Best of German Only 2

home *** CD-ROM | disk | FTP | other *** search

/ Best of German Only 2 / romside_best_of_german_only_2.iso / dos / utility / antilink / virscan.doc < prev next >

Wrap

Text File | 1993-03-29 | 108KB | 3,149 lines

ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Das Virensuchprogramm + + +++++++ ++++++ +++++ +++++ +++ + + + + + + + + + + + + + ++ + + + + + + + + + + + + + + + + ++++++ +++++ + +++++++ + + + + + + + + + + + + + + + + + + + + + + + + + + + ++ + +++++++ + + +++++ +++++ + + + + ++++++ + + + +++++ + + + + + + + + + + + + + ++++++ + + + +++++ + + + + + + + + + + + + +++++++ +++++ +++++ Gegen bekannte und UNBEKANNTE MSDOS-Computerviren, mit integriertem Virenkiller Copyright (c) 1990-93 by ROSE, Ralph Roth, Finkenweg 24, D 7214 Zimmern o. R. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 1 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 2 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 2. INHALTSVERZEICHNIS 2. Inhaltsverzeichnis 3 3. Hinweis für erfahrene Anwender 6 4. Einleitung 7 4.1 Zur Zeit sind folgende Funktionen implementiert 7 4.2 Weitere Vorteile von VirScan 7 5. Das Handbuch 9 5.1 Urheberrecht 9 6. Shareware 9 6.1 Das Sharewareprinzip 9 7. Funktion von VirScan Plus 11 7.1 Veränderungen der einzelnen Programmversionen 11 7.2 Was sind eigentlich Computer-Viren? 12 8. Starten von VirScan 13 8.1 Während des Suchlaufes 13 8.2 Nach dem Suchlauf 13 9. Unterstützte Parameter 15 9.1 Parametersyntax 15 9.2 Die Umgebungsvariable VIRSCAN 15 9.2.1 Zurücksetzen von voreingestellten Werten 16 9.2.2 VirScan per AUTOEXEC.BAT-Datei konfigurieren 16 9.2.2.1 Beispiele für das Setzen der Umgebungsvariable 16 9.2.2.2 Bsp.: Tägliche kurze Prüfung per AUTOEXEC.BAT-Datei 16 9.3 Die einzelnen Parameter 17 9.3.1 /? oder -? (Hilfestellung) 17 9.3.2 /AUTO (Autopilot aktivieren) 17 9.3.3 Beispiele für den weiteren Einsatz des Autopiloten 17 9.3.3.1 Zusätzliches Untersuchen des Laufwerks A: 17 9.3.3.2 Ton einschalten 17 9.3.3.3 Den hohen Arbeitsspeicher untersuchen 18 9.3.3.4 Nach neue unbekannten Viren suchen 18 9.3.3.5 Ergebnis ausdrucken 18 9.3.4 LW: (Laufwerke) 18 9.3.5 /BOOT (Bootviren suchen) 18 9.3.6 /F (Files) 18 9.3.7 /D (Directory) oder <Verzeichnis> 19 9.3.8 /H (/HILFE oder /HELP) 19 9.3.9 /LAPTOP (Unterstützung für Laptops) 19 9.3.10 /MEHR (Mehrere Disketten nacheinander untersuchen) 19 9.3.11 /MEM (Memory) 20 9.3.12 /MEMHI (Hoher Arbeitsspeicher) 20 9.3.13 /MUTANT (nach mutierten Viren suchen) 20 9.3.14 /IVT (Interrupt Virentest) 21 9.3.15 /LOG (Log-Datei anlegen) 22 9.3.16 /PRT oder /PRN oder /PRINTER 22 9.3.17 /REP (Report) 22 ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 3 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 9.3.18 /OFFSET (Offset anzeigen) 22 9.3.19 /VL (Viren-Liste) 22 9.3.20 /TURBO bzw. -TURBO (NICHT im Turbo-Modus suchen) 23 9.3.20.1 WARNUNG 23 9.3.21 /ULTRA (Schnelleres Suchverfahren) 23 9.3.22 /UNB (Unbekannte Viren suchen) 24 9.3.23 Bekannte Fehlalarme 24 9.3.24 Programme die einen Fehlalarm erzeugen 24 9.3.24.1 Mit Turbo=EIN 24 9.3.24.2 Mit Turbo=AUS 25 9.3.24.3 WARNUNG: Option /TURBO UND /UNB 25 9.3.25 /KILL (Virenkiller aktivieren) 25 9.3.25.1 Allgemeine Hinweise zum Virenkiller 25 9.3.25.2 Entfernen von Boot- und Partitionsviren 26 9.3.25.3 Hinweise bei Mehrfachinfektionen 26 9.3.26 /DEL (Delete/Löschen von Dateien) 26 9.3.27 /JN (Vor dem Löschen abfragen) 26 9.3.28 /LESEN 27 9.3.29 /REG (Registration) 27 9.3.30 /Q (Quiet) 27 9.3.31 /WIN (Kompatibilität zu Windows) 27 9.4 Beispiele für Aufrufe 27 10. Fehlalarm? Ja/Nein? 28 10.1 Virenbefall von Bootsektoren 28 10.2 Virenbefall von Dateien 28 10.2.1 Ein Virus in nur einer Datei 28 10.2.2 Mehrere Viren in einer Datei/Bootsektor 28 10.2.2.1 Mehrere Jerusalem Viren 28 10.3 Die am weitesten verbreiteten Viren 29 10.4 Die Programme GUARD.SYS, VDEFEND.SYS, DEFENDER.COM und TSAFE.COM u.a. 29 10.5 Mehrere Viren im Arbeitsspeicher 30 10.6 Analyse bei Virenverdacht 30 11. Sonstige Funktionen 31 11.1 VirScan und Netzwerke 31 11.2 VirScan unter OS/2 31 11.3 Zusätzliche Fehlermeldungen 31 11.4 Hinweise für Netzwerkadministratoren 32 11.5 Suchgeschwindigkeit 33 12. Der Integrierte Virenschutz 34 12.1 Der eingebaute Checksummentester 34 12.1.1 Hinweise für das Programm SCAN.EXE 34 12.1.2 Hinweise für die Programme TAV & FShield 35 12.1.3 Anzeigen der Virenliste 35 13. Wie werden neue Virenerkennungen in VirScan aufgenommen? 36 14. VirScan und ein unübliches Dateidatum 37 14.1 62 Seconds/100 Years Viren 37 15. VirScan und Stealth Viren 37 15.1 Der Brain Virus (u. a.) 37 16. Neue Funktionen von VirScan Plus 38 16.1 Der Dateiendebugger 38 16.2 Neues Suchverfahren 38 16.2.1 Bedeutung von "xxxx" 39 16.2.2 Bedeutung von "yyy" 39 17. Die verschiedenen Arten von Viren 40 17.1 Bootviren 40 ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 4 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 17.2 Viren, die den Partitionssektor befallen 40 17.3 Hybridviren 40 17.4 Nicht überschreibende Fileviren 40 17.5 Überschreibende Fileviren 41 17.6 Trojanische Pferde 41 17.7 Call Viren 41 17.8 "Live and Die" Viren 41 17.9 "Hide and Seek" Viren 41 17.10 Hardware Viren 42 17.11 Gepufferte Viren 42 17.12 Slack-/Stackbereich Viren 42 17.13 Stealthviren 43 17.13.1 Abhilfe bei Stealthviren 43 17.14 Substealthviren 43 17.15 Polymorphe Viren 43 18. Kurzbeschreibung aller Viren 45 19. Registration, Bestellungen 45 19.1 Registrieren 45 19.2 Anfragen 45 19.2.1 Meine Adresse 46 19.2.2 Kommerzielle Anwender 46 20. Sonstiges 47 20.1 Ein Dankeschön an 47 21. Garantieausschlußerklärung 47 ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 5 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 3. HINWEIS FÜR ERFAHRENE ANWENDER 'DOS-Power User' und sonstige Anwender, die der Meinung sind, daß sie dieses Handbuch erst lesen müssen, wenn ein Virus die Festplatte total zerstört hat, rate ich folgendes: ■ Zuerst VirScan mit INSTALL installieren ■ Anschließend die Datei VIRSHELP.TXT ausdrucken lassen. Diese Datei enthält eine 'Quick Referenz' für die Bedienung des Programmes (liegt der Vollversion ausgedruckt bei). ■ VirScan wie folgt starten: virscan -auto ■ Wenn VirScan etwas gefunden hat, eventuell (falls es nicht zuviel Mühe ist - ja ich weiß, 10 weitere Programme müssen noch ausprobiert werden-) doch das Handbuch lesen. Dies kann durch folgende Befehle veranlasst werden: ■ Ausdrucken: copy virscan.doc lpt1: ■ Lesen: virscan /lesen ■ Wenn Sie die Sharewareversion (oder vielleicht auch eine Raubkopie?) benützen und Sie meinen, daß das Programm sein Geld wert ist, geben Sie folgendes ein: REGISTER und ein kompletter Bestellschein wird ausgedruckt. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 6 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 4. EINLEITUNG VirScan Plus ist ein Programm zum Erkennen und Suchen von Computer Viren auf IBM kompatiblen PCs und ATs. VirScan kann in der aktuellen Version ca. 1320 verschiedene Viren entdecken. Die Bedienung ist denkbar einfach, so kann VirS- can z. B. mit zusätzlichen Parametern aus einer Batchdatei gestartet werden, andernfalls fragt das Programm den Benut- zer, welche der Optionen gewünscht wird. VirScan ist durch die Optimierung in Assembler und seinen eingebauten "De- bugger" sehr schnell. So wird für das Untersuchen einer Diskette nur wenige Sekunden benötigt. Für die bekanntesten Viren enthält VirScan Plus zusätzlich ein Killerprogramm, welches den Virus entfernen kann. 4.1 Zur Zeit sind folgende Funktionen implementiert ■ Systemspeicher untersuchen. Komplett (640 KB/ 1 MB) oder im Turbo-Modus. ■ Datenträger im Turbo-Modus oder im Sicherheitsmodus un- tersuchen. ■ Befallene Dateien löschen (wahlweise mit Bestätigen). ■ Soweit wie möglich Virus entfernen (VirScan kann zur Zeit ca. 290 Viren entfernen). ■ Mehrere Disketten/Festplatten nacheinander untersuchen. ■ Ausgabe auf Bildschirm und/oder Drucker bzw. in eine Da- tei. Erstellen eines Reports. ■ Lesen des Handbuches (44 Seiten) oder Anzeige aller Viren, die VirScan erkennt. ■ Untersuchen von Laufwerken, Netzwerken, Dateigruppen und einzelner Verzeichnisse manuell oder mittels 'Autopiloten'. 4.2 Weitere Vorteile von VirScan ■ Der Boot- und Partitionssektor und das Programm VirScan werden jedesmal mit überprüft. ■ Neue Virensignaturen können mittels eines Texteditors in die Datei VIRSCAN.EXT aufgenommen werden, d. h. VirScan veraltet also niemals. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 7 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── ■ Alle zeitkritischen Funktionen wurden zusätzlich in As- sembler optimiert. ■ Für etwaige Fragen stehen mehrere Dokumentationen zur Verfügung. Die Anleitung zu VirScan kann als Handbuch aus- gedruckt werden. ■ VirScan ist lauffähig auf allen Graphikkarten. Ein Lauf- werk oder eine Festplatte und MSDOS ab Version 3.21, sowie ein IBM kompatibler Rechner mit 640 KB Speicher sind er- forderlich. ■ Neues Suchverfahren findet auch nicht konstante Vi- ren(stämme) (z. B. Tequila, Jerusalem) und deren Abarten. VirScan findet -wahlweise- auch neue noch unbekannte Viren, die durch Modifizieren bestehender Viren entstehen! ■ Es wird eine Textdatei (VIRBIBEL.DOC) mitgeliefert, die eine kurze Beschreibung zu ca. 1500 Viren enthält. ■ VirScan kann sogar noch unbekannte im Arbeitsspeicher be- findliche Stealthviren erkennen! ■ VirScan kann Netzwerke untersuchen. Läuft auch in der 'DOS-Box' des Betriebssystem OS/2 Version 2.00 ■ VirScan kann auch wahlweise nach noch unbekannten Viren suchen. Ferner werden unübliche Dateiattribute oder defekte bzw. zerstörte Programme erkannt. ■ Das Programm ist komplett in deutscher Sprache. Inklusive Installationsprogramm! ■ VirScan Plus wird u. a. nach dem Sharewareprinzip vermar- ket. Das Programm kostet in der Vollversion nur DM 49,-- (zuzüglich einer Porto- und Verpackungspauschale von DM 5,-- ). Mehrplatzlizenzen für Netzwerke ist ebenfalls erhältlich. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 8 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 5. DAS HANDBUCH Dieses Handbuch wurde mit WORD 5.5 erstellt und einem vom Programmautor entwickelten Hilfsprogramm nach ASCII por- tiert. Sie können deshalb dieses Handbuch auf JEDEM Drucker, der mindestens 64 Zeilen pro Blatt und einen Seitenvorschub unterstützt, ausdrucken (auch auf Laserdruckern). Befehl: COPY VIRSCAN.DOC PRN 5.1 Urheberrecht Der Programmautor - Ralph Roth - besitzt alle Rechte an diesem Computerprogramm UND seiner begleitenden Dokumenta- tionen. Eine Vervielfältigung des Programmes und/oder der Dokumentation ist ohne schriftliche Genehmigung des Autors untersagt und stellt eine Urheberrechtsverletzung dar! Eine Ausnahme stellt die Sharewareversion des Programmes dar: - Anwender dürfen dieses Programm kopieren und weitergeben. - Sharewarehändler dürfen nach schriftlicher Ge- nehmigung das Programm als Shareware vertreiben. Das Verändern des Programmes und/oder der Dokumentation ist strengstens verboten! 6. SHAREWARE VirScan wird u. a. nach dem sog. Sharewareprinzip ver- trieben, d. h. Sie bestellen sich bei einem Sharewarehändler die Sharewareversion von diesem Programm. In der Regel verlangt der Sharewarehändler hierfür eine Vermittlungsge- bühr, die zwischen 3 und 20 DM liegt. Mit dieser Gebühr ha- ben Sie jedoch nicht das Programm gekauft, sondern nur dem Händler seine Auslagen für Werbung, Kopieren usw. bezahlt! 6.1 Das Sharewareprinzip Das Programm versteht sich als Shareware, daß heißt, Sie dürfen es testen und ausprobieren. Wenn Sie aber damit län- ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 9 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── ger als vier Wochen arbeiten, wird eine Registrationsgebühr fällig. Shareware können Sie also risikolos austesten. Falls Ihnen das Programm zusagt, kaufen Sie sich eine Vollversion. Falls dieses Programm als SHAREWARE-Programm angeboten wird, darf das Programm unentgeltlich weitergegeben werden, wenn die zugehörigen Dateien nicht verändert und nicht weg- gelassen werden (gilt nicht für die Vollversion). Regi- strierte Anwender dürfen natürlich die Vollversion nicht weitergeben! Die kommerzielle Nutzung der Sharewareversion (in Firmen, öffentlichen Anstalten, Schulen etc.) ist untersagt. Für die oben aufgeführte Registrationsgebühr erhalten Sie die Vollversion und den neuesten und aktuellsten Programmupdate (neueste Programmversion). Unterstützen Sie das Sharewarekonzept durch Ihre Registra- tion! In der Vollversion fallen die Aufforderungsbildschirme weg! Außerdem erhalten Sie mit Ihrer Bestellung die derzeit aktuellste Programmversion! Zum Bestellen ihrer persönlichen Vollversion starten Sie bitte das Programm REGISTER.COM und ein Bestellschein wird ausgedruckt. Für weitergehende Hinweis über das Shareware- prinzip wird zusätzlich auf die Datei HINWEIS.COM hingewie- sen! ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 10 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 7. FUNKTION VON VIRSCAN PLUS Mit VirScan werden Dateien, Laufwerke, Netzwerke, Arbeitsspeicher, der Partitionssektor und der Bootsektor auf Virenbefall untersucht. VirScan überprüft normalerweise nur ausführbare Programme, die auf EXE, COM, BIN, OVL, OVR, SYS, APP oder OBJ enden. Es können aber über Parameter andere "Extensionen" (Endungen) gewählt werden. Der Virensuchalgorithmus ist zwar hochoptimiert, aber al- leine jede Datei einzeln nach allen Viren durchzusuchen, braucht seine Zeit. Ich nehme jedoch an, Sie werden über- rascht sein, wie schnell VirScan Ihre Festplatte untersucht! 7.1 Veränderungen der einzelnen Programmversionen Dies stellt eine Kurzübersicht dar, die Datei WHATSNEW.COM enthält eine detaillierte Beschreibung der Programmverbes- serungen. Ab Version 4.55 von VirScan wurde eine neue Funktion inte- griert, mit der jedesmal beim Starten von VirScan die Datei VIRSCAN.EXT eingelesen wird. In diese Datei können Sie die Erkennungen (sog. Signaturen) von neuen Viren hinzufügen. Dann wird zusätzlich nach diesen neuen Viren gesucht. Ab Version 5.0 kann der Systemspeicher (Arbeitsspeicher) auf Virenbefall untersucht werden. Ab Version 6.0 ist ein Virenkiller integriert. Zusätzlich kann VirScan jetzt jederzeit mit der ESC-Taste abgebrochen werden. Ab Version 7.0 wurde eine Warnfunktion integriert. VirScan meldet bei einer Übereinstimmung des "Suchstring" mit der zu untersuchenden Datei von ca. 95 % einen Virusverdacht. Damit kann VirScan auch modifizierte, aber bekannte Viren erkennen! Zusätzlich wird jetzt bei einer Festplatte der Partitionssektor mituntersucht. In Version 7.8 ist ein intelligenter Dateiendebugger in- tegriert worden, um die Verarbeitunggeschwindigkeit nochmals zu steigern. Weil der Tequila-Virus keine konstanten Erkennungen besitzt wurde in VirScan ein zusätzlicher Suchalgorithmus eingebaut. Mehr hierzu siehe unten! Version 8.0 wurde netzwerktauglich gemacht. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 11 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Version 8.5 findet jetzt mit der Option /UNB auch neue unbe- kannte Viren! Version 8.6 kann den Arbeitsspeicher bis 1 MB untersuchen. Version 9.0 hat einen eingebauten 'Autopiloten', der für unerfahrene Anwender alle nötigen Einstellungen vornimmt! Version 9.20 findet jetzt mit der Option /MUTANT neue modi- fizierte Viren (teilweise auch noch unbekannte)! 7.2 Was sind eigentlich Computer-Viren? Bei Computer-Viren handelt es sich um Programme, die Dateien bzw. Programme befallen. Sie "hängen" sich in den meisten Fällen an das Ende eines Programmes und vergrößern es um ca. 2500 Bytes. Nach dem Aufruf des infizierten Programmes wird zuerst das Programm, dann der angehängte Virus in den Arbeitsspeicher geladen. Beim Starten des Programmes durch das Betriebssystem wird zuerst der Virusteil angesprungen. So kann der Virus ent- weder das geladene Programm manipulieren oder ein neues an- greifen. Anschließend springt der Virus zum eigentlichen Programm über. Durch diese Taktik merkt der Computerbenutz- ter normalerweise nicht, daß seine Programme von einem Virus infiziert sind. Wie alle anderen Programme auch, befindet sich ein Computer- Virus als ein kleines Programm namenlos im Arbeitsspeicher. Diese wenige Kilobytes Programmcode enthalten aber für den Virus spezifische Maschinenbefehle, an denen er erkannt werden kann (die sog. Virensignaturen). ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 12 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 8. STARTEN VON VIRSCAN Legen Sie die VirScan-Diskette in Laufwerk A ein und geben Sie folgendes ein: A: [ENTER] VIRSCAN /? [ENTER] VirScan wird dann gestartet, gibt einen kurzen Hilfsbild- schirm aus, und fragt Sie anschließend nach verschieden Pa- rametern, die Sie eingeben müssen (siehe unten). Wenn Sie später mit VirScan vertraut sind, können Sie VirScan so aufrufen, daß er alle benötigten Parameter aus der Komman- dozeile liest. Wenn VirScan alle Dateien untersucht hat und ein Virus ge- funden wurde, drücken Sie die ENTER-Taste. Falls KEIN Virus gefunden wurde, bekommen Sie in etwa folgende Bildschirman- zeige: |------------------------------------------------------------| | VirScan Plus, vX.XX (c) 20.10.90-93 by ROSE, Ralph Roth | | Lesen Sie dazu die Dokumentation VIRSCAN.DOC & VIRSCAN.TXT | | durch! Mit eingebautem Virenkiller. | |Diese Version von VirScan kann mindestens XX Viren erkennen!| |------------------------------------------------------------| Sechzig Dateien untersucht! 5.789.512 Bytes untersucht. Glück gehabt: keine Viren gefunden! 8.1 Während des Suchlaufes Während des Suchlaufes können Sie mit folgenden Tasten VirScan beieinflußen: <Escape> : Bricht die Programmausführung ab. Die gerade untersuchte Datei wird jedoch noch zu Ende untersucht. <Leertaste> : Hält die Programmausführung solange an, bis Sie eine andere Taste drücken. Dies ist besonders dann sinnvoll, wenn Ihr System weitgehendst verseucht ist und Sie sich die einzelnen Datei genauer anschauen wollen. 8.2 Nach dem Suchlauf Wenn VirScan alles untersucht hat, und einen Virus gefunden hat, müssen Sie anschließend noch die <Enter> Taste drücken. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 13 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Anschließend gibt VirScan aus, wieviele Programme untersucht worden sind, wieviele Viren gefunden und wieviele Viren ent- fernt wurden und wie lange VirScan hierzu gebraucht hat. Ferner errechnet VirScan die durchschnittliche Suchge- schwindigkeit, die für jeden Computer etwas anders ausfällt. Auf verschiedenen Testanlagen (386/486 + CACHE) wurden jedoch Suchgeschwindigkeiten von über 920.000 Bytes pro Sekunde erzielt! Wenn VirScan anzeigt: "20 MB Programmcode untersucht", Sie jedoch eine 80 MB Festplatte besitzen, ist dies nicht ein Programmfehler, sondern die Summe aller AUSFÜHRBAREN Pro- gramme auf Ihrer Festplatte (Texte oder Daten nach Viren abzusuchen ist sinnlos!). ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 14 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 9. UNTERSTÜTZTE PARAMETER Wird VirScan ohne zusätzliche Parameter gestartet, so wird nach den einzelnen Optionen gefragt, z. B. welches Laufwerk untersucht werden soll. Es können jedoch zusätzliche Para- meter beim Start übergeben werden. 9.1 Parametersyntax VIRSCAN [LW:] [/AUTO] [/BOOT] [/Fxxxx.yyy] [/Dxxxx] [/HILFE] [/MEHR] [/LAPTOP] [/LOG] [/PRT] [/REG] [/VL] [/TURBO] [/DEL] [/MEM] [/KILL] [/JN] [/LESEN] [/REP] [/Q] [/?] [/UNB] [/ULTRA] [/MEMHI] [/MUTANT] [Verzeichnis] [/WIN] Die eckigen Klammern bedeuten, daß die Parameter wahlfrei sind. Sie müssen jedoch mindestens einen Parameter angeben, damit VirScan weiß, was das Programm zu tun hat, andernfalls fragt Sie VirScan nach den einzelenen Parametern. Anwender, welche die amerikanische Parametereingabe mit dem Minuszeichen gewohnt sind, können statt den Slashzeichen ('/') das Minuszeichen ('-') verwenden. Beispielsweise ist -? äquivalent mit /? Die Datei VIRSHELP.TXT (meist im Verzeichnis \DOKU) enthält ebenfalls eine Kurzbeschreibung der einzelnen Parameter. Hinweis: Zwischen den einzelnen Parametern muß mindestens ein Leerzeichen vorhanden sein! 9.2 Die Umgebungsvariable VIRSCAN Statt VirScan immer mit Parametern aufzurufen, kann VirScan mit einer sogenannten Environmentvariable (Umgebungs- variable) gesteuert werden. Geben Sie beispielsweise am DOS-Prompt folgendes ein: SET VIRSCAN=C: D: /UNB /MEMHI Wenn Sie nun VirScan OHNE Parameter starten, ließt VirScan aus der Variable alle benötigen Parameter aus und untersucht in diesem Fall Laufwerk C: und D: mit den Optionen: /UNB - unbekannte Viren suchen /MEMHI - Speicher bis 1 MB untersuchen ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 15 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 9.2.1 Zurücksetzen von voreingestellten Werten Manchmal ist es wünschenswert, schon fest (also per SET VIRSCAN=...) eingestellte Optionen wieder rückgängig zu ma- chen. Dies erfolgt einfach durch Angabe eines Minuszeichens nach der Option. damit wird die Option ausgeschalten! Beispielsweise haben Sie folgendes eingeben: SET VIRSCAN=C: /Q /TURBO /MEM Sie möchten jedoch den Speichertest ausschalten. dann star- ten Sie VirScan mit folgendem Parameter: VIRSCAN /MEM- 9.2.2 VirScan per AUTOEXEC.BAT-Datei konfigurieren Wenn Sie wollen können Sie den SET VIRSCAN=... Befehl in Ihre AUTOEXEC.BAT aufnehmen. beachten Sie, das Sie genügend Platz für Umgebungsvariablen reserviert haben, ansonsten erhalten Sie beim Booten folgende Meldung o.ä.: Umgebungsbereich erschöpft Lesen Sie in diesem Fall in Ihrem DOS-Handbuch, wie man mit dem /P Schalter von COMMAND.COM den Umgebungsbereich ver- größert! 9.2.2.1 Beispiele für das Setzen der Umgebungsvariable Maximale Sicherheit SET Virscan=/AUTO /MEMHI /UNB /LOG /IVT /MUTANT oder SET Virscan=/AUTO /MEMHI /UNB /LOG /IVT /TURBO Normale Bedingungen SET VIRSCAN=/AUTO 9.2.2.2 Bsp.: Tägliche kurze Prüfung per AUTOEXEC.BAT-Datei Fügen Sie beispielsweise folgende Zeilen in Ihre AUTO- EXEC.BAT-Datei: PATH=%path%;c:\VIRSCAN VIRSCAN C:\DOS /UNB /MEMHI /FC:\*.EXE /FC:\*.COM /IVT SET VIRSCAN=/AUTO /MEMHI ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 16 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Es wird dann bei jedem Hochfahren des Systems Ihre System- dateien auf Viren untersucht. 9.3 Die einzelnen Parameter 9.3.1 /? oder -? (Hilfestellung) Gibt eine kurze Hilfestellung zu den einzelnen Parametern aus. 9.3.2 /AUTO (Autopilot aktivieren) Diese Option ist wohl die stärkste und komfortabelste Funk- tion am ganzen Programm! Sie ist besonders für Anwender ge- dacht, die sich nicht näher mit der Funktionsweise des Pro- grammes beschäftigen wollen. Wenn Sie den Autopilot aktivieren, werden zunächst folgende Parameter gesetzt: ■ Arbeitsspeicher bis 640 KB untersuchen. ■ Ton ausschalten. ■ Suchen im Turbo-Modus Zusätzlich ermittelt der Autopilot welche Laufwerke am Com- puter/Netzwerk angeschlossen sind. Anschließend werden alle Laufwerke, die von DOS erreicht werden können untersucht. Es ist dabei egal, ob es sich um Festplatten, RamDrives, Netzwerkplatten oder 'geSUBSTete' Laufwerke handelt. Die Diskettenlaufwerke A: und B: werden standardmäßig nicht un- tersucht und müssen bei Bedarf zusätzlich angegeben werden. Sie haben die Möglichkeit weitere Optionen zum Autopilot hinzufügen bzw. zu deaktivieren! 9.3.3 Beispiele für den weiteren Einsatz des Autopiloten Nachfolgend die Einstellungen für Parameterübergabe mittels 1.) der Kommandozeile 2.) der Umgebungsvariable VIRSCAN, unter der Voraussetzung, daß SET VIRSCAN=/AUTO schon gesetzt wurde. 9.3.3.1 Zusätzliches Untersuchen des Laufwerks A: 1.) virscan -auto a: 2.) virscan a: 9.3.3.2 Ton einschalten ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 17 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 1.) virscan /q- /auto 2.) virscan -q- 9.3.3.3 Den hohen Arbeitsspeicher untersuchen 1.) virscan /memhi /auto 2.) virscan /memhi 9.3.3.4 Nach neue unbekannten Viren suchen 1.) virscan /unb /auto /mutant 2.) virscan /unb /mutant 9.3.3.5 Ergebnis ausdrucken 1.) virscan /auto -print 2.) virscan /prn 9.3.4 LW: (Laufwerke) LW ist ein existierendes Laufwerk das mit den Buchstaben "A" bis "Z" angesprochen werden kann. Existiert das Laufwerk nicht, so wird dies mit folgender Fehlermeldung gemeldet: Kann Laufwerk X: nicht ansprechen (Netzwerk?) Der Partitionssektor bzw. Bootsektor wird immer mitunter- sucht! Sie können mehrere Laufwerke angeben. Aufruf: VIRSCAN C: F: (Festplatten C und F werden untersucht) 9.3.5 /BOOT (Bootviren suchen) Mit diesem Parameter werden Programme zusätzlich nach Bootviren abgesucht (was aber i. a. unnötig ist, weil Bootviren sich nicht in Programmen aufhalten). Die Suchgeschwindigkeit wird durch diese Option verschlechtert, ferner besteht die Gefahr von Fehlalarmen. Normalerweise benötigen Sie diese Option nicht, außer Sie wollen zusätz- liche Sicherheit z. B. bei der Option /MUTANT! Im normalen Modus werden Dateien nur nach Programm-Viren durchsucht (Erklärungen zu den einzelnen Virenarten siehe auch unten), wenn Sie also nach allen Viren suchen lassen wollen, schal- ten Sie die /BOOT Funktion ein. 9.3.6 /F (Files) Hiermit können einzelne Dateien und Dateigruppen untersucht werden. Laufwerk, Pfad und Wildcards werden unterstützt! ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 18 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Beispiel: Virscan /FG:\TOOLS\NEU\VI*.EX? 9.3.7 /D (Directory) oder <Verzeichnis> Hiermit kann ein Directory und seine Subdirectories nach ausführbaren Programmen untersucht werden. Der Parameter /D wird nur noch zur Kompatibilität zu früheren Version unter- stützt. Wenn Sie ein Verzeichnis angeben, muß es sich um den absoluten Pfadnamen handeln, während mit dem Parameter /D 'Abkürzungen' wie .. c: \ usw. erlaubt sind. Beispiele: VIRSCAN /DK:\NET /D.. VIRSCAN C:\DOS A:\NEU /D. SET VIRSCAN=/D\ C:\DOS 9.3.8 /H (/HILFE oder /HELP) Zeigt die Datei VIRSHELP.TXT an, die eine kurze Hilfestellung zum Programm enthält. 9.3.9 /LAPTOP (Unterstützung für Laptops) Mit dieser Option kann VirScan an Monochrom-, LCD- und Laptop-Bildschirme angepasst werden (andere Farbauswahl). 9.3.10 /MEHR (Mehrere Disketten nacheinander untersuchen) Wenn Sie nicht jedesmal VirScan für jede Diskette neu star- ten wollen, so geben Sie die Option /MEHR mit an. Sie werden dann gefragt: "Bitte Diskette entnehmen und eine neue Diskette einlegen. Disk bereit? [J/N]" Legen Sie eine neue Diskette ein und geben Sie danach "J" ein. Diese Option funktioniert nur in Verwendung mit der Option [LW:]! Wenn Sie /MEHR bei Festplatten angeben, wird dieser Parameter für Festplattenlaufwerke ignoriert. Beispiele: VIRSCAN A: C: /MEHR VIRSCAN B: -mehr SET VIRSCAN=-mehr ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 19 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 9.3.11 /MEM (Memory) Ihr System-Speicher wird auf alle konstanten Viren unter- sucht. Mit einer Anzeige, welches Segment gerade untersucht wird. Diese Funktion kann bei nicht 100%-tig kompatiblen IBM-Rechnern zu Schwierigkeiten führen! Befindet sich ein Virus im Arbeitsspeicher, so muß dieser zuerst durch ein Kaltstart von einer sauberen Systemdiskette entfernt werden! 9.3.12 /MEMHI (Hoher Arbeitsspeicher) Wie die Option /MEM, es wird jedoch auch der Arbeitsspeicher bis 1 MB auf Viren untersucht. Diese Funktion ist nur für AT-Rechner sinnvoll, die einen Treiber verwenden, der DOS in den hohen Arbeitsspeicher verschiebt (HMA). Bei nicht IBM- kompatiblen ATs oder nicht vorhanden HMA kann es mit dieser Option zu Schwierigkeiten kommen! Hinweis: Bei sehr wenigen Rechnern führt diese Funktion u. U. zum Programmabsturz! Meistens scheint es als ob das Pro- gramm abgestürzt ist. Tip: Wenn die NumLock-LED sich mittels der NumLock-Taste ein- und ausschalten lässt, ist ein Programm in der Regel noch nicht abgestürzt! Bei 386-er, welche die sogenannte A20 Leitung benutzen, wird dieser Speicherbereich ebenfalls untersucht (also bis 1088 KB Arbeitsspeicher). Das Programm muß das ganze BIOS nach verdächtigen Sequenzen absuchen, weshalb VirScan bei langsameren Rechner teilweise mehr als eine Minute benötigt! 9.3.13 /MUTANT (nach mutierten Viren suchen) Mit dieser Option können Sie zusätzlich nach mutierten (also veränderten) Viren suchen, die sonst nicht erkannt werden. Dies wird dadurch erreicht, daß eine Erkennung nicht mehr zu 100 Prozent übereinstimmen muß, sondern bis zu sechs Stellen sich vom Suchstring unterscheiden dürfen. Im Gegensatz zur Option /UNB wird also mit einer bestehenden Signatur gesucht, wobei Treffer jedoch nicht mehr zu 100 Prozent übereinstimmen müssen! Diese Option ist gedacht, um bei einem System das sich ab- normal verhält, eventuelle "Virentreffer" zu landen. Mit verschiedene mutierten Testviren wurde eine Trefferrate von 100 Prozent erzielt! Einen "Treffer" meldet VirScan ungefähr so: Warnung: C:\COMMAND.COM evtl. mit xy-Virus in- fiziert! ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 20 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Weil diese Option mit Sicherheit Fehlalarme verursacht (z. B. wird ein Veronezh-Virus im Programm VIRSTOP.EXE gefunden) werden standardmäßig folgende Optionen zusätzlich ein- geschalten: ■ Turbomodus EIN ■ Ton aus ■ Virenkiller aus Die Option /MUTANT ist ebenfalls wie die Option /UNB nicht für den unerfahren Anwender gedacht. Ein kleiner Tip hierzu: Ein Dateivirus macht sich immer dadurch bemerkbar, daß er versucht soviele Programme wie nur möglich zu infizieren. Deshalb sind drei oder vier "infizierte" Dateien (bei der Option /MUTANT und/oder /UNB) auf der Festplatte noch lange kein Indiz dafür, daß ein Virus zugeschlagen hat! Bei Verdacht können Sie mir unverbindlich eine verseuchte Diskette zusenden! Ab Version 9.22 wird bei der Option /MUTANT zusätzlich der Boot-/Partitionssektor nach mutierten Viren abgesucht! 9.3.14 /IVT (Interrupt Virentest) Mit dem Parameter /IVT kann der Arbeitsspeicher nach ca. 140 der bekanntesten Viren untersucht werden. Dies erfolgt mit sogenannten "Am I there" Aufrufen, die in Sekunden- bruchteilen durchgeführt sind (im Vergleich zum langsamen Untersuchen des Arbeitsspeichers). Der Arbeitsspeicher wird hierbei auf folgende Viren untersucht: ■ Jerusalem und verwandte Viren (mind. 48 Varianten) -- Frere Jaque -- Fu Manchu ■ Tequila (Tarnkappen/Stealth-Virus, 14 Varianten) ■ Yankee Doodle (45 Varianten) ■ Cascade (14 Varianten) ■ Flip/Omicrone (5 Varianten/Substealth-Virus) ■ Parity Check (3 Varianten, Bootvirus) ■ dBase Bei Erkennung des Virus wird der Benutzer darüber infor- miert. Sie sollten diese Option nicht verwenden, wenn Sie Novell Netware installiert haben, weil es zu Überschneidungen der Interruptaufrufe kommt. Diese Funktion wurde ursprünglich automatisch durchgeführt, es hat sich jedoch herausgestellt, daß die sogenannten "Am I there" Aufrufe nicht 100% kompatibel mit verschiedenen Betriebssystemen und Kon- figurationen sind. Falls es also zu ungewöhnlichen Seiten- effekten kommt, so könnte es an dieser Option liegen. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 21 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Diese Option untersucht -falls vorhanden- auch den hohen Arbeitsspeicher (HMA) auf Viren. 9.3.15 /LOG (Log-Datei anlegen) Es wird eine Datei namens VIRSCAN.LOG im aktuellen Ver- zeichnis angelegt. In diese Datei werden alle Dateien ein- getragen, die von Viren befallen sind. Weiterhin werden alle Informationen über das zu untersuchende Laufwerk mit eingetragen. Bei Disketten mit Schreibschutz muß natürlich der Schreibschutz entfernt werden, sonst kann keine Log-Da- tei erzeugt werden (typischer Anwenderfehler)! Eine ältere gleichlautende Datei (VIRSCAN.LOG) wird über- schrieben! 9.3.16 /PRT oder /PRN oder /PRINTER Analog zu /LOG, der Bericht wird jedoch auf dem Drucker ausgegeben. Schalten Sie den Drucker ein, sonst wartet VirScan so lange, bis der Drucker "Online" ist. Anzeige über Fehlerfenster! Diese Option ist mischbar mit der Option /LOG! 9.3.17 /REP (Report) Falls Sie nicht schon die Option /LOG eingeschaltet haben, wird diese Option zusätzlich eingeschaltet. Beim an- schließenden Suchlauf wird jede untersuchte Datei in die Datei VIRSCAN.LOG eingetragen (mitprokotokolliert), ob sie infiziert ist oder nicht. Diese Option ist besonders dann sinnvoll, wenn Netzwerke untersucht werden sollen, oder Sie sich sicher sein müssen, daß die Datei untersucht wurde oder nicht! 9.3.18 /OFFSET (Offset anzeigen) Diese Option gibt -falls ein Virus gefunden wurde- die Po- sition des Virencodes bezüglich des Dateianfanges an. Eben- falls wird -bei einer beschädigten Datei- angezeigt, wohin der Einsprungspunkt hinzeigt. Diese Option dürfte für Sie relativ uninteressant sein, weshalb sie standardmäßig auf AUS geschalten ist. Diese Option ist voll kompatibel zu den Optionen /LOG, /PRN und /REP. 9.3.19 /VL (Viren-Liste) Es werden alle Viren, die VirScan erkennen kann ausgegeben. Die Ausgabe auf einen Drucker oder in eine Datei umzuleiten ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 22 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── ist möglich! Programm kehrt anschließend zu DOS zurück. Um z. B. die Virenliste auszudrucken geben Sie folgendes ein: virscan /vl /unb /prn 9.3.20 /TURBO bzw. -TURBO (NICHT im Turbo-Modus suchen) Turbo-Modus ausschalten. Um bei der Suche nach allen Viren die Ausführungsgeschwindigkeit noch zu beschleunigen, habe ich in VirScan einen "intelligenten" Debugger integriert. Dieses Programm ermittelt erst einmal, wo der Virus sitzen könnte und untersucht anschließend die Datei. Ein Virus "hängt" sich nämlich normalerweise an den Anfang oder das Ende eines Programmes an. Standardmäßig ist der Turbo-Modus eingeschalten. Falls Sie die gesamte Datei untersuchen lassen wollen, starten Sie VirScan mit der Option /TURBO! Im Turbomodus werden die sog. Overlay-Dateien anders untersucht, als wenn der Turbo-Modus ausgeschalten ist. Wenn Sie also einem Virus auf der Festplatte haben, der auch Overlay-Dateien befällt, lassen Sie VirScan mit der Option /TURBO suchen! 9.3.20.1 WARNUNG Es ist nicht sinnvoll VirScan immer mit ausgeschalten Turbo- Modus suchen zu lassen. Gründe: ■ VirScan ist im Turbo-Modus bis zu 25x schneller! ■ Die rechnerische Wahrscheinlichkeit ist sehr hoch, daß VirScan mit ausgeschaltenen Turbo-Modus einen FEHLALARM erzeugt. ■ Der Debugger arbeitet nicht im ausgeschaltenen Turbo- modus und kann somit keine -oft- wertvolle "Hinweise" liefern! 9.3.21 /ULTRA (Schnelleres Suchverfahren) Das Gegenstück zur Option /TURBO. Mit diesem Parameter ver- wendet VirScan ein anderen Scanalgorithmus, der ungefähr 20 - 30% schneller ist, als der normale Suchvorgang. Bedenken Sie, das VirScan EXE-Dateien nicht so 'genau' untersucht (COM, SYS und andere Dateien wie gehabt), weshalb einige wenige Viren nicht mehr in EXE-Dateien gefunden werden. Dieser Parameter ist ideal für die tägliche Festplattenprüfung. 9.3.22 /UNB (Unbekannte Viren suchen) ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 23 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Ja, Sie lesen richtig! VirScan ist in der Lage, neue un- bekannte Viren zu erkennen! VirScan sucht, wenn Sie den Pa- rameter /UNB setzen nach typischen Befehlen, die eigentlich nur Viren und ähnliche Programme verwenden. VirScan zeigt unbekannte Viren mit einer der folgenden Meldungen an: ■ Unbekannten (Relokator/VSS) Virus gefunden. ■ Unbekannten (Relokator) Virus gefunden. ■ Unbekannten (POP BX) Virus gefunden. ■ Unbekannten (POP BP) Virus gefunden. ■ Unbekannten (Trap) Virus gefunden. ■ Unbekannten (Dropper) Virus gefunden. ■ Unbekannten (Vienna) Virus gefunden. ■ Unbekannten (Cascade) Virus gefunden. ■ Unbekannten (Memory) Virus gefunden. ■ Unbekannten (POP SI) Virus gefunden. ■ Unbekannten (POP DI) Virus gefunden. ■ Unbekannten (FileOpen) Virus gefunden. 9.3.23 Bekannte Fehlalarme Die Programme FileShield von McAfee und Viren Schutz Schild (bis Version 1.05) von ROSE, Ralph Roth sind entwickelt worden, um Programme gegen Viren zu immunisieren. Bei sol- chen immunisierten Programmen findet VirScan u. U. einen unbekannten Virus vom Typ "Relokator/VSS"! Alle anderen un- bekannte Viren, besonders die POP-Viren sind ernstzunehmende Hinweise auf eventuelle neue Viren, besonders dann, wenn Ihre Festplatte von einem Typ "verseucht" ist! Unerfahrene DOS-Anwender sollten die Funktion /UNB nicht verwenden! Hinweis: Die meisten Viren besitzen zwei teilweise auch so- gar drei Merkmale, die mit der Option /UNB pro Datei gefun- den werden! Weitere Tips auch unter der Option /MUTANT 9.3.24 Programme die einen Fehlalarm erzeugen Folgende Programme erzeugen nachweislich einen Fehlalarm, wenn sie mit der Option /UNB untersucht werden: 9.3.24.1 Mit Turbo=EIN ■ Eventuell mit TNTVIR, FShield, VSS geimpfte Programme. Mit der Option /UNB (Unbekannte Viren) SCOBP.EXE ca. 8 KB Monitor gegen aktive Boot- Stealthviren von ROSE ('TRAPed' sich durch den Interrupt 13h, da- ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 24 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── her auch Meldung: "Trap Virus ge- funden"). Eine neue Version von SCOBP wurde entsprechend über- arbeitet. VALIDATE.COM ca. 7 KB Liegt älteren Versionen von SCAN und VSUM bei (Relokator/VSS). Weitere Programme sind zur Zeit nicht bekannt! 9.3.24.2 Mit Turbo=AUS Datei: Größe KB: Datum: Beschreibung: WOF.EXE entpackt: 189 ??? Spiel: World of... DBGR.EXE 83 18.04.87 DBase-Utility VDEFEND unterschiedlich unters. Antivirenprg. Weitere Programme sind zur Zeit nicht bekannt! 9.3.24.3 WARNUNG: Option /TURBO UND /UNB Die Option /UNB kann -insbesondere mit dem Parameter /TURBO- zu Fehlalarmen führen. Deshalb dürfen NICHT zusätzlich die Optionen /KILL und/oder /DEL verwendet werden! 9.3.25 /KILL (Virenkiller aktivieren) Aktivieren des Virenkillers. VirScan kann zur Zeit ca. 290 Viren vernichten und die ursprüngliche Datei/Bootsektor wieder herstellen (soweit technisch möglich). Die Datei VIRSCAN.TXT enthält eine Liste der entfernbaren Viren. ACHTUNG: Die Anwendung des Virenkiller erfolgt auf eigenes Risiko, sie ist nur gedacht, Viren zu entfernen, falls keine Originalprogramme mehr vorhanden sind. Viren werden laufend von Hackern verändert, mit dem Ergeb- nis, daß sogenannte Familiensucherkennungen verwendet werden müssen, eine genaue Diagnose ist in diesem Fall nicht mehr möglich. Eine Entfernung könnte in diesem Fall zu einem unkorrekten Programm führen. ACHTUNG: Die Entfernung eines Partitionsvirus kann bei einer Fehldiagnose u. U. zu einer nicht mehr ansprechbaren Festplatte führen. Fertigen Sie deshalb zuerst einen Backup an. Bei Unsicherheit analysiere ich den Virus gerne kosten- los. 9.3.25.1 Allgemeine Hinweise zum Virenkiller Hinweis: Damit nicht nach dem Entfernen der Viren die Da- teien re-infiziert werden, muß vor dem Entfernen, von einer ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 25 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── garantiert virenfreien Diskette gebootet werden (Kaltstart). Anschließend gleich den Virenkiller starten! Wird nicht von einer virenfreien Diskette ein Kaltstart durchgeführt, kann unter Umständen die Entfernung zu katastrophalen Fehlern führen! Achtung Speicherplatz: Für das Entfernen werden zusätzliche 70 KB freier Arbeitsspeicher benötigt. Deshalb benötigt VirScan mindestens 448 KB freien Arbeitsspeicher! 9.3.25.2 Entfernen von Boot- und Partitionsviren VirScan kann ca. 99.8 Prozent aller Bootviren von Disketten entfernen. Diese Funktion ist i. a. nicht kritisch. Probleme kann es bei der Entfernung von Partitionsviren ge- ben: VirScan kann immerhin ca. 95 Prozent aller Partitions- viren von der Festplatte entfernen, denken Sie jedoch daran, daß bei einer Fehldiagnose zu einer nicht mehr ansprechbaren Festplatte (falsche Partition) führen kann. In diesem Fall muß mit einem Programm wie dem 'Norton Disk Doctor' die Festplatte repariert werden! 9.3.25.3 Hinweise bei Mehrfachinfektionen Datei können von mehreren verschiedenen Viren befallen wer- den. Hier muß VirScan u. U. seine Waffen strecken. Bsp: Eine Datei ist vom 1704/Cascade und anschließend vom Jerusalem Virus infiziert worden. VirScan entfernt jetzt den 1704 Virus, wobei VirScan jedoch Code vom Jerusalem Virus entfernt, weil sich dieser NACH dem 1704 befindet. Das Er- gebnis ist eine zerstörte Datei! Tip: Bei Mehrfachinfektio- nen verschiedener entfernbarer Viren, die Dateien löschen lassen (/DEL). 9.3.26 /DEL (Delete/Löschen von Dateien) Es werden alle infizierten Dateien gelöscht! Ohne vorherige Abfrage! Zusätzlich wird, falls die Funktion /KILL einge- schalten ist, zuerst versucht den Virus zu entfernen. Falls dies technisch nicht möglich ist, wird die Datei physika- lisch gelöscht, d. h. die Datei kann selbst mit UNDELETE nicht wiederhergestellt werden! Tip: Zusätzliche Ausgabe auf den Drucker oder in eine Datei (/LOG bzw. /PRT)! 9.3.27 /JN (Vor dem Löschen abfragen) Wenn Ihr System/Disketten von Viren befallen ist, können Sie mit den Optionen /KILL und /DEL den Virus entfernen. Dies geschieht weitgehendst automatisch. Wenn Sie jedoch den Parameter /JN setzen, werden Sie vor dem Löschen einer ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 26 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── befallenen Datei gefragt, ob diese Datei gelöscht werden soll oder nicht. 9.3.28 /LESEN Lesen dieses Handbuches mittels eingebautem Listprogramm. Blättern mit den Pfeiltasten, Verlassen mit ESC. 9.3.29 /REG (Registration) Wenn VirScan in der Sharewareversion mit der Option /REG ge- startet wird, dann versucht VirScan die Datei REGISTER.COM auszuführen und einen Bestellschein zu drucken. 9.3.30 /Q (Quiet) Wenn VirScan einen Virus findet, wird dies mit einem Piepsen angezeigt. Wenn Sie Ihre Arbeitskollegen nicht stören wollen, so können Sie VirScan mit dieser Option stumm- schalten! 9.3.31 /WIN (Kompatibilität zu Windows) Diese Option sollten Sie verwenden, wenn Sie VirScan direkt von Windows heraus ausführen. Zur weiteren Unterstützung von Windows ist ein Icon und eine PIF-Datei beigefügt. Wenn Sie VirScan unter Windows im erweiterten Modus nutzen wollen, so verwenden Sie hierzu bitte die Datei VIRSCAN.PIF (VirScan sucht dann im Hintergrund nach Viren!). 9.4 Beispiele für Aufrufe Möglich wäre auch folgende Aufrufe: Virscan -? /lesen VIRSCAN c: d: /MEM /q VirScan a: /mehr /kill /PRN -Turbo VirScan a: b: /De:\dos /g:\my/F*.OVL /F*.exe /mehr VIRSCAN S: T: R: /MEM /DEL /TURBO /REP virscan c: d: /mem /unb /q /printer virscan -auto -memhi -prn ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 27 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 10. FEHLALARM? JA/NEIN? Die rechnerische Wahrscheinlichkeit, daß VIRSCAN einen Fehlalarm bei einem 50KB Programm anzeigt, liegt zwischen 1:9.44*10e14 und 1:1.1*10e29 ! Nehmen Sie also einen Virenbefall nicht auf die "leichte Schulter"! 10.1 Virenbefall von Bootsektoren Wenn VirScan einen Bootvirus in einem Bootsektor findet, ist es fast 100%-tig sicher, daß es sich nicht um einen Fehlalarm handelt! 10.2 Virenbefall von Dateien 10.2.1 Ein Virus in nur einer Datei Wenn VirScan einen Virus in nur einer Datei gefunden hat, ist es sehr wahrscheinlich, daß es sich hier um einen Fehlalarm handelt. Besonders dann, wenn Sie die Datei schon mehrmals ausgeführt haben und sie sich auf der Festplatte befindet. Senden Sie mir der Virus unverbindlich zu, und ich werde in analysieren (siehe auch unten)! 10.2.2 Mehrere Viren in einer Datei/Bootsektor Wenn VirScan einen Virus gefunden hat kann es sein, daß VirScan in einer Datei bzw. im gleichen Bootsektor bis zu drei oder vier Viren findet. 10.2.2.1 Mehrere Jerusalem Viren Beim Jerusalem-Virus habe ich festgestellt, daß sich diese Virusart am Anfang und am Ende einer Datei anhängt. Dies ist ein Programmierfehler des Jerusalemvirus, d. h. VirScan findet mindestens zwei Jerusalem-Viren pro infizierter COM- Datei im ausgeschaltenen Turbo-Modus. Der Hintergrund: VirScan erkennt mit ca. 35 Suchstrings 98% aller Computer- Viren! Mit den restlichen Suchstrings werden "seltene" Viren gesucht, bzw. der gefundene Virus genauer untersucht. So kann es sein, daß VirScan einen Jerusalem, Jerusalem-B und einen Skism-1 Virus anzeigt. Das bedeutet konkret, daß es ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 28 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── sich um einen Skism-1 Virus handelt, der eine modifizierte Version eines Jerusalem Virus ist. 10.3 Die am weitesten verbreiteten Viren Liste der in Europa am weitesten verbreiteten Viren, die VirScan erkennt: Programm-Viren ■ 4096 - 100 Years (Stealth) ■ 5120/Slayer (VBasic) ■ Cascade und 1701/1704 ■ Dark Avenger v1-v3 ■ DataLock v1.00 ■ Hallöchen ■ Invader (Bootsektor & Dateien) ■ Jerusalem A und B und New Jerusalem ■ Keypress ■ Liberty ■ Perfume (4711), Sorry und G-Virus ■ Slow ■ Sunday ■ Taiwan ■ Tequila (Bootsektor & EXE-Dateien) ■ Yankee Doodle Familie ■ Vienna-Familie Bootviren (Hiervon können fast alle Arten mit VirScan von Disketten UND Festplatten entfernt werden!) ■ Brain und Ashar (Bootsektor) ■ Stoned (Bootsektor) ■ Joshi (Bootsektor) ■ Den Zuk (Bootsektor) ■ Disk Killer (Bootsektor) ■ MusicBug v1.06 (Bootsektor) ■ Ohio (Bootsektor) ■ Ping Pong (Bouncing Ball - Bootsektor) ■ Form (Bootsektor) ■ MichelAngelo 10.4 Die Programme GUARD.SYS, VDEFEND.SYS, DEFENDER.COM und TSAFE.COM u.a. Wenn VirScan die obengenannten Dateien untersucht kann es sein, daß VirScan bis zu 30 verschiedene Viren in solch ei- ner Datei findet. Zum Beispiel kann der Flip-Virus in den Dateien DEFENDER.COM und TSAFE.COM (TNT-Virus) gefunden werden! ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 29 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Falls Sie einen der o.g. Speicherwächter geladen haben, kann es sein, daß VirScan bis zu 55 Viren im Arbeitsspeicher findet! Erklärung: Bei diesen Programmen handelt es sich um einen Fehlalarm, der einfach erklärt werden kann: Die Programme sind eben- falls Antivirenprogramme und besitzen folglich auch sog. Virenerkennungen. Die Erkennungen werden normalerweise ver- schlüsselt im Programm oder in einer entsprechender Datei abgelegt, damit andere Programme nicht versehentlich eine Virusinfektion melden. Die Programme der Firma Carmel (Turbo Virus, TSafe u. a.), die auch für PC-Tools (VDEFEND.SYS) Antivirenprogramme ge- schrieben haben, sind diesbezüglich sehr schlampig program- miert! So passiert es, daß nach dem Starten der o. g. Pro- gramme die Erkennungen nicht aus dem Arbeitsspeicher ent- fernt werden! Andere Antivirenprogramme melden dann eine Verseuchung des Arbeitsspeichers! Ebenfalls ärgerlich ist, daß die Erkennungen unverschlüsselt im Programm abgelegt werden, was leider zu Fehlalarmen führt, wenn die gleichen Erkennungen verwendet werden (Anscheinend auch bei dem Programm PA-VirusScan v1.1 oder niedriger)! 10.5 Mehrere Viren im Arbeitsspeicher Wenn Sie vor dem Starten von VirScan ein anderes Virensuchprogramm verwendet haben bzw. ein Antivirenprogramm verwendet, welches im Hintergrund vor Viren schützen soll, dann handelt es sich um einen Fehlalarm (siehe auch "die Programme GUARD.SYS, TSAFE.COM, DEFENDER.COM...")