PC Online 1996 October

home *** CD-ROM | disk | FTP | other *** search

/ PC Online 1996 October / PCO_10.ISO / filesbbs / susp.arj / SUSP.DOC < prev next >

Wrap

Text File | 1996-09-05 | 59.1 KB | 1,115 lines

┌───────────────────────────────────────────────────────────────────────────┐ │ │ │ S U S P I C I O U S │ │ │ │ Ein "intelligentes" Antiviren-Programm │ │ │ │ (c) 1996 Stefan Kurtzhals │ │ │ └───────────────────────────────────────────────────────────────────────────┘ [ Was ist SUSPICIOUS ? ]───────────────────────────────────────────────────── SUSPICIOUS ist ein Antiviren-Programm, das gezielt zum Schutz, zur Erkennung, Analyse und Reparatur von bzw. vor -unbekannten- Viren pro- grammiert wurde. Bei der stetig steigenden Anzahl von Viren für DOS- kompatible Rechner erscheint es sinnlos, nur nach bekannten Virensigna- turen zu suchen. Herkömmliche Suchprogramme und residente Wächterpro- gramme veralten innerhalb weniger Wochen, da bereits innerhalb dieses kurzen Zeitraums unter Umständen wieder hunderte von neuen Viren auf- tauchen, die nicht mehr erkannt werden. Hinzu kommt das verstärkte Auf- treten von hochkomplexen polymorphen Viren, das eine Suche mit her- kömmlichen Suchstrings unmöglich macht und die zeitintensive Entwick- lung von speziellen Suchalgorithmen notwendig macht. Die Programme von SUSPICIOUS suchen nicht nach bekannten Viren, sondern nach typischen Merkmalen von Viren. Da diese Merkmale generell für Viren gelten, werden bekannte wie völlig neu auftretende Viren erkannt. Es soll nicht behauptet werden, daß SUSPICIOUS damit keine Updates mehr nötig hätte, nur veraltet es nicht so schnell wie normale Virenscanner. Das Programmpaket ist zum Teil für fortgeschrittene Anwender gedacht. Während SCRC und SVS ohne Probleme auch von normalen Anwendern genutzt werden können, wird für SSC eine gewisse Systemerfahrung vorausge- setzt, da sonst die Ergebnisse der heuristischen Suche nicht interpre- tiert werden können. Ist der Benutzer nicht in der Lage, zwischen Falsch- meldungen und korrekt erkannten Viren zu unterscheiden, wird der Scanner SSC fast wertlos. SSC wurde als Analyseprogramm für neue, unbekannte Viren entwickelt und ist eigentlich nicht als Virenscanner konzipiert. Während andere Scanner bei einem gefundenen Virus lapidar einen nicht unbedingt sehr aussagekräftigen Namen angeben, kann SSC in der Regel eine genaue Analyse des Virus liefern und Angaben über Virustyp, Größe und Schaden machen. Dafür ist die Suchgeschwindigkeit von SSC im Ver- gleich zu anderen Virenscannern sehr langsam. [ Die Komponenten ]────────────────────────────────────────────────────────── Das Paket SUSPICIOUS besteht aus mehreren Teilkomponenten, die völlig unabhängig voneinander sind, sich aber untereinander ergänzen: ■ SSC - Heuristische Virenerkennung und -analyse ■ SVS - Residentes Wächterprogramm mit Prüfsummenfunktion ■ SCRC - Prüfsummen-Verwaltungsprogramm mit Reinigungsfunktion ■ SDISK - Partitions- und Bootsektorschutz ■ MEMCHK - Heuristische Virensuche für den Speicher Mit SSC sollen neue Programme vor dem Starten getestet werden. SSC erkennt einen hohen Prozentsatz an Viren, es ist aber möglich, daß SSC einen Virus nicht finden kann. Die zweite Stufe ist SVS, das die Viren, die an SSC vorbeigekommen sind, vor oder während der Aktivierung blockiert. Sollte der Virus auch SVS passieren, wird er mit hoher Wahrscheinlichkeit zuletzt von SCRC bemerkt und kann dann oft aus den befallenen Dateien entfernt werden. Zusätzlich schützt noch SDISK vor Veränderungen der Partition und des Bootsektors; MEMCHK erkennt aktive Viren im Speicher. SSC: ~~~~ Mit SSC können Datenträger nach infizierten Partitionen, Bootsektoren und Programmen durchsucht werden. Jedes Programm wird auf verdächtige Befehle hin untersucht, die für Viren typisch sind. Bei jeder gefundenen verdäch- tigen Datei gibt SSC eine ausführliche Analyse über die ermittelten Merk- male des vermutlichen Virus an. Aus den angegebenen Informationen läßt sich in der Regel präzise ablesen, um was für einen Virustyp es sich han- delt. Falls möglich, werden Angaben über Auslöse- und Schadensfunktion des Virus gemacht, allerdings ist die Mehrzahl der bekannten Viren nur darauf programmiert, sich zu verbreiten und verursacht keine gezielten Schäden. SVS: ~~~~ SVS bietet permanente Überwachung des Systems, einmal durch Vergleichen von Prüfsummen und zum anderen durch Erkennen und Melden von virusty- pischen Aktionen und Zugriffen. SVS kontrolliert das System auf Datei- und auf Sektorebene und ist in der Lage, Viren zu blockieren, die sich installieren, Programme oder die Partition infizieren, Tracer oder ähn- liche Methoden durchführen wollen. Ebenfalls wird jede eingelegte Dis- kette bei Zugriff wie etwa DIR A: mittels Heuristik nach Bootsektorviren durchsucht. Des weiteren bietet SVS erweiterten Schutz des READ-ONLY Dateiattributes, einen Schreibschutzmodus (Festplatte/Diskette) und nicht zuletzt einen Lernmodus, der es SVS erlaubt, bekannte Falschalarme bei weiteren Aufrufen des betroffenen Programmes zu vermeiden. SCRC: ~~~~~ Mit SCRC haben Sie ein Prüfsummenprogramm, das sehr schnell und sicher arbeitet, das in der Lage ist, Datei-Stealthviren zu umgehen und infi- zierte Programme zu reinigen, wobei hundertprozentig festgestellt werden kann, ob die Reinigung erfolgreich war. Des weiteren ist SCRC für jeden Gebrauch konfigurierbar, es kann z.B. im DAILY-Modus betrieben werden, was für den Batchbetrieb ideal ist. Im Gegensatz zu etlichen anderen Prüfsummenprogrammen ist SCRC in der Lage, Companion-Viren zu erkennen und ohne Probleme zu entfernen. SDISK: ~~~~~~ SDISK bietet die Möglichkeit, Kopien des Partitions- und Bootsektors extern abzuspeichern und bei Bedarf zu restaurieren. Durch einen speziellen Anti-Stealth-Sektorzugriff ist SDISK in der Lage, so gut wie alle Bootsektorviren zu umgehen. SDISK bietet noch weitere Features wie das Immunisieren der Partition gegen Virenbefall, die Partition und den Bootsektor von Festplatten und Disketten ohne vorher angelegte Kopien zu reinigen und gelöschte Partitionen neu zu berechnen. MEMCHK: ~~~~~~~ Mit diesem Modul erhalten die anderen SUSPICIOUS-Komponenten die Möglich- keit, bereits aktive Viren im Speicher zu erkennen. Wie SSC arbeitet MEM- CHK rein heuristisch und erkennt auch unbekannte, neue Viren anhand der für Viren typischen Merkmale. MEMCHK erzeugt und prüft desweiteren Köder, um die Aktivitäten eines residenten Dateivirus festzustellen. [ Installation ]───────────────────────────────────────────────────────────── Die Installation wird mit INSTALL durchgeführt. Der einzige notwendige Parameter ist eine Pfadangabe, wo SUSPICIOUS installiert werden