**************************************************************************** * 07.12.1993 * * Computerviren auf dem A T A R I S T * * ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ * * Dieses Textfile geh”rt zum Programm V I R E N D E T E K T O R 3.1 p, * * bitte nur mit dem kompletten VIRENDETEKTOR-Ordner weitergeben! * * * * (VD-QUICK darf unter bestimmten Bedingungen auch alleine - z. B. als * * Beigabe zu einer Shell - weitergegeben werden. Dies bedarf aber in * * jedem Fall einer gesonderten Genehmigung.) * * * * Das Programm ist S H A R E W A R E ! Es darf somit in der unre- * * gistrierten Version kopiert und weitergegeben werden, um der weiteren * * Virenverbreitung zu begegnen. Die Datei HINWEIS.TXT sollten Sie in * * Ihrem und in meinem Interesse bitte beachten. * * * * Zum Programm geh”ren folgende Files: * * VIREND31.PRG - Das Programm selbst * * VD-QUICK.TTP - Kommandozeilentool zum schnellen Linkvirentest * * CONV-HD.PRG - Konvertiert eine alte VIRENDET.HD ins neue Format * * * * sowie der Ordner DOKUMENT mit den Dateien: * * HANDBUCH.TXT - Diese Datei, ein sehr ausfhrliches ASCII-Handbuch * * VD-QUICK.TXT - Kurze Erl„uterung zu VD-QUICK.TTP * * CONV-HD.TXT - Einige Zeilen Erl„uterung zu CONV-HD.PRG * * REGISTER.TXT - Eine Registrierkarte zum Ausdrucken * * HINWEIS.TXT - Die Nutzungs- und Kopierbedingungen (WICHTIG!) * * NEWS.TXT - Eine Liste der Žnderungen der letzten VIREN- * * DETEKTOR-Versionen und ein Ausblick auf weitere * * Verbesserungen in zuknftigen Versionen, sowie * * bekannte Programmfehler, Inkompatibilit„ten und * * Unsch”nheiten. BITTE UNBEDINGT LESEN! * * * * und last but not least der Ordner WPROTECT mit den Dateien: * * WPROTECT.ACC - Schreibschutz-Accessory fr Hard- und RAM-Disks * * WPROTECT.PRG - Das gleiche fr den AUTO-Ordner * * WPROTECT.TXT - Kurze Anleitung dazu * * WPROTECT.S - Assembler-Source zu WPROTECT.PRG * * WPRORSC.S - Resource-to-Source Datei * * WPROTECT.RSC - Resource-Datei * * WPROTECT.RSD * * * * Folgende Files werden bei Bedarf vom VIRENDETEKTOR erstellt, sind aber * * nicht unbedingt notwendig und mssen auch bei einer Weitergabe nicht * * mitkopiert werden: * * VIRENDET.INF - Parameter-Datei * * VIRENDET.CRC - Datei mit CRC-Prfsummen * * * * Diese Dateien werden vom VIRENDETEKTOR oder von VD-QUICK.TTP erstellt * * und geh”ren NICHT zum Lieferumfang, bitte auch nicht mit Ihrer Version * * weitergeben: * * VDET-HD.xxx - Datei(en) mit Festplatten-Rootsektoren * * VIRDPROT.INF - Protokoll-Datei * * VD-QUICK.LOG - Ausgabedatei der Prfergebnisse von VD-QUICK.TTP * * * * ½ Volker S”hnitz, Beginenstr. 17, 52062 Aachen * * * * Fax: ++49 241 - 40 40 70 * * EMAIL: volker_soehnitz@ac.maus.de * * (privat, keine Binaries/UUEs, keine Mails >16KB) * * * * oder: volker_soehnitz@solaris.oche.de * * * * ½ fr WPROTECT und die Protokollfile-Routine: Christoph Conrad * * EMAIL: christoph_conrad@ac3.maus.de * * (privat, keine Binaries/UUEs, keine Mails >16KB) * * * **************************************************************************** Alle Rechte vorbehalten. Kein Teil dieses Textes darf in irgendeiner Form (Druck oder einem anderen Verfahren) ohne schriftliche Genehmigung des Autors reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielf„ltigt oder verbreitet werden. Eine Weitergabe dieses Textes in _unver„nderter_ Form und nur zusammen mit den oben genannten Dateien unter Bercksichtigung der in HINWEIS.TXT festgehaltenen Nutzungs- und Kopierbestimmungen ist ausdrcklich gestattet! Zum Ausdrucken dieses Textes ist es am gnstigsten, den Drucker auf 12 cps (ELITE) und auf einen Rand von 6-8 Zeichen einzustellen; mit der Version 3.2 wird auch ein noch ausfhrlicheres und bebildertes Handbuch in gedruckter Form erscheinen, daž gegen Erstattung einer Druckkostenumlage auf Wunsch mitgeliefert wird. WICHTIG: Unbedingt zumindest NEWS.TXT und das Vorwort lesen! ˙˙˙˙˙˙˙˙ ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ Ich weiž, niemand liest gerne lange Handbcher oder Anleitungen aber zumindest das Vorwort und die Datei NEWS.TXT sollten Sie sich durchlesen. Das heižt nicht, daž nicht auch der Rest lesenswert w„re, aber den k”nnen Sie sich ja an einem regnerischen Abend zu Gemte fhren. Ich habe mich bemht, auf m”gliche Bedienungsfehler, die bei der Arbeit mit dem VIRENDETEKTOR auftreten k”nnen, einzugehen. Wenn Sie dieses Kapitel nicht lesen, sind DATENVERLUSTE nicht auszuschliežen! Registrierte Benutzer sollten auch die Datei PRIVAT.TXT, die auf der VIRENDETEKTOR-Originaldiskette zu finden ist, durchlesen. Dort ist auch die Installation der registrierten Version ausfhrlich erl„utert. Inhalt: ˙˙˙˙˙˙˙ 0. Das (etwas l„ngere) Vorwort a) Danksagungen b) Was ist der VIRENDETEKTOR? c) Hinweise zur Bedienung (WICHTIG!!!) I. Einfhrung (Allgemeines ber Computerviren) a) Was ist ein Computervirus? b) Woher kommen Computerviren? II. Viren im ST, wo sie stecken und wie sie sich vermehren a) Bootsektorviren b) "Tarnkappen"-Viren c) Linkviren d) Linkviren in gepackten Programmen e) Viren in CPX-Modulen f) Neue, bisher unbekannte Linkviren g) Alle Link- und Bootsektorviren im šberblick III. Wie beugt man Virenbefall vor? IV. An welchen Effekten erkennt man Computerviren? V. Neues von der Virenfront VI. So funktioniert der VIRENDETEKTOR VII. VD-QUICK - ein kleines fixes Helferlein VIII. "Immunisierung" - Schutz vor Bootsektorviren? IX. Was ist im Fall des (Be)falls zu tun? X. Das SHAREWARE-Vertriebskonzept XI. Hinweise fr kommerzielle Nutzer und PD-Versender XII. Schlužwort Anhang: Antworten auf die am h„ufigsten gestellten Fragen zum VIRENDETEKTOR (bitte erst durchlesen, bevor Sie sich mit Fragen an mich wenden, einiges ist dort bereits beantwortet) Einige Soft- und Hardwarebezeichnungen, die in diesem Text erw„hnt werden, sind eingetragene Warenzeichen und sollten als solche betrachtet werden. 0. Das (etwas l„ngere) Vorwort ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ a) Danksagungen Fr die Untersttzung bei der Erstellung dieses Programms bedanke ich mich insbesondere bei: Christoph Conrad, ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ der nicht nur mit einigen genialen Hacks die Effizienz des VIRENDETEKTORS deutlich verbessert hat, sondern dem vor allem zu verdanken ist, daž der VIRENDETEKTOR seit der Version 3.0 aufl”sungsunabh„ngig und absolut LINE-A frei l„uft. Aužerdem bedanke ich mich fr das Programm WPROTECT