sich in einem
  156.        Programm befindet, das mit Absicht nachträglich speziell komprimiert
  157.        oder verschlüsselt wurde. Es gibt eine Unmenge von Programmen, die
  158.        dies problemlos jedem Möchtegernhacker erlauben. Ein grosser Teil
  159.        dieser Kodierungen kann mit dem Freeware-Programm UNP (4.11) rück-
  160.        gängig gemacht werden. Alle neuen Programme oder Archive (ZIP, ARJ,
  161.        RAR etc.) müssen entkomprimiert und erneut mit allen verfügbaren
  162.        Virenscannern durchsucht werden. Wird dabei der Virus von anderen
  163.        Virenscannern gefunden, von SSC aber übersehen, bitte ich um Zusendung
  164.        der infizierten Datei (als PGP-Email oder über normale Post) damit SSC
  165.        verbessert werden kann. Sollte die Quelle des Dateivirus nicht auszu-
  166.        machen sein, ist es empfehlenswert, die nächsten Tage SVS mit erhöhter
  167.        Sicherheit permanent zu benutzen, um evtl. Refinfektionen zu ver-
  168.        hindern.
  169.  
  170.        Diese ganze Suche nach dem Ursprung der Infektion mag mühsam und
  171.        überflüssig erscheinen, wird dies aber nicht gemacht, ist die Wahr-
  172.        scheinlichkeit, daß der Virus bereits nach ein paar Tagen das System
  173.        wieder infiziert, sehr hoch. Da lohnt sich der zusätzliche Aufwand
  174.        dann doch wohl schon...
  175.  
  176.  
  177. Wie setzt man SUSPICIOUS optimal ein?
  178. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  179.     a) SSC: Mit SSC sollten alle neuen Programme vor dem Ausführen auf Viren-
  180.        befall überprüft werden. Dazu ist es unbedingt notwendig, die zu
  181.        durchsuchende Datei vorher mit Tools wie UNP (4.11) vorher zu ent-
  182.        komprimieren. SSC selber erkennt eine Anzahl von Komprimierern und
  183.        meldet dann die Flags "A:k" (in Grün). Es ist nicht sinnvoll, jeden
  184.        Tag seine gesamte Festplatte mit SSC nach Viren zu durchsuchen. Dafür
  185.        ist SSC schon aufgrund seiner Geschwindigkeit nicht geeignet. Mit SSC
  186.        sollten nur einzelne Verzeichnisse durchsucht werden, in denen sich
  187.        neue Programme befinden. Eine Überwachung der gesamten Festplatte
  188.        sollte mit SCRC und SDISK erfolgen, da diese dies zuverlässiger und
  189.        schneller erledigen können.
  190.  
  191.     b) SCRC: SCRC sollte möglichst einmal täglich in der CONFIG.SYS oder
  192.        AUTOEXEC.BAT aufgerufen werden. Damit SCRC optimal funktioniert, be-
  193.        nötigt es aktuelle und korrekte Prüfsummendaten für jedes zu über-
  194.        wachende Programm. Ohne diese Prüfsummenerstellung ist SUSPICIOUS
  195.        nicht in der Lage, Dateiviren zu entfernen! Mit SETUP kann SCRC so
  196.        konfiguriert werden, daß es nur einmal täglich eine volle Überprüfung
  197.        durchführt und ansonsten im 'FAST' oder 'SYSTEM'-Modus arbeitet.
  198.        Der Eintrag für SCRC sollte am Ende der CONFIG.SYS eingefügt werden
  199.        und wie folgt aussehen:
  200.  
  201.        "INSTALL=C:\PFAD\SCRC.EXE /PATH=C:\PFAD /CFG"
  202.  
  203.        (ohne Anführungszeichen)
  204.  
  205.        INSTALLHIGH ist nicht notwendig, da SCRC kein TSR ist und nicht
  206.        resident im Speicher bleibt.
  207.  