! 10.6 Analyse bei Virenverdacht Wenn Sie sich nicht sicher sind, ob Sie einen Virus "besitzen", können Sie mir diesen einfach zusenden und ich werde in analysieren! Verwenden Sie hierzu den Fragebogen VIRMELD.DOC im Unterverzeichnis DOKU. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 30 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 11. SONSTIGE FUNKTIONEN 11.1 VirScan und Netzwerke VirScan ist bedingt netzwerkfähig! Sie können jede Floppy oder Harddisk untersuchen, wenn sie von MSDOS aus erreichbar ist. Bei Druckersharing kann es Probleme geben (dies sollte jedoch ab Version 8.52 nicht mehr auftreten)! Die Version 8.0 von VirScan Plus wurde netzwerktauglich ge- macht. Da zwischenzeitlich verschiedene Netzwerke auf dem Markt sind, kann ich Ihnen keine Garantie geben, daß VirScan Plus auch auf Ihrem Netzwerk läuft. Über entsprechende Hinweise (frankierter Rückumschlag nicht vergessen) würde ich mich freuen! 11.2 VirScan unter OS/2 VirScan wurde sorgfältig unter den Betriebssystem OS/2 Ver- sion 2.00 getestet (DOS-Box und DOS Full Window). Es wurden keine Inkompatibilitäten festgestellt. Selbst mehrere par- allele Aufrufe von VirScan brachten VirScan nicht zum Ab- sturz. Unter OS/2 darf VirScan jedoch bestimmte Dateien nicht öffnen. Dies ist ganz normal, es handelt sich dabei um Dateien, die OS/2 ständig geöffnet hat (HARDERR.EXE u.a.)! 11.3 Zusätzliche Fehlermeldungen Folgende Fehlermeldungen werden jetzt zusätzlich ausgegeben: ■ Kann Laufwerk X: nicht ansprechen (Netzwerk?) Über DOS kann nicht auf das Laufwerk zugriffen werden. Eventuell ist auch im Laufwerk keine Diskette eingelegt worden! ■ Kann Verzeichnis "XXX" nicht finden (Netzwerk?) Sie haben entweder das Verzeichnis falsch eingegeben (bitte am Schluß ohne Backslash "\"), es existiert nicht oder Sie dürfen nicht darauf zugreifen (in Netzwerken oder bei Ver- wendung von SHARE.EXE). ■ Aus-/Eingabefehler: XXXX.YYY Fehler: DOS(zzz)/IO(www) ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 31 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── VirScan kann die Datei "XXXX.YYY" nicht öffnen. Sie haben keinen Zugriff auf diese Datei (Netzwerk oder Diskette ist Schreibgeschützt). Sie können, falls Sie entsprechende Fachliteratur besitzen, die Fehlercodes selber auswerten (INT 21h). Drücken Sie die <ESCAPE> Taste um VirScan abzubrechen! 11.4 Hinweise für Netzwerkadministratoren Die Entseuchung eines Netzwerkes ist nicht einfach, dies sollten nur entsprechende Spezialisten durchführen! Um VirScan effektiv auf einem Netzwerk einzusetzen beachten Sie bitte folgenden Hinweise (gilt auch für normale, nicht vernetze Computer): ■ Alle User müssen sich ausloggen und Ihren Rechner ausschalten. ■ Fahren Sie das System auf Einzelusermodus herunter (shutdown 0, reboot o. ä.) ■ Booten Sie von einen möglichst virenfreien Rechner, von Diskette! ■ Loggen Sie sich als Superuser ein. ■ Falls möglich als Superuser, der nur Lese- und Ausführungsrechte besitzt (hierdurch wird eine verse- hentliche Weiterverbreitung ausgeschlossen). ■ Starten Sie VirScan für sämtliche Netzlaufwerke, zu- sätzlich mit den Optionen /MEM und /REP, event. auch mit /UNB! ■ Werten Sie die Datei VIRSCAN.LOG aus. ■ Starten Sie VirScan mit den Optionen /DEL und /KILL. Zum Entfernen eventueller Viren benötigen Sie jetzt natürlich Superuser Recht! ■ Überprüfen Sie nochmals, wie oben beschrieben das Netzwerk auf Viren. ■ Überspielen Sie die Originalsoftware auf das Netz. Anschließend wieder das Netz untersuchen lassen. ■ Entfernen Sie von sämtlichen Rechnern die Viren, bevor die Rechner wieder ans Netz gehen. ■ Wiederholen Sie die obengenannten Schritte bis das Netz und die angeschlossenen Rechner virenfrei sind! ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 32 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 11.5 Suchgeschwindigkeit Wenn Ihnen VirScan etwas langsam vorkommt so ist anzufügen, daß die meisten anderen VirenScanner nicht einmal mehr als 600 Viren suchen können. (Sicherheit kostet Zeit!) Bedenken Sie, daß das Programm hochoptimiert ist (Assembler-Code)! Bei einem Programm von 100 KB und bei 950 Viren mit 15 Bytes Virensignatur werden im schlechtesten Falle 1.460.000.000 Vergleiche durchgeführt! Auf einem AT 386 (25 MHz) ist VirScan Plus sogar schneller als das bekannte Virensuchpro- gramm SCAN von McAfee. (um ca. 35%) ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 33 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 12. DER INTEGRIERTE VIRENSCHUTZ Das Programm enthält einen integrierten Checksummentester, um einen möglichen Virenbefall gleich anzeigen zu können. Die zum Programm gehörige Checksumme befindet sich in der Datei mit der Endung "XXX". Diese in der Datei befindliche Checksumme sowie das Haupt- programm dürfen auf keinen Fall verändert bzw. modifiziert werden! Das Hauptprogramm nimmt sonst an, es sei eventuell von einem Virus befallen worden (dem Programm noch unbe- kannter Virus)! 12.1 Der eingebaute Checksummentester Folgende Merkmale der EXE-Datei werden überwacht und auf Veränderungen überprüft: ■ Checksumme - Wird auch nur ein Bit des Programms vom Virus verändert, so stimmt die Checksumme nicht mehr (eigene sichere Routine, nach ANSI X3.66 - CRC-Poly ist: 0xDEBB20E3). ■ Dateilänge - Wird ein Programm über Nacht um ein oder zwei KB länger, ist es infiziert! Ich rate ab, irgendwelche Änderungen an der EXE & XXX-Datei durchzuführen, da dann das Programm mit Sicherheit nicht mehr läuft! Die Datei mit der Endung "XXX" enthält auch die aktuelle Version, wieviel verschiedene Viren vom Checksum- mentester erkannt werden können. Das Testen der Checksumme nimmt ca. 1-5 Sekunden Zeit in Anspruch (je nach Rechnertyp und Laufwerk). Meiner Ansicht nach ein vertretbarer Aufwand! Ist die Checksumme in Ordnung, wird das Programm ausgeführt. Andernfalls wird eine ausführliche Fehlermeldung mit Hinweisen auf mögliche Fehlerquellen ausgegeben. 12.1.1 Hinweise für das Programm SCAN.EXE Ab der Version 4v65 von SCAN.EXE von McAfee gibt es die Op- tionen: /AV - add validate bzw. /AG /CV - check validate bzw. /CG /RV - remove validate bzw. /RG Diese Funktionen sind aber inkompatibel mit dem Checksum- mentester von VirScan, weil die Funktionen /AD und /RV je- weils 10 Bytes zum EXE-Programm hinzuaddieren bzw. ent- fernen! ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 34 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Ich rate von diesen Funktionen ab, denn jedesmal wenn Sie SCAN C: /AV eingeben, verbraucht SCAN (bei 1000 Dateien) 10 KB Speicherplatz, der unwiderruflich verloren ist! Falls Sie versehentlich SCAN /AV oder /RV eingegeben haben, so ist das Programm Z E R S T Ö R T, weil der Programm- selbstschutz annimmt, ein Virus hat das Programm befallen. Es reichen schon ein paar Bytes Veränderung um einen Virus einzupflanzen! 12.1.2 Hinweise für die Programme TAV & FShield Mit den Programmen Turbo Anti Virus der Firma Carmel, File- Shield von McAfee, Viren Schutz Schild von ROSE u. a., ist es möglich, ausführbare Programme gegen Manipulation (Virenbefall) zu schützen. Dies wird erreicht, indem das Programm mit einer "Schutzhülle" versehen wird. Diese Schutzhülle ist ein kleines Maschinenspracheprogramm und hat eine Länge zwischen 400 und 2800 Bytes. Für den integrierten Checksummentester ist ein solcher Längenzuwachs natürlich sehr virenverdächtig - das Programm wird NICHT ausgeführt, wenn es nachträglich mit einem solchen Programm geimpft wurde! 12.1.3 Anzeigen der Virenliste In der vorliegenden Version des integrierten "Checksummentester" ist eine List Funktion eingebaut. Wenn Sie alle Link-Viren angezeigt haben wollen die das Programm erkennt, starten Sie das EXE-Programm mit dem Zusatz /List. Zum Beispiel: VIRSCAN /List [ENTER] Es wird dann gefragt ob Sie die Liste ausdrucken (J), oder nur auf dem Bildschirm (N) ansehen wollen. Falls Sie die Bildschirmausgabe gewählt haben, so müssen Sie nach Anzeige von zwanzig Viren die Enter-Taste drücken, um die nächsten zwanzig Viren anschauen zu können! ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 35 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 13. WIE WERDEN NEUE VIRENERKENNUNGEN IN VIRSCAN AUFGENOMMEN? Sie können selbst Virensignaturen in VirScan aufnehmen. Sie müssen jedoch folgendende Hinweise beachten: ■ Datei VIRSCAN.EXT mit einem ASCII-Texteditor einladen (z. B. EDIT.COM von MS-DOS 5.0). Nicht Wordstar oder Word verwenden! ■ Jede Zeile, die keine Virenerkennungen besitzt, muß mit einem Semikolon (;) anfangen. ■ Virensignatur muß als Hexcode eingegeben werden. Damit VirScan korrekt arbeitet, muß die Erkennung mindestens 12 Zeichen (6 Bytes) maximal 28 Zeichen (14 Bytes) lang sein. ■ Schreiben Sie den Namen, Signatur und Bemerkung in die gleichen Spalten, wie in der Datei VIRSCAN.EXT. Bemerkungen, die über 80 Zeichen pro Zeile hinausgehen machen nichts, solange Sie nicht einen Zeilenumbruch durchführen. ■ Die Datei darf nicht mehr als 100 Virensignaturen ent- halten. Falls sie mehr als 100 Signaturen besitzt, kön- nen Sie sie mir zusenden und Ihnen wird einen ko- stenloser UpDate zugesandt! (Bitte jedoch frankierten und adressierten Rückumschlag + Diskette beifügen!) Sie merken dies, wenn VirScan meldet: Zuviele Erkennungen in der Datei VIRSCAN.EXT ■ Bitte beachten Sie jedoch, daß in die Datei nur kon- stante Virensignaturen eingefügt werden dürfen (mehr hierzu s. u.)! ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 36 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 14. VIRSCAN UND EIN UNÜBLICHES DATEIDATUM VirScan erkennt alle "62-Seconds" und "100-Years" Viren an- hand eines unüblichen Dateidatums. (Das Dateidatum ist auf das Jahr 2090 oder 60 bzw. 62 Sekunden gesetzt). 14.1 62 Seconds/100 Years Viren Einige Viren verwenden einen Trick um zu erkennen, ob eine Datei schon infiziert wurde oder nicht. So wird z. B. die Uhrzeit auf 62 Sekunden bzw. das Datum auf das Jahr 2090 gesetzt, weil dies der DIR Befehl nicht anzeigt! VirScan zeigt also keinen Virus an, sondern äußert nur den Verdacht auf das Vorhandensein eines Virus. Dank dieser Routine haben schon zwei Anwender brandneue Viren entdeckt, weil diese Viren ebenfalls ein 62-Sekundeneintrag verwenden! Etwa 10% aller Dateiviren setzen das Datum auf einen ungültigen Wert, um so schnell infizierte Dateien erkennen zu können! 15. VIRSCAN UND STEALTH VIREN Die sogenannten STEALTH-Viren (Stealth = heimlich) kann VirScan nur dann erkennen, wenn Sie von einer unverseuchten Diskette einen Kaltstart durchgeführt haben. HINTERGRUND: Hat ein STEALTH-Virus sich eingenistet, so wird dem Anwenderprogramm, das ein verseuchtes Programm unter- sucht, immer das Originalprogramm "vorgetäuscht", anstatt dem Verseuchten! 15.1 Der Brain Virus (u. a.) Der Brain Virus wird nur erkannt, wenn von einer unver- seuchten Diskette ein Kaltstart durchgeführt wird, da sonst der Brain-Virus einem die Kopie des Originalbootsektors "unterjubelt"! Also immer von einer schreibgeschützten Ori- ginaldiskette booten (sog. Stealth Virus)! ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 37 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 16. NEUE FUNKTIONEN VON VIRSCAN PLUS 16.1 Der Dateiendebugger Wenn Sie VirScan im Turbomodus = EIN suchen lassen, un- tersucht VirScan erst einmal, wo der Virus sich befinden könnte (den sogenannten Einsprungspunkt). Falls ein Programm jedoch ein Einsprungspunkt außerhalb der Datei besitzt, zeigt VirScan dies mit folgender Meldung an: "Warnung: Einsprungspunkt außerhalb der Datei" Wenn Sie diese Meldung ein oder zweimal erhalten, können Sie ziemlich sicher sein, daß diese Programme nicht lauffähig sind. Falls jedoch fast jede Datei eine solche Warnung erzeugt, haben Sie einen Stealthvirus im Arbeitsspeicher, der ver- sucht VirScan auszutricksen. Bitte von einer absolut vi- renfreien Diskette booten und nochmals suchen lassen (zusätzlich mit AntiLink). So erzeugt beispielsweise der aktive Tequila-Virus (Stealthvirus) pro infizierter Datei eine Anzeige von "62 Sekunden" und einen Einsprungspunkt ausserhalb der Datei! 16.2 Neues Suchverfahren Von einem Kunden habe ich den sog. Tequilavirus erhalten, bei dem überhaupt nichts mehr konstant ist. Das einzige Merkmal einer verseuchten Datei ist, daß sie ein 62-Seconds Virus Datum besitzt (Dateidatum hat 62 Sekunden). Deshalb war ich gezwungen eine neue Suchroutine in VirScan aufzu- nehmen, die auch mit Platzhaltern suchen kann. Der zusätz- liche Vorteil dieses Algorithmus ist, daß mit einer Erken- nung, bis zu 40 Varianten eines Virus erkannt werden können. (z. B. Jerusalem Familie) Theoretisch wäre es möglich Virenerkennungen mit Platzhal- tern in die Datei VIRSCAN.EXT aufzunehmen. Leider musste ich feststellen, daß die meisten Anwender nicht in der Lage sind, neue Erkennungen der Datei hinzuzufügen. Deshalb wird dieser Punkt nicht beschrieben. Falls Sie VirScan nach einer solchen Erkennung suchen lassen wollen, so senden Sie mir bitte den Virus und die Erkennung zu! Ich werde dann VirScan aktualisieren. Die Arbeit des Debuggers wird in der untersten Zeile im Pro- gramm angezeigt (nur wenn der Turbomodus eingeschalten ist). Sie erkennen dies an der Anzeige: ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 38 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Scanning: ------------ ------ Bytes. Typ: (xxxx/yyy) 16.2.1 Bedeutung von "xxxx" "xxxx" ist das Resultat des Debuggers. Dabei bedeutet im einzelnen: ■ COM - Programm ist eine echte COM-Datei. ■ EXE - Ist eine echte EXE-Datei ■ MINI - Die Datei ist zu klein, um den Debugger ein- setzen zu können, deshalb wird die ganze Datei unter- sucht. ■ NORM - Datei ist keine EXE Datei, wahrscheinlich eine COM-Datei! (z. B. eine GEM-Applikation, oder COM-Datei ohne Sprungbefehl) ■ AUS - Turbomodus ist ausgeschalten! ■ UNB - Datei ist kein ausführbares Programm, der Ein- sprungspunkt ist unbekannt. 16.2.2 Bedeutung von "yyy" "yyy" ist die Dateiendung des Programmes (im Dateinamen enthalten) Was können Sie aus den Angaben schließen (Beispiele): (COM/EXE) Datei ist eine echte COM-Datei, wurde aber in EXE um- benannt. (NORM/EXE) Datei ist keine EXE Datei! Der Aufruf dieses Programmes dürfte einen Systemabsturz mit sich ziehen. (EXE/OBJ) (EXE/APP) (EXE/OVR) (EXE/OVR) Datei ist vom Typ EXE, kann aber wahrscheinlich nicht ausgeführt werden, weil sie eine spezielle Overlaydatei ist. Ein Virus wird jedoch meistens solche Dateien in- fizieren, weil für ihn die Dateien wie normale Programme aussehen. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 39 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 17. DIE VERSCHIEDENEN ARTEN VON VIREN 17.1 Bootviren Sie setzen sich im Bootsektor der Diskette/Festplatte fest und werden jedesmal beim Hochfahren des Systems eingeladen. Diese Viren sind meistens speicherresident. Sie können aber mit dem DOS-Befehl SYS leicht überschrieben werden. BootVir erkennt eigentlich jeden Boot-Virus und kann, falls eine alte Vergleichsdatei "BOOTVIR.DAT" existiert, den alten Bootsektor wiederherstellen! VirScan kann diese Virenart von Diskette und Festplatten entfernen! 17.2 Viren, die den Partitionssektor befallen Die Virenart funktioniert wie die Bootviren, jedoch mit dem Unterschied, daß nicht der Bootsektor der Festplatte, son- dern der Partitionssektor infiziert wird. Manche Viren, die Dateien infizieren, sind so programmiert, daß sie auch den Partitionssektor infizieren. Viren, die den Partitionssektor infizieren, müssen mit speziellen Antivirenprogrammen entfernt werden, andernfalls muß die Festplatte formatiert werden! Mit dem Programm Norton Disk Doktor kann unter Umständen solch ein Virus entfernt werden. VirScan kann von diesem Virentyp ca. 95% aller "Vertreter" von der Festplatte entfernen! Anwender von MS-DOS 5.0 können einen speziellen Killer bestellen (PARTKILL.EXE). 17.3 Hybridviren Hybridviren sind Viren, die einerseits Programme und ander- seits den Partitionssektor der Festplatte infizieren. Die Hybridviren werden dann beim "Hochfahren" des System schon aktiviert und sind dementsprechend schwierig zu entfernen (Bsp.: Flip-B und Tequila). Inzwischen gibt es Hybridviren, die sogar in der Lage sind auch Bootsektoren von Disketten zu infizieren! 17.4 Nicht überschreibende Fileviren Werden auch Link-Viren genannt. Sie kopieren sich von Pro- gramm zu Programm, bis das ganze System verseucht ist. Das Weiterkopieren geschieht durch Aufruf eines verseuchten Programmes und/oder, wenn speicherresident, durch zyklischen Aufruf eines Interrupts. Von diesen Viren merkt man lange nichts, weil die verseuchten Programme noch lauffähig sind! VirScan kann von diesem Virentyp einige Viren entfernen. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 40 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 17.5 Überschreibende Fileviren Der Virus überschreibt den Anfang des befallenen Programms (Wirtsprogramm). Das heißt, daß das Wirtsprogramm nicht mehr lauffähig ist! So ein Virus ist selten, weil 1.) er schon bald auffällt, und 2.) bald kein Programm mehr läuft! 3.) meistens nicht speicherresident (= gute Vermehrung) ist 17.6 Trojanische Pferde Sind eigentlich gar keine Viren, sondern Programme, die beim Start einfach die Festplatte formatieren, Dateien löschen o. ä. Diese Programme sind sehr rar, es wurden erst ein paar Fälle weltweit bekannt. Eine Vermehrung, wie bei einem Virus ist nicht gegeben! 17.7 Call Viren Diese Viren verändern unter Umständen nur ein einziges (!) Byte am Wirtsprogramm. Der eigentliche Virus wird im Mas- senspeicher abgelegt und wird lediglich durch den Aufruf des infizierten Programms aktiviert. Der "Nachteil" dieser Art von Viren ist aber, daß beim Fehlen des eigentlichen Virusprogrammes auf dem externen Massenspeicher, die infi- zierten Programme nicht mehr lauffähig sind! 17.8 "Live and Die" Viren Unter "Live and Die" - Viren versteht man Viren, die sich nur für eine bestimmte Zeit in einem Programm aufhalten. Nach Ablauf eines Zeitraums entfernt sich das Virus selb- ständig aus dem befallen Programm. Das Programm ist meist nach der selbständigen Entfernung noch lauffähig, unter Um- ständen sogar wieder im Originalzustand! 17.9 "Hide and Seek" Viren Das sind Viren, die sich nur eine gewisse Zeit innerhalb des Systems aufhalten. Als Verstecke können beispielsweise die Pufferbereiche intelligenter Terminals oder DFÜ-Ein- richtungen dienen. Eine Anwendung im PC-Bereich ist mir nicht bekannt. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 41 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 17.10 Hardware Viren Diese Art von Viren ist selten, weil sie nur durch Verände- rung der Hardware ins System eingebracht werden können. Beispiel: Austausch eines Boot-ROMs. Diese Art von Viren sind zwar recht schwierig zu installieren, aber sehr effek- tiv, da sie sehr schwer ausmachbar sind. BootVir kann unter Umständen Veränderungen erkennen. Es muß jedoch beachtet werden, das dies k e i n e Softwaremanipulation ist, sondern eine Hardwaremanipulation! 