und die Routinen zur Erstellung des Protokollfiles, die Christoph freundlicherweise fr den VIRENDETEKTOR zur Verfgung gestellt hat. Zudem hat Christoph schon so viele Programmfehler gefunden und behoben, sowie diverse Erweiterungen zum VIRENDETEKTOR beigetragen, so daž ich ihn inzwischen durchaus als Co-Autor bezeichnen m”chte. Ebenfalls von Christoph Conrad stammt eine Compilererweiterung, die fr die Erstellung des VIRENDETEKTORS und fr dessen uneingeschr„nkte Lauff„higkeit von enormer Bedeutung ist. Richard Karsmakers, ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ dem niederl„ndischen Virenkiller-Programmierer (UVK), fr die fruchtbare Zusammenarbeit, die fr die Weiterentwicklung des Programms wichtige Impulse gegeben hat. Bernhard Artz und Gregor Tielsch, ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ den Autoren des Virenkillers Poison! fr die Zusammenarbeit. H.-D. Jankowski, J.F. Reschke und D. Rabich, ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ fr das ATARI ST PROFIBUCH (Sybex). C. Brod und A. Stepper, ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ fr das Buch SCHEIBENKLEISTER II (MAXON). Mein Dank geht auch an die vielen User des VIRENDETEKTORS, die mit detaillierten Fehlermeldungen und der Zusendung neuer Viren und neuer Bootprogramme an der Weiterentwicklung des Programms beteiligt waren. (Hallo Dirk, hallo Anton-Jrgen, hallo Oliver, hallo Martin!) Mein ganz besonders herzlicher Dank geht an alle registrierten User, die durch die Zahlung der Sharegebhr meinen Glauben an das SHAREWARE-Konzept aufrechterhalten haben und die mich motivieren, den VIRENDETEKTOR auch in Zukunft weiterzuentwickeln. Last but not least bedanke ich mich bei meiner Frau Sabine fr die unendliche Geduld mit einem Ehemann, der n„chtelang vor seinen Computern sitzt und bereits im Schlaf von Viren brabbelt ;-) Sollte ich jemanden bei dieser Aufz„hlung vergessen haben, so geschah dies nicht aus b”ser Absicht. Er m”ge sich als hier aufgefhrt betrachten. b) Was ist der VIRENDETEKTOR? Der VIRENDETEKTOR entstand vor etwa sieben Jahren, als die ersten Computerviren auf dem ST auftauchten. Zun„chst als "Quick and dirty"-Hack gegen Bootsektorviren, doch mit der Zeit kam eine leicht zu bedienende Benutzeroberfl„che hinzu, die Erkennung der ersten Linkviren, die sich auf dem ST breit machten, die Anpassung an verschiedene Aufl”sungen und vieles mehr. Seit der Version 3.0 ist nun auch eine CRC-Prfsummenbildung eingebaut, so daž auch die Gefahr eines Befalls mit bislang unbekannten Viren im Rahmen des m”glichen ausgeschlossen werden kann. Auch zuknftige Versionen werden wieder Neuheiten zu bieten haben und der VIRENDETEKTOR bleibt - auch wenn er manchem kommerziellen Virenkiller durchaus berlegen ist und obwohl mir mehrere Angebote zur kommerziellen Vermarktung vorliegen - weiterhin SHAREWARE. Was SHAREWARE ist und warum dieses Konzept sowohl dem Benutzer als auch dem Programmautor viele Vorteile bietet, erfahren Sie in Kapitel X. Mit dem Programm VIRENDETEKTOR haben Sie nun das geeignete Mittel in der Hand, um jede Art von Virus zu entdecken, bevor er Unheil anrichten kann und sich ber die gesamten Datenbest„nde verbreitet. c) Hinweise