  208.     c) SDISK: SDISK sollte unbedingt in der CONFIG.SYS permanent installiert
  209.        sein. Da es schnell arbeitet, keinen DOS-Speicher belegt (kein TSR)
  210.        und der Partitions- sowie Bootsektor des Systems ein beliebtes
  211.        Angriffsziel von Viren sind, ist der Einsatz unbedingt zu empfehlen.
  212.        Wie bei SCRC ist es auch bei SDISK sehr wichtig, daß es die jeweils
  213.        aktuellen Partitionssdaten als Kopie gespeichert hat. Eine Reinigung
  214.        mit veralteten Partitionsangaben kann zu Datenverlust führen (SDISK
  215.        überprüft aber die Angaben aus der Datei DISKSAVE.DAT auf Integrität).
  216.        Es sollte unbedingt eine Rettungsdiskette angelegt werden (hierfür
  217.        nicht die eigentliche Bootdiskette benutzen!), auf der sich neben
  218.        SDISK, DISKDATA.SVS, ZEROTRK.SVS (und evtl. ODMTRK.SVS) noch SCRC.EXE,
  219.        SETUP.EXE (SUSPICIOUS-Setup), CFG.SVS und SSC.EXE auch noch weitere
  220.        Tools wie andere Antiviren-Programme oder Diskeditoren usw. befinden
  221.        sollten. Wichtig: Wird die Partition geändert oder eine neue Fest-
  222.        platte eingebaut, müssen neben den Kopien von DISKDATA.SVS und
  223.        ZEROTRK.SVS auf der Festplatte auch noch die Kopien auf der Rettungs-
  224.        diskette aktualisiert werden!
  225.        Innerhalb der CONFIG.SYS sollte SDISK wie folgt installiert werden:
  226.  
  227.        "INSTALL=C:\PFAD\SDISK.EXE"
  228.  
  229.        (ohne Anführungszeichen)
  230.        Der Aufruf von SDISK sollte *vor* dem Aufruf von SCRC erfolgen.
  231.  
  232.        Tip für Windows 95-Benutzer:
  233.        SDISK sollte in der CONFIG.SYS oder AUTOEXEC.BAT installiert werden.
  234.        Hier ist Windows 95 noch nicht aktiv (normaler MS-DOS-Modus), so daß
  235.        SDISK problemlos seinen Anti-Stealth-Zugriff einsetzen kann.
  236.  
  237.        Desweiteren kann mit SDISK der Partitionssektor der Festplatte mit
  238.  
  239.        "SDISK /IMMUNIZE=HD0"
  240.  
  241.        immunisiert werden. Dabei wird ein spezieller Antivirus-Partitionscode
  242.        in den Partitionssektor eingefügt, der bei jeden Neustart das System
  243.        auf Veränderungen überprüft. Die Immunisierung löscht nicht die
  244.        Partition, sie kann daher jederzeit durchgeführt werden. Nachdem die
  245.        Festplatte immunisiert wurde, muß natürlich DISKDATA.SVS von SDISK
  246.        aktualisiert werden (falls diese Datei bereits angelegt wurde).
  247.  
  248.        Um Infektionen durch Bootviren auf Disketten zu vermeiden, kann im
  249.        BIOS des Rechners die Startsequenz von "A: C:" auf "C: A:" umgestellt
  250.        werden. Das bedeutet, daß der Rechner nicht mehr von Diskette startet,
  251.        ein simpler aber hunderprozentig effektiver Schutz gegen Bootviren,
  252.        die sich auf Disketten befinden (es sei nochmals darauf hingewiesen,
  253.        daß Bootviren NUR (!) durch Booten von einer infizierten Diskette
  254.        aktiviert werden können, nicht durch DIR A: oder ähnliches).
  255.  