17.11 Gepufferte Viren Das sind Viren, die sich ins gepufferte RAM einnisten und ähnliche Eigenschaften wie Hardware Viren haben. Durch Ent- fernen der Pufferbatterie sind diese Viren leicht zu ent- fernen! Es muß jedoch damit gerechnet werden, daß sich die Viren von infizierten Programmen aus beim erneuten Starten des Systems wieder ins gepufferte RAM installieren. 17.12 Slack-/Stackbereich Viren Diese Art von Virus ist sehr hinterhältig, weil er sich nur sehr schwer entdecken läßt. Seine Wirkungsweise ist fol- gende: Wenn DOS ein Programm einlädt, wird nicht nur das komplette Programm in den Speicher geladen, sondern auch den Rest, welcher das Programm auf einem Sektor auf dem Datenspeicher belegt. (Bei DOS typischerweise 2048 Bytes große Sektoren) Beispiel: Das Programm ist 2500 Bytes groß. Dann lädt DOS die 2500 Bytes in den Speicher und den Rest, der hier ca. 1500 Bytes groß ist, an das Ende des Programmes. Dort sitzt nun der Virus und vermehrt sich unbemerkt, weil er nicht im eingentlichen Programm sitzt, sondern im Puffer. Eine Längenänderung des befallen Programmes ist also aus Sicht des Virus auch nicht nötig, weshalb AntiLink diesen Virus nur bei eingeschalteter Checksumme findet. Es gibt auch Slack-/Stackbereich Viren, die sich in unge- nutzten Programmteilen aufhalten. Hierzu zählen u. a. die Viren ■ LeHigh (im Stackbereich des Programmes COMMAND.COM) ■ ZeroHunt (in COM Dateien) ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 42 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 17.13 Stealthviren Die Stealthviren gehören zur sog. 4. Generation der Viren und stellen eine der gefährlichsten Gattungen dar. Ein Stealthviren wird oft auch als Tarnkappenvirus be- zeichnet, weil er für den Anwender nicht sichtbar ist. Ein Stealthvirus besitzt die Eigenschaft, sämtliche Dateizu- griffe zu überwachen und entsprechend zu manipulieren. Die Manipulation besteht auch darin, beim Öffnen einer infi- zierten Datei den vom Virus infizierten Programmteil her- auszufiltern. Mittels dieser Taktik wird selbst einem Vi- rensuchprogramm wie VirScan eine unverseuchte Datei sugge- riert, mit der Ergebnis, daß kein Virus gefunden wird, wenn der Stealthvirus aktiv ist. Ein Längenzuwachs infizierter Dateien mittels des DIR Befehles ist NICHT erkennbar! Es gibt Stealthviren, die Bootsektoren (z. B. Brain, Stoned III), Partitionssektoren (z. B. Tequila, Parity Check) und/oder Dateien (z. B. 4096, Holocaust) befallen! 17.13.1 Abhilfe bei Stealthviren Sie lassen den Arbeitsspeicher nach Viren absuchen. Meistens sind die Viren im Arbeitsspeicher unverschlüsselt und können so erkannt werden. Sie booten von einer virenfreien Diskette und starten anschließend das Virensuchprogramm (Kaltstart!). Weil der Virus nun nicht aktiv ist, werden die infizierten Programme gefunden. Tip: Die meisten Stealthviren besitzen folgenden 'Fehler': Der DOS-Befehl CHKDSK zeigt bei einem aktivem Virus pro in- fizierter Datei ein oder mehrere verlorene Cluster zu der infizierten Datei an. Diese Cluster dürfen jedoch erst mit dem Befehl CHKDSK /F beseitigt werden, wenn der Virus ent- fernt wurde! 17.14 Substealthviren Substealthviren sind meistens wie die Stealthviren in der Lage, den Virencode aus dem Infizierten Programm "herauszufiltern". Eine Längenänderung ist ab und zu er- kennbar. Die sog. Slackbereichviren (LeHigh & ZeroHunt) werden ebenfalls zu den Substealthviren gezählt, weil für den Anwender ein Längenzuwachs NICHT erkennbar ist! 17.15 Polymorphe Viren ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 43 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── Diese Virenart stellt, wie die Stealthviren eine ernstzu- nehmende Gefahr dar. Polymorphe Viren sind Viren, die ver- schlüsselt sind. Im Gegensatz zu den meistens verschlüssel- ten Viren, die eine konstante Entschlüsselungsroutine be- sitzen (und somit anhand der Entschlüsselungsroutine erkannt werden können), ist die Entschlüsselungsroutine überhaupt nicht mehr konstant. Oftmals sind nur noch drei Bytes 'Programmskelett' konstant, der Rest ist oft mit sinnlosen Maschinenbefehlen aufgefüllt. Manche Viren verwenden auch verschiedene Verschlüsselungsmethoden, damit gewährleistet ist, daß jedes infizierte Programm anderes aussieht. Eine Suche nach derart komplex verschlüsselten Viren ist: ■ Zeitaufwendig ■ Benötigt einen komplexen Suchalgorithmus ■ Ist sehr anfällig für Fehlalarme ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 44 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 18. KURZBESCHREIBUNG ALLER VIREN Wenn Sie eine Beschreibung zu einem Virus suchen, so schauen Sie in der Datei VIRBIBEL.DOC nach! Diese Datei wird von mir immer wieder ergänzt. Weitere Informationen über Viren können Sie sich in der Datei VIRSCAN.TXT ansehen. In der Datei VIRBIBEL.DOC finden Sie die Beschreibung zu ca. 1650 verschiedenen Viren. Alternativ biete ich auch das Programm ViBa an. ViBa ist eine Datenbank nach SAA-Standard und enthält eine Beschreibung zu allen derzeit bekannten Viren (siehe auch REGISTER.COM). 19. REGISTRATION, BESTELLUNGEN Die Verwendung der Sharewareversion ist für vier Wochen zum Testen erlaubt. Nach dieser Periode MÜSSEN Sie sich eine Vollversion kaufen, andernfalls begehen Sie eine Copyright- verletzung! Überlegen Sie sich auch, wieviel Arbeit hinter solch einem Programm steckt! Sie Unterstützen nicht nur den Programmautor mit Ihrer Registration, sondern auch die Ent- wicklung anderer Programme und die Sharewareidee im allge- meinen! 19.1 Registrieren Wenn Sie an weiteren Produkten von mir interessiert sind, so benutzen Sie bitte den Bestellschein der ausgedruckt wird, wenn Sie das Programm REGISTER.COM starten! Disketten sind auch im Format 3½" Zoll lieferbar! Kleiner Tip: Am einfachsten geht es, wenn Sie das Programm REGISTER.COM starten. Es wird dann ein kompletter Bestell- schein ausgedruckt. Auf diesem Bestellschein können Sie auch noch verschiedene Optionen ankreuzen. Bei Fragen bezüglich des Bestellens können Sie -falls vorhanden- das Programm BESTELLN.COM starten, welches weitere Tips enthält! Als registrierter Anwender erhalten Sie weitere Programme zum halben Preis. Falls gewünscht, können Sie dann vom automatischen Update- Service Gebrauch machen. 19.2 Anfragen Anfragen, bezüglich der Sharewareversionen des entsprechen- den Programmes, werden nur dann beantwortet, wenn ein ent- sprechend frankierter Freiumschlag beigefügt ist! Triviale Anfragen, Anfragen die mittels diesem Handbuch geklärt wer- ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 45 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── den können, werden unter Umständen NICHT beantwortet (zu teuer, zu umständlich!). Wenn Sie die Vollversion bei einem vom mir autorisierten Händler erworben haben, so wenden Sie sich zur Klärung Ihres Problemes zuerst an ihn. Ich bitte Sie auch, von telefonischen Anfragen (oder evtl. "Anfragen zur Beseitigung eines Virus") abzusehen. 19.2.1 Meine Adresse ROSE, Ralph Roth Softwareentwicklung und Vertrieb Finkenweg 24 D 7214 Zimmern o. R. FAX: (0741) 3 23 28 Bankverbindung: Kreissparkasse Rottweil BLZ: 642 500 40 Kto.: 131 577 19.2.2 Kommerzielle Anwender Sie können zum Sonderpreis Mehrplatzlizenzen beim Autor erwerben. Setzen Sie sich, unter der Angabe des gewünschten Programmes und der gewünschten Anzahl, schriftlich mit mir in Verbindung. ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 46 ROSE, Roth Software Engineering VIRSCAN.DOC ─────────────────────────────────────────────────────────────────── 20. SONSTIGES Falls Sie Anregungen, Verbesserungen oder auch Laufzeitfeh- ler zu diesem Programm haben, so teilen Sie mir dies bitte auf einem Extrablatt mit. Denn nur so kann das Programm noch verbessert werden! Vielen Dank schon im voraus. Für Fehler im Programm, und für durch Fehler verursachte Schäden wird keine Haftung übernommen! 20.1 Ein Dankeschön an Jürgen Werner für Tips zur Suchoptimierung, Thomas Krämer für Farbberatung und Signaturenbeschaffung, Tiffy, Peter Schöpf und Eckart Beck für Test und Signaturenbeschaffung. Jutta für Korrektur. Jürgen W. für die Überlassung von Programmroutinen. Den Anwendern & Studenten der FHAS, die mir neue Viren zugesandt haben und sich mit Kritik und Ver- besserungsvorschlägen nicht hinter dem Berg hielten. Ralph Roth 21. GARANTIEAUSSCHLUßERKLÄRUNG Der Autor des Programmes weist darauf hin, daß die Benutzung des Programmes auf Ihre eigene Gefahr hin geschieht. Bei den Optionen "Viren entfernen" und "Dateien löschen" kann es bei unsachgemäßer Handhabung zu Datenverlusten kommen! Unter keinen Umständen ist der Programmautor Ralph Roth haftbar für jegliche Folgeschäden, einschließlich aller entgangenen Gewinne und Vermögensverluste, oder anderer mittelbarer und unmittelbarer Schäden, die durch den Ge- brauch oder die Nichtverwendbarkeit dieser Software und ih- rer begleitenden Dokumentationen entsteht. Dies gilt auch dann, wenn der Autor über die Möglichkeit solcher Schäden unterrichtet war oder ist! ENDE DES HANDBUCHES ─────────────────────────────────────────────────────────────────── Anleitung zum Virensuchprogramm VirScan Plus Seite: 47