zur Bedienung Der VIRENDETEKTOR ist denkbar einfach zu bedienen, selbst wenn man bercksichtigt, daž die Programmoberfl„che in der aktuellen Version noch nicht GEM-konform ist. Auch Einsteiger auf dem ST/STE/TT/FALCON 030 sollten mit diesem Programm problemlos auf "Virenjagd" gehen k”nnen. Dennoch sind mit zunehmender Anzahl an Optionen, die das Programm bietet, auch einige Erl„uterungen ntzlich. Hier nun ein paar wichtige Hinweise zur Bedienung. Auf einige spezielle Punkte wird an sp„terer Stelle in diesem Text noch eingegangen. Versuchen Sie bitte nicht, den PFX-PAK, den ICE-PACK oder einen anderen Packer, der Programme mit einem Laufzeitentpacker versieht, auf den VIRENDETEKTOR los zu lassen. Erstens werden diese Packer im gnstigsten Fall die Programmdatei um l„cherliche 5% verkleinern k”nnen, es lohnt also nicht. Zweitens wird der VIRENDETEKTOR dies als Manipulation an seiner Programmdatei empfinden und beim Versuch, das Programm zu starten, mit einer wtenden Fehlermeldung antworten. Programme, wie z.B. DATA LIGHT, die komplette Partitionen komprimieren, k”nnen jedoch problemlos mit dem VIRENDETEKTOR zusammen benutzt werden. Wenn Sie das Programm vom Desktop oder aus einer Shell heraus starten, wird zun„chst ein Speichertest durchgefhrt. Dabei erscheint auf dem Bildschirm eine šbersicht ber verschiedene Systemvariablen, in die sich ein Virus, sofern er resident im Arbeitsspeicher lauert, in der Regel einklinkt. Dieser Ausgabe brauchen Sie keine weitere Beachtung zu schenken, die Bedeutung der XBRA-Kennungen ist im Kapitel VI erl„utert. Der VIRENDETEKTOR wird den Programmstart abbrechen, wenn eine Manipulation an der Programmdatei vorgenommen wurde. Sollte ein speicherresidenter Virus gefunden werden, bricht das Programm mit einer entsprechenden Warnbox ab. Leider arbeitet ein solcher Speichertest prinzipbedingt nicht 100% sicher. Vor allem dann nicht, wenn sich ein oder mehrere Programme im Arbeitsspeicher befinden, die Systemvektoren ohne XBRA-Kennung verbiegen. Sie sollten also vor der Benutzung des VIRENDETEKTORS im Zweifel den Rechner aus- und wieder einschalten, ohne daž sich eine Diskette im Laufwerk befindet. Die dauert zwar etwa 40 Sekunden (der Rechner wird zun„chst verzweifelt nach einer Diskette fahnden), ist aber der sicherste Weg, falls Sie nicht sicher sind, ob Sie berhaupt im Besitz einer "sauberen", unverseuchten Diskette sind. Die vom VIRENDETEKTOR angezeigte Liste der einzelnen XBRA-Verkettungen sollte im Idealfall mit einem Pseudoeintrag "->BS" enden. Damit wird angezeigt, daž der Vektor nun ins Betriebssystem zeigt. Steht dort ein "????", so ist dafr ein Programm verantwortlich, das sich nicht an die XBRA-Konvention h„lt. Dabei muž es sich nun aber keineswegs um einen Virus handeln, denn trotz der relativ grožen Verbreitung des XBRA-Verfahrens gibt es immer noch eine Menge Programme und Accessories, die ohne Verwendung der XBRA-Struktur Vektoren verbiegen. Dies gilt insbesondere fr „ltere Programme. Eine kurze Erkl„rung zu diesem Speichertest erhalten Sie auch im Programm, wenn Sie die "Help"-Taste drcken. Jede andere Taste oder ein Mausklick fhren zum "Hauptmen" des VIRENDETEKTORS. Dabei handelt es sich um