  256.     d) SVS: Da SVS viel DOS-Speicher belegt (ca. 28 KB), sollte es nur dann
  257.        benutzt werden, wenn neue Programme ausprobiert werden. SVS kann dann
  258.        ganz normal über die DOS-Kommandozeile aktiviert werden. Wenn SVS auf
  259.        diese Art eingesetzt wird, ist es zu empfehlen, die Option 'hohe
  260.        Sicherheit' im Menü 'Voreinstellungen' von SETUP einzustellen. Zeigt
  261.        SVS beim Ausführen von neuen Programmen Warnungen wie etwa 'Das Pro-
  262.        gramm versucht den INT 21h im Einzelschrittmodus zu durchlaufen' oder
  263.        'Das Programm XYZ versucht ein anderes Programm zu modifizieren',
  264.        sollte der Start sofort abgebrochen werden. Wurde das Programm vor dem
  265.        Start gründlich mit SSC und anderen Virenscannern überprüft und
  266.        handelt es sich bei den Warnungen von SVS um keine Fehlalarme, können
  267.        Sie das betreffende Programm dem Autor zur weiteren Analyse zu-
  268.        schicken. Wie erkennt man einen Fehlalarm? Wenn ein Anwender-Programm
  269.        versucht, die AUTOEXEC.BAT oder CONFIG.SYS zu löschen, oder ein Spiel
  270.        resident bleiben will und zuvor noch in den Partitionssektor schreiben
  271.        will, ist ein Fehlalarm unwahrscheinlich. Wenn ein Formatierungspro-
  272.        gramm oder Festplatten-Tool den Bootsektor verändern will oder
  273.        direkten Zugriff auf die Festplatte benutzt, ist das hingegen
  274.        natürlich zulässig. Im Zweifelsfall sollten Sie das Programm abbrechen
  275.        und den Autor von SUSPICIOUS kontaktieren, um weitere Informationen zu
  276.        erhalten.
  277.  
  278.        Wichtig: SVS sollte nicht zusammen mit Software-Diskcaches verwendet
  279.        werden, wenn diese ihre Schreibverzögerungs-Option (Schreib-Cache)
  280.        aktiviert haben (dieser kann bei SMARTDRV z.B. mit "SMARTDRV /X" aus-
  281.        geschaltet werden).
  282.  
  283.     e) MEMCHK: MEMCHK kann z.B. am Ende der AUTOEXEC.BAT eingefügt werden, um
  284.        Viren abzufangen, die bereits über COMMAND.COM oder andere Programme
  285.        aus der CONFIG.SYS oder AUTOEXEC.BAT aktiv wurden. Desweiteren sollte
  286.        nach jeden Aufruf von neuen Programmen MEMCHK gestartet werden, um zu
  287.        testen, ob sich ein Virus aktiviert hat bzw. Da MEMCHK kein residentes
  288.        Programm ist sollten Sie es regelmäßig aufrufen und den Speicher über-
  289.        prüfen lassen. MEMCHK wird übrigens automatisch von SSC und SCRC auf-
  290.        gerufen um sicherzustellen das vor dem Bearbeiten von Programmen kein
  291.        Dateivirus aktiv im Speicher ist.
  292.  
  293.  
  294. [ Oft gestellte Fragen ]─────────────────────────────────────────────────────
  295.  
  296.  
  297. Wie gut ist SUSPICIOUS im Vergleich zu anderen Antiviren-Programmen?
  298. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  299. Diese Frage wird sehr häufig gestellt. Im Prinzip kann man diese Frage nicht
  300. korrekt beantworten, da es kein Antiviren-Programm gibt, das wie SUSPICIOUS
  301. rein heuristisch arbeitet. Alle anderen Antiviren-Programme arbeiten mit
  302. Signatur-Scanning und bieten eine Heuristik nur als Zusatzfunktion an.
  303. SUSPICIOUS hingegen ist speziell auf die Erkennung von unbekannten Viren
  304. hin programmiert. Man kann die Frage, wie gut SUSPICIOUS im Vergleich zu
  305. anderen Antiviren-Programmen ist, aufteilen:
  306.  
  307.     1. Wieviele Viren findet SSC?
  308.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  309.     In einer Virensammlung von etwa 4300 infizierten Programmen findet SSC
  310.     ca. 92% aller Viren. Andere Antiviren-Programme, die zur absoluten
  311.     Spitzengruppe gehören, finden hier zwischen 95 und 98%, andere, besonders
  312.     hier in Deutschland (leider) oft eingesetzte Antiviren-Programme finden
  313.     hingegen nur 75-90%. SSC liegt also recht knapp hinter der Spitzengruppe.
  314.     Wie bereits gesagt, ist dieser Vergleich allerdings nicht ganz zulässig,
  315.     SSC arbeitet rein heuristisch, wohingegen sämtliche anderen Antiviren-
  316.     Programme sich hauptsächlich auf ihre Signatur-Erkennung verlassen.
  317.     Einige Antiviren-Programme erlauben Parameter, die sie ebenfalls in einen
  318.     rein heuristischen Suchmodus schalten. Vergleicht man dann die Ergebnisse
  319.     fallen diese Virenscanner von 95-98% auf unter 80% zurück.
  320.  
  321.     2. Wie sicher ist SVS?
  322.     ~~~~~~~~~~~~~~~~~~~~~~
  323.     Es gibt nur sehr wenige Behaviour Blocker als TSR-Schutzprogramme, die
  324.     Virenaktionen blockieren. Das sicherste Programm dieser Art ist NEMESIS
  325.     von Robert Hörner und Christian Sy, das allerdings quasi "zu" sicher ist.
  326.     Es behindert leider die tägliche Arbeit mit dem Rechner mitunter so
  327.     stark, daß ein normaler Umgang mit dem Rechner kaum mehr möglich ist.
  328.     NEMESIS ist aber auf der anderen Seite weitaus sicherer als die meisten
  329.     'professionellen' Hardwarelösungen. Die wenigen anderen Behaviour-Blocker,
  330.     die es dann noch gibt, sind mitunter sehr unzuverlässig und fangen nur
  331.     einen Bruchteil von dem ab, was eigentlich notwendig wäre, um einen
  332.     sicheren Schutz zu gewährleisten. Schlimmer noch, bis auf NEMESIS und SVS
  333.     prüft kein anderes Wächterprogramm, ob es im Speicher manipuliert wird.
  334.     Das ist eine gefährliche Sicherheitslücke, die mittlerweile von vielen
  335.     Viren ausgenutzt wird. SVS soll einen Kompromiß zwischen hoher Sicherheit
  336.     und geringer Anzahl von Fehlalarmen anbieten. Mit SETUP kann SVS
  337.     individuell konfiguriert und Meldungen, die bestimmte Programme legal
  338.     verursachen, permanent verifiziert werden. SVS ist nicht zu Windows
  339.     kompatibel. Das liegt ganz einfach daran, daß ein Behaviour Blocker unter
  340.     Windows nur einen Bruchteil der Überwachungsmöglichkeiten wie unter DOS
  341.     hat. Die sehr verbreiteten residenten Virenscanner sind noch unsicherer:
  342.     sie können bereits mit einfachsten Tricks überlistet werden und können
  343.     keine unbekannten Viren finden.
  344.     Die Sicherheit, die SVS anbietet ist also sehr hoch und kann nur von
  345.     extrem wenigen Viren unterlaufen werden (was auch davon abhängt, wieviele
  346.     der Schutzoptionen von SVS aktiviert wurden).
  347.  
  348.     3. Wie zuverlässig erkennt MEMCHK residente Viren?
  349.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  350.     Ein residenter Virus kann noch so polymorph verschlüsselt sein und sich
  351.     mit SVS passiv verhalten, er muß irgendwo Speicher belegen. Die Heuristik
  352.     von MEMCHK ist bei weitem nicht so ausführlich wie die von SSC (was auch
  353.     zu sehr vielen Fehlalarmen führen würde), da aber so gut wie alle Viren
  354.     im Speicher unkodiert sind und auch fast immer die gleichen verdächtigen
  355.     Methoden benutzen, um Speicher zu belegen, ist die Erkennung von MEMCHK
  356.     sehr zuverlässig. Hinzu kommt der Aktivitätstest von MEMCHK, bei dem
  357.     bereits die meisten Datei-Viren erkannt werden. Beim Test mit ca. 200
  358.     zufällig ausgewählten (oder besonders komplizierten) Viren konnte MEMCHK
  359.     alle verdächtigen Speicherblöcke erkennen, selbst Viren wie <Mange_Tout>
  360.     wurden gefunden.
  361.  
  362.     4. Wie zuverlässig erkennt SDISK Bootviren?
  363.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  364.     Wenn Sie auf der Anzeige bei "SDISK /INFO" bei sämtlichen Anzeigen ein
  365.     "OK" erhalten, heißt das, daß SDISK direkten INT 13h-Zugriff auf das BIOS
  366.     und direkten Port-Zugriff durchführen kann. Damit ist SDISK in der Lage,
  367.     jeden aktiven Bootvirus zu umgehen. Bootviren mit Tarnkappenfunktion
  368.     werden sofort gemeldet und durch die eingebaute Sektor-Analyse kann SDISK
  369.     auch verdächtige Strukturen oder Programmcode in den Systemsektoren er-
  370.     kennen. Wird SDISK unter OS/2 oder Windows bzw. Windows 95 eingesetzt,
  371.     ist kein BIOS- oder Port-Zugriff wegen des 32-Bit-Zugriffs mehr möglich.
  372.     Ein aktiver Bootvirus führt allerdings auch zu Problemen mit diesen
  373.     Zugriff, was in der Regel ein automatisches Abschalten des 32-Bit-
  374.     Zugriffs über das Betriebssystem zur Folge hat. SDISK ist dann wieder in
  375.     der Lage, den Anti-Stealth-Zugriff zu verwenden und den Virus zu umgehen.
  376.  
  377.     Hinweis: Benutzen Sie Windows 95, können Sie unter 'Start/Einstellungen/
  378.     Systemsteuerung/System/Leistungsmerkmale' nachsehen, ob Windows 95 den
  379.     32-Bit-Zugriff verwendet. Steht hier nicht 'Dateisystem: 32-Bit' und wird
  380.     evtl. sogar gemeldet, daß der Partitionssektor verändert wurde, kann von
  381.     einer Bootvirusinfektion ausgegangen werden. Diese macht sich außerdem
  382.     auch noch durch eine starke Verlangsamung des Festplattenzugriffs bemerk-
  383.     bar.
  384.  
  385.     5. Wie zuverlässig ist die Reparatur von SCRC?
  386.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  387.     SCRC benutzt den genormten CRC-32-Algorithmus, um Veränderungen an Pro-
  388.     grammen zu erkennen. Dieser Wert wird ebenfalls nach der Reparatur dazu
  389.     benutzt, um festzustellen, ob die Datei wieder 100% hergestellt wurde.
  390.     Ist das nicht der Fall, meldet SCRC die Reparatur als fehlgeschlagen.
  391.     Rein theoretisch könnte ein Virus ein Programm so raffiniert verändern,
  392.     daß die CRC-Prüfsumme sich nicht ändert. Dieser Trick sprengt aber bei
  393.     weitem den Rahmen dessen, was sich ein Virus an Speicherplatz erlauben
  394.     kann. Viren, die mehr als 6000 Bytes lang sind, verbreiten sich nicht
  395.     sehr weit, daher ist die Wahrscheinlichkeit, daß ein Virus CRC-32-Prüf-
  396.     summen fälschen kann, äußerst gering. Der CRC-32-Algorithmus selber ist
  397.     sehr zuverlässig, was die Erkennung von Veränderungen des zu prüfenden
  398.     Datenbereichs angeht. Es gibt zwar weitaus sicherere Routinen, wie etwa
  399.     MD5 oder SHS, diese sind aber auch um einiges langsamer als CRC-32.
  400.  
  401.  
  402. Ich benutze bereits ein gutes Antiviren-Programm, warum sollte ich SUSPICIOUS
  403. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  404. benutzen?
  405. ~~~~~~~~~
  406.     SUSPICIOUS besitzt einige Funktionen, die den 'herkömmlichen' Antiviren-
  407.     Programmen fehlen. SUSPICIOUS arbeitet rein heuristisch und kann unbe-
  408.     kannte Viren erkennen und von ihnen befallene Dateien reinigen. Es soll
  409.     nicht Ihren bisher eingesetzten Virenscanner ersetzen sondern erweitern
  410.     und *zusätzlich* eingesetzt werden.
  411.  
  412.  
  413. Kann SUSPICIOUS Makro-Viren finden?
  414. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  415.     Nein, dazu ist SUSPICIOUS nicht in der Lage. Es bekämft ausschließlich
  416.     DOS-Viren. Das Antiviren-Programm F/WIN (ebenfalls von Stefan Kurtzhals)
  417.     kann bekannte und unbekannte Makro-Viren finden und entfernen.
  418.  
  419.  
  420. Kann SUSPICIOUS Windows-Programm-Viren finden?
  421. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  422.     Hier gilt die gleiche Antwort wie bei der Frage zuvor. SUSPICIOUS wurde
  423.     speziell als DOS-Virenabwehr konzipiert und untersucht keine Windows-
  424.     Programme. Neben Makro-Viren (und Trojanern) kann F/WIN auch Windows 3.x
  425.     und Windows 95-Viren erkennen und entfernen.
  426.  
  427.  
  428. Funktioniert SUSPICIOUS unter Windows (Windows 95)?
  429. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  430.     Bis auf SVS funktionieren alle Komponenten von SUSPICIOUS problemlos
  431.     unter Windows oder Windows 95. Da SVS seine Warnungen im Text-Modus dar-
  432.     stellen will und unter Windows nur einen Bruchteil der Systemfunktionen
  433.     kontrollieren kann, ist ein Einsatz von SVS unter Windows nicht sinnvoll.
  434.     SSC, SCRC und MEMCHK laufen ohne jede Einschränkung innerhalb einer DOS-
  435.     Box, SDISK kann seinen Anti-Stealth-Zugriff nicht mehr einsetzen (was
  436.     aber nicht weiter stört - entweder umgeht der 32-Bit-Zugriff von Windows
  437.     den Virus (und SDISK spricht den 32-Bit-Zugriff-Treiber direkt an) oder
  438.     Windows deaktiviert seinen 32-Bit-Zugriff und SDISK kann selber direkte
  439.     Festplattenzugriffe durchführen.
  440.  
  441.  
  442. Wird es eine Windows (Windows 95)-Version von SUSPICIOUS geben?
  443. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  444.     Vorerst wird an einer Windows 95-Version von F/WIN gearbeitet. Es wird
  445.     wahrscheinlich keine Windows 3.x-Versionen von SUSPICIOUS (oder F/WIN)
  446.     geben. Primär wäre eine Windows 95-Version von SVS interessant, da es bis
  447.     jetzt noch keinen guten Behaviour Blocker für Windows 95 gibt. Aufgrund
  448.     von Zeitproblemen wird es allerdings noch einige Zeit dauern, bis SVS32
  449.     in Angriff genommen werden kann.
  450.  
  451.  
  452. Funktioniert SUSPICIOUS im Netzwerk?
  453. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  454.     Da dem Autor von SUSPICIOUS kein Netzwerk zum Testen zur Verfügung steht,
  455.     kann diese Frage nicht beantwortet werden. Einige Kunden meldeten jedoch
  456.     Probleme mit SVS, da dies zu tief ins System eingreift und die Netzwerk-
  457.     Software umgeht. Bei SCRC muß evtl. der /NOAS-Parameter angegeben werden.
  458.  
  459.  
  460. Warum kann SSC keine gepackten Programme untersuchen?
  461. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  462.     Bei der riesigen Anzahl von verfügbaren Programmpackern wie PKLITE usw.
  463.     ist es unmöglich, alle Programme dieser Art korrekt behandeln zu können.
  464.     Es gibt allerdings einige Shareware- oder Freeware-Tools, mit denen
  465.     solche Programmkomprimierungen rückgängig gemacht werden können. Dieses
  466.     Problem hat übrigens nicht nur SSC, sondern jeder andere Virenscanner
  467.     auch. Hier setzt SVS an: da SVS es nicht interessiert, wie und ob ein
  468.     Programm komprimiert ist, sondern alle kritischen Systemaktionen über-
  469.     wacht werden, kann SVS problemlos einen 'verpackten' Virus erkennen und
  470.     blockieren. Deshalb sollte SVS auch vor der Ausführung von neuer Software
  471.     aktiviert werden - ein Virus könnte so raffiniert im Programmcode ver-
  472.     steckt sein, daß selbst Tools wie UNP usw. die Datei nicht ent-
  473.     komprimieren können.
  474.  
  475.  
  476. Warum sollte ich SVS nicht permanent benutzen?
  477. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  478.     Wenn Sie möchten, können Sie SVS auch permanent einsetzen. Je nachdem,
  479.     wie gefährdet das System ist, mag das auch sinnvoll sein. Normalerweise
  480.     reicht es jedoch vollkommen aus, SVS erst dann zu aktivieren, wenn Sie
  481.     neue Software ausprobieren wollen. Mit SVS bereits bekannte und viren-
  482.     freie Software zu überwachen, macht nicht viel Sinn, sondern frißt nur
  483.     unnötig Systemzeit und Speicher. SVS kann problemlos über die DOS-
  484.     Kommandozeile geladen und wieder deaktiviert werden, ein Neustart ist
  485.     nicht erforderlich. Außerdem können Sie den Schutzlevel von SVS höher
  486.     ansetzen, wenn Sie SVS nur gelegentlich einsetzen. Ist SVS permanent
  487.     aktiv, wird meistens ein niedriger Schutzlevel eingestellt, um Fehlalarme
  488.     zu vermeiden. Das allerdings reduziert natürlich wiederum die
  489.     Effektivität von SVS, wenn es 'zur Sache' kommt.
  490.  
  491.  
  492. Warum meldet SVS beim Starten ein unkompatibles BIOS?
  493. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  494.     SVS benutzt einen Trick, um direkte Festplattenzugriffe an SVS vorbei zu
  495.     blockieren. Dabei geht SVS davon aus, daß das BIOS Festplattenzugriffe
  496.     blockiert, wenn keine Festplatte angemeldet ist. Einige BIOS-Versionen
  497.     kümmern sich allerdings nicht um die Anzahl der angemeldeten Festplatten
  498.     und lassen weiterhin Zugriffe zu. Diese Funktion ist nicht nur abhängig
  499.     vom BIOS-Hersteller, sondern auch von der Version des BIOS.
  500.     Das Blockieren von Festplattenzugriffen über INT 13h bei Benutzung des
  501.     originalen Einsprungvektors im BIOS erhöht zwar die Sicherheit von SVS,
  502.     allerdings wird diese Funktion nur dann sinnvoll, wenn ein Virus den
  503.     Vektor über Berechnung oder Scannen des BIOS ermittelt. Die meisten
  504.     Viren setzen üblicherweise Tracer ein, um diese Adresse zu erhalten, was
  505.     von SVS problemlos blockiert werden kann.
  506.  
  507.  
  508. SSC findet Dateien mit über 80% (evtl. sogar 99%), hält aber nicht an
  509. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  510.     SSC hat gemerkt, daß es sich bei der Virenmeldung zu diesen Programm um
  511.     einen Fehlalarm handelt und überspringt die Anzeige des Info-Fensters.
  512.  
  513.  
  514. SSC meldet eine Datei als verdächtig, die garantiert sauber ist
  515. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  516.     Die Heuristik von SSC ist zwangsläufig sehr 'scharf' eingestellt, um
  517.     möglichst viele Viren zu finden. Die meisten Fehlalarme werden von
  518.     verschlüsselten Programmen verursacht. Da SSC komplexere Verschlüsse-
  519.     lungen nicht durchdringen kann, meldet es Programme, die solche
  520.     Kodierungen benutzen, als verdächtig. Besonders oft werden Fehlalarme
  521.     durch Programme verursacht, die mit PROTECT 5.0 verschlüsselt wurden.
  522.     (Da ist SSC übrigens nicht das einzige Programm, was auf die wirklich
  523.     virentypische Kodierung von PROTECT 5.0 reinfällt).
  524.     Verdächtige Programme können dem Autor von SUSPICIOUS zur Analyse
  525.     zugeschickt werden.
  526.  
  527.  
  528. Der AV-MBR meldet "INT 13h !" wenn man mit QEMM 7.5 oder 8.0 arbeitet
  529. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  530.     Bei jeden Neustart prüft der Antivirus-Partitionssektor von SDISK, ob
  531.     der wichtige Systemvektor Interrupt 13h noch ins BIOS zeigt. Arbeiten
  532.     Sie mit QEMM 7.5 oder 8.0, kann es zu Konflikten mit der Quick-Reboot-
  533.     Funktion von QEMM kommen, da evtl. nicht alle residenten DOS-Programme
  534.     ordnungsgemäß aus dem Speicher entfernt wurden, bevor der Neustart durch-
  535.     geführt wird. In der Regel hilft hier ein 'richtiger' Reset (also kein
  536.     STRG-ALT-ENTF).
  537.  
  538.  
  539. Wie und wo erhalte ich die neusten Updates von SUSPICIOUS?
  540. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  541.     Registrierte Kunden erhalten einen Registrierungsschlüssel (SUSP.KEY).
  542.     Mit diesem werden alle Funktionen der Vollversion in der Shareware-
  543.     Version freigeschaltet. Wenn Sie also Updates beziehen wollen, können Sie
  544.     sich über Internet oder Mailboxen die neueste Shareware-Version besorgen
  545.     und erhalten durch Ihren Registrierungsschlüssel (der sich im gleichen
  546.     Verzeichnis wie SSC.EXE usw. befinden muß) sofort die aktuellste Voll-
  547.     version. Sollten Sie keinen Zugang zu Mailboxen oder zum Internet haben,
  548.     können Sie Updates auch direkt beim Autor beziehen.
  549.  
  550.  
  551. Wo kann ich die neuste Version von SUSPICIOUS finden?
  552. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  553.     Die folgenden Mailboxen oder Internet-Adressen haben die neuste Version
  554.     von SUSPICIOUS (und F/WIN) innerhalb von wenigen Tagen nach Veröffent-
  555.     lichung einer neuen Version online.
  556.  
  557.        ■ WWW.VALLEYNET.COM/~JOE
  558.        ■ WWW.CYBERBOX.NORTH.DE
  559.  
  560.        ■ CYBERBOX - Sascha Klose <2:2426/2031-34> (Magic: SUSP)
  561.        ■ CYBERBOX BBS (v32b: 0441-3990032, v34: -3990033, ISDN: -9396977)
  562.        ■ VHM II - Martin Roesler <2:2480/8849> (Magic: SUSP)
  563.        ■ VHM II BBS (08638/881108) (v34 und ISDN)
  564.  
  565.