home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Best of German Only 2
/
romside_best_of_german_only_2.iso
/
dos
/
utility
/
viba
/
morerose
/
virscan.doc
< prev
next >
Wrap
Text File
|
1993-09-22
|
112KB
|
3,285 lines
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Das Virensuchprogramm
█ █ ███████ ██████ █████ █████ ███ █ █
█ █ █ █ █ █ █ █ █ █ █ ██ █
█ █ █ █ █ █ █ █ █ █ █ █
█ █ █ ██████ █████ █ ███████ █ █ █
█ █ █ █ █ █ █ █ █ █ █ █
█ █ █ █ █ █ █ █ █ █ █ █ ██
█ ███████ █ █ █████ █████ █ █ █ █
██████ █ █ █ █████
█ █ █ █ █ █ █
█ █ █ █ █ █
██████ █ █ █ █████
█ █ █ █ █
█ █ █ █ █ █
█ ███████ █████ █████
Gegen bekannte und UNBEKANNTE MSDOS-Computerviren, mit
integriertem Virenkiller
Copyright (c) 1990-93 by ROSE, Ralph Roth,
Finkenweg 24, D 78658 Zimmern o. R.
ALL RIGHTS RESERVED! - ALLE RECHTE VORBEHALTEN!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 1
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 2
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
1 INHALTSVERZEICHNIS
1 Inhaltsverzeichnis......................................3
2 Einleitung..............................................6
2.1 Hinweis für erfahrene Anwender......................6
2.2 Kurzbeschreibung des Programmes VirScan.............7
2.3 Funktionen von VirScan..............................7
2.4 Weitere Vorteile von VirScan........................7
2.5 Das Handbuch........................................9
2.6 Urheberrecht........................................9
3 Shareware...............................................9
3.1 Das Sharewareprinzip................................9
4 Zweck von VirScan Plus.................................11
4.1 Veränderungen der einzelnen Programmversionen......11
4.2 Was sind eigentlich Computer-Viren?................12
5 Starten von VirScan....................................13
5.1 Während des Suchlaufes.............................13
5.2 Nach dem Suchlauf..................................13
6 Unterstützte Parameter.................................15
6.1 Parametersyntax ...................................15
6.2 Die Umgebungsvariable VIRSCAN......................15
6.2.1 Zurücksetzen von voreingestellten Werten....16
6.2.2 VirScan per AUTOEXEC.BAT-Datei konfigurieren16
6.3 Die einzelnen Parameter............................17
6.3.1 /? oder -? (Hilfestellung)..................17
6.3.2 /AUTO (Autopilot aktivieren)................17
6.3.3 /BOOT (Bootviren suchen)....................18
6.3.4 /D (Directory) oder <Verzeichnis>...........18
6.3.5 /DEL (Delete/Löschen von Dateien)...........19
6.3.6 /EXTR (Signatur extrahieren)................19
6.3.7 /F (Einzelne Dateien untersuchen) ..........19
6.3.8 /H (/HILFE oder /HELP)......................20
6.3.9 /IVT (Interrupt Virentest)..................20
6.3.10 /JN (Vor dem Löschen abfragen).............20
6.3.11 /KILL (Virenkiller aktivieren) ............20
6.3.12 /LAPTOP (Unterstützung für Laptops)........22
6.3.13 /LESEN (Anleitung lesen)...................22
6.3.14 /LOG (Log-Datei anlegen) ..................22
6.3.15 /MEHR (Mehrere Disketten nacheinander
untersuchen) .....................................22
6.3.16 /MEM (Memory) .............................23
6.3.17 /MEMHI (Hoher Arbeitsspeicher).............23
6.3.18 /MUTANT (nach mutierten Viren suchen)......23
6.3.19 /OFFSET (Offset anzeigen)..................24
6.3.20 /PRT oder /PRN oder /PRINTER ..............24
6.3.21 /Q (Quiet).................................24
6.3.22 /REG (Registration)........................25
6.3.23 /REP (Report)..............................25
6.3.24 /TURBO bzw. -TURBO (NICHT im Turbo-Modus
suchen) ..........................................25
6.3.25 /ULTRA (Schnelleres Suchverfahren).........26
6.3.26 /UNB (Unbekannte Viren suchen).............26
6.3.27 /VL (Viren-Liste) .........................26
6.3.28 /WIN (Kompatibilität zu Windows)...........26
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 3
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
6.3.29 /ZEIT (Nicht auf unübliche Zeit überprüfen)27
6.3.30 LW: (Laufwerke) ...........................27
6.4 Beispiele für Aufrufe..............................27
7 Fehlalarm? Ja/Nein?....................................28
7.1 Bekannte Fehlalarme................................28
7.1.1 Programme die einen Fehlalarm erzeugen......28
7.2 Virenbefall von Bootsektoren.......................29
7.3 Virenbefall von Dateien............................30
7.3.1 Ein Virus in nur einer Datei................30
7.3.2 Mehrere Viren in einer Datei/Bootsektor.....30
7.4 Die am weitesten verbreiteten Viren................30
7.5 Die Programme GUARD.SYS, VDEFEND.SYS, DEFENDER.COM und
TSAFE.COM u.a..........................................31
7.6 Mehrere Viren im Arbeitsspeicher...................32
7.7 Analyse bei Virenverdacht..........................32
7.8 Unbekannte oder mutierte Viren.....................32
8 Sonstige Funktionen....................................33
8.1 VirScan und Netzwerke..............................33
8.2 VirScan unter OS/2.................................33
8.3 Zusätzliche Fehlermeldungen........................33
8.4 Hinweise für Netzwerkadministratoren...............34
8.5 Suchgeschwindigkeit................................35
8.6 Wie werden neue Virenerkennungen in VirScan aufgenom-
men?...................................................35
8.7 Der Integrierte Virenschutz........................36
8.7.1 Der eingebaute Checksummentester............36
8.7.2 Hinweise für das Programm SCAN.EXE..........36
8.7.3 Hinweise für die Programme TAV & FShield....37
8.7.4 Anzeigen der Virenliste.....................37
9 Neue Funktionen von VirScan Plus.......................38
9.1 VirScan und ein unübliches Dateidatum..............38
9.1.1 Seconds/100 Years Viren.....................38
9.2 VirScan und Stealth Viren..........................38
9.2.1 Der Brain Virus (u. a.).....................38
9.3 Der Dateiendebugger................................39
9.4 Neues Suchverfahren................................39
9.4.1 Bedeutung von "xxxx" .......................40
9.4.2 Bedeutung von "yyy" ........................40
10 Die verschiedenen Arten von Viren.....................42
10.1 Bootviren.........................................42
10.2 Viren, die den Partitionssektor befallen..........42
10.3 Hybridviren.......................................42
10.4 Nicht überschreibende Fileviren...................42
10.5 Überschreibende Fileviren.........................43
10.6 Trojanische Pferde................................43
10.7 Call Viren........................................43
10.8 "Live and Die" Viren..............................43
10.9 "Hide and Seek" Viren.............................43
10.10 Hardware Viren...................................44
10.11 Gepufferte Viren.................................44
10.12 Slack-/Stackbereich Viren........................44
10.13 Stealthviren.....................................45
10.13.1 Abhilfe bei Stealthviren..................45
10.14 Substealthviren..................................45
10.15 Polymorphe Viren.................................46
10.16 Kurzbeschreibung aller Viren.....................46
11 Registration, Bestellungen und Sonstiges..............47
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 4
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
11.1 Registrieren......................................47
11.2 Anfragen..........................................47
11.2.1 Meine Adresse..............................47
11.2.2 Kommerzielle Anwender .....................48
11.3 Sonstiges.........................................49
11.4 Ein Dankeschön an.................................49
11.5 Garantieausschlußerklärung........................49
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 5
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
2 EINLEITUNG
2.1 Hinweis für erfahrene Anwender
'DOS-Power User' und sonstige Anwender, die der Meinung
sind, daß sie dieses Handbuch erst lesen müssen, wenn ein
Virus die Festplatte total zerstört hat, rate ich folgendes:
■ Zuerst VirScan mit INSTALL installieren
■ Anschließend die Datei VIRSHELP.TXT ausdrucken
lassen. Diese Datei enthält eine 'Quick Referenz' für
die Bedienung des Programmes (liegt der Vollversion
ausgedruckt bei).
■ VirScan wie folgt starten (maximale Sicherheit!):
virscan -auto -mutant -unb -boot
(Mit Autopilot nach bekannten, unbekannten (-unb),
mutierten (-mutant) und zusätzlich nach Bootviren (-
boot) suchen)
■ Wenn VirScan etwas gefunden hat, eventuell (falls es
nicht zuviel Mühe ist - ja ich weiß, 10 weitere Pro-
gramme müssen noch ausprobiert werden-) doch das
Handbuch lesen. Dies kann durch folgende Befehle ver-
anlasst werden:
■ Ausdrucken: copy virscan.doc lpt1:
■ Lesen: virscan /lesen
■ Wenn Sie die Sharewareversion (oder vielleicht auch
eine Raubkopie?) benützen und Sie meinen, daß das
Programm sein Geld wert ist, geben Sie folgendes ein:
REGISTER
und ein kompletter Bestellschein wird ausgedruckt.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 6
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
2.2 Kurzbeschreibung des Programmes VirScan
VirScan Plus ist ein Programm zum Erkennen und Suchen von
Computer Viren auf IBM kompatiblen PCs und ATs. VirScan kann
in der aktuellen Version ca. 1540 verschiedene Viren
entdecken. Die Bedienung ist denkbar einfach, so kann VirS-
can z. B. mit zusätzlichen Parametern aus einer Batchdatei
gestartet werden, andernfalls fragt das Programm den Benut-
zer, welche der Optionen gewünscht wird. VirScan ist durch
die Optimierung in Assembler und seinen eingebauten "De-
bugger" sehr schnell. So wird für das Untersuchen einer
Diskette nur wenige Sekunden benötigt. Für die bekanntesten
Viren enthält VirScan Plus zusätzlich ein Killerprogramm,
welches den Virus entfernen kann.
2.3 Funktionen von VirScan
■ Systemspeicher untersuchen. Komplett (640 KB/ 1 MB) oder
im Turbo-Modus.
■ Datenträger im Turbo-Modus oder im Sicherheitsmodus un-
tersuchen.
■ Befallene Dateien löschen (wahlweise mit Bestätigen).
■ Soweit wie möglich Virus entfernen (VirScan kann zur Zeit
ca. 300 Viren entfernen).
■ Mehrere Disketten/Festplatten nacheinander untersuchen.
■ Ausgabe auf Bildschirm und/oder Drucker bzw. in eine Da-
tei. Erstellen eines Reports.
■ Lesen des Handbuches (47 Seiten) oder Anzeige aller Viren,
die VirScan erkennt.
■ Untersuchen von Laufwerken, Netzwerken, Dateigruppen und
einzelner Verzeichnisse manuell oder mittels 'Autopiloten'.
2.4 Weitere Vorteile von VirScan
■ Der Boot- und Partitionssektor und das Programm VirScan
werden jedesmal mit überprüft.
■ Neue Virensignaturen können mittels eines Texteditors in
die Datei VIRSCAN.EXT aufgenommen werden, d. h. VirScan
veraltet also niemals.
■ Alle zeitkritischen Funktionen wurden zusätzlich in As-
sembler optimiert.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 7
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
■ Für etwaige Fragen stehen mehrere Dokumentationen zur
Verfügung. Die Anleitung zu VirScan kann als Handbuch aus-
gedruckt werden.
■ VirScan ist lauffähig auf allen Graphikkarten. Ein Lauf-
werk oder eine Festplatte und MSDOS ab Version 3.21, sowie
ein IBM kompatibler Rechner mit 640 KB Speicher sind er-
forderlich.
■ Neues Suchverfahren findet auch nicht konstante Vi-
ren(stämme) (z. B. Tequila, Jerusalem) und deren Abarten.
VirScan findet -wahlweise- auch neue noch unbekannte Viren,
die durch Modifizieren bestehender Viren entstehen!
■ Es wird eine Textdatei (VIRBIBEL.DOC) mitgeliefert, die
eine kurze Beschreibung zu ca. 1950 Viren enthält.
■ VirScan kann sogar noch unbekannte im Arbeitsspeicher be-
findliche Stealthviren erkennen!
■ VirScan kann Netzwerke untersuchen. Läuft auch in der
'DOS-Box' des Betriebssystem OS/2 Version 2.00
■ VirScan kann auch wahlweise nach noch unbekannten Viren
suchen. Ferner werden unübliche Dateiattribute oder defekte
bzw. zerstörte Programme erkannt.
■ Das Programm ist komplett in deutscher Sprache. Inklusive
Installationsprogramm!
■ VirScan Plus wird u. a. nach dem Sharewareprinzip vermar-
ket. Das Programm kostet in der Vollversion nur DM 49,--
(zuzüglich einer Porto- und Verpackungspauschale von DM 5,--
). Mehrplatzlizenzen für Netzwerke ist ebenfalls erhältlich.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 8
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
2.5 Das Handbuch
Dieses Handbuch wurde mit WORD 6.0 erstellt und einem vom
Programmautor entwickelten Hilfsprogramm nach ASCII por-
tiert. Sie können deshalb dieses Handbuch auf JEDEM Drucker,
der mindestens 64 Zeilen pro Blatt und einen Seitenvorschub
unterstützt, ausdrucken (auch auf Laserdruckern).
Befehl: COPY VIRSCAN.DOC PRN
2.6 Urheberrecht
Der Programmautor - Ralph Roth - besitzt alle Rechte an
diesem Computerprogramm UND seiner begleitenden Dokumenta-
tionen. Eine Vervielfältigung des Programmes und/oder der
Dokumentation ist ohne schriftliche Genehmigung des Autors
untersagt und stellt eine Urheberrechtsverletzung dar!
Eine Ausnahme stellt die Sharewareversion des Programmes
dar:
- Anwender dürfen dieses Programm kopieren und
weitergeben.
- Sharewarehändler dürfen nach schriftlicher Ge-
nehmigung das Programm als Shareware vertreiben.
Das Verändern des Programmes und/oder der Dokumentation ist
strengstens verboten!
3 SHAREWARE
VirScan wird u. a. nach dem sog. Sharewareprinzip ver-
trieben, d. h. Sie bestellen sich bei einem Sharewarehändler
die Sharewareversion von diesem Programm. In der Regel
verlangt der Sharewarehändler hierfür eine Vermittlungsge-
bühr, die zwischen 3 und 20 DM liegt. Mit dieser Gebühr ha-
ben Sie jedoch nicht das Programm gekauft, sondern nur dem
Händler seine Auslagen für Werbung, Kopieren usw. bezahlt!
3.1 Das Sharewareprinzip
Das Programm versteht sich als Shareware, daß heißt, Sie
dürfen es testen und ausprobieren. Wenn Sie aber damit län-
ger als vier Wochen arbeiten, wird eine Registrationsgebühr
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 9
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
fällig. Shareware können Sie also risikolos austesten. Falls
Ihnen das Programm zusagt, kaufen Sie sich eine Vollversion.
Falls dieses Programm als SHAREWARE-Programm angeboten wird,
darf das Programm unentgeltlich weitergegeben werden, wenn
die zugehörigen Dateien nicht verändert und nicht weg-
gelassen werden (gilt nicht für die Vollversion). Regi-
strierte Anwender dürfen natürlich die Vollversion nicht
weitergeben!
Die kommerzielle Nutzung der Sharewareversion (in Firmen,
öffentlichen Anstalten, Schulen etc.) ist untersagt. Für die
oben aufgeführte Registrationsgebühr erhalten Sie die
Vollversion und den neuesten und aktuellsten Programmupdate
(neueste Programmversion).
Unterstützen Sie das Sharewarekonzept durch Ihre Registra-
tion! In der Vollversion fallen die Aufforderungsbildschirme
weg! Außerdem erhalten Sie mit Ihrer Bestellung die derzeit
aktuellste Programmversion!
Zum Bestellen ihrer persönlichen Vollversion starten Sie
bitte das Programm REGISTER.COM und ein Bestellschein wird
ausgedruckt. Für weitergehende Hinweis über das Shareware-
prinzip wird zusätzlich auf die Datei HINWEIS.COM hingewie-
sen!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 10
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
4 ZWECK VON VIRSCAN PLUS
Mit VirScan werden Dateien, Laufwerke, Netzwerke,
Arbeitsspeicher, der Partitionssektor und der Bootsektor auf
Virenbefall untersucht.
VirScan überprüft normalerweise nur ausführbare Programme,
die auf EXE, COM, BIN, OVL, OVR, SYS, APP oder OBJ enden.
Es können aber über Parameter andere "Extensionen"
(Endungen) gewählt werden.
Der Virensuchalgorithmus ist zwar hochoptimiert, aber al-
leine jede Datei einzeln nach allen Viren durchzusuchen,
braucht seine Zeit. Ich nehme jedoch an, Sie werden über-
rascht sein, wie schnell VirScan Ihre Festplatte untersucht!
4.1 Veränderungen der einzelnen Programmversionen
Dies stellt eine Kurzübersicht dar, die Datei WHATSNEW.COM
enthält eine detaillierte Beschreibung der Programmverbes-
serungen.
Ab Version 4.55 von VirScan wurde eine neue Funktion inte-
griert, mit der jedesmal beim Starten von VirScan die Datei
VIRSCAN.EXT eingelesen wird. In diese Datei können Sie die
Erkennungen (sog. Signaturen) von neuen Viren hinzufügen.
Dann wird zusätzlich nach diesen neuen Viren gesucht.
Ab Version 5.0 kann der Systemspeicher (Arbeitsspeicher) auf
Virenbefall untersucht werden.
Ab Version 6.0 ist ein Virenkiller integriert. Zusätzlich
kann VirScan jetzt jederzeit mit der ESC-Taste abgebrochen
werden.
Ab Version 7.0 wurde eine Warnfunktion integriert. VirScan
meldet bei einer Übereinstimmung des "Suchstring" mit der zu
untersuchenden Datei von ca. 95 % einen Virusverdacht. Damit
kann VirScan auch modifizierte, aber bekannte Viren
erkennen! Zusätzlich wird jetzt bei einer Festplatte der
Partitionssektor mituntersucht.
In Version 7.8 ist ein intelligenter Dateiendebugger in-
tegriert worden, um die Verarbeitunggeschwindigkeit nochmals
zu steigern.
Weil der Tequila-Virus keine konstanten Erkennungen besitzt
wurde in VirScan ein zusätzlicher Suchalgorithmus eingebaut.
Mehr hierzu siehe unten!
Version 8.0 wurde netzwerktauglich gemacht.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 11
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Version 8.5 findet jetzt mit der Option /UNB auch neue unbe-
kannte Viren!
Version 8.6 kann den Arbeitsspeicher bis 1 MB untersuchen.
Version 9.0 hat einen eingebauten 'Autopiloten', der für
unerfahrene Anwender alle nötigen Einstellungen vornimmt!
Version 9.20 findet jetzt mit der Option /MUTANT neue modi-
fizierte Viren (teilweise auch noch unbekannte)!
4.2 Was sind eigentlich Computer-Viren?
Bei Computer-Viren handelt es sich um Programme, die Dateien
bzw. Programme befallen. Sie "hängen" sich in den meisten
Fällen an das Ende eines Programmes und vergrößern es um ca.
2500 Bytes.
Nach dem Aufruf des infizierten Programmes wird zuerst das
Programm, dann der angehängte Virus in den Arbeitsspeicher
geladen.
Beim Starten des Programmes durch das Betriebssystem wird
zuerst der Virusteil angesprungen. So kann der Virus ent-
weder das geladene Programm manipulieren oder ein neues an-
greifen. Anschließend springt der Virus zum eigentlichen
Programm über. Durch diese Taktik merkt der Computerbenutz-
ter normalerweise nicht, daß seine Programme von einem Virus
infiziert sind.
Wie alle anderen Programme auch, befindet sich ein Computer-
Virus als ein kleines Programm namenlos im Arbeitsspeicher.
Diese wenige Kilobytes Programmcode enthalten aber für den
Virus spezifische Maschinenbefehle, an denen er erkannt
werden kann (die sog. Virensignaturen).
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 12
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
5 STARTEN VON VIRSCAN
Legen Sie die VirScan-Diskette in Laufwerk A ein und geben
Sie folgendes ein:
A: [ENTER]
VIRSCAN /? [ENTER]
VirScan wird dann gestartet, gibt einen kurzen Hilfsbild-
schirm aus, und fragt Sie anschließend nach verschieden Pa-
rametern, die Sie eingeben müssen (siehe unten). Wenn Sie
später mit VirScan vertraut sind, können Sie VirScan so
aufrufen, daß er alle benötigten Parameter aus der Komman-
dozeile liest.
Wenn VirScan alle Dateien untersucht hat und ein Virus ge-
funden wurde, drücken Sie die ENTER-Taste. Falls KEIN Virus
gefunden wurde, bekommen Sie in etwa folgende Bildschirman-
zeige:
|------------------------------------------------------------|
| VirScan Plus, vX.XX (c) 20.10.90-93 by ROSE, Ralph Roth |
| Lesen Sie dazu die Dokumentation VIRSCAN.DOC & VIRSCAN.TXT |
| durch! Mit eingebautem Virenkiller. |
|Diese Version von VirScan kann mindestens XX Viren erkennen!|
|------------------------------------------------------------|
Sechzig Dateien untersucht! 5.789.512 Bytes untersucht.
Glück gehabt: keine Viren gefunden!
5.1 Während des Suchlaufes
Während des Suchlaufes können Sie mit folgenden Tasten
VirScan beieinflußen:
<Escape> Bricht die Programmausführung ab. Die gerade
untersuchte Datei wird jedoch noch zu Ende un-
tersucht.
<Leertaste> Hält die Programmausführung solange an, bis Sie
eine andere Taste drücken. Dies ist besonders
dann sinnvoll, wenn Ihr System weitgehendst ver-
seucht ist und Sie sich die einzelnen Datei ge-
nauer anschauen wollen.
5.2 Nach dem Suchlauf
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 13
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Wenn VirScan alles untersucht hat, und einen Virus gefunden
hat, müssen Sie anschließend noch die <Enter> Taste drücken.
Anschließend gibt VirScan aus, wieviele Programme untersucht
worden sind, wieviele Viren gefunden und wieviele Viren ent-
fernt wurden und wie lange VirScan hierzu gebraucht hat.
Ferner errechnet VirScan die durchschnittliche Suchge-
schwindigkeit, die für jeden Computer etwas anders ausfällt.
Auf verschiedenen Testanlagen (386/486 + CACHE) wurden
jedoch Suchgeschwindigkeiten von über 920.000 Bytes pro
Sekunde erzielt!
Wenn VirScan anzeigt: "20 MB Programmcode untersucht", Sie
jedoch eine 80 MB Festplatte besitzen, ist dies nicht ein
Programmfehler, sondern die Summe aller AUSFÜHRBAREN Pro-
gramme auf Ihrer Festplatte (Texte oder Daten nach Viren
abzusuchen ist sinnlos!).
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 14
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
6 UNTERSTÜTZTE PARAMETER
Wird VirScan ohne zusätzliche Parameter gestartet, so wird
nach den einzelnen Optionen gefragt, z. B. welches Laufwerk
untersucht werden soll. Es können jedoch zusätzliche Para-
meter beim Start übergeben werden.
6.1 Parametersyntax
VIRSCAN [LW:] [/AUTO] [/BOOT] [/Fxxxx.yyy] [/Dxxxx]
[/HILFE] [/MEHR] [/LAPTOP] [/LOG] [/PRT] [/REG]
[/VL] [/TURBO] [/DEL] [/MEM] [/KILL] [/JN]
[/LESEN] [/REP] [/Q] [/?] [/UNB] [/ULTRA]
[/MEMHI] [/MUTANT] [Verzeichnis] [/WIN] [/ZEIT]
Die eckigen Klammern bedeuten, daß die Parameter wahlfrei
sind. Sie müssen jedoch mindestens einen Parameter angeben,
damit VirScan weiß, was das Programm zu tun hat, andernfalls
fragt Sie VirScan nach den einzelenen Parametern.
Anwender, welche die amerikanische Parametereingabe mit dem
Minuszeichen gewohnt sind, können statt den Slashzeichen
('/') das Minuszeichen ('-') verwenden.
Beispielsweise ist -? äquivalent mit /?
Die Datei VIRSHELP.TXT (meist im Verzeichnis \DOKU) enthält
ebenfalls eine Kurzbeschreibung der einzelnen Parameter.
Hinweis: Zwischen den einzelnen Parametern muß mindestens
ein Leerzeichen vorhanden sein!
6.2 Die Umgebungsvariable VIRSCAN
Statt VirScan immer mit Parametern aufzurufen, kann VirScan
mit einer sogenannten Environmentvariable (Umgebungs-
variable) gesteuert werden.
Geben Sie beispielsweise am DOS-Prompt folgendes ein:
SET VIRSCAN=C: D: /UNB /MEMHI
Wenn Sie nun VirScan OHNE Parameter starten, ließt VirScan
aus der Variable alle benötigen Parameter aus und untersucht
in diesem Fall Laufwerk C: und D: mit den Optionen:
/UNB - unbekannte Viren suchen
/MEMHI - Speicher bis 1 MB untersuchen
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 15
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
6.2.1 Zurücksetzen von voreingestellten Werten
Manchmal ist es wünschenswert, schon fest (also per SET
VIRSCAN=...) eingestellte Optionen wieder rückgängig zu ma-
chen. Dies erfolgt einfach durch Angabe eines Minuszeichens
nach der Option. damit wird die Option ausgeschalten!
Beispielsweise haben Sie folgendes eingeben:
SET VIRSCAN=C: /Q /TURBO /MEM
Sie möchten jedoch den Speichertest ausschalten. dann star-
ten Sie VirScan mit folgendem Parameter:
VIRSCAN /MEM-
6.2.2 VirScan per AUTOEXEC.BAT-Datei konfigurieren
Wenn Sie wollen können Sie den SET VIRSCAN=... Befehl in
Ihre AUTOEXEC.BAT aufnehmen. beachten Sie, das Sie genügend
Platz für Umgebungsvariablen reserviert haben, ansonsten
erhalten Sie beim Booten folgende Meldung o.ä.:
Umgebungsbereich erschöpft
Lesen Sie in diesem Fall in Ihrem DOS-Handbuch, wie man mit
dem /P Schalter von COMMAND.COM den Umgebungsbereich ver-
größert!
6.2.2.1 Beispiele für das Setzen der Umgebungsvariable
Maximale Sicherheit
SET Virscan=/AUTO /MEMHI /UNB /LOG /IVT /MUTANT
oder
SET Virscan=/AUTO /MEMHI /UNB /LOG /IVT /TURBO
Normale Bedingungen
SET VIRSCAN=/AUTO
6.2.2.2 Bsp.: Tägliche kurze Prüfung per AUTOEXEC.BAT-Datei
Fügen Sie beispielsweise folgende Zeilen in Ihre AUTO-
EXEC.BAT-Datei:
PATH=%path%;c:\VIRSCAN
VIRSCAN C:\DOS /UNB /MEMHI /FC:\*.EXE /FC:\*.COM /IVT
SET VIRSCAN=/AUTO /MEMHI
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 16
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Es wird dann bei jedem Hochfahren des Systems Ihre System-
dateien auf Viren untersucht.
6.3 Die einzelnen Parameter
6.3.1 /? oder -? (Hilfestellung)
Gibt eine kurze Hilfestellung zu den einzelnen Parametern
aus.
6.3.2 /AUTO (Autopilot aktivieren)
Diese Option ist wohl die stärkste und komfortabelste Funk-
tion am ganzen Programm! Sie ist besonders für Anwender ge-
dacht, die sich nicht näher mit der Funktionsweise des Pro-
grammes beschäftigen wollen.
Wenn Sie den Autopilot aktivieren, werden zunächst folgende
Parameter gesetzt:
■ Arbeitsspeicher bis 640 KB untersuchen.
■ Ton ausschalten.
■ Suchen im Turbo-Modus
Zusätzlich ermittelt der Autopilot welche Laufwerke am Com-
puter/Netzwerk angeschlossen sind. Anschließend werden alle
Laufwerke, die von DOS erreicht werden können untersucht. Es
ist dabei egal, ob es sich um Festplatten, RamDrives,
Netzwerkplatten oder 'geSUBSTete' Laufwerke handelt. Die
Diskettenlaufwerke A: und B: werden standardmäßig nicht un-
tersucht und müssen bei Bedarf zusätzlich angegeben werden.
Sie haben die Möglichkeit weitere Optionen zum Autopilot
hinzufügen bzw. zu deaktivieren!
6.3.2.1 Beispiele für den weiteren Einsatz des Autopiloten
Nachfolgend die Einstellungen für Parameterübergabe mittels
1.) der Kommandozeile
2.) der Umgebungsvariable VIRSCAN, unter der Voraussetzung,
daß SET VIRSCAN=/AUTO schon gesetzt wurde.
6.3.2.1.1 Zusätzliches Untersuchen des Laufwerks A:
1.) virscan -auto a:
2.) virscan a:
6.3.2.1.2 Ton einschalten
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 17
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
1.) virscan /q- /auto
2.) virscan -q-
6.3.2.1.3 Den hohen Arbeitsspeicher untersuchen
1.) virscan /memhi /auto
2.) virscan /memhi
6.3.2.1.4 Nach neue unbekannten Viren suchen
1.) virscan /unb /auto /mutant
2.) virscan /unb /mutant
6.3.2.1.5 Ergebnis ausdrucken
1.) virscan /auto -print
2.) virscan /prn
6.3.3 /BOOT (Bootviren suchen)
Mit diesem Parameter werden Programme zusätzlich nach Boot-
viren abgesucht (was aber i. a. unnötig ist, weil Bootviren
sich nicht in Programmen aufhalten). Die Suchgeschwindigkeit
wird durch diese Option verschlechtert, ferner besteht die
Gefahr von Fehlalarmen. Normalerweise benötigen Sie diese
Option nicht, außer Sie wollen zusätzliche Sicherheit z. B.
bei der Option /MUTANT! Im normalen Modus werden Dateien nur
nach Programm-Viren durchsucht (Erklärungen zu den einzelnen
Virenarten siehe auch unten), wenn Sie also nach allen Viren
suchen lassen wollen, schalten Sie die /BOOT Funktion ein.
6.3.4 /D (Directory) oder <Verzeichnis>
Hiermit kann ein Directory und seine Subdirectories nach
ausführbaren Programmen untersucht werden. Der Parameter /D
wird nur noch zur Kompatibilität zu früheren Version unter-
stützt. Wenn Sie ein Verzeichnis angeben, muß es sich um den
absoluten Pfadnamen handeln, während mit dem Parameter /D
'Abkürzungen' wie .. c: \ usw. erlaubt sind.
Beispiele:
VIRSCAN /DK:\NET /D..
VIRSCAN C:\DOS A:\NEU /D.
SET VIRSCAN=/D\ C:\DOS
6.3.5 /DEL (Delete/Löschen von Dateien)
Es werden alle infizierten Dateien gelöscht! Ohne vorherige
Abfrage! Zusätzlich wird, falls die Funktion /KILL einge-
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 18
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
schalten ist, zuerst versucht, den Virus zu entfernen. Falls
dies technisch nicht möglich ist, wird die Datei physika-
lisch gelöscht, d. h. die Datei kann selbst mit UNDELETE
nicht wiederhergestellt werden! Tip: Zusätzliche Ausgabe auf
den Drucker oder in eine Datei (/LOG bzw. /PRT)!
6.3.6 /EXTR (Signatur extrahieren)
Mit dieser Option können Sie geeignete Signaturen für VirS-
can 'extrahieren'. Diese Option ist dann sinnvoll, wenn ein
brandneuer Virus zugeschlagen hat und Sie nicht genug Pro-
grammierkenntnisse besitzen eine eigene Signatur zu defi-
nieren (Suchstring), die in VIRSCAN.EXT aufgenommen werden
kann.
Einschränkungen:
■ Diese Option funktioniert nur unter Verwendung des
Debuggers.
■ Diese Option ist nur in der registrierten Vollversion
vorhanden.
Hintergrund: Es soll Hackern, Virenprogrammieren und
sonstigen Freaks nicht ein Werkzeug in die Hand gege-
ben werden, um ihre Viren noch zu verbessern, bzw.
die Funktion von VirScan zu analysieren.
■ VirScan kann u. U. bei polymorphen Viren keinen ein-
deutigen Suchstring erzeugen (Beschreibung polymorphe
Viren s. u.).
■ VirScan kann bei nicht infizierten Dateien oft keinen
Einsprungspunkt finden (Meldung: Einsprungspunkt
nicht vorhanden). In diesem Fall wird eine Generie-
rung des Suchstrings aus Sicherheitsgründen
(Fehlalarme) unterlassen!
Tip: VirScan zusätzlich mit der Option /LOG oder /PRT laufen
lassen, um anschließend die Suchstrings vergleichen zu
können.
6.3.7 /F (Einzelne Dateien untersuchen)
Hiermit können einzelne Dateien und Dateigruppen untersucht
werden. Laufwerk, Pfad und Wildcards werden unterstützt!
Beispiel:
Virscan /FG:\TOOLS\NEU\VI*.EX?
6.3.8 /H (/HILFE oder /HELP)
Zeigt die Datei VIRSHELP.TXT an, die eine kurze Hilfestel-
lung zum Programm enthält.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 19
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
6.3.9 /IVT (Interrupt Virentest)
Mit dem Parameter /IVT kann der Arbeitsspeicher nach ca. 150
der bekanntesten Viren untersucht werden. Dies erfolgt mit
sogenannten "Am I there" Aufrufen, die in Sekunden-
bruchteilen durchgeführt sind (im Vergleich zum langsamen
Untersuchen des Arbeitsspeichers). Der Arbeitsspeicher wird
hierbei auf folgende Viren untersucht:
■ Jerusalem und verwandte Viren (mind. 48 Varianten)
-- Frere Jaque
-- Fu Manchu
■ Tequila (Tarnkappen/Stealth-Virus, 14 Varianten)
■ Yankee Doodle/Vacsina (45 Varianten)
■ Cascade (14 Varianten)
■ Flip/Omicrone (6 Varianten/Substealth-Virus)
■ Parity Check (3 Varianten, Bootvirus)
■ dBase
■ Plastique (4.21, 5.21 und Cobol)
Bei Erkennung des Virus wird der Benutzer darüber infor-
miert.
Sie sollten diese Option nicht verwenden, wenn Sie Novell
Netware installiert haben, weil es zu Überschneidungen der
Interruptaufrufe kommt. Diese Funktion wurde ursprünglich
automatisch durchgeführt, es hat sich jedoch herausgestellt,
daß die sogenannten "Am I there" Aufrufe nicht 100%
kompatibel mit verschiedenen Betriebssystemen und Kon-
figurationen sind. Falls es also zu ungewöhnlichen Seiten-
effekten kommt, so könnte es an dieser Option liegen.
Diese Option untersucht -falls vorhanden- auch den hohen
Arbeitsspeicher (HMA) auf Viren.
6.3.10 /JN (Vor dem Löschen abfragen)
Wenn Ihr System/Disketten von Viren befallen ist, können Sie
mit den Optionen /KILL und /DEL den Virus entfernen. Dies
geschieht weitgehendst automatisch. Wenn Sie jedoch den
Parameter /JN setzen, werden Sie vor dem Löschen einer
befallenen Datei gefragt, ob diese Datei gelöscht werden
soll oder nicht.
6.3.11 /KILL (Virenkiller aktivieren)
Aktivieren des Virenkillers. VirScan kann zur Zeit ca. 290
Viren vernichten und die ursprüngliche Datei/Bootsektor
wieder herstellen (soweit technisch möglich). Die Datei
VIRSCAN.TXT enthält eine Liste der entfernbaren Viren.
ACHTUNG: Die Anwendung des Virenkiller erfolgt auf eigenes
Risiko, sie ist nur gedacht, Viren zu entfernen, falls keine
Originalprogramme mehr vorhanden sind.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 20
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Viren werden laufend von Hackern verändert, mit dem Ergeb-
nis, daß sogenannte Familiensucherkennungen verwendet werden
müssen, eine genaue Diagnose ist in diesem Fall nicht mehr
möglich. Eine Entfernung könnte in diesem Fall zu einem
unkorrekten Programm führen.
ACHTUNG: Die Entfernung eines Partitionsvirus kann bei einer
Fehldiagnose u. U. zu einer nicht mehr ansprechbaren
Festplatte führen. Fertigen Sie deshalb zuerst einen Backup
an. Bei Unsicherheit analysiere ich den Virus gerne kosten-
los.
6.3.11.1 Allgemeine Hinweise zum Virenkiller
Hinweis: Damit nicht nach dem Entfernen der Viren die Da-
teien re-infiziert werden, muß vor dem Entfernen, von einer
garantiert virenfreien Diskette gebootet werden (Kaltstart).
Anschließend gleich den Virenkiller starten!
Wird nicht von einer virenfreien Diskette ein
Kaltstart durchgeführt, kann unter Umständen die
Entfernung zu katastrophalen Fehlern führen!
Achtung Speicherplatz: Für das Entfernen werden zusätzliche
70 KB freier Arbeitsspeicher benötigt. Deshalb benötigt
VirScan mindestens 448 KB freien Arbeitsspeicher!
6.3.11.2 Entfernen von Boot- und Partitionsviren
VirScan kann ca. 99.8 Prozent aller Bootviren von Disketten
entfernen. Diese Funktion ist i. a. nicht kritisch.
Probleme kann es bei der Entfernung von Partitionsviren ge-
ben: VirScan kann immerhin ca. 95 Prozent aller Partitions-
viren von der Festplatte entfernen, denken Sie jedoch daran,
daß bei einer Fehldiagnose zu einer nicht mehr ansprechbaren
Festplatte (falsche Partition) führen kann. In diesem Fall
muß mit einem Programm wie dem 'Norton Disk Doctor' die
Festplatte repariert werden!
6.3.11.3 Hinweise bei Mehrfachinfektionen
Datei können von mehreren verschiedenen Viren befallen wer-
den. Hier muß VirScan u. U. seine Waffen strecken. Bsp: Eine
Datei ist vom 1704/Cascade und anschließend vom Jerusalem
Virus infiziert worden. VirScan entfernt jetzt den 1704
Virus, wobei VirScan jedoch Code vom Jerusalem Virus
entfernt, weil sich dieser NACH dem 1704 befindet. Das Er-
gebnis ist eine zerstörte Datei! Tip: Bei Mehrfachinfektio-
nen verschiedener entfernbarer Viren, die Dateien löschen
lassen (/DEL).
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 21
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
6.3.12 /LAPTOP (Unterstützung für Laptops)
Mit dieser Option kann VirScan an Monochrom-, LCD- und Lap-
top-Bildschirme angepasst werden (andere Farbauswahl).
6.3.13 /LESEN (Anleitung lesen)
Lesen dieses Handbuches mittels eingebautem Listprogramm.
Blättern mit den Pfeiltasten, Verlassen mit ESC.
6.3.14 /LOG (Log-Datei anlegen)
Es wird eine Datei namens VIRSCAN.LOG im aktuellen Ver-
zeichnis angelegt. In diese Datei werden alle Dateien ein-
getragen, die von Viren befallen sind. Weiterhin werden alle
Informationen über das zu untersuchende Laufwerk mit
eingetragen. Bei Disketten mit Schreibschutz muß natürlich
der Schreibschutz entfernt werden, sonst kann keine Log-Da-
tei erzeugt werden (typischer Anwenderfehler)!
Eine ältere gleichlautende Datei (VIRSCAN.LOG) wird über-
schrieben!
6.3.15 /MEHR (Mehrere Disketten nacheinander untersuchen)
Wenn Sie nicht jedesmal VirScan für jede Diskette neu star-
ten wollen, so geben Sie die Option /MEHR mit an.
Sie werden dann gefragt:
"Bitte Diskette entnehmen und eine neue Diskette einlegen.
Disk bereit? [J/N]"
Legen Sie eine neue Diskette ein und geben Sie danach "J"
ein. Diese Option funktioniert nur in Verwendung mit der
Option [LW:]! Wenn Sie /MEHR bei Festplatten angeben, wird
dieser Parameter für Festplattenlaufwerke ignoriert.
Beispiele:
VIRSCAN A: C: /MEHR
VIRSCAN B: -mehr
SET VIRSCAN=-mehr
6.3.16 /MEM (Memory)
Ihr System-Speicher wird auf alle konstanten Viren unter-
sucht. Mit einer Anzeige, welches Segment gerade untersucht
wird. Diese Funktion kann bei nicht 100%-tig kompatiblen
IBM-Rechnern zu Schwierigkeiten führen!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 22
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Befindet sich ein Virus im Arbeitsspeicher, so muß dieser
zuerst durch ein Kaltstart von einer sauberen Systemdiskette
entfernt werden!
6.3.17 /MEMHI (Hoher Arbeitsspeicher)
Wie die Option /MEM, es wird jedoch auch der Arbeitsspeicher
bis 1 MB auf Viren untersucht. Diese Funktion ist nur für
AT-Rechner sinnvoll, die einen Treiber verwenden, der DOS in
den hohen Arbeitsspeicher verschiebt (HMA). Bei nicht IBM-
kompatiblen ATs oder nicht vorhanden HMA kann es mit dieser
Option zu Schwierigkeiten kommen!
Hinweis: Bei sehr wenigen Rechnern führt diese Funktion u.
U. zum Programmabsturz! Meistens scheint es als ob das Pro-
gramm abgestürzt ist. Tip: Wenn die NumLock-LED sich mittels
der NumLock-Taste ein- und ausschalten lässt, ist ein
Programm in der Regel noch nicht abgestürzt!
Bei 386-er, welche die sogenannte A20 Leitung benutzen, wird
dieser Speicherbereich ebenfalls untersucht (also bis 1088
KB Arbeitsspeicher).
Das Programm muß das ganze BIOS nach verdächtigen Sequenzen
absuchen, weshalb VirScan bei langsameren Rechner teilweise
mehr als eine Minute benötigt!
6.3.18 /MUTANT (nach mutierten Viren suchen)
Mit dieser Option können Sie zusätzlich nach mutierten (also
veränderten) Viren suchen, die sonst nicht erkannt werden.
Dies wird dadurch erreicht, daß eine Erkennung nicht mehr zu
100 Prozent übereinstimmen muß, sondern bis zu sechs Stellen
sich vom Suchstring unterscheiden dürfen. Im Gegensatz zur
Option /UNB wird also mit einer bestehenden Signatur
gesucht, wobei Treffer jedoch nicht mehr zu 100 Prozent
übereinstimmen müssen!
Diese Option ist gedacht, um bei einem System das sich ab-
normal verhält, eventuelle "Virentreffer" zu landen. Mit
verschiedene mutierten Testviren wurde eine Trefferrate von
100 Prozent erzielt! Einen "Treffer" meldet VirScan ungefähr
so:
Warnung: C:\COMMAND.COM evtl. mit xy-Virus in-
fiziert!
Weil diese Option mit Sicherheit Fehlalarme verursacht (z.
B. wird ein Veronezh-Virus im Programm VIRSTOP.EXE gefunden)
werden standardmäßig folgende Optionen zusätzlich ein-
geschalten:
■ Turbomodus EIN
■ Ton aus
■ Virenkiller aus
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 23
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Die Option /MUTANT ist ebenfalls wie die Option /UNB nicht
für den unerfahren Anwender gedacht. Ein kleiner Tip hierzu:
Ein Dateivirus macht sich immer dadurch bemerkbar, daß er
versucht soviele Programme wie nur möglich zu infizieren.
Deshalb sind drei oder vier "infizierte" Dateien (bei der
Option /MUTANT und/oder /UNB) auf der Festplatte noch lange
kein Indiz dafür, daß ein Virus zugeschlagen hat!
Bei Verdacht können Sie mir unverbindlich eine
verseuchte Diskette zusenden!
Ab Version 9.22 wird bei der Option /MUTANT zusätzlich der
Boot-/Partitionssektor nach mutierten Viren abgesucht!
6.3.19 /OFFSET (Offset anzeigen)
Diese Option gibt -falls ein Virus gefunden wurde- die Po-
sition des Virencodes bezüglich des Dateianfanges an. Eben-
falls wird -bei einer beschädigten Datei- angezeigt, wohin
der Einsprungspunkt hinzeigt. Diese Option dürfte für Sie
relativ uninteressant sein, weshalb sie standardmäßig auf
AUS geschalten ist. Diese Option ist voll kompatibel zu den
Optionen /LOG, /PRN und /REP.
6.3.20 /PRT oder /PRN oder /PRINTER
Analog zu /LOG, der Bericht wird jedoch auf dem Drucker
ausgegeben. Schalten Sie den Drucker ein, sonst wartet
VirScan so lange, bis der Drucker "Online" ist. Anzeige über
Fehlerfenster! Diese Option ist mischbar mit der Option
/LOG!
6.3.21 /Q (Quiet)
Wenn VirScan einen Virus findet, wird dies mit einem Piepsen
angezeigt. Wenn Sie Ihre Arbeitskollegen nicht stören
wollen, so können Sie VirScan mit dieser Option stumm-
schalten!
6.3.22 /REG (Registration)
Wenn VirScan in der Sharewareversion mit der Option /REG ge-
startet wird, dann versucht VirScan die Datei REGISTER.COM
auszuführen und einen Bestellschein zu drucken.
6.3.23 /REP (Report)
Falls Sie nicht schon die Option /LOG eingeschaltet haben,
wird diese Option zusätzlich eingeschaltet. Beim an-
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 24
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
schließenden Suchlauf wird jede untersuchte Datei in die
Datei VIRSCAN.LOG eingetragen (mitprokotokolliert), ob sie
infiziert ist oder nicht.
Diese Option ist besonders dann sinnvoll, wenn Netzwerke
untersucht werden sollen, oder Sie sich sicher sein müssen,
daß die Datei untersucht wurde oder nicht!
6.3.24 /TURBO bzw. -TURBO (NICHT im Turbo-Modus suchen)
Turbo-Modus ausschalten. Um bei der Suche nach allen Viren
die Ausführungsgeschwindigkeit noch zu beschleunigen, habe
ich in VirScan einen "intelligenten" Debugger integriert.
Dieses Programm ermittelt erst einmal, wo der Virus sitzen
könnte und untersucht anschließend die Datei. Ein Virus
"hängt" sich nämlich normalerweise an den Anfang oder das
Ende eines Programmes an. Standardmäßig ist der Turbo-Modus
eingeschalten.
Falls Sie die gesamte Datei untersuchen lassen wollen,
starten Sie VirScan mit der Option /TURBO! Im Turbomodus
werden die sog. Overlay-Dateien anders untersucht, als wenn
der Turbo-Modus ausgeschalten ist. Wenn Sie also einem Virus
auf der Festplatte haben, der auch Overlay-Dateien befällt,
lassen Sie VirScan mit der Option /TURBO suchen!