eine grože Dialogbox, in der Sie mit der Maus, mit den Funktionstasten oder mit der RETURN-Taste einzelne Punkte ausw„hlen k”nnen. Der stark umrandete Button kann jeweils mit der Return-Taste gew„hlt werden. Bei der Auswahl einiger Menpunkte erscheint wiederum eine „hnliche Dialogbox. F1: (Kurzanleitung/Programminfo) Wie der Name vermuten l„žt, handelt es sich bei diesem Punkt um eine kurze Anleitung, die das wichtigste aus diesem Kapitel zusammenfažt. Damit haben Sie auch im VIRENDETEKTOR die M”glichkeit, die Arbeitsweise einzelner Funktionen nachschauen zu k”nnen. Zun„chst erscheint aber noch eine kleine "Danksagung" an verschiedene Leute, die direkt oder indirekt bei der Entstehung dieses Programms mitgewirkt haben. Diese Kurzanleitung umfažt 12 Seiten, durch Drcken der ESCAPE-Taste (oder der rechten Maustaste) kommen Sie jederzeit ins Programm zurck, jede andere Taste (oder die linke Maustaste) bl„ttert weiter zur n„chsten Seite. F2: (Laufwerk w„hlen) Dient zur Auswahl der Diskettenstation/RAM-Disk/Festplattenpartitionen, die als aktuelles Laufwerk gelten soll. Bei der šberprfung von Programmen arbeitet der VIRENDETEKTOR immer auf dem Laufwerk, das hier angew„hlt wurde. Es k”nnen nur tats„chlich vorhandene Laufwerke selektiert werden. Bei mehr als 8 Laufwerken/Partitionen/RAM-Disks erscheint diese Auswahlbox zweigeteilt. Mit den Pfeilboxen kann zwischen den beiden Teilen hin und her gewechselt werden. Bei der šberprfung von Festplattenpartitionen oder RAM-Disks (also Laufwerk C und gr”žer) wird nach der šberprfung aller Programme automatisch zum n„chsten Laufwerk gewechselt, sofern diese šberprfung nicht zwischendurch mit "Escape" abgebrochen wurde. Dadurch sparen Sie bei der šberprfung der gesamten Platte den manuellen Wechsel der Laufwerke. Sie k”nnen somit nach Anwahl der ersten Partition (im allgemeinen C) durch wiederholtes Bet„tigen der Return-Taste alle Partitionen auf Linkviren berprfen. F3: (Einzelne Programme berprfen) Untersucht einzelne Programme (Auswahl ber Fileselectbox) auf Virenbefall. Dabei werden alle bislang bekannten Linkviren erkannt, dazu geh”ren in dieser Version des VIRENDETEKTOR der MILZBRAND VIRUS und auf dessen Algorithmus beruhende Nachfolger, alle VCS VIREN (mit dem VIRUS-CONSTRUCTION-SET erstellte Viren), der CRASH VIRUS, der PAPA&GARFIELD VIRUS und der MAD/ZIMMERMANN VIRUS (auch als Uluru Virus bekannt)! Es ist leider nicht m”glich, befallene Programme zu restaurieren! Sie mssen durch Sicherheitskopien ersetzt werden. Sollten Sie nicht ber Sicherheitskopien verfgen und die infizierten Programme sind fr Sie von grožer Wichtigkeit, dann finden Sie in einem sp„teren Kapitel noch einige Hinweise, wie Sie eventuell auch noch mit diesen Programmen weiterarbeiten k”nnen. Dies sollte aber wirklich die absolute Ausnahme sein! Abgesehen von der Suche nach den oben erw„hnten bekannten Linkviren, werden Programme auch auf bislang unbekannte Linkviren berprft. Prinzipbedingt kann diese šberprfung aber nur eine ntzliche Erg„nzung sein. Es gibt keine Garantie dafr, daž jeder neue Linkvirus dadurch entdeckt werden kann. Neben einzelnen Programmen k”nnen auch komplette Pfade durchsucht werden, dazu wird in der