soll. Im INSTALL können Sie weiterhin angeben, ob und wo SVS, SDISK und SCRC installiert werden sollen. Auf Wunsch des Anwenders kann INSTALL eben- falls die Prüfsummendateien für SCRC und SVS erstellen. Weitere spezielle Hinweise zu den einzelnen Programmen finden Sie in den jeweiligen Anleitungen (*.DOC). Im Prinzip können Sie direkt mit den gegebenen Voreinstellungen vom SETUP arbeiten, das einzige, was geändert werden muß, ist der Name der Prüfsummendatei. Gehen Sie einfach im SETUP direkt auf die Option "BEENDEN UND SPEICHERN", das Prüfsummenname-Menü wird dann automatisch angezeigt. Folgende Konfiguration der Programme wird empfohlen: - SCRC: Mit Standardeinstellungen am Ende der CONFIG.SYS aufrufen. - SDISK: Überprüfung der Sektoren am Ende der CONFIG.SYS. - MEMCHK: Aufruf am Ende der AUTOEXEC.BAT. - SVS: Aktivierung erst, wenn neue Programme getestet werden sollen. - SSC: Überprüfen von neuen Programmen. Sollten Sie SVS wie oben empfohlen nur dann einsetzen, wenn Sie neue Programme testen, sollten Sie unbedingt die Voreinstellung für SVS "Hohe Sicherheit" im SETUP anwählen. Die von SDISK angelegten Dateien DISKDATA.SVS, ZEROTRK.SVS und ODMTRK.SVS (ODMTRK.SVS wird nur bei aktivem Ontrack DiskManager erzeugt) sollten zusammen mit SDISK auf eine DOS-Bootdiskette kopiert werden. [ Shareware und Registrierung ]────────────────────────────────────────────── Das SUSPICIOUS-Antivirenpaket ist Shareware. Das bedeutet, daß die Share- wareversion beliebig vervielfältigt werden darf, solange der Inhalt des Archives unverändert und vollständig bleibt. Sie sollen sogar SUSPICIOUS in der Shareware-Version an möglichst viele Bekannte und Freunde weiter- geben! Ein Upload in Mailboxen oder ins Internet (z.B. Simtel) ist aus- drücklich erwünscht! Der Registrierungsschlüssel der Vollversion darf hingegen in keiner Weise vervielfältigt oder verändert werden! Die einzige Ausnahme hier- von ist das Anlegen von Sicherheitskopien (Backups). Shareware ist nicht Freeware! Sie dürfen SUSPICIOUS vier Wochen lang testen, danach müssen sie sich entweder registrieren oder das Programm nicht mehr benutzen! Die Shareware-Version unterscheidet sich von der Vollversion durch einige Parameter wie "/REPORT" (SSC), die in der Share- ware-Version fehlen und natürlich dadurch, daß die Vollversion keinen lästigen Shareware-Hinweis mehr anzeigt. Und sicherlich sind 40 DM nicht zuviel verlangt für ein Antivirenpaket dieser Qualität und Leistungsfähigkeit. Hinter SUSPICIOUS steckt eine Menge an Arbeit und Entwicklungszeit. Nur als Hinweis: Die gesamten Sourcecodes (alles ASM) sind mittlerweile über 3 MB groß. Es gibt zwei Arten der Registrierung: ■ Private Registrierung : 40 DM ■ Gewerbliche Registrierung : 110 DM (inkl. Update-Service) Die Registrierung gilt für das gesamte Programmpaket und ist nicht zeitlich befristet. Die Registrierung erfolgt direkt über den Autor. Wenn Sie SSC, SVS, SCRC, SDISK oder MEMCHK nur zu privaten Zwecken ein- setzen, können Sie die private Nutzungslizenz erwerben. Schützen Sie allerdings ihre gewerblichen Daten oder setzen Sie SUSPICIOUS in einen gewerblich bzw. kommerziell genutzten Rechnersystem ein, müssen Sie die gewerbliche Nutzungslizenz erwerben. Die gewerbliche Registrierung beinhaltet einen Update-Service, der vier Updates in einem Zeitraum von einen Jahr umfaßt. Telefonische Hilfe (02191/55126) ist nur für registrierte Benutzer er- hältlich! Es wird allerdings jedem Benutzer geholfen, der seine Fragen oder Probleme dem Autor über E-Mail mitteilt. [ Lizenzbestimmungen ]─────────────────────────────────────────────────────── Mit dem Registrierungsschlüssel erhalten Sie das Recht, das Antiviren- paket SUSPICIOUS unbefristet zu nutzen. Die Nutzungslizenz kann nicht an Dritte weiterverkauft oder in einer anderen Art übertragen werden. Ein kommerzieller Vertrieb der Vollversion ist untersagt! Die Vollversion darf vom Besitzer auf verschiedene Rechner übertragen werden, vorausgesetzt, daß SUSPICIOUS nur auf einem einzigen Rechner gleichzeitig benutzt und der Registrierungsschlüssel gegen unerlaubte Benutzung oder Vervielfältigung geschützt ist. Die Programme, Dokumente und der Registrierungsschlüssel von SUSPICIOUS dürfen weder verändert, entpackt, disassembliert oder sonstwie intern ausgewertet werden. Die Anleitungen dürfen, auch nicht teilweise, nicht ohne schriftliche Genehmigung des Autors in einer anderen Form als den unveränderten *.DOC-Dateien vervielfältigt oder zitiert werden. Für das Programmpaket SUSPICIOUS hat der Autor Stefan Kurtzhals das Urheberrecht. Alle Rechte bleiben vorbehalten. Die Sharewareversion darf nur mit schriftlicher Genehmigung des Autors im Sharewarevertrieb auf Diskette oder CD-ROM verkauft werden. [ Garantie und Haftung ]───────────────────────────────────────────────────── ES IST NICHT MÖGLICH FÜR EINE HUNDERTPROZENTIGE FUNKTIONSWEISE DER PRO- GRAMME VON SUSPICIOUS ZU GARANTIEREN! DER AUTOR ÜBERNIMMT KEINERLEI HAFTUNG FÜR SCHÄDEN, DIE DIREKT ODER IN- DIREKT AUF EINE BENUTZUNG VON SUSPICIOUS ZURÜCKZUFÜHREN SIND. DIE PRO- GRAMME ENTHALTEN ZUM TEIL KRITISCHE SYSTEMROUTINEN, DIE BEI UNSACHGE- MÄSSER BENUTZUNG ODER INKOMPATIBILITÄT DES SYSTEMS ZUR BESCHÄDIGUNG VON DATEN ODER PROGRAMMEN FÜHREN KÖNNEN! DIE VERWENDETE VIRENERKENNUNG (HEURISTIK) IST NICHT HUNDERTPROZENTIG! DAS PROGRAMMPAKET WURDE AUF MEHREREN SYSTEM AUSFÜHRLICH GETESTET. ES IST DENNOCH NICHT MÖGLICH, EIN ABSOLUT FEHLERFREIES PROGRAMM ZU SCHREIBEN, WAS UNTER SÄMTLICHEN MÖGLICHEN SYSTEMKONFIGURATIONEN EIN- WANDFREI FUNKTIONIERT. BITTE BEACHTEN SIE AUCH DEN ABSCHNITT 'SYSTEMANFORDERUNGEN UND KOMPATIBILITÄT'. DIE BENUTZUNG DES PROGRAMMPAKETS SUSPICIOUS ERFOLGT AUF EIGENE GEFAHR! [ Systemanforderungen und Kompatibilität ]─────────────────────────────────── Die Speicheranforderungen sind je nach Komponente (SSC, SVS, SDISK, MEMCHK und SCRC) unterschiedlich. Alle Programme benötigen mindestens eine 80286 CPU, EGA-Graphikkarte, MS-DOS 5.0 und höher oder NOVELL DOS 7.0. Die Komponenten wurden unter MS-DOS 5.0 bis DOS 7.0 getestet. Unter NOVELL DOS 7 konnte nur für einen recht kurzen Zeitraum getestet werden. Es sollte keine Probleme mit den gängigen Caches und Festplatten- verdopplern geben. Einige spezielle Optionen von SVS sind allerdings nicht kompatibel zu Disk-Caches. Bitte beachten Sie die Hinweise in SVS.DOC und im SETUP selber. Generell sollte SVS nicht zusammen mit Software-Disk-Caches wie SMARTDRV eingesetzt werden, wenn diese die Schreib-Cache-Option aktiviert haben. SVS schaltet bei SMARTDRV- kompatiblen Caches diese Funktion übrigens automatisch aus. ■ Besonders wichtig ist die Einstellung "DOS=HIGH" in der CONFIG.SYS ! SUSPICIOUS kann Probleme mit folgenden