6.3.24.1 WARNUNG
Es ist nicht sinnvoll VirScan immer mit ausgeschalten Turbo-
Modus suchen zu lassen. Gründe:
■ VirScan ist im Turbo-Modus bis zu 25x schneller!
■ Die rechnerische Wahrscheinlichkeit ist sehr
hoch, daß VirScan mit ausgeschaltenen Turbo-Mo-
dus einen FEHLALARM erzeugt.
■ Der Debugger arbeitet nicht im ausgeschaltenen
Turbomodus und kann somit keine -oft- wertvolle
"Hinweise" liefern!
6.3.25 /ULTRA (Schnelleres Suchverfahren)
Das Gegenstück zur Option /TURBO. Mit diesem Parameter ver-
wendet VirScan ein anderen Scanalgorithmus, der ungefähr 20
- 30% schneller ist, als der normale Suchvorgang. Bedenken
Sie, das VirScan EXE-Dateien nicht so 'genau' untersucht
(COM, SYS und andere Dateien wie gehabt), weshalb einige
wenige Viren nicht mehr in EXE-Dateien gefunden werden.
Dieser Parameter ist ideal für die tägliche Festplattenprü-
fung.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 25
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
6.3.26 /UNB (Unbekannte Viren suchen)
Ja, Sie lesen richtig! VirScan ist in der Lage, neue un-
bekannte Viren zu erkennen! VirScan sucht, wenn Sie den Pa-
rameter /UNB setzen nach typischen Befehlen, die eigentlich
nur Viren und ähnliche Programme verwenden. VirScan zeigt
unbekannte Viren mit einer der folgenden Meldungen an:
■ Unbekannten (Relokator/VSS) Virus gefunden.
■ Unbekannten (Relokator) Virus gefunden.
■ Unbekannten (POP BX) Virus gefunden.
■ Unbekannten (POP BP) Virus gefunden.
■ Unbekannten (Trap) Virus gefunden.
■ Unbekannten (Dropper) Virus gefunden.
■ Unbekannten (Vienna) Virus gefunden.
■ Unbekannten (Cascade) Virus gefunden.
■ Unbekannten (Memory) Virus gefunden.
■ Unbekannten (POP SI) Virus gefunden.
■ Unbekannten (POP DI) Virus gefunden.
■ Unbekannten (FileOpen) Virus gefunden.
■ Unbekannten (EXE Locater) Virus gefunden.
6.3.27 /VL (Viren-Liste)
Es werden alle Viren, die VirScan erkennen kann ausgegeben.
Die Ausgabe auf einen Drucker oder in eine Datei umzuleiten
ist möglich! Programm kehrt anschließend zu DOS zurück. Um
z. B. die Virenliste auszudrucken geben Sie folgendes ein:
virscan /vl /unb /prn
6.3.28 /WIN (Kompatibilität zu Windows)
Diese Option sollten Sie verwenden, wenn Sie VirScan direkt
von Windows heraus ausführen. Zur weiteren Unterstützung von
Windows ist ein Icon und eine PIF-Datei beigefügt. Wenn Sie
VirScan unter Windows im erweiterten Modus nutzen wollen, so
verwenden Sie hierzu bitte die Datei VIRSCAN.PIF (VirScan
sucht dann im Hintergrund nach Viren!).
6.3.29 /ZEIT (Nicht auf unübliche Zeit überprüfen)
Mit dieser Option kann die Überprüfung auf eine unübliche
Zeit abgeschalten werden. Normalerweise wird jede Datei ge-
meldet, die ein unübliches Datum besitzt (62 Sekunden, 63
Minuten oder Jahr>2080). Siehe auch '62 Seconds-Virus'.
6.3.30 LW: (Laufwerke)
LW ist ein existierendes Laufwerk das mit den Buchstaben "A"
bis "Z" angesprochen werden kann. Existiert das Laufwerk
nicht, so wird dies mit folgender Fehlermeldung gemeldet:
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 26
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Kann Laufwerk X: nicht ansprechen (Netzwerk?)
Der Partitionssektor bzw. Bootsektor wird immer mitunter-
sucht! Sie können mehrere Laufwerke angeben.
Aufruf: VIRSCAN C: F:
(Festplatten C und F werden untersucht)
6.4 Beispiele für Aufrufe
Möglich wären auch folgende Aufrufe:
Virscan -? /lesen
VIRSCAN c: d: /MEM /q
VirScan a: /mehr /kill /PRN -Turbo
VirScan a: b: /De:\dos /g:\my/F*.OVL /F*.exe /mehr
VIRSCAN S: T: R: /MEM /DEL /TURBO /REP
virscan c: d: /mem /unb /q /printer
virscan -auto -memhi -prn
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 27
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
7 FEHLALARM? JA/NEIN?
Die rechnerische Wahrscheinlichkeit, daß VIRSCAN einen
Fehlalarm bei einem 50 KB Programm anzeigt, liegt zwischen
1:9.44*10e14 und 1:1.1*10e29 ! Nehmen Sie also einen
Virenbefall nicht auf die "leichte Schulter"!
7.1 Bekannte Fehlalarme
Die Programme FileShield von McAfee und Viren Schutz Schild
(bis Version 1.05) von ROSE, Ralph Roth sind entwickelt
worden, um Programme gegen Viren zu immunisieren. Bei sol-
chen immunisierten Programmen findet VirScan u. U. einen
unbekannten Virus vom Typ "Relokator/VSS"! Alle anderen un-
bekannte Viren, besonders die POP-Viren sind ernstzunehmende
Hinweise auf eventuelle neue Viren, besonders dann, wenn
Ihre Festplatte von einem Typ "verseucht" ist!
Unerfahrene DOS-Anwender sollten die
Funktion /UNB nicht verwenden!
Hinweis: Die meisten Viren besitzen zwei teilweise auch so-
gar drei Merkmale, die mit der Option /UNB pro Datei gefun-
den werden! Weitere Tips auch unter der Option /MUTANT
7.1.1 Programme die einen Fehlalarm erzeugen
Folgende Programme erzeugen nachweislich einen Fehlalarm,
wenn sie mit der Option /UNB untersucht werden:
7.1.1.1 Mit Turbo=EIN (Standardeinstellung)
■ Eventuell mit TNTVIR, FShield, VSS geimpfte Programme.
7.1.1.2 Mit der Option /UNB (Unbekannte Viren)
Programmname Größe Beschreibung
SCOBP.EXE ca. 8 KB Monitor gegen aktive Boot-
Stealthviren von ROSE
('TRAPed' sich durch den In-
terrupt 13h, daher auch Mel-
dung: "Trap Virus ge-
funden"). Eine neue Version
von SCOBP wurde entsprechend
überarbeitet.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 28
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
VALIDATE.COM ca. 7 KB Liegt älteren Versionen von
SCAN und VSUM bei (Relok-
ator/VSS).
FORMAT.COM ca. 33 KB FORMAT.COM von MS-DOS 5.00
und einige COM-Dateien von
MS-DOS 3.xx wurden mit einem
virenähnlichem Verfahren von
EXE- in COM-Dateien umge-
wandelt. Daher die Meldung
"EXE-Locater".
Weitere Programme sind zur Zeit nicht bekannt!
7.1.1.3 Mit Turbo=AUS
Datei: Größe KB: Datum: Beschreibung:
WOF.EXE entpackt: 189 ??? Spiel: World
of...
DBGR.EXE 83 18.04.87 DBase-Utility
VDEFEND unterschiedlich verschieden Antivirenprg.
und VSAFE
Weitere Programme sind zur Zeit nicht bekannt!
7.1.1.4 WARNUNG: Option /TURBO UND /UNB
Die Option /UNB kann -insbesondere mit dem Parameter /TURBO-
zu Fehlalarmen führen. Deshalb dürfen NICHT zusätzlich die
Optionen /KILL und/oder /DEL verwendet werden!
7.2 Virenbefall von Bootsektoren
Wenn VirScan einen Bootvirus in einem Bootsektor findet, ist
es fast 100%-tig sicher, daß es sich nicht um einen
Fehlalarm handelt!
7.3 Virenbefall von Dateien
7.3.1 Ein Virus in nur einer Datei
Wenn VirScan einen Virus in nur einer einzigen Datei gefun-
den hat, ist es sehr wahrscheinlich, daß es sich hier um
einen Fehlalarm handelt. Besonders dann, wenn Sie die Datei
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 29
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
schon mehrmals ausgeführt haben und sie sich auf der Fest-
platte befindet. Senden Sie mir der Virus unverbindlich zu,
und ich werde in analysieren (siehe auch unten)!
7.3.2 Mehrere Viren in einer Datei/Bootsektor
Wenn VirScan einen Virus gefunden hat kann es sein, daß
VirScan in einer Datei bzw. im gleichen Bootsektor bis zu
drei oder vier Viren findet.
7.3.2.1 Mehrere Jerusalem Viren
Beim Jerusalem-Virus habe ich festgestellt, daß sich diese
Virusart am Anfang und am Ende einer Datei anhängt. Dies ist
ein Programmierfehler des Jerusalemvirus, d. h. VirScan
findet mindestens zwei Jerusalem-Viren pro infizierter COM-
Datei im ausgeschaltenen Turbo-Modus.
Der Hintergrund:
VirScan erkennt mit ca. 35 Suchstrings 98% aller Computer-
Viren! Mit den restlichen Suchstrings werden "seltene" Viren
gesucht, bzw. der gefundene Virus genauer untersucht. So
kann es sein, daß VirScan einen Jerusalem, Jerusalem-B und
einen Skism-1 Virus anzeigt. Das bedeutet konkret, daß es
sich um einen Skism-1 Virus handelt, der eine modifizierte
Version eines Jerusalem Virus ist.
7.4 Die am weitesten verbreiteten Viren
Liste der in Europa am weitesten verbreiteten Viren, die
VirScan erkennt:
Programm-Viren
■ 4096 - 100 Years (Stealth)
■ 5120/Slayer (VBasic)
■ Cascade und 1701/1704
■ Dark Avenger v1-v3
■ DataLock v1.00
■ Hallöchen
■ Invader (Bootsektor & Dateien)
■ Jerusalem A und B und New Jerusalem
■ Keypress
■ Liberty
■ Perfume (4711), Sorry und G-Virus
■ Slow
■ Sunday
■ Taiwan
■ Tequila (Bootsektor & EXE-Dateien)
■ Yankee Doodle Familie
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 30
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
■ Vienna-Familie
Bootviren
(Hiervon können fast alle Arten mit VirScan von Disketten
UND Festplatten entfernt werden!)
■ Brain und Ashar (Bootsektor)
■ Stoned (Bootsektor)
■ Joshi (Bootsektor)
■ Den Zuk (Bootsektor)
■ Disk Killer (Bootsektor)
■ MusicBug v1.06 (Bootsektor)
■ Ohio (Bootsektor)
■ Ping Pong (Bouncing Ball - Bootsektor)
■ Form (Bootsektor)
■ MichelAngelo
7.5 Die Programme GUARD.SYS, VDEFEND.SYS, DEFENDER.COM und
TSAFE.COM u.a.
Wenn VirScan die obengenannten Dateien untersucht kann es
sein, daß VirScan bis zu 30 verschiedene Viren in solch ei-
ner Datei findet. Zum Beispiel kann der Flip-Virus in den
Dateien DEFENDER.COM und TSAFE.COM (TNT-Virus) gefunden
werden!
Falls Sie einen der o.g. Speicherwächter geladen haben, kann
es sein, daß VirScan bis zu 55 Viren im Arbeitsspeicher
findet!
Erklärung:
Bei diesen Programmen handelt es sich um einen Fehlalarm,
der einfach erklärt werden kann: Die Programme sind eben-
falls Antivirenprogramme und besitzen folglich auch sog.
Virenerkennungen. Die Erkennungen werden normalerweise ver-
schlüsselt im Programm oder in einer entsprechender Datei
abgelegt, damit andere Programme nicht versehentlich eine
Virusinfektion melden.
Die Programme der Firma Carmel (Turbo Virus, TSafe u. a.),
die auch für PC-Tools (VDEFEND.SYS) Antivirenprogramme ge-
schrieben haben, sind diesbezüglich sehr schlampig program-
miert! So passiert es, daß nach dem Starten der o. g. Pro-
gramme die Erkennungen nicht aus dem Arbeitsspeicher ent-
fernt werden! Andere Antivirenprogramme melden dann eine
Verseuchung des Arbeitsspeichers!
Ebenfalls ärgerlich ist, daß die Erkennungen unverschlüsselt
im Programm abgelegt werden, was leider zu Fehlalarmen
führt, wenn die gleichen Erkennungen verwendet werden
(Anscheinend auch bei dem Programm PA-VirusScan v1.1 oder
niedriger)!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 31
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
7.6 Mehrere Viren im Arbeitsspeicher
Wenn Sie vor dem Starten von VirScan ein anderes
Virensuchprogramm verwendet haben bzw. ein Antivirenprogramm
verwendet, welches im Hintergrund vor Viren schützen soll,
dann handelt es sich um einen Fehlalarm (siehe auch "die
Programme GUARD.SYS, TSAFE.COM, DEFENDER.COM...")!
7.7 Analyse bei Virenverdacht
Wenn Sie sich nicht sicher sind, ob Sie einen Virus
"besitzen", können Sie mir diesen einfach zusenden und ich
werde in analysieren! Verwenden Sie hierzu den Fragebogen
VIRMELD.DOC im Unterverzeichnis DOKU.
7.8 Unbekannte oder mutierte Viren
Lesen Sie hierzu die Anmerkungen die den Parametern /UNB
(unbekannte Viren) und /MUTANT (mutierte Viren) beigefügt
wurden!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 32
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
8 SONSTIGE FUNKTIONEN
8.1 VirScan und Netzwerke
VirScan ist bedingt netzwerkfähig! Sie können jede Floppy
oder Harddisk untersuchen, wenn sie von MSDOS aus erreichbar
ist. Bei Druckersharing kann es Probleme geben (dies sollte
jedoch ab Version 8.52 nicht mehr auftreten)!
Die Version 8.0 von VirScan Plus wurde netzwerktauglich ge-
macht. Da zwischenzeitlich verschiedene Netzwerke auf dem
Markt sind, kann ich Ihnen keine Garantie geben, daß VirScan
Plus auch auf Ihrem Netzwerk läuft. Über entsprechende
Hinweise (frankierter Rückumschlag nicht vergessen) würde
ich mich freuen! VirScan läuft jedoch einwandfrei auf Novell
Netware, IBM-Tokenring und NFS PC-Lan.
8.2 VirScan unter OS/2
VirScan wurde sorgfältig unter den Betriebssystem OS/2 Ver-
sion 2.00 getestet (DOS-Box und DOS Full Window). Es wurden
keine Inkompatibilitäten festgestellt. Selbst mehrere par-
allele Aufrufe von VirScan brachten VirScan nicht zum Ab-
sturz. Unter OS/2 darf VirScan jedoch bestimmte Dateien
nicht öffnen. Dies ist ganz normal, es handelt sich dabei um
Dateien, die OS/2 ständig geöffnet hat (HARDERR.EXE u. a.)!
8.3 Zusätzliche Fehlermeldungen
Folgende Fehlermeldungen werden zusätzlich ausgegeben:
■ Kann Laufwerk X: nicht ansprechen (Netzwerk?)
Über DOS kann nicht auf das Laufwerk zugriffen werden.
Eventuell ist auch im Laufwerk keine Diskette eingelegt
worden!
■ Kann Verzeichnis "XXX" nicht finden (Netzwerk?)
Sie haben entweder das Verzeichnis falsch eingegeben (bitte
am Schluß ohne Backslash "\"), es existiert nicht oder Sie
dürfen nicht darauf zugreifen (in Netzwerken oder bei Ver-
wendung von SHARE.EXE).
■ Aus-/Eingabefehler: XXXX.YYY Fehler:
DOS(zzz)/IO(www)
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 33
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
VirScan kann die Datei "XXXX.YYY" nicht öffnen. Sie haben
keinen Zugriff auf diese Datei (Netzwerk oder Diskette ist
Schreibgeschützt). Diese Fehlermeldung dürfe normalerweise
nicht auftreten!
Sie können, falls Sie entsprechende Fachliteratur besitzen,
die Fehlercodes selber auswerten (INT 21h).
Drücken Sie in diesem Fall die <ESCAPE> Taste um VirScan
abzubrechen!
8.4 Hinweise für Netzwerkadministratoren
Die Entseuchung eines Netzwerkes ist nicht einfach, dies
sollten nur entsprechende Spezialisten durchführen!
Um VirScan effektiv auf einem Netzwerk einzusetzen beachten
Sie bitte folgenden Hinweise (gilt auch für normale, nicht
vernetze Computer):
■ Alle User müssen sich ausloggen und Ihren Rechner
ausschalten.
■ Fahren Sie das System auf Einzelusermodus herunter
(shutdown 0, reboot o. ä.)
■ Booten Sie von einen möglichst virenfreien Rechner,
von Diskette!
■ Loggen Sie sich als Superuser ein.
■ Falls möglich als Superuser, der nur Lese- und
Ausführungsrechte besitzt (hierdurch wird eine verse-
hentliche Weiterverbreitung ausgeschlossen).
■ Starten Sie VirScan für sämtliche Netzlaufwerke, zu-
sätzlich mit den Optionen /MEM und /REP, event. auch
mit /UNB, /BOOT oder /MUTANT!
■ Werten Sie die Datei VIRSCAN.LOG aus.
■ Starten Sie VirScan mit den Optionen /DEL und /KILL.
Zum Entfernen eventueller Viren benötigen Sie jetzt
natürlich Superuser Recht!
■ Überprüfen Sie nochmals, wie oben beschrieben das
Netzwerk auf Viren.
■ Überspielen Sie die Originalsoftware auf das Netz.
Anschließend wieder das Netz untersuchen lassen.
■ Entfernen Sie von sämtlichen Rechnern die Viren, bevor
die Rechner wieder ans Netz gehen.
■ Wiederholen Sie die obengenannten Schritte bis das
Netz und die angeschlossenen Rechner virenfrei sind!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 34
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
8.5 Suchgeschwindigkeit
Wenn Ihnen VirScan etwas langsam vorkommt so ist anzufügen,
daß die meisten anderen VirenScanner nicht einmal mehr als
1000 Viren suchen können. (Sicherheit kostet Zeit!) Bedenken
Sie, daß das Programm hochoptimiert ist (Assembler-Code)!
Bei einem Programm von 100 KB und bei 950 Viren mit 15 Bytes
Virensignatur werden im schlechtesten Falle 1.460.000.000
Vergleiche durchgeführt! Auf einem AT 386 (25 MHz) ist
VirScan Plus sogar schneller als das bekannte Virensuchpro-
gramm SCAN von McAfee. (um ca. 45%)
8.6 Wie werden neue Virenerkennungen in VirScan aufgenommen?
Sie können selbst Virensignaturen in VirScan aufnehmen. Sie
müssen jedoch folgendende Hinweise beachten:
■ Datei VIRSCAN.EXT mit einem ASCII-Texteditor einladen
(z. B. EDIT.COM von MS-DOS 5.0). Nicht Wordstar oder
Word verwenden!
■ Jede Zeile, die keine Virenerkennungen besitzt, muß mit
einem Semikolon (;) anfangen.
■ Virensignatur muß als Hexcode eingegeben werden. Damit
VirScan korrekt arbeitet, muß die Erkennung mindestens
16 Zeichen (8 Bytes) maximal 28 Zeichen (14 Bytes) lang
sein.
■ Schreiben Sie den Namen, Signatur und Bemerkung in die
gleichen Spalten, wie in der Datei VIRSCAN.EXT.
Bemerkungen, die über 80 Zeichen pro Zeile hinausgehen
machen nichts, solange Sie nicht einen Zeilenumbruch
durchführen.
■ Die Datei darf nicht mehr als 100 Virensignaturen ent-
halten. Falls sie mehr als 100 Signaturen besitzt, kön-
nen Sie sie mir zusenden und Ihnen wird einen ko-
stenloser UpDate zugesandt! (Bitte jedoch frankierten
und adressierten Rückumschlag + Diskette beifügen!) Sie
merken dies, wenn VirScan meldet:
Zuviele Erkennungen in der Datei VIRSCAN.EXT
■ Bitte beachten Sie jedoch, daß in die Datei nur kon-
stante Virensignaturen eingefügt werden dürfen (mehr
hierzu s. u.)!
8.7 Der Integrierte Virenschutz
Das Programm enthält einen integrierten Checksummentester,
um einen möglichen Virenbefall gleich anzeigen zu können.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 35
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Die zum Programm gehörige Checksumme befindet sich in der
Datei mit der Endung "XXX".
Diese in der Datei befindliche Checksumme sowie das Haupt-
programm dürfen auf keinen Fall verändert bzw. modifiziert
werden! Das Hauptprogramm nimmt sonst an, es sei eventuell
von einem Virus befallen worden (dem Programm noch unbe-
kannter Virus)!
8.7.1 Der eingebaute Checksummentester
Folgende Merkmale der EXE-Datei werden überwacht und auf
Veränderungen überprüft:
■ Checksumme - Wird auch nur ein Bit des Programms vom
Virus verändert, so stimmt die Checksumme nicht mehr
(eigene sichere Routine, nach ANSI X3.66 - CRC-Poly ist:
0xDEBB20E3).
■ Dateilänge - Wird ein Programm über Nacht um ein oder
zwei KB länger, ist es infiziert!
Ich rate ab, irgendwelche Änderungen an der EXE & XXX-Datei
durchzuführen, da dann das Programm mit Sicherheit nicht
mehr läuft! Die Datei mit der Endung "XXX" enthält auch die
aktuelle Version, wieviel verschiedene Viren vom Checksum-
mentester erkannt werden können. Das Testen der Checksumme
nimmt ca. 1-5 Sekunden Zeit in Anspruch (je nach Rechnertyp
und Laufwerk). Meiner Ansicht nach ein vertretbarer Aufwand!
Ist die Checksumme in Ordnung, wird das Programm ausgeführt.
Andernfalls wird eine ausführliche Fehlermeldung mit
Hinweisen auf mögliche Fehlerquellen ausgegeben.
8.7.2 Hinweise für das Programm SCAN.EXE
Ab der Version 4v65 von SCAN.EXE von McAfee gibt es die Op-
tionen:
/AV - add validate bzw. /AG
/CV - check validate bzw. /CG
/RV - remove validate bzw. /RG
Diese Funktionen sind aber inkompatibel mit dem Checksum-
mentester von VirScan, weil die Funktionen /AD und /RV je-
weils 10 Bytes zum EXE-Programm hinzuaddieren bzw. ent-
fernen!
Ich rate von diesen Funktionen ab, denn jedesmal wenn Sie
SCAN C: /AV eingeben, verbraucht SCAN (bei 1000 Dateien) 10
KB Speicherplatz, der unwiderruflich verloren ist!
Falls Sie versehentlich SCAN /AV oder /RV eingegeben haben,
so ist das Programm Z E R S T Ö R T, weil der Programm-
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 36
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
selbstschutz annimmt, ein Virus hat das Programm befallen.
Es reichen schon ein paar Bytes Veränderung um einen Virus
einzupflanzen!
8.7.3 Hinweise für die Programme TAV & FShield
Mit den Programmen Turbo Anti Virus der Firma Carmel, File-
Shield von McAfee, Viren Schutz Schild von ROSE u. a., ist
es möglich, ausführbare Programme gegen Manipulation
(Virenbefall) zu schützen. Dies wird erreicht, indem das
Programm mit einer "Schutzhülle" versehen wird. Diese
Schutzhülle ist ein kleines Maschinenspracheprogramm und hat
eine Länge zwischen 400 und 2800 Bytes. Für den integrierten
Checksummentester ist ein solcher Längenzuwachs natürlich
sehr virenverdächtig - das Programm wird NICHT ausgeführt,
wenn es nachträglich mit einem solchen Programm geimpft
wurde!
8.7.4 Anzeigen der Virenliste
In der vorliegenden Version des integrierten "Checksummen-
tester" ist eine List Funktion eingebaut. Wenn Sie alle
Dateiviren angezeigt haben wollen die das Programm erkennt,
starten Sie das EXE-Programm mit dem Zusatz /List.
Zum Beispiel: VIRSCAN /List [ENTER]
Es wird dann gefragt ob Sie die Liste ausdrucken (J), oder
nur auf dem Bildschirm (N) ansehen wollen. Falls Sie die
Bildschirmausgabe gewählt haben, so müssen Sie nach Anzeige
von zwanzig Viren die Enter-Taste drücken, um die nächsten
zwanzig Viren anschauen zu können!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 37
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
9 NEUE FUNKTIONEN VON VIRSCAN PLUS
9.1 VirScan und ein unübliches Dateidatum
VirScan erkennt alle "62-Seconds" und "100-Years" Viren an-
hand eines unüblichen Dateidatums. (Das Dateidatum ist auf
das Jahr 2090 oder 60 bzw. 62 Sekunden gesetzt).
9.1.1 Seconds/100 Years Viren
Einige Viren verwenden einen Trick um zu erkennen, ob eine
Datei schon infiziert wurde oder nicht. So wird z. B. die
Uhrzeit auf 62 Sekunden bzw. das Datum auf das Jahr 2090
gesetzt, weil dies der DIR Befehl nicht anzeigt! VirScan
zeigt also keinen Virus an, sondern äußert nur den Verdacht
auf das Vorhandensein eines Virus. Dank dieser Routine haben
schon zwei Anwender brandneue Viren entdeckt, weil diese
Viren ebenfalls ein 62-Sekundeneintrag verwenden! Etwa 10%
aller Dateiviren setzen das Datum auf einen ungültigen Wert,
um so schnell infizierte Dateien erkennen zu können!
9.2 VirScan und Stealth Viren
Die sogenannten STEALTH-Viren (Stealth = heimlich) kann
VirScan nur dann erkennen, wenn Sie von einer unverseuchten
Diskette einen Kaltstart durchgeführt haben.
HINTERGRUND: Hat ein STEALTH-Virus sich eingenistet, so wird
dem Anwenderprogramm, das ein verseuchtes Programm unter-
sucht, immer das Originalprogramm "vorgetäuscht", anstatt
dem Verseuchten!
9.2.1 Der Brain Virus (u. a.)
Der Brain Virus wird nur erkannt, wenn von einer unver-
seuchten Diskette ein Kaltstart durchgeführt wird, da sonst
der Brain-Virus einem die Kopie des Originalbootsektors
"unterjubelt"! Also immer von einer schreibgeschützten Ori-
ginaldiskette booten (sog. Stealth Virus)!
VirScan verwendet ab der Version 9.33 ein neues Verfahren,
um eventuelle AKTIVE!!! Stealthviren auf Disketten entdecken
zu können. Wenn Sie laufend z. B. den Parity Check Virus auf
Disketten finden, aber nicht auf der Festplatte, liegt es
daran, daß Sie keinen Kaltstart von einer virenfreien
Diskette durchgeführt haben!
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 38
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
9.3 Der Dateiendebugger
Wenn Sie VirScan im Turbomodus = EIN suchen lassen, un-
tersucht VirScan erst einmal, wo der Virus sich befinden
könnte (den sogenannten Einsprungspunkt). Falls ein Programm
jedoch ein Einsprungspunkt außerhalb der Datei besitzt,
zeigt VirScan dies mit folgender Meldung an:
"Warnung: Einsprungspunkt außerhalb der Datei"
Wenn Sie diese Meldung ein oder zweimal erhalten, können Sie
ziemlich sicher sein, daß diese Programme nicht lauffähig
sind.
Falls jedoch fast jede Datei eine solche Warnung erzeugt,
haben Sie einen Stealthvirus im Arbeitsspeicher, der ver-
sucht VirScan auszutricksen. Bitte von einer absolut vi-
renfreien Diskette booten und nochmals suchen lassen
(zusätzlich mit AntiLink).
So erzeugt beispielsweise der aktive Tequila-Virus
(Stealthvirus) pro infizierter Datei eine Anzeige von
"62 Sekunden" und einen Einsprungspunkt ausserhalb der
Datei!
9.4 Neues Suchverfahren
Von einem Kunden habe ich den sog. Tequilavirus erhalten,
bei dem überhaupt nichts mehr konstant ist. Das einzige
Merkmal einer verseuchten Datei ist, daß sie ein 62-Seconds
Virus Datum besitzt (Dateidatum hat 62 Sekunden). Deshalb
war ich gezwungen eine neue Suchroutine in VirScan aufzu-
nehmen, die auch mit Platzhaltern suchen kann. Der zusätz-
liche Vorteil dieses Algorithmus ist, daß mit einer Erken-
nung, bis zu 40 Varianten eines Virus erkannt werden können.
(z. B. Jerusalem Familie)
Theoretisch wäre es möglich Virenerkennungen mit Platzhal-
tern in die Datei VIRSCAN.EXT aufzunehmen. Leider musste ich
feststellen, daß die meisten Anwender nicht in der Lage
sind, neue Erkennungen der Datei hinzuzufügen. Deshalb wird
dieser Punkt nicht beschrieben. Falls Sie VirScan nach einer
solchen Erkennung suchen lassen wollen, so senden Sie mir
bitte den Virus und die Erkennung zu! Ich werde dann VirScan
aktualisieren.
Die Arbeit des Debuggers wird in der untersten Zeile im Pro-
gramm angezeigt (nur wenn der Turbomodus eingeschalten ist).
Sie erkennen dies an der Anzeige:
Scanning: ------------ ------ Bytes. Typ: (xxxx/yyy)
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 39
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
9.4.1 Bedeutung von "xxxx"
"xxxx" ist das Resultat des Debuggers. Dabei bedeutet im
einzelnen:
Typ Beschreibung
AUS Turbomodus ist ausgeschalten!
COM Programm ist eine echte COM-Datei.
EXE Ist eine echte EXE-Datei
MINI Die Datei ist zu klein, um den Debugger ein-
setzen zu können, deshalb wird die ganze Datei
untersucht.
NORM Datei ist keine EXE Datei, wahrscheinlich eine
COM-Datei! (z. B. eine GEM-Applikation, oder
COM-Datei ohne Sprungbefehl)
SYS Datei ist ein Gerätetreiber (Systemdatei).
UNB Datei ist kein ausführbares Programm, der Ein-
sprungspunkt ist unbekannt.
9.4.2 Bedeutung von "yyy"
"yyy" ist die Dateiendung des Programmes (im Dateinamen
enthalten)
Was können Sie aus den Angaben schließen (Beispiele):
(COM/EXE)
Datei ist eine echte COM-Datei, wurde aber in EXE um-
benannt.
(NORM/EXE)
Datei ist keine EXE Datei! Der Aufruf dieses Programmes
dürfte einen Systemabsturz mit sich ziehen.
(EXE/OBJ) (EXE/APP) (EXE/OVR) (EXE/OVR)
Datei ist vom Typ EXE, kann aber wahrscheinlich nicht
ausgeführt werden, weil sie eine spezielle Overlaydatei
ist. Ein Virus wird jedoch meistens solche Dateien in-
fizieren, weil für ihn die Dateien wie normale Programme
aussehen.
(SYS/EXE)
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 40
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Datei ist ein Gerätetreiber, der als SYS-Datei von CON-
FIG.SYS aktiviert werden kann oder direkt ausgeführt
werden kann. Beispiel: EMM386.EXE
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 41
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
10 DIE VERSCHIEDENEN ARTEN VON VIREN
10.1 Bootviren
Sie setzen sich im Bootsektor der Diskette/Festplatte fest
und werden jedesmal beim Hochfahren des Systems eingeladen.
Diese Viren sind meistens speicherresident. Sie können aber
mit dem DOS-Befehl SYS leicht überschrieben werden. BootVir
erkennt eigentlich jeden Boot-Virus und kann, falls eine
alte Vergleichsdatei "BOOTVIR.DAT" existiert, den alten
Bootsektor wiederherstellen! VirScan kann diese Virenart von
Diskette und Festplatten entfernen!
10.2 Viren, die den Partitionssektor befallen
Die Virenart funktioniert wie die Bootviren, jedoch mit dem
Unterschied, daß nicht der Bootsektor der Festplatte, son-
dern der Partitionssektor infiziert wird. Manche Viren, die
Dateien infizieren, sind so programmiert, daß sie auch den
Partitionssektor infizieren. Viren, die den Partitionssektor
infizieren, müssen mit speziellen Antivirenprogrammen
entfernt werden, andernfalls muß die Festplatte formatiert
werden! Mit dem Programm Norton Disk Doktor kann unter
Umständen solch ein Virus entfernt werden. VirScan kann von
diesem Virentyp ca. 95% aller "Vertreter" von der Festplatte
entfernen! Anwender von MS-DOS 5.0 können einen speziellen
Killer bestellen (PARTKILL.EXE).
10.3 Hybridviren
Hybridviren sind Viren, die einerseits Programme und ander-
seits den Partitionssektor der Festplatte infizieren. Die
Hybridviren werden dann beim "Hochfahren" des System schon
aktiviert und sind dementsprechend schwierig zu entfernen
(Bsp.: Flip-B und Tequila). Inzwischen gibt es Hybridviren,
die sogar in der Lage sind auch Bootsektoren von Disketten
zu infizieren!
10.4 Nicht überschreibende Fileviren
Werden auch Link-Viren genannt. Sie kopieren sich von Pro-
gramm zu Programm, bis das ganze System verseucht ist. Das
Weiterkopieren geschieht durch Aufruf eines verseuchten
Programmes und/oder, wenn speicherresident, durch zyklischen
Aufruf eines Interrupts. Von diesen Viren merkt man lange
nichts, weil die verseuchten Programme noch lauffähig sind!
VirScan kann von diesem Virentyp einige Viren entfernen.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 42
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
10.5 Überschreibende Fileviren
Der Virus überschreibt den Anfang des befallenen Programms
(Wirtsprogramm). Das heißt, daß das Wirtsprogramm nicht mehr
lauffähig ist! So ein Virus ist selten, weil
1.) er schon bald auffällt, und
2.) bald kein Programm mehr läuft!
3.) meistens nicht speicherresident (= gute
Vermehrung) ist
10.6 Trojanische Pferde
Sind eigentlich gar keine Viren, sondern Programme, die beim
Start einfach die Festplatte formatieren, Dateien löschen o.
ä. Diese Programme sind sehr rar, es wurden erst ein paar
Fälle weltweit bekannt. Eine Vermehrung, wie bei einem Virus
ist nicht gegeben!
10.7 Call Viren
Diese Viren verändern unter Umständen nur ein einziges (!)
Byte am Wirtsprogramm. Der eigentliche Virus wird im Mas-
senspeicher abgelegt und wird lediglich durch den Aufruf des
infizierten Programms aktiviert. Der "Nachteil" dieser Art
von Viren ist aber, daß beim Fehlen des eigentlichen
Virusprogrammes auf dem externen Massenspeicher, die infi-
zierten Programme nicht mehr lauffähig sind!
10.8 "Live and Die" Viren
Unter "Live and Die" - Viren versteht man Viren, die sich
nur für eine bestimmte Zeit in einem Programm aufhalten.
Nach Ablauf eines Zeitraums entfernt sich das Virus selb-
ständig aus dem befallen Programm. Das Programm ist meist
nach der selbständigen Entfernung noch lauffähig, unter Um-
ständen sogar wieder im Originalzustand!
10.9 "Hide and Seek" Viren
Das sind Viren, die sich nur eine gewisse Zeit innerhalb des
Systems aufhalten. Als Verstecke können beispielsweise die
Pufferbereiche intelligenter Terminals oder DFÜ-Ein-
richtungen dienen. Eine Anwendung im PC-Bereich ist mir
nicht bekannt.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 43
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
10.10 Hardware Viren
Diese Art von Viren ist selten, weil sie nur durch Verände-
rung der Hardware ins System eingebracht werden können.
Beispiel: Austausch eines Boot-ROMs. Diese Art von Viren
sind zwar recht schwierig zu installieren, aber sehr effek-
tiv, da sie sehr schwer ausmachbar sind. BootVir kann unter
Umständen Veränderungen erkennen. Es muß jedoch beachtet
werden, das dies k e i n e Softwaremanipulation ist, sondern
eine Hardwaremanipulation!
10.11 Gepufferte Viren
Das sind Viren, die sich ins gepufferte RAM einnisten und
ähnliche Eigenschaften wie Hardware Viren haben. Durch Ent-
fernen der Pufferbatterie sind diese Viren leicht zu ent-
fernen! Es muß jedoch damit gerechnet werden, daß sich die
Viren von infizierten Programmen aus beim erneuten Starten
des Systems wieder ins gepufferte RAM installieren.
10.12 Slack-/Stackbereich Viren
Diese Art von Virus ist sehr hinterhältig, weil er sich nur
sehr schwer entdecken läßt. Seine Wirkungsweise ist fol-
gende:
Wenn DOS ein Programm einlädt, wird nicht nur das komplette
Programm in den Speicher geladen, sondern auch den Rest,
welcher das Programm auf einem Sektor auf dem Datenspeicher
belegt. (Bei DOS typischerweise 2048 Bytes große Sektoren)
Beispiel: Das Programm ist 2500 Bytes groß. Dann lädt DOS
die 2500 Bytes in den Speicher und den Rest, der hier ca.
1500 Bytes groß ist, an das Ende des Programmes. Dort sitzt
nun der Virus und vermehrt sich unbemerkt, weil er nicht im
eingentlichen Programm sitzt, sondern im Puffer.
Eine Längenänderung des befallen Programmes ist also aus
Sicht des Virus auch nicht nötig, weshalb AntiLink diesen
Virus nur bei eingeschalteter Checksumme findet.
Es gibt auch Slack-/Stackbereich Viren, die sich in unge-
nutzten Programmteilen aufhalten. Hierzu zählen u. a. die
Viren
■ LeHigh (im Stackbereich des Programmes COMMAND.COM)
■ ZeroHunt (in COM Dateien)
10.13 Stealthviren
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 44
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
Die Stealthviren gehören zur sog. 4. Generation der Viren
und stellen eine der gefährlichsten Gattungen dar.
Ein Stealthviren wird oft auch als Tarnkappenvirus be-
zeichnet, weil er für den Anwender nicht sichtbar ist. Ein
Stealthvirus besitzt die Eigenschaft, sämtliche Dateizu-
griffe zu überwachen und entsprechend zu manipulieren. Die
Manipulation besteht auch darin, beim Öffnen einer infi-
zierten Datei den vom Virus infizierten Programmteil her-
auszufiltern. Mittels dieser Taktik wird selbst einem Vi-
rensuchprogramm wie VirScan eine unverseuchte Datei sugge-
riert, mit der Ergebnis, daß kein Virus gefunden wird, wenn
der Stealthvirus aktiv ist. Ein Längenzuwachs infizierter
Dateien mittels des DIR Befehles ist NICHT erkennbar!
Es gibt Stealthviren, die Bootsektoren (z. B. Brain, Stoned
III), Partitionssektoren (z. B. Tequila, Parity Check)
und/oder Dateien (z. B. 4096, Holocaust) befallen!
10.13.1 Abhilfe bei Stealthviren
Sie lassen den Arbeitsspeicher nach Viren absuchen. Meistens
sind die Viren im Arbeitsspeicher unverschlüsselt und können
so erkannt werden.
Sie booten von einer virenfreien Diskette und starten
anschließend das Virensuchprogramm (Kaltstart!). Weil der
Virus nun nicht aktiv ist, werden die infizierten Programme
gefunden.
Tip: Die meisten Stealthviren besitzen folgenden 'Fehler':
Der DOS-Befehl CHKDSK zeigt bei einem aktivem Virus pro in-
fizierter Datei ein oder mehrere verlorene Cluster zu der
infizierten Datei an. Diese Cluster dürfen jedoch erst mit
dem Befehl CHKDSK /F beseitigt werden, wenn der Virus ent-
fernt wurde!
10.14 Substealthviren
Substealthviren sind meistens wie die Stealthviren in der
Lage, den Virencode aus dem Infizierten Programm
"herauszufiltern". Eine Längenänderung ist ab und zu er-
kennbar. Die sog. Slackbereichviren (LeHigh & ZeroHunt)
werden ebenfalls zu den Substealthviren gezählt, weil für
den Anwender ein Längenzuwachs NICHT erkennbar ist!
10.15 Polymorphe Viren
Diese Virenart stellt, wie die Stealthviren eine ernstzu-
nehmende Gefahr dar. Polymorphe Viren sind Viren, die ver-
schlüsselt sind. Im Gegensatz zu den meistens verschlüssel-
ten Viren, die eine konstante Entschlüsselungsroutine be-
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 45
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
sitzen (und somit anhand der Entschlüsselungsroutine erkannt
werden können), ist die Entschlüsselungsroutine überhaupt
nicht mehr konstant. Oftmals sind nur noch drei Bytes
'Programmskelett' konstant, der Rest ist oft mit sinnlosen
Maschinenbefehlen aufgefüllt. Manche Viren verwenden auch
verschiedene Verschlüsselungsmethoden, damit gewährleistet
ist, daß jedes infizierte Programm anderes aussieht. Eine
Suche nach derart komplex verschlüsselten Viren ist:
■ Zeitaufwendig
■ Benötigt einen komplexen Suchalgorithmus
■ Ist sehr anfällig für Fehlalarme
10.16 Kurzbeschreibung aller Viren
Wenn Sie eine Beschreibung zu einem Virus suchen, so schauen
Sie in der Datei VIRBIBEL.DOC nach! Diese Datei wird von mir
immer wieder ergänzt. Weitere Informationen über Viren
können Sie sich in der Datei VIRSCAN.TXT ansehen. In der
Datei VIRBIBEL.DOC finden Sie die Beschreibung zu ca. 1950
verschiedenen Viren. Alternativ biete ich auch das Programm
ViBa an. ViBa ist eine Datenbank nach SAA-Standard und
enthält eine Beschreibung zu allen derzeit bekannten Viren
(siehe auch REGISTER.COM).
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 46
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
11 REGISTRATION, BESTELLUNGEN UND SONSTIGES
Die Verwendung der Sharewareversion ist für vier Wochen zum
Testen erlaubt. Nach dieser Periode MÜSSEN Sie sich eine
Vollversion kaufen, andernfalls begehen Sie eine Copyright-
verletzung! Überlegen Sie sich auch, wieviel Arbeit hinter
solch einem Programm steckt! Sie Unterstützen nicht nur den
Programmautor mit Ihrer Registration, sondern auch die Ent-
wicklung anderer Programme und die Sharewareidee im allge-
meinen!
11.1 Registrieren
Wenn Sie an weiteren Produkten von mir interessiert sind, so
benutzen Sie bitte den Bestellschein der ausgedruckt wird,
wenn Sie das Programm REGISTER.COM starten! Disketten sind
auch im Format 3½" Zoll lieferbar!
Kleiner Tip: Am einfachsten geht es, wenn Sie das Programm
REGISTER.COM starten. Es wird dann ein kompletter Bestell-
schein ausgedruckt. Auf diesem Bestellschein können Sie auch
noch verschiedene Optionen ankreuzen. Bei Fragen bezüglich
des Bestellens können Sie -falls vorhanden- das Programm
BESTELLN.COM starten, welches weitere Tips enthält!
Als registrierter Anwender erhalten Sie weitere Programme
zum halben Preis. Falls gewünscht, können Sie dann vom
automatischen Update-Service Gebrauch machen.
11.2 Anfragen
Anfragen, bezüglich der Sharewareversionen des entsprechen-
den Programmes, werden nur dann beantwortet, wenn ein ent-
sprechend frankierter Freiumschlag beigefügt ist! Triviale
Anfragen, Anfragen die mittels diesem Handbuch geklärt wer-
den können, werden unter Umständen NICHT beantwortet (zu
teuer, zu umständlich!). Wenn Sie die Vollversion bei einem
vom mir autorisierten Händler erworben haben, so wenden Sie
sich zur Klärung Ihres Problemes zuerst an ihn.
Ich bitte Sie auch, von telefonischen Anfragen (oder evtl.
"Anfragen zur Beseitigung eines Virus") abzusehen.
11.2.1 Meine Adresse
ROSE, Ralph Roth
Softwareentwicklung und Vertrieb
Finkenweg 24
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 47
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
D 78658 Zimmern o. R.
FAX: (+049) 0741 3 23 28
Bankverbindung:
Kreissparkasse Rottweil
BLZ: 642 500 40
Kto.: 131 577
11.2.2 Kommerzielle Anwender
Sie können zum Sonderpreis Mehrplatzlizenzen beim Autor
erwerben. Setzen Sie sich, unter der Angabe des gewünschten
Programmes und der gewünschten Anzahl, schriftlich mit mir
in Verbindung.
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 48
ROSE, Roth Software Engineering VIRSCAN.DOC
───────────────────────────────────────────────────────────────────
11.3 Sonstiges
Falls Sie Anregungen, Verbesserungen oder auch Laufzeitfeh-
ler zu diesem Programm haben, so teilen Sie mir dies bitte
auf einem Extrablatt mit. Denn nur so kann das Programm noch
verbessert werden! Vielen Dank schon im voraus. Für Fehler
im Programm, und für durch Fehler verursachte Schäden wird
keine Haftung übernommen!
11.4 Ein Dankeschön an
Jürgen Werner für Tips zur Suchoptimierung, Thomas Krämer
für Farbberatung und Signaturenbeschaffung, Tiffy, Peter
Schöpf, Dietmar Braun und Eckart Beck für Test und Signatu-
renbeschaffung. Jutta für Korrektur. Jürgen Werner für die
Überlassung von Programmroutinen. Den Anwendern & Studenten
der FHAS, die mir neue Viren zugesandt haben und sich mit
Kritik und Verbesserungsvorschlägen nicht hinter dem Berg
hielten.
Ralph Roth
11.5 Garantieausschlußerklärung
Der Autor des Programmes weist darauf hin, daß die
Benutzung des Programmes auf Ihre eigene Gefahr hin ge-
schieht. Bei den Optionen "Viren entfernen" und "Dateien
löschen" kann es bei unsachgemäßer Handhabung zu Daten-
verlusten kommen!
Unter keinen Umständen ist der Programmautor Ralph
Roth haftbar für jegliche Folgeschäden, einschließlich
aller entgangenen Gewinne und Vermögensverluste, oder
anderer mittelbarer und unmittelbarer Schäden, die durch
den Gebrauch oder die Nichtverwendbarkeit dieser Soft-
ware und ihrer begleitenden Dokumentationen entsteht.
Dies gilt auch dann, wenn der Autor über die Möglichkeit
solcher Schäden unterrichtet war oder ist!
ENDE DES HANDBUCHES
───────────────────────────────────────────────────────────────────
Anleitung zum Virensuchprogramm VirScan Plus Seite: 49