Fileselectbox einfach der gewnschte Pfad eingestellt. Wollen Sie also z.B. alle Dateien im Ordner "KUCKREIN" berprfen, so ”ffnen Sie diesen Ordner und klicken auf den OK-Button (oder drcken die RETURN-Taste). Dann werden alle Programmfiles in dem gewnschten Ordner, sowie in allen weiteren Ordnern, die sich im gew„hlten Ordner befinden, berprft! F4: (Alle Programme berprfen) Alle Programme auf dem aktuellen Laufwerk werden auf Linkviren untersucht. (Analog zu F3.) Dabei werden nicht nur die Programme im Hauptdirectory des aktuellen Laufwerks (Floppy/RAM-Disk/Harddisk) berprft, sondern auch alle Programme, die sich in irgendwelchen Ordnern aufhalten! WICHTIG: Wenn Sie mit einer Festplatte und einer alten TOS-Version (1.00 oder 1.02) arbeiten, dann sollten Sie unbedingt das FOLDR100.PRG im Autoordner haben. Aber diese Regel gilt nicht nur fr den VIRENDETEKTOR. Es werden auch "Hidden"- und "System"-Files berprft. Auf der Festplatte kann die šberprfung je nach Partitionsgr”že einige Zeit in Anspruch nehmen. Die laufende šberprfung kann durch Bet„tigung der ESCAPE-Taste abgebrochen werden. Wenn der Abbruch nicht gleich klappt, dann halten Sie die ESCAPE-Taste solange gedrckt, bis der VIRENDETEKTOR diesen Abbruch best„tigt. Bercksichtigt werden alle Files, deren Extension auf PR*, AC*, TOS, TTP, APP, GTP oder auf eine der vier selbstdefinierten Extensionen pažt. Bei eingeschalteter CRC-Prfung werden auch Dateien mit der Endung "CP*" bercksichtigt (CPX-Module, auch wenn diese durch Žnderung des letzten Buchstabens der Extension deaktiviert sind). Bei dieser CRC-Prfung wird die aktuelle CRC-Prfsumme mit einer gegebenenfalls zuvor gespeicherten Prfsumme verglichen. Wenn eine Programmdatei mit einem bekannten Linkvirus befallen ist, wird nur dieser gemeldet, denn eine zus„tzliche CRC-Prfung erbrigt sich dann natrlich. Falls das aktuelle Laufwerk nicht A oder B ist, so ist diese Funktion defaultm„žig auch mit RETURN zu erreichen. F5: (Bootsektor berprfen) Diese Funktion kann nur bei Wahl von Laufwerk A oder B angew„hlt werden. Es wird der Bootsektor einer Diskette auf Virenbefall berprft! Alle verbreiteten ST-Bootsektorviren werden erkannt, welcher Virus entdeckt wurde, wird ebenso angezeigt, wie bei einigen mutierenden Viren die vorgefundene Generation! Ist der Bootsektor infiziert, so kann der Virus entfernt und der Bootsektor restauriert werden. Der VIRENDETEKTOR erkennt die meisten Immunisierungs-Bootsektoren, wie sie von einigen Virenkillern erzeugt werden. Falls Sie im Men "Weitere Optionen" die Immunisierung nicht eingeschaltet haben, kann eine vorhandene Immunisierung auf Wunsch auch entfernt werden! Natrlich werden auch berechtigterweise ausfhrbare Bootsektoren erkannt und gemeldet, z.B. 1st Freezer-Disks, Aladin-Disketten (MAC-Emulator), TOS-Lader, viele Spiele-Bootlader, 60-Hertz Bootsektoren, mehr als ein halbes Dutzend HD-Waiter und viele mehr. Seit der Version 2.9e werden AUCH NICHT AUSFšHRBARE Bootsektorviren erkannt! Diese k”nnen sich mittels eines undokumentierten Features des Betriebssystems resetfest im Arbeitsspeicher installieren, OBWOHL der Bootsektor eigentlich nicht ausfhrbar ist! Genauere Informationen zur Arbeits- und Verbreitungsweise dieser Viren finden Sie in einem gesonderten Kapitel ber Bootsektorviren. Trifft der VIRENDETEKTOR auf einen bisher unbekannten ausfhrbaren Bootsektor (z.B. einen neuen Spiele-Lader oder aber einen neuen Virus), so wird eine entsprechende Meldung ausgegeben und es kann eine Routine aufgerufen werden, die das Bootprogramm auf typische Merkmale eines Virus-Programms untersucht! Das Ergebnis dieser Analyse wird in einer Alert-Box angezeigt. Falls es sich um einen bisher unbekannten Virus handelt, kann der Bootsektor restauriert werden. Das Programm wird im brigen laufend aktualisiert und an neue Viren angepažt! Sollten Sie ber einen Virus oder ein harmloses Bootprogramm verfgen, welches der VIRENDETEKTOR nicht kennt, dann schicken Sie es mir zu - ich werde umgehend eine Erkennung einbauen. F6: (Bootsektor und Disk-Info anzeigen) Zeigt den Bootsektor der Diskette im gew„hlten Laufwerk (A oder B) sowohl im ASCII-Code als auch in Hexadezimalzahlen an. Zus„tzlich werden die Disketten-Struktur-Informationen entschlsselt und angezeigt. (Anzahl der Seiten, Tracks, Sektoren, Ausfhrbarkeit, L„nge des Directories, ...) Auch diese Funktion kann nur bei Wahl von Laufwerk A oder B gew„hlt werden. F7: (Bootsektor und alle Programme berprfen) Mit diesem Menpunkt werden die Funktionen "Bootsektor berprfen" und "Alle Programme berprfen" hintereinander ausgefhrt. Wenn Laufwerk A oder B als aktuelles Laufwerk gew„hlt wurden, so ist dieser Punkt defaultm„žig ber RETURN erreichbar. Wenn Sie also Ihre Diskettensammlung sowohl auf Link- wie auf Bootsektorviren berprfen wollen, brauchen Sie nur die Disketten der Reihe nach einzulegen, RETURN zu drcken und die Meldungen des Programms abzuwarten. F8: (CRC-Prfung ein/ausschalten) Dient zum Ein- oder Ausschalten der CRC-Prfsummenoption. Ist der CRC-Check eingeschaltet, so berechnet der VIRENDETEKTOR bei jeder Linkvirenberprfung eine CRC-Prfsumme ber den Teil des Programms, der bei einer Infizierung mit einem Linkvirus auf jeden Fall ver„ndert wrde. Ist fr das jeweilige Programm bereits eine CRC-Summe aus vorhergegangenen šberprfungen vorhanden, so wird die neue Prfsumme mit der alten verglichen und eventuell auftretende Unterschiede werden gemeldet. Somit kann sich auch ein v”llig neuartiger Linkvirus, den der VIRENDETEKTOR noch nicht kennt, nicht unbemerkt in Ihren Programmbestand einschleichen. Natrlich funktioniert diese L”sung nur dann, wenn nicht schon zum Zeitpunkt der erstmaligen CRC-Prfsummenerstellung ein Linkvirus, den der VIRENDETEKTOR noch nicht kennt, Ihre Programmbest„nde komplett durchseucht hat. Dieser Umstand ist aber aužergew”hnlich unwahrscheinlich. Wird ein bekannter Linkvirus gefunden, so wird fr dieses befallene Programm natrlich keine CRC-Prfsumme erstellt und gespeichert. Beachten Sie bitte: Wenn Sie mehrere unterschiedliche Programme gleichen Namens (z.B. zwei EDITOR.PRG bzw. ein EDITOR.PRG und ein EDITOR.TTP) oder verschiedene Versionen eines Programmes besitzen, dann wird der VIRENDETEKTOR beim zweiten Programm eine Ver„nderung melden. Seit der Version 3.1 des VIRENDETEKTORS sind zu jedem Programmnamen maximal 20 CRC-Prfsummen abspeicherbar. Die Extensionen der Programