home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
RUN Flagazine: Run 15
/
unpacked-run15.zip
/
LES15GWB.ASC
< prev
next >
Wrap
Text File
|
1995-01-01
|
16KB
|
269 lines
Basic Les 15
Batches en viruspreventie
Door Ruud Schipper
In de vorige les hebben we geleerd hoe we batches of bat-files interaktief
vanuit QBasic kunnen gebruiken. Ditmaal gaan we kijken hoe we bat-files
kunnen benutten bij
viruspreventie
en -bestrijding. Het blijkt nog steeds
dat zogenoemde virusscanners NIET in staat zijn virussen te signaleren in
gecomprimeerde bestanden. Dit zijn bestanden die met een comprimeer-
programma als ARJ, PKZIP of UC2 zijn samengeperst. Ze zijn herkenbaar aan
de extensies: .ARJ, .ZIP of .UC2 en worden 'archives' genoemd. Pas op:
bestanden die met LZEXE, PKLITE en PAK zijn gecomprimeerd, zijn gecom-
primeerde COM en EXE bestanden en kunnen ook virussen bevatten die niet
door de scanners worden gezien. Dit gegeven is ook doorgegeven aan de
auteur van de HACKLIST die dit vanaf heden zal vermelden.
In de HACKLIST die regelmatig wordt uitgegeven, staan files vermeld die
alleen een nieuw versienummer gekregen hebben, gekraakt zijn en al dan
niet een virus bevatten. Ook staan in deze HACKLIST files in archives
waarvan bekend is dat ze besmet zijn met de bronvermeldingen waaronder in
welk gebied van Nederland ze gesignaleerd zijn of op welke CDROM's ze
zijn aangetroffen.
We gaan nu wat dieper in op de virussen en het voorkomen daarvan.
Maar hoe kunnen we dan toch correct op virussen scannen? Daar gaan nogal
wat handelingen in zitten waar een batchfile uitkomst kan bieden.
Voorwaarde is wel dat men ook moet beschikken over PKLITE of DISLITE die
evenals de virusscanners in het zoekpad moeten staan, ook wel PATH
genoemd. Gesteld... We hebben een programma in SPEL.ARJ op CDROM of op
harddisk in de directory GAMES.
C:\GAMES>
Voor we het nieuwe spel in SPEL.ARJ kunnen spelen, zullen we deze eerst
moeten uitpakken of decomprimeren. De meeste mensen die toch voor alle
zekerheid willen scannen doen dit:
C:\KIJKSPEL>arj e c:\games\spel
[Enter]
C:\KIJKSPEL>scan *.*
[Enter]
of
C:\KIJKSPEL>scan c:\kijkspel\*.*
[Enter]
Dit is onvoldoende. Ten eerste omdat hier maar één scanner wordt gebruikt,
die soms al enkele maanden oud is. Ten tweede omdat vergeten wordt dat er
in gecomprimeerde bestanden een virus verborgen kan zitten. Een
willekeurige steekproef losgelaten op een verzameling virussen (geen
restanten, maar de complete lichamen), levert een aardig beeld op van hoe
een scanner erop reageert. Zo liet één scanner nog wel eens een steekje
vallen afgezien van het feit dat dezelfde scanner ook een virus niet kon
verwijderen dat wel werd gesignaleerd. De voorkeur van de auteur van deze
les gaat op dit moment uit naar de volgende drie scanners en in deze
volgorde van belangrijkheid:
1. Thunderbyte Scan (TBSCAN.EXE)
2. Frisk Protection (F-PROT.EXE)
3. McAfee Scan (SCAN.EXE)
Heeft u een van deze drie in een versie ouder dan februari '95 dan is
het verstandig de nieuwere versie op te halen of toe te laten zenden.
Virusscanners die ALLE (toekomstige) virussen kunnen vaststellen, bestaan
beslist NIET. Wel zijn er nieuwe ontwikkelingen waarbij de bedoeling
wordt dat de databases van strings van de virusscanners niet meer groeien.
Er wordt getracht per virusgroep een methode te vinden en in te bouwen
waarbij elk virus (en dan ook toekomstige uit die groep) herkend worden.
Wordt er een nieuw virus gemaakt dat niet in te delen is in een van de
bestaande groepen, dan zal deze uiteraard nog niet gedetecteerd kunnen
worden.