Systemumgebungen haben: WINDOWS, WINDOWS NT, OS/2, DESQVIEW und sonstigen Multitaskern und Betriebssystemen. Die Benutzung von SVS in Zusammenhang mit diesen Programmen ist nicht unbedingt sinnvoll, da bestimmte Systemvektoren und Einsprünge nicht mehr ermittelt werden können oder komplette Systemstrukturen überhaupt nicht vorhanden sind. MEMCHK kann unter Umständen nicht alle Tests durchführen. SSC und SCRC konnten leider nicht im Netzwerkbetrieb getestet werden. [ Der Autor ]──────────────────────────────────────────────────────────────── Zu meiner Person ist nicht viel zu sagen. Ich wurde am 15.12.72 geboren, wohne in Remscheid und bin ein Student des Fachbereichs Elektrotechnik an der Universität Wuppertal. Seit 4 Jahren programmiere ich im PC-Bereich, hauptsächlich Assembler, und bin seit 1992 in der Virenforschung tätig. Ich bin Mitglied im VHM (VIRUS HELP MUNICH), einer privaten Gruppe von Virenforschern, die es sich zur Aufgabe gemacht hat, Viren zu analysieren (ITW) und Informationen und Reinigungsprogramme für akute Viren zu er- stellen. Mein Spezialgebiet ist die Entwicklung von regelbasierten Suchansätzen wie z.B. SSC oder F/WIN (Heuristik) und die Virenanalyse (z.B. die ITW-Liste). Sie können mich kontaktieren, falls Probleme oder Fragen zu Viren, deren Entfernung oder zu SUSPICIOUS auftreten. Da auch SUSPICIOUS, wie jedes andere Programm, mit Sicherheit nicht hundertprozentig fehlerfrei oder optimal ist, bitte ich Sie, mir mitzuteilen, falls Sie noch Fehler im Programmpaket finden oder Verbesserungsvorschläge haben. Ebenfalls bitte ich, mir Viren zuzusenden, die von SSC bzw. SVS nur un- vollständig oder überhaupt nicht erkannt werden, damit die heuristische Erkennung verbessert werden kann. (Zusendung bitte als Archiv per Fido (per Crash), Internet (PGP E-Mail) oder Post) Die Adresse: ~~~~~~~~~~~~ Stefan Kurtzhals Dörrenberg 42 42899 Remscheid +49 (0)2191/55126 (18:00-22:00) E-Mail: ~~~~~~~ FidoNet: 2:2480/8849.2 InterNet: kurtzhal@wrcs3.urz.uni-wuppertal.de Bitte diese Dokumentation und nach Möglichkeit die VIRUS.GER-FAQ durch- lesen, bevor wegen eines vermutlichen Virus angerufen wird! Telefonische Hilfe ist nur für registrierte Anwender erhältlich! Über E-Mail kann jedoch jeder Benutzer Fragen zu Problemen mit SUSPICIOUS oder Viren stellen. Für die Registrierung: ~~~~~~~~~~~~~~~~~~~~~~ Kontonummer: 972240 BLZ: 340 500 00 Sparkasse Remscheid Verwendungszweck: SUSPICIOUS Registrierung ■ Bitte bei der Überweisung den Namen und Verwendungszweck mit angeben! ■ Sysops bitte "SYSOP.TXT" lesen! PGP-Schlüssel: ~~~~~~~~~~~~~~ Sie können mit PGP überprüfen, ob Sie die Programme von SUSPICIOUS unver- ändert erhalten haben. Um z.B. SSC.EXE zu überprüfen, müssen Sie folgende Zeile aufrufen: "PGP ssc.pgp ssc.exe". Natürlich müssen Sie vor der Über- prüfung den Public Key des Autors in ihren PUBLIC KEY RING aufnehmen. -----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.6.2i mQCNAi4XHkkAAAEEALTiHszMExp438UEmjJ1g7I6In1DbZW3uOWH97rD1d+h2MaX kyIdav/2rF8MlmK2rsc/YdlfeWNeNTrGH7EISnVBsgqT3H/hGp3ypkzOMZ2neOEN fbu7be+cHtFs9HYXZTg5vkO0J4gqLUbnBEVDVbdcKLJW9p5IJBQJonPBt/hRAAUR tDZTdGVmYW4gS3VydHpoYWxzIDxrdXJ0emhhbEB3cmNzMy51cnoudW5pLXd1cHBl cnRhbC5kZT60NlN0ZWZhbiBLdXJ0emhhbHMgPGt1cnR6aGFsQHdyY3MxLnVyei51 bmktd3VwcGVydGFsLmRlPokAlQIFEC4XHn4UCaJzwbf4UQEBAggD/2ir4yfJtOMD GdSynA8zBrrszmh/N8OSKMWtcv65Htje5nPmHvecJlhKUtl17/HBEnMtf3vvBpEL RXrH9qs3u9v23VBrUHl6JLuWIOUBTPP8rhoOCHt9Kcafczr0LtGxKwI6N6brcgHk zVIx+XKkdFZ7EnaSHoHi+iHeGtvy1o7o =QE9d -----END PGP PUBLIC KEY BLOCK----- [ Updates ]────────────────────────────────────────────────────────────────── Updates können direkt über den Autor bezogen werden. Für registrierte Anwender ist das Update kostenlos bis auf einen ausreichend frankierten Rückumschlag plus Diskette, die dem Autor zugeschickt werden. Die Datei sollte unter den Namen "SUSPxxx.ARJ" requestbar sein, wobei das "xxx" für die jeweils aktuelle Version steht, also z.B. "SUSP146.ARJ". Über Internet, World Wide Web (WWW) und Mailboxen ist SUSPICIOUS bei folgenden Systemen zu finden: ■ http://www.cyberbox.north.de (Support-Area) ■ http://www.valleynet.com/~joe (DOS Antiviren-Programme) ■ VHM II - Martin Roesler (2:2480/8849) ■ VHM II BBS (08638/881108) (V.34 & ISDN) (Magic: SUSP) ■ CYBERBOX <2:2426/2031-37> (49-441-3990032 [Line 2]) (Magic: SUSP) ■ CEUS (089-448-17-60) (SUSP*.EXE) ■ RRWS1.WIWI.UNI-REGENSBURG.DE/~MLRAITH/SUSP/SUSP.HTML ■ FTP.UNI-HAMBURG.DE (\PUB-INFORMATIK/VIRUS/PROGS) ■ FTP.LEO.ORG (Im Bereich .../DOS/ANTIVIRUS) ■ WWW.LEO.ORG ■ Veronikas BBS Mannheim 2:2468/6020 (Magics: SUSP, FWIN) 0621/305062 (Heinz Holdefehr) ■ STAR FORTRESS (049-9401-79462) (24H Online) Michael Raith 2:2494/340 (Magic: SUSP) ■ Media 2000 (030-217-67-93) ■ SHOOTING STAR ODERNHEIM (06755/1781) ■ A Question of Time (+49-30-774 33 96) (Sven Leutloff) ■ Markus Busche 2:240/2116 (V.42bis) 2:240/2136 (ISDN) (Magic: SUSP) Beer Drinkers BBS 1 (+49-431-16742) ■ Winfried Schuster 2:245/6811 (Magic: SUSP) KMAN (+49-6821-22628) ■ Thomas Dobusch 2:2476/260 (Magic: SUSP) Thommys Chaoten BBS (+49-7223-999652) ■ Volker Martin: Streitroß Box (0511/7590481) ■ WareHouse BBS (0511/6062348) (Olaf Rabing 2:241/1118) ■ Private Mail (02594/948906 (Analog), 02594/948908 (ISDN)) (Dirk Beinhauer) ■ DiskWorld BBS (Holger Quander, 2:2452/311) 0651/9950041 (V34) 0651/9950040 (X75) ■ Black Panther BBS (Mike Bremer, 2:2410/210.7, Magic: SUSP +49 30 9981929, 24h online) ■ Dagobah System (Axel Merkel, 2:2426/2050) (04403-64490) ■ Renraku Base BBS (Willi Wojtynek, 06831-988457) (Sollte in einer der zuletzt genannten Mailboxen die neueste SUSPICIOUS- Version nicht erhältlich sein, kann dem Sysop ruhig mal auf die Finger geklopft werden! Die Sysops haben sich dazu verpflichtet, die jeweils neuste Version von SUSPICIOUS zur Verfügung zu stellen.) Die neuesten Shareware- oder Beta-Versionen sind in der Regel nur bzw. als erstes in der VHM II und der Cyberbox zu haben. [ Danksagungen ]────────────────────────────────────────────────────────────- Ich möchte hiermit den Personen danken, die mich bei der Entwicklung von SUSPICIOUS unterstützt haben: Martin Rösler, Robert Hörner, Matthias Genkel, Joe Hartmann, Vesselin Bontchev, Malte Eppert, Tjark Auerbach, Howard Fuhs, Hans Naudszus & Sascha Klose, Klaus Kulbarsch, Fabiano Ralo Monterio, Bernhard Weingärtner, Uli Schäfer, Ralph Roth, Karsten Horn, Dirk Pähl, Peter Braun, Rainer Link, Bernard Henter, Jörg Henselewski, Christian Schäbsdat, Michael Raith, Axel Schmidt, Burghard Herziger, Stefan Meisel, Heinz Diehl, Georg Tüller, Wolfgang Schroedl, Thomas Springer, Winfried Schuster, Ralf Borgmann, Holger Hunger, Dietrich Krieger, Thomas Lokau, Robert Woschee, Georg Nahde, Franklin Schiftan, Lukas-Fabian Moser, Alfred Schroeder, Heinz Holdefehr, Christian Klak, Raimund Winter, Marco Schnitzler, Gerrit Harre, Thomas Hein, Maik Gogol, Richard Klein, Mirko "MUD" Pilger und alle anderen, die ich wiedermal vergessen habe... NOCH EINMAL VIELEN DANK FÜR EURE UNTERSTÜTZUNG! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ [ Glossar ]────────────────────────────────────────────────────────────────── Mit Sicherheit tauchen in den Dokumentationen und Programmen einige Fach- begriffe auf, mit denen ein normaler Anwender nichts anzufangen weiß. ANSI-Bombe: ~~~~~~~~~~~ Sequenzen, die in normale Texte eingebunden werden und bei der Anzeige die Tastaturbelegung verändern. Zum Beispiel könnte "FORMAT C:"+RETURN auf die Taste "a" gelegt werden. ANSI-Bomben benötigen den ANSI.SYS Treiber, um überhaupt aktiv werden zu können. Es gibt allerdings schon mehrere Alternativen zu ANSI.SYS, die diese Tastaturreprogrammierung unterbinden und somit effektiv vor ANSI-Bomben schützen. "AM" - Analysemeldung: ~~~~~~~~~~~~~~~~~~~~~~ Die Analysemeldungen geben genau an, was genau ein gefundener Virus macht und welchen Schaden er auslöst. Konnte die Information nicht verifiziert werden, zeigt SSC ein "(?)" hinter der Meldung an. Bootsektor: ~~~~~~~~~~~ Jeder DOS-Datenträger besitzt einen Bootsektor, auch RAMDRIVES und reine Daten-Disketten. Hier werden die logischen Daten wie Größe des Mediums, Anzahl der Cluster usw. angegeben. Der Bootsektor ist stets der erste logische Sektor eines Datenträgers. Ist der Bootsektor un- gültig, zeigt DOS einen "GENERAL FAILURE DRIVE X:" an. Bootsektorviren (BSI): ~~~~~~~~~~~~~~~~~~~~~~ Bootsektorviren infizieren den Bootsektor von Disketten; bei Fest- platten wird normalerweise die Partition infiziert. In der Regel wird auf Disketten einfach der letzte Sektor des Hauptverzeichnisses gelöscht, was zu Datenverlust führen kann, wenn die betroffene Diskette viele Programmeinträge enthält. Bootsektorviren können nur auf zwei Arten aktiviert werden: - Booten mit einer infizierten Diskette im Laufwerk A: - Starten eines "Droppers" oder eines mit einem Multipartite-Virus infizierten Programms. !! BOOTVIREN WERDEN NICHT DURCH "DIR A:" -AKTIVIERT- !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wird dennoch nach "DIR A:" von einem Virenscanner der Virus bereits im Speicher gefunden, so ist das ein Falschalarm! Der benutzte Viren- scanner verwendet dann einen sehr primitiven Speichercheck. Die Ursache für den Falschalarm liegt darin, daß DOS den Bootsektor einer Diskette lesen muß, um z.B. den Diskettentyp zu ermitteln. DOS legt den Sektor in seinen Buffers ab und wertet die Daten aus, startet aber nicht den Programmcode des Sektors, was sowieso direkt zum Absturz des Rechners führen würde. Das Antivirenprogramm findet also den Sektor samt Virus in den Buffers und nicht aktiv im Speicher. !! Ist der Virus allerdings erst einmal aktiv, wird bei DIR A: !! (oder B:) jede eingelegte nicht-schreibgeschütze Diskette infiziert! Bootviren fallen i.d.R. durch Reduzierung des TOM-Wertes auf, d.h. der Rechner besitzt angeblich nur noch z.B. 638 oder 639K DOS- Speicher anstatt der üblichen 640K. Sie können dies leicht mit MEM überprüfen. Cluster: ~~~~~~~~ Da eine Verwaltung der Festplatte in Sektoren zu aufwendig wäre, werden bei DOS mehrere Sektoren zu einem Cluster zusammengefaßt. Diese Cluster werden wiederum in der FAT verwaltet. Es kann mit DOS leider recht schnell vorkommen, daß die FAT nicht korrekt aktualisiert wird und sogenannte "Verlorene Cluster" oder "Verlorene Ketten" gefunden werden. Diese sollten Sie sofort mit SCANDISK oder anderen Festplattentools löschen, bevor ernsthafte Fehler wie "Querverkettete Ketten" auftreten, wo eine Reparatur fast unmöglich ist. CMOS: ~~~~~ Externer Speicher, der durch eine Batterie mit Strom versorgt wird und rechnerspezifische Informationen wie Uhrzeit, Datum, Größe des DOS-RAM, die Festplattenwerte usw. enthält. Es ist, entgegen dem beliebten Gerücht, -nicht- möglich, in diesem Bereich aktiven Viruscode zu speichern oder zu starten. Würde ein Virus diese Bereiche überschreiben, würden die kritischen Werte für Festplattengröße, Wait-States usw. gelöscht werden und der Rechner abstürzen. Es gibt allerdings Viren, die das CMOS gezielt löschen oder mani- pulieren, um Systemabstürze zu verursachen oder, wie der <AntiCMOS>, durch trickreiche Manipulation des CMOS verhindern, daß der Rechner von einer sauberen Diskette gestartet werden kann. Companion-Viren (Split-Viren): ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Companion-Viren nutzen die Eigenschaft von DOS aus, daß ein COM-Pro- gramm stets vor einem gleichnamigen EXE-Programm gestartet wird. Companion-Viren suchen also nach EXE-Programmen und erzeugen gleich- namige COM-Dateien, die den Virus enthalten und beim Starten des Virus vor dem eigentlichen Programm ausgeführt und somit aktiv werden. Diese Dateien sind i.d.R. gleichlang und meistens durch Setzen des HIDDEN oder SYSTEM-Dateiattributes versteckt. Das Ent- fernen eines Companion-Virus ist recht einfach: alle erzeugten COM- Programme müssen einfach gelöscht werden. Oft sind HLL-Viren Companion-Viren, weil in Hochsprachen die not- wendigen Strukturen für einen normalen Dateivirus nicht so einfach zu programmieren sind. Es gibt auch andere Möglichkeiten für Companion-Viren, ihre Dateien zu verstecken, z.B. im Pfad oder durch komplettes Umbenennen der "infizierten" Datei. <GoldBug> z.B. infiziert Programme, indem die Originaldatei in "*." umbenannt und eine neue Datei mit Virus unter den alten Namen (*.COM und *.EXE) angelegt wird. Möglich ist auch, BAT-Dateien zu erzeugen, die erst den Virus und dann das ursprüngliche Programm aufrufen, wie z.B. <Honecker> dies versucht. Construction Kits: ~~~~~~~~~~~~~~~~~~ Mit solchen Construction Kits kann jeder normale Anwender eigene Viren generieren. Die Kits sind allerdings alle recht primitiv; die erzeugten Viren ähneln sich alle sehr und können oft ohne Pro- bleme mit einem einzigen Scanstring gefunden werden. Trotzdem er- scheinen monatlich eine Unmenge neuer Kit-Viren, die sich nur minimal unterscheiden. Bekannte Construction Kits sind VCL, PS-MPC, G², BW, IVP, VCS und NRLG. Correlation-Scanning: ~~~~~~~~~~~~~~~~~~~~~ Eine etwas unübliche Methode, infizierte Programme zu finden. Der Scanner benötigt eine garantiert infizierte Datei als Vorlage und vergleicht dann, bis zu welchen Grade alle anderen durchsuchten Programme mit diesem Muster übereinstimmen. Diese Methode funk- tioniert sehr gut bei unverschlüsselten bzw. nur statisch ver- schlüsselten Viren. Bei Viren, die eine komplexe Polymorphic Engine benutzen, versagt Correlation-Scanning fast völlig oder produziert eine Unmenge an Falschalarmen. DIR-Viren / Verzeichnis-Viren: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Dieser Virustyp infiziert keine Sektoren oder Dateien mehr, sondern manipuliert direkt die Verzeichnisse von DOS. DIR-Viren breiten sich unglaublich schnell aus, da schon ein DIR-Befehl in dem Verzeichnis ausreicht, dieses Verzeichnis komplett und fast ohne spürbaren Zeit- verlust zu infizieren. Beim Booten von einer sauberen Diskette sind alle infizierten Dateien querverbunden, da alle Dateien auf den selben Cluster zeigen. Zum Glück gibt es nur den <DIR-II>-Virus, der diese Methode benutzt und dazu nicht einmal kompatibel zu DOS 5.0 und höher ist. Direct Action-Viren: ~~~~~~~~~~~~~~~~~~~~ Diese Viren werden nicht speicherresident und suchen sofort nach Programmen, die sie infizieren können. Die einfachste Sorte sucht nur im aktuellen Verzeichnis, besser programmierte Direct Action- Viren durchsuchen auch andere Verzeichnisse oder über PATH ange- gebene Verzeichnisstrukturen. Da solche Viren sehr einfach zu pro- grammieren sind, gibt es eine große Anzahl von Direct Action-Viren, die aber letztendlich kaum verbreitet sind. Dropper / Partitions- oder Bootsektorvirusstarter: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Normalerweise können reine Bootsektorviren nicht über Programme in ein System eindringen. Es gibt jedoch eine Methode, dies zu bewerk- stelligen, und zwar wird der Virus in einem speziellen Programm ver- steckt, welches den Virus quasi in der Partition installiert. Die Datei selber ist also nicht infiziert, enthält aber den Virus, der beim Aufruf des Programmes auf der Festplatte/Diskette instal- liert wird. Der Virus wird dann erst beim nächsten Neustart aktiv. Es gibt auch Dropper für normale Dateiviren, in diesem Fall wurde der Virus mit Absicht versteckt, um ein Erkennen mit Virenscannern unmöglich zu machen. "EM" - Erkennungsmeldung: ~~~~~~~~~~~~~~~~~~~~~~~~~ Wird bei heuristischen Scannern zur eigentlichen Erkennung der Viren benutzt. Jede EM repräsentiert eine typische Virenstruktur. Wird eine bestimmte Anzahl oder Kombination von EMs gefunden, gilt das Programm als verdächtig oder sogar als infiziert. EXE-Header: ~~~~~~~~~~~ EXE-Programme haben einen definierten Programmkopf, der wichtige Informationen wie die Länge und Startadresse des Codes enthält. EXE-Programme können an dem "MZ" bzw. "ZM" am Programmanfang erkannt werden. Viren müssen diesen Bereich ändern, wenn sie Programme infizieren wollen. Oft erzeugen Viren beim Infizieren auch ungültige EXE-Header, die von SSC und SVS erkannt werden. COM-Programme haben keinen eigentlichen Programmkopf, das Programm beginnt direkt am Dateianfang. Auch hier verändern Viren Programme, um diese zu infizieren. Windows-Programme haben ebenfalls einen EXE-Header, dazu aber noch einen speziellen New-EXE Programmkopf, der nur von Windows benutzt wird. Viele Viren erkennen Windows-Programme nicht und zerstören diese beim Infizieren. Das gleiche gilt übrigens auch für OS/2- Programme. Familien-String / Signatur: ~~~~~~~~~~~~~~~~~~~~~~~~~~~ SSC benutzt Virensignaturen nur, um die wirklich verbreitetsten Viren genauer zu erkennen. Im Report erscheint dann: "Dieser Virus ist ähnlich zu: xxx Virus" Fast Infector: ~~~~~~~~~~~~~~ Als Fast Infector gelten alle Viren, die schon beim Dateiöffnen bzw. -schließen diese infizieren. Scannen der Festplatte mit aktivem Fast- Infector-Virus hat zur Folge, daß fast jedes Programm danach infi- ziert ist! Fast Infectors sorgen also für richtige Viren-Epidemien, allerdings werden solche Viren durch das Abbremsen des Systems auch recht schnell vom Anwender bemerkt. FAT / File Allocation Table / Dateizuordnungstabelle ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Hier wird angegeben, welche Cluster von welcher Datei belegt werden. Die FAT ist gelegentlich ein Ziel für destruktive Viren. Interrupt: ~~~~~~~~~~ Ein Interruptaufruf unterbricht das laufende Programm, führt be- stimmte Systemroutinen aus und setzt danach das Programm wieder fort. Unter DOS werden mit Interrupts sämtliche Systemfunktionen angesprochen, wie etwa Sektor- und Dateizugriff, Bildschirmausgaben usw. In the wild (ITW) - Viren in freier Wildbahn: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diese Viren sind extrem verbreitet und machen fast 95% aller Infektionen aus. Dabei sind diese Viren keinesfalls besonders neu oder trickreich, wie etwa der sehr stark verbreitete <FORM> oder <Parity_Boot.B>, und werden von fast jedem Antiviren-Programm gefunden. ITW-Viren treten immer wieder auf und sind kaum auszu- rotten. In Deutschland gibt es ca. 20 bis 30 ITW-Viren, darunter z.B. <FORM>, <Parity_Boot.B>, <Tremor> oder <Tai-Pan>. Integrity-Checker: ~~~~~~~~~~~~~~~~~~ Prüfsummenprogramme sind eigentlich keine direkten Antiviren-Pro- gramme, sondern erkennen jede Art von Dateiveränderungen. Da Viren spezielle Bereiche eines Programms beim Infizieren ändern müssen, werden oft aus Geschwindigkeitsgründen nur genau diese Bereiche ge- prüft, wenn der Integrity-Checker für den Einsatz gegen Viren ge- dacht ist. Header-Viren: ~~~~~~~~~~~~~ Dieser Virustyp ist recht neu, aber kaum verbreitet, obwohl die möglichen Stealthfunktionen sehr effektiv sind. Header-Viren in- fizieren Programme, allerdings nicht, wie sonst üblich, über den INT 21h, sondern durch eine direkte Sektormanipulation mittels INT 13h. Sie infizieren nur EXE-Programme, die einen 'leeren' Pro- grammkopf haben. Da dieser Typ heutzutage äußerst selten auftritt, finden Header-Viren kaum Opfer zum Infizieren. Desweiteren infi- zieren Header-Viren oft nur EXE-Programm, die kleiner als 64K sind, was die Zahl der möglichen Opfer noch weiter einschränkt. Header-Viren sind außerdem oft Fast Infectors und können Programme auf DBLSPACE, RAMDRIVES und anderen logischen Laufwerken nicht in- fizieren. Im Prinzip zählen Header-Viren zu den Stack-Viren, das einzig Neue ist das Infizieren über INT 13h, was durch Wächterprogramme leider kaum abzufangen ist. Erkennbar sind Header-Viren daran, daß infizierte EXE-Programme keine "MZ"-Erkennung mehr am Dateianfang haben. Solche Programme sind sehr ungewöhnlich und werden von SVS gemeldet. HLL-Viren: ~~~~~~~~~~ Unter diesem Begriff fallen alle mit Hochsprachen erzeugten Viren. Man unterscheidet weiter in HLLP (Parasitic), HLLC (Companion) und HLLO (Overwriting) -Viren, wobei letzteres am häufigsten auftritt, weil es so einfach zu programmieren ist. HLLP sind sehr selten, da die notwendigen Strukturen in Hochsprache nur sehr schwierig zu programmieren sind. Hybrid-Viren: ~~~~~~~~~~~~~ -> Multipartite-Virus Kernel-Viren: ~~~~~~~~~~~~~ Kernel-Viren infizieren zuerst bestimmte Programme des Betriebs- sytems, bei DOS also IO.SYS oder MSDOS.SYS. Von dieser Virensorte existiert nur ein bekannter Virus, <3APA3A> (Russ. Slang, Zaraza). Dieser ist eigentlich eine Mischung aus einem DIR- und Bootsektor- virus, da auf Festplatten IO.SYS durch direkte Veränderung des Ver- zeichniseintrages und auf Disketten der Bootsektor infiziert wird. Laborviren / Research-Viren: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Als Research-Viren werden alle diejenigen Viren bezeichnet, die direkt Virenforschern zugespielt wurden und nicht in freier 'Wildbahn' gefunden wurden. Fast alle der mittlerweile über 5000 bekannten Virenvarianten sind solche Laborviren und sind nur in den Virensammlungen der Forscher zu finden. Makro-Viren: ~~~~~~~~~~~~ Makro-Viren nutzen die zum Teil sehr unfangreichen Makro-Sprachen bestimmter Anwenderprogramme aus. Verbreitet sind derzeit nur Makro-Viren für das Programm Microsoft Word, wie etwa der Virus <Concept>. SSC kann keine Word Makro-Viren finden, da es nur für DOS-Programmviren ausgelegt ist. Das Programm F/WIN ist in der Lage, bekannte und unbekannte Word Makro-Viren zu finden und zu entfernen. MBR - Master Boot Record: ~~~~~~~~~~~~~~~~~~~~~~~~~ -> Partition MCB - Memory Control Block / Speicherkontrollblock: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die MCBs werden von DOS benutzt, um Programmen Speicher zuzuweisen. Ein MCB enthält Angaben über Eigentümer und Länge des Speicherbe- reichs. Viele Viren reservieren sich Speicher, indem die MCB-Kette verkürzt wird und der Code in die entstandene Lücke kopiert wird, die dann als SYSTEM AREA markiert wird. Solche Blöcke sind oft direkt unterhalb der 640K-Grenze zu finden, also bei 9F??:0. Multipartite-Viren / Hybrid-Viren: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Multipartite-Viren infizieren nicht nur Programme, sondern auch noch den MBR der Festplatte oder Bootsektoren von Disketten oder gar alle drei Elemente! Bei der Reinigung muß darauf geachtet werden, daß der Virus nicht nur aus einer Komponente, sondern aus allen infizierten Komponenten entfernt wird! Oligomorph: ~~~~~~~~~~~ Eine Bezeichnung für polymorphe Viren, deren Polymorphic Engine nur sehr primitiv ist und noch mit Scanstrings gefunden werden kann. Ein Beispiel ist der <Tequila>-Virus. OS/2: ~~~~~ Für diese 32-Bit-Betriebssystem gibt es bereits ein paar Viren (3 oder 4), die jedoch aufgrund ihrer primitiven Programmierung nicht verbreitet sind. Paradoxerweise finden die meisten Viren- scanner für OS/2 nur DOS-Viren und erkennen kaum einen der OS/2- Viren. Wird ein DOS-Virus in der DOS-Box aktiv, kann er sich unge- stört ausbreiten, je nachdem wie kompatibel der Virus programmiert wurde. Versucht ein DOS-Virus, OS/2-EXE-Programme zu infizieren, werden diese dadurch zerstört. Padding / Gerundete Dateigröße: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Manche Viren müssen stets an der gleichen Offsetadresse gestartet werden. Deshalb fügen sie zusätzliche 1-15 Bytes Code ein, um diese Adresse zu erreichen. Einige Viren benutzen auch eine auf 32, 64, 128 oder 256 gerundete Dateigröße als Infektionsmarkierung. Das Problem bei der Entfernung solcher Viren ist, daß das Antiviren- Programm nicht mehr feststellen kann, wie lang das ursprüngliche Programm war und die gereinigten Dateien einige 'Schrott'-Bytes am Ende enthalten. Partition: ~~~~~~~~~~ Der Partitionssektor ist der erste physikalische Sektor einer Fest- platte. Hier findet man ein kleines Bootprogramm und die Partitions- daten, die zur logischen Einteilung der Festplatte dienen. Bei neueren Betriebssytemen wie OS/2 oder Windows/NT wird hier auch der Bootmanager gespeichert. Das Bootprogramm ist das erste veränderbare Programm, was auf einem Rechner bei einem Neustart ausgeführt wird. Partitionsviren: ~~~~~~~~~~~~~~~~ Partitionsviren verändern die Partition entweder direkt oder die An- gabe des ersten logischen Sektors und werden sofort beim Starten des Rechners aktiv. Meist reicht ein Aufruf von "FDISK /MBR" von einer Bootdiskette aus, um den Virus zu entfernen. !! VORSICHT! Bitte überprüfen Sie, ob Sie von der Bootdiskette aus noch !! "DIR C:" ausführen können und dabei korrekt das Verzeichnis der !! Festplatte angezeigt kriegen. Meldet DOS lediglich "INVALID DRIVE C:" !! oder "UNGÜLTIGES LAUFWERK C:" haben Sie vermutlich einen Sektorvirus !! der neueren Generation ( <GoldBug>, <Neuroquila> ), der die Partition !! verschlüsselt und ohne aktiven Virus unzugänglich macht. !! EIN "FDISK /MBR" WIRD DANN ZU -DATENVERLUST- FÜHREN!!! !! Der neueste Schrei bei Sektorviren ist ein Trick, der verhindert, daß !! der Anwender von einer sauberen MS-DOS 5.0 bis 7.0 Startdiskette !! booten kann. Dafür sind lediglich ein paar kleinere Modifikationen an !! der Partitionstabelle notwendig. Versucht man danach, von einer !! sauberen Bootdiskette zu starten, liest MS-DOS den Partitionssektor !! endlos ein und hängt sich in einer Schleife auf. Um diesen Trick zu !! umgehen, benötigt man entweder eine MS-DOS 4.0 oder IBM-DOS Start- !! diskette. Der Trick funktioniert übrigens auch mit Novell-DOS. Polymorphe Viren: ~~~~~~~~~~~~~~~~~ Polymorphe Viren sind verschlüsselt und ändern mit jedem neu infi- zierten Programm den Aufbau der Entschlüsselungsroutine. Damit ist eine Suche mittels Suchstrings unmöglich. Die Mutation Engine <MtE> erzeugt mehrere Millionen Arten von Verschlüsselungen! Polymorphe Viren können nur durch eine algorithmische Suche oder durch heur- istische Analyse und Codeemulation zuverlässig gefunden werden. Die sogenannten Polymorphic Engines wie etwa <MtE> oder <TPE> sind OBJ-Programme, die in beliebige Viren eingebunden werden können und diese damit polymorph machen. Allerdings haben sich die Engines nie richtig durchgesetzt, da jeder Virus, der eine bekannte Engine be- nutzt, sofort gefunden wird, sobald die Engine selber bekannt ist. Ein Trend bei der Entwicklung von polymorphen Viren sind Slow Poly- morphic Engines, die nur sehr langsam mutieren und damit eine voll- ständige Analyse erschweren. Ein Beispiel hierfür ist <Tremor>, der selbst Monate nach seiner Entdeckung immer noch nicht von allen Antiviren-Programmen vollständig gefunden wurde. Es gibt eine Vielzahl an Polymorphic Engines, z.B. MtE, TPE, DAME, DSCE, NED, SMEG, MutaGen, VICE, GCAE, GPE, DSME, DGME, PME, VME und andere. Port-Level-Zugriff: ~~~~~~~~~~~~~~~~~~~ Festplatten werden auf unterster Ebene durch direkten Port-I/O ange- sprochen. Dieses Verfahren funktioniert nur auf WD-kompatiblen AT- BUS-Festplatten, ist aber sehr effektiv, da die meisten Viren nur auf Interruptebene das System kontrollieren. Prüfsumme / Prüfsummendateien: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Anhand einer Prüfsumme wird rechnerisch kontrolliert, ob Daten ver- ändert wurden. Prüfsummen sind sehr beliebt, da eine komplette Kopie der Datei viel zu viel Platz belegen würde, eine Prüfsumme dagegen nur ein paar Bytes. Es gibt eine Unmenge an möglichen Algorithmen, z.B. CRC16, CRC32 oder MD5. SVS und SCRC speichern neben der Prüfsumme noch weitere Informationen über die geprüften Programme in speziellen Dateien ab. Anhand dieser Dateien können SVS und SCRC später Programmveränderungen feststellen und, falls möglich, den Virus entfernen. Rekursive Partition: ~~~~~~~~~~~~~~~~~~~~ Ein Trick, der zum Glück noch von sehr wenigen Bootviren benutzt wird. Dabei wird in die Partitionstabelle (MBR) eine bestimmte Partition eingetragen. Startet man das System danach von einer MS-DOS oder Novell-DOS-Bootdiskette bleibt der Rechner nach der Meldung 'Starte DOS' stehen und der Virus kann nicht entfernt werden. Ein Booten von einer sauberen Diskette wird damit unmöglich! Benutzt man eine Bootdiskette eines anderen Herstellers, kann man zwar von der Bootdiskette starten, die Festplatte bleibt jedoch für DOS immer noch unerreichbar ('Ungültiges Laufwerk C:'). Residente Viren: ~~~~~~~~~~~~~~~~ Im Gegensatz zu den Direct Action-Viren belegen diese Viren Speicher und hängen sich in den Interrupt 21h und/oder 13h. Über INT 21h werden sämtliche internen DOS-Funktionen wie Programme starten, öffnen, kopieren, löschen usw. abgewickelt. Der Virus kriegt sozu- sagen Programmnamen zum Infizieren frei Haus geliefert. INT 13h ist für den Festplatten- bzw. Diskettenzugriff zuständig und wird von Sektor- und Multipartite-Viren belegt. Dateiviren belegen Speicher i.d.R. durch Verkürzen des letzten MCBs, es findet sich also oft ein verdächtiger Speicherbereich direkt unterhalb der 640K-Grenze bei ca. 9F??:0. Bei Sektorviren ist es üblich, Speicher durch die Reduzierung des TOM-Wertes zu belegen; es sind oft nur noch 639K oder 638K DOS-Speicher vorhanden. Eine weitere Methode ist das Belegen von Speicher in von DOS unge- nutzten Bereichen, oft unterhalb von IO.SYS im Speicher. Da dort nur sehr wenig Speicher zur Verfügung steht, können diese Methode auch nur sehr kleine Viren benutzen, die dann oft abstürzen. Neuere Viren sind auch in der Lage, gezielt UMB zu belegen oder sogar sich in der HMA einzunisten. Die Möglichkeiten eines Virus in der HMA sind allerdings stark begrenzt, deswegen ist diese Methode nicht sehr stark verbreitet. XMS wird nie und EMS von nur ein oder zwei Viren insgesamt benutzt. Retroviren: ~~~~~~~~~~~ Retroviren greifen bestimmte Antiviren-Programme gezielt an. Mög- lich ist z.B., daß bestimmte Programme mit Namen wie SCAN einfach vor dem Aufruf gelöscht werden oder der Start mit einer Fehler- meldung wie "Not enough memory" abbgebrochen wird. Gängig ist das Löschen von Prüfsummendateien wie CHKLIST.MS, ANTI-VIR.DAT usw., da die Virenscanner leider oft ohne Abfrage neue Prüfsummen er- zeugen und den Virus nicht bemerken. Auch residente Wächterprogramme sind oft ein Ziel von Viren, wie z.B. VSAFE, das mit 8 Bytes (!) aus dem Speicher entfernt werden kann oder TBMON, das neuerdings immer öfter angegriffen wird. Entweder bleiben die Viren inaktiv, falls sie ein residentes Wächter- programm entdecken oder sie versuchen, es durch Patchen oder andere Tricks auszuschalten. Da so gut wie alle Antiviren-Programme sich gegen solche Attacken nicht schützen, werden wohl immer mehr Viren Retrofähigkeiten aufweisen und Antiviren-Programme gezielt angreifen. Scanstrings / Suchstring / Virensignatur: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die herkömmliche Methode, einen Virus zu finden: Man extrahiert eine eindeutige Bytefolge aus dem Virus und durchsucht alle Dateien nach diesem 'Fingerabdruck'. Scanner, die alleine auf Virensignaturen basieren, veralten schnell: der Virus muß nur geschickt modifiziert werden, um nicht mehr entdeckt zu werden. Scannen: ~~~~~~~~ Die übliche Methode, um Viren zu finden. Dabei wird nach einer be- stimmten Bytekombination gesucht, die praktisch einem Fingerabdruck eines Virus entspricht. Scannen ist recht einfach zu programmieren und ist sehr schnell. Scanner müssen allerdings regelmäßig aktua- lisiert werden, um mit der Entwicklung von neuen Viren mithalten zu können. Slack-Viren: ~~~~~~~~~~~~ Als Slackbereich bezeichnet man den Platz direkt nach einer Datei, die ihren letzten belegten Cluster nicht komplett füllt. Ist auf der Festplatte also ein Cluster 8192 Bytes groß und eine Datei nur 7000 Bytes lang, hat diese Datei 1192 Bytes Slack, der bei jedem Programm- start mitgeladen wird, aber keine Daten enthält. Slack-Viren nutzen diesen Umstand und verlängern Programme nicht, sondern verändern nur den Programmanfang. Infizierte Programme fallen nicht so schnell auf, weil die Dateilänge selbst bei deaktiviertem Virus immer noch gleich- geblieben ist. Es gibt nur wenige Slack-Viren wie etwa <Assassin> oder <No_of_the Beast>, die jedoch kaum verbreitet sind. Benutzt der Anwender DEFRAG oder andere Tools dieser Art, wird der Slackbereich überschrieben und infizierte Programme zerstört. Slow Infector: ~~~~~~~~~~~~~~ Slow Infector-Viren infizieren nur dann, wenn durch den Benutzer selber Daten verändert werden. So kann ein Virus z.B. beim Er- stellen oder Schreiben von Programmen diese infizieren. Diese Technik wird benutzt, um Prüfsummenprogramme und residente Wächterprogramme zu überlisten: da eine neue Datei erstellt wird, ist noch keine ent- sprechende Prüfsumme vorhanden bzw. DOS selber verändert das Programm und die Infektion bleibt völlig unbemerkt. Viren dieser Art verbrei- ten sich nur langsam, aber bleiben dafür oft viel länger unbemerkt. Es gibt nur relativ wenige Slow Infector-Viren, dafür aber eine sehr große Anzahl von Fast Infector-Viren. Soft-Tracer: ~~~~~~~~~~~~ Soft-Tracer benutzen nicht mehr den Einzelschritt-Modus-Interrupt INT 1 um den Interrupt 21h oder 13h zu durchlaufen. Sie durchsuchen (scannen) einfach die Interrupts nach Sprungbefehlen und hangeln sich so durch die jeweilige Interrupt-Kette. Im Gegensatz zum 'echten' Tracing lassen sich Soft-Tracer nicht blockieren. Der einzige Schutz dagegen ist, wenn das Antivirus-TSR so programmiert wird, daß der Tracer die Befehlsfolgen nicht mehr richtig emulieren kann (SVS wurde entsprechend modifiziert). Stack-Viren: ~~~~~~~~~~~~ Stack-Viren verlängern Programme nicht, sondern suchen sich Blöcke innerhalb des Progammes, in die sie sich umbemerkt schreiben können. In der Regel suchen Stack-Viren nach einem ausreichend großen Block voller Nullbytes und überschreiben diese. Da die meisten Programme heutzutage mit PKLITE, EXEPACK usw. komprimiert werden, sind diese Viren kaum verbreitet. Stealthviren / Tarnkappenviren: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Stealthviren verbergen die Tatsache, daß infizierte Dateien oder Sektoren verlängert bzw. verändert wurden, und können damit so gut wie alle Virensuchprogramme und Prüfsummenchecker täuschen. Man unterscheidet zwischen Semi- und Vollstealth-Viren, wobei Semi- stealth-Viren nur die Dateiverlängerung verbergen, nicht aber die eigentliche Dateiveränderung. Stealthviren zu entfernen, erfordert das Starten des Rechners von einer sauberen Bootdiskette aus, da sonst der Virus noch aktiv im Speicher ist und damit eine Reinigung unmöglich macht bzw. das ge- reinigte Programm sofort wieder reinfiziert. Datei-Stealthviren fallen oft durch Fehlermeldungen bei CHKDSK auf, die durch den Unterschied zwischen FAT und Verzeichniseintrag entstehen. !! BEI CHKDSK -NIE- den Parameter "/F" angeben! DATENVERLUST! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Stealthviren lassen sich möglicherweise austricksen und recht einfach entfernen! Da ein Stealthvirus allen Programmen vorgaukelt, daß infizierte Programme 'sauber' sind, kann man einfach mit Archivierern wie PKZIP oder ARJ alle Programme der Festplatte komprimieren. Nachdem von einer sauberen Bootdisk gestartet wurde, sollte man mit einer sauberen Version von PKZIP und ARJ einfach wieder über die infizierten Programme auf der Festplatte entpacken. Da der Virus ja Stealth ist, sind alle Programme im Archiv sauber. Dieser Trick klappt allerdings nur bei Full-Stealthviren und nicht bei Semi-Stealthviren, die nur die alte Dateilänge vortäuschen. In einigen Dokumenten wird der Begriff "Stealth" übrigens generell für alle möglichen Viren-Tricks benutzt, wie etwa Verschlüsselung. Symptome / Schäden: ~~~~~~~~~~~~~~~~~~~ Im Gegensatz zu der allgemeinen Meinung sind nur sehr wenige Viren wirklich destruktiv. Oft beschränken sie sich völlig auf das Infi- zieren von Programmen. Ein Virus kann alles mögliche verursachen, z.B. Texte ausgeben, Musik spielen, den Rechner bremsen, Programme mit unechten Fehlermeldungen abbrechen, Daten manipulieren oder löschen, Graphikeffekte zeigen oder einfach nur Rechnerabstürze ver- ursachen. Es ist Viren allerdings definitiv nicht möglich, Hardware wie etwa die Graphikkarte oder die Festplatte zu zerstören, wie es oft gerne behauptet wird. TOM (Top Of Memory) / Speicherobergrenze: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Der TOM-Wert gibt die Obergrenze für den konventionellen DOS-Speicher an und normalerweise beträgt dieser Wert genau 640K. Vor allem Boot- viren reduzieren diese Größe und kopieren sich in den nun geschützten Bereich, da dies beim Booten fast die einzige Möglichkeit ist, Speicher zu belegen. Einige Rechner belegen allerdings 1K für BIOS- Daten, wenn im CMOS-SETUP kein Shadow-RAM aktiviert wurde. Der TOM- Wert kann z.B. mit MEM anzeigt werden. Tracer / Interruptdurchlauf im Einzelschrittmodus: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Viele Viren versuchen, residente Antivirenprogramme durch einen Tracer zu umgehen. Dabei wird Interrupt 21h (DOS) und/oder Interrupt 13h (Festplatte/Diskette) im Einzelschrittmodus der CPU solange durchlaufen, bis der ursprüngliche DOS-Eintrag gefunden wurde. Ge- lingt es dem Virus, diese Adresse erfolgreich zu ermitteln, kann er unbemerkt an allen residenten Wächterprogrammen vorbei Programme und Sektoren infizieren und verändern. Gut programmierte Wächterprogramme können Tracer blockieren, viele der meistgenutzten Programme wie VIRSTOP oder VSAFE/TSAFE können dies allerdings nicht. Eine neue Entwicklung sind die "Soft-Tracer", die nicht mehr den Einzelschritt-Modus der CPU benutzen, da dies oft von Antivirus-TSRs abgefangen wird. Diese Tracer emulieren einfach die Assembler- Befehle des aktuellen INT 21h-Vektors und suchen nach Sprungbefehlen, die in der INT 21h-Kette weiter nach 'unten' verzweigen. Diese Methode ist fast genauso effektiv wie das INT 1-Tracen, kann aller- dings nicht von Antiviren-TSRs direkt abgefangen werden. Das Modul ART eines australischen Virenprogrammierers emuliert sogar sämtliche CPU-Befehle und ist somit noch effektiver als die üblichen Soft- Tracer. Trigger / Auslöser: ~~~~~~~~~~~~~~~~~~~ Viele Viren verhalten sich eine zeitlang bis auf das Infizieren völlig ruhig, um dann ihre Schadensfunktion zu aktivieren. Das kann z.B. beim Überschreiten eines bestimmten Datums oder beim Erreichen der x-ten Infektion geschehen. Trojanisches Pferd: ~~~~~~~~~~~~~~~~~~~ Trojanische Pferde werden oft auch als Bomben bezeichnet und haben einzig und allein den Zweck, Dateien zu zerstören. Das kann sofort oder auch erst an einem bestimmten Datum geschehen. Oft werden Trojaner als neue Versionen bekannter und beliebter Programme ge- tarnt, um eine hohe Ausbreitung zu garantieren (Hack oder Fake). Trojanische Pferde an sich können sich selber nicht vermehren. Überschreibende Viren (Overwriting): ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Der einfachste aller Virentypen. Es gibt Overwriting-Viren mit nur 23 Bytes Länge! Wie der Name allerdings schon sagt, infizieren diese Viren Programme nicht, sondern zerstören sie. Eine Reinigung ist nicht möglich und 'infizierte' Programme funktionieren i.d.R. auch nicht mehr. Überschreibende Viren sind nicht resident und suchen i.d.R. nur im aktuellen Verzeichnis nach Opfern. Windows: ~~~~~~~~ Viele Viren funktionieren nicht unter Windows oder zerstören Windows-Programme beim Infizieren. Such- und Wächterprogramme, die nur unter Windows arbeiten, sind sinnlos, da sie im Ernst- fall nicht mehr startbar sind oder nicht, wie unter DOS, die volle Kontrolle über das System haben und somit wesentlich leichter von Stealth-Viren ausgetrickst werden können. Von den bisher bekannten ca. 10 Windows-Viren sind die meisten so primitiv, daß sie sich nie weit verbreitet haben. Erst mit dem Bekanntwerden von <WinSurfer> hat sich die Situation geändert. Dieser Virus infiziert NE-EXE korrekt und sorgt, im Gegesatz zu den älteren Windows-Viren dafür, daß das infizierte Programm korrekt ausgeführt wird. Der Sourcecode wurde veröffentlicht und es sind bereits mehrere Viren mit einem ähnlichen Infektionsschema erschienen, das weitaus effektiver als die alten Methoden ist und somit Windows- Viren zu einer echten Bedrohung machen. Der Nachfolger von <WinSurfer> ist sogar in der Lage, korrekt und ohne Manipulation der SYSTEM.INI speicherresident zu werden und infiziert zudem noch DOS-Programme, was seine Gefährlichkeit weiter steigert. Anfang 1996 wurde der erste Windows95-Virus <Boza> gefunden, der allerdings ziemlich fehlerhaft ist und sich nie weit verbreiten wird.