Virusscanners zijn in beweging en ontwikkeling. Dat betekent dat er altijd
wel een andere scanner kan zijn die op de eerste plaats kan komen. Dit
valt verder buiten het bestek van deze les. We moeten er dan ook vanuit
gaan dat als twee of meer scanners alarm slaan, we aktie moeten
ondernemen. Want ook een scanner kan vals alarm slaan. Zeker als de
HEURISTIC mode gebruikt wordt.
Heuristic scannen wil zeggen dat je de scanner laat kijken naar onge-
oorloofde aanroepen van interrupts. Of naar een combinatie van hande-
lingen welke verdacht kunnen zijn. Vals alarm wordt geslagen als het
programma dit mag of toevallig slecht (quick and dirty) geprogrammeerd
is.
We gaan in eerste instantie niet scannen op alle bestanden maar alleen op
executables (COM en EXE) omdat virussen zich alleen aan executables kunnen
hechten. Maar pas op: er kunnen bestanden zijn, die hernoemd zijn zodat
een .DAT niet altijd een databestand hoeft te zijn maar ook een hernoemde
EXE kan zijn. Een wolf in schaapskleren dus... Dit is niet gebruikelijk en
mag dus gerust als verdacht beschouwd worden.
Hoe gaan we dus te werk met SPEL.ARJ?
C:\KIJKSPEL>arj e c:\games\spel
[Enter]
C:\KIJKSPEL>pklite -x *.*
[Enter]
of
C:\KIJKSPEL>dislite -x *.*
[Enter]
Nu zijn alle met PKLITE gecomprimeerde EXE en COM files weer uitgepakt. U
leest het al uit de vorige zin dat bestanden met LZEXE of een andere
comprimeerder nog steeds gecomprimeerd zijn. Voor die bestanden heeft u
dus een ander programma nodig die dat wel doet. We beperken ons hier tot
de meest gebruikte PKLITE. Laat dit niet los op de virusscanners zelf!!!
De scanner zal niet niet meer starten omdat de CRC niet meer klopt in de
zelfcontrole. Een scanner die dit niet doet en/of zichzelf niet
maandelijks of nog frequenter met updates laat verversen via support
BBSen, kunt u beter niet gebruiken.
De laatste virussen kunnen door oude
scanners die worden meegeleverd met MSDOS, niet vastgesteld worden.
Bovendien neemt een verouderde scanner onnodig ruimte in op de harddisk.
Doordat deze niet actueel meer zijn is de kans enorm veel groter dat uw PC
besmet raakt. Een scanner met een database ouder dan twee maanden is in
de regel verouderd en niet meer bruikbaar voor degenen die veel nieuwe
programma's op hun computer uitproberen of installeren.
We moeten nu nog gaan scannen met de drie eerder vermelde scanners.
C:\KIJKSPEL>tbscan *.*
[Enter]
C:\KIJKSPEL>f-prot *.*
[Enter]
C:\KIJKSPEL>scan *.*
[Enter]
Als we alle bestanden scannen zijn we er zeker van dat ook eventueel
hernoemde executables gecontroleerd zijn. Zo heb ik een virus ontdekt dat
vanaf CDROM afkomstig was, gecomprimeerd was met PKLITE en hernoemd was
naar "SOCCER.EX_".
Zoiets heet een
TROJAN
, naar het 'onschuldige' Paard van Troje waarmee
vijandelijke soldaten de stad werden binnengesmokkeld. De bedoeling was
dat INSTALL.EXE gestart zou worden, een bestand dat absoluut niet besmet
was. Deze INSTALL zou de SOCCER.EX_ installeren en hernoemen naar
SOCCER.EXE om deze vervolgens op te starten.
Ziet u de adder onder het gras? Door te kiezen voor: ALLE bestanden
scannen, werd er aanvankelijk door alle scanners geen virus gevonden in
SOCCER.EX_ omdat deze met PKLITE gecomprimeerd was. Vervolgens heb ik met
PKLITE deze weer uitgepakt zodat ik een ongecomprimeerde versie terugkreeg
waarna alle scanners alarm sloegen op de SOCCER.EX_. Deze slaan uiteraard
geen alarm als we alleen op COM/EXE/OVL laten scannen die de
gebruikelijke files zijn.
Hoe pakken we dit slim aan? Laten we zeggen dat dit soccer-spel in eerder
genoemde SPEL.ARJ zit. We gaan hiervoor een batchfile gebruiken die we in
het zoekpad plaatsen bij de archivers en de comprimeerders. Laten we deze
NEWSCAN.BAT gaan noemen:
@echo off
arj e %1
pklite -x *.*
tbscan *.*
f-prot *.*
scan *.*
hdropt *.*
pklite *.*
De %1 is hier de variabele die, als we NEWSCAN gaan starten, een waarde
krijgt bestaande uit de driveletter + directory + naam van de ARJ-archive
die we willen uitpakken en bekijken. Deze starten we dus in de directory
waar deze in moet komen:
C:\KIJKSPEL>newscan c:\games\spel
[Enter]
Dit is nog geen garantie dat u onbesmet blijft met een virus dat zich in
een COM of EXE (of hernoemd bestand) in SPEL.ARJ bevindt. De kans is wel
erg gering als de actueelste scanners gebruikt worden. In TeleRUN staan
deze drie genoemde virusscanners altijd in de meeste recente uitgave.
Raadpleeg hiervoor de File Area: Anti-Virus programma's van
TeleRUN
.
Waarom men up to date moet blijven, is al eerder aangegeven. Sommige
virusschrijvers ontwikkelen nieuwe technieken waarmee ze een virus kunnen
schrijven dat bepaalde tijd ongezien zijn werk doet tot iemand ontdekt dat
zijn PC vreemd gaat doen. Dit zijn de zogenoemde stealth virussen.
Pas na hun ontdekking worden zichtbaar aangetaste EXE en/of COM files
opgestuurd naar een viruslaboratorium waar ze onderzocht en geanalyseerd
worden. En net als met een biologisch virus kan pas daarna een serum
worden ontwikkeld in de vorm van een nieuwe string in de database die de
virusscanner in kwestie kan raadplegen. Hierna wordt de nieuwe update van
de scanner op de markt gebracht waarmee het tot dat moment niet geziene
virus aan het licht kan worden gebracht en indien mogelijk verwijderd wordt.
Een string, ook wel handtekening genoemd (Engels: signature) is het
herkenningsteken voor virusscanners. De meeste auteurs laten een bepaalde
tekst achter, zoiets als "thunderbold was here". Deze tekst wordt dan
meestal gebruikt om naar te zoeken. Echter de virusschrijvers worden
steeds slimmer en coderen de handtekening waardoor het herkennen steeds
moeilijker wordt.
Geheugen-residente scanners hebben zeker nut. Vertrouw er echter niet op
dat deze alle virussen zien die een handmatige scanner ook ziet. Bepaalde
typen virussen laten zich niet detecteren door de residente versie van de
scanner. De handmatige scanner detecteert deze (doorgaans) wel. Dit hangt
mede af van hoe aktueel de gebruikte scanner is en hoe goed deze is (hoe
groot en actueel de database is). Handmatig scannen bij elke nieuwe file
en alles op schijf met elke nieuwe uitgave van de virusscanners is een
verstandige zaak. Als u de enige bent die met de PC werkt, is dat meer dan
voldoende. Hier zou een residente versie nutteloos beslag leggen op het
geheugen. Want zo'n standby-programma neemt toch (ook hooggeladen) nogal
wat geheugenruimte in. Bent uzelf niet de enige gebruiker dan zal in het
gunstigste geval een residente scanner tot 50% zekerheid bieden. Dit dus
als u een zoon of dochter heeft die met uw PC werkt en alles van wat op
school (illegaal) wordt gekopieerd en doorgegeven opstart zonder uitvoerig
te scannen op virussen.
Een handmatige scanner biedt u in dit geval een
veiligheid van zo'n 95%
. Een diskette met alleen tekstbestanden in de vorm
van werkstukken kan net zo goed besmet zijn. Hier gaat het dan om FAT
virussen of BOOTSECTOR virussen. Er zijn teveel varianten om er dieper op
in te gaan, maar het komt erop neer dat als u, zoals zovelen, nog wel eens
de computer herstart terwijl de diskette nog in het diskettestation. Op
het moment dat de gebruikelijke DOS melding verschijnt dat de diskette
niet bootable is, is uw PC besmet. Het virus is overgedragen op de FAT of
BOOTSECTOR van de harddisk. Wat er daarna gebeurt hangt van het type virus
af. De ene doet dit en de andere doet dat.
Nog enkele suggesties tot besluit. BBSen en netwerken zijn een prachtig
middel om virussen te verspreiden. U wordt al grotendeels beschermd tegen
virussen als u een betrouwbaar BBS belt dat zelf eerst uitvoerig scant
alvorens de files (al dan niet door derden geupload) vrij te geven.
BBSen en netwerken waarin elk nieuw programma ongescand wordt
vrijgegeven mogen gerust potentiële besmettingshaarden worden genoemd.
Maar pas hiermee op. Een mededeling dat er gescand is, is zo gemaakt
en zeker bij dat soort BBSen en netwerken is er een clausule waarin
staat dat voor elke vorm van opgelopen schade geen verantwoordelijk
wordt aanvaard. Raakt u uw zakelijke bestanden kwijt dan kunt u niemand
dan uzelf hiervoor verantwoordelijk en aansprakelijk stellen. Alle BBSen
hebben deze clausule voor eigen bescherming. Een programma/utility uit een
groot netwerk downloaden voordat de reguliere BBSen dit doen, is zeer
aantrekkelijk. Besef wel dat de kans aanwezig is dat zo'n kersvers
programma een nieuw virus kan bevatten, al dan niet in de vorm van een
TROJAN
die de meest recente scanners nog niet kunnen detecteren.
Voorzichtigheid blijft geboden in dat geval.
Mocht u besmet raken is het bezitten van een virusvrije backup altijd
beter dan het virus verwijderen (cleanen) van een besmette file. Het
cleanen is alleen bedoeld als u nergens een onbesmette kopie meer hebt
of kunt krijgen van net DAT programma wat heel belangrijk voor u is.
Vergeet ook niet regelmatig uw databestanden te backuppen.
Sommige
virussen hebben de eigenschap bestanden te verminken. Zo kan het
leuk zijn als een bepaald virus een nulletje achter uw saldo plaatst
bij uw bank. Het is minder leuk bij toedienen van medicijnen.
Virussen zijn beslist geen speelgoed ook al lijkt het heel erg leuk
wat zo'n ding allemaal doet. Vooral jongere kinderen zien het gevaar
en de gevolgen er niet van in. En soms zijn zo erg nieuwsgierig naar
de zojuist gekopieerde spelletjes van een vriendje dat ze er niet aan
denken eerst te scannen.
Hoe kunt u als u kinderen heeft het systeem dan toch zo goed mogelijk
beveiligen als u niet in de buurt bent. Kinderen zijn heel erg
vindingrijk. Als u geen geld hebt om een 2e PC voor het kind te kopen
moet er iets anders op gevonden worden. Afhankelijk van het belang van
het soort bestanden en programmatuur zijn er diverse mogelijkheden.
Hier kunt u een zogenoemd virusexpert voor inschakelen van McAfee,
Thunderbyte of een andere scanner voor advies.
De PC op slot doen
is een mogelijkheid maar dan wel met een echt slot.
U moet dan middels een slot met bijpassende sleutel zeker weten dat
het geen algemeen slot is. Ofwel er zijn maar twee sleutels op aarde
welke het slot kunnen openen en die heeft u. Pas hierna kan de PC
worden aangezet. De goedkoopste is de bij veel computers meegeleverde
optie het keyboard middels meegeleverde sleutel op slot te zetten.
Echter in de PC van de vader van het vriendje zit eenzelfde slot.
Dat vriendje kan dus theoretisch aan de sleutel van zijn vader komen
waarmee hij uw keyboard kan vrijgeven voor ge- of misbruik.
Het is evengoed af te raden om op een PC voor zakelijk gebruik diverse
spelletjes te spelen.
Let er ook goed op uit welke bron u uw virusscanner betrekt.
Deze
scanners zijn nog wel eens doelwit van misbruik. Er wordt dan een
versie verspreid die niets anders doet dan een virus verspreiden.
Uiteraard niet door de anti-virus programmeur. Deze zal onmiddellijk
een waarschuwing rond laten gaan en een tussentijdse release vrijgeven
met een versienummer hoger dan het oorspronkelijke verwachte
versienummer. Komt Thunderbyte na versie 6.34 ineens met versie 6.40
dan kunt u er zeker van zijn dat er een illegale versie 6.35 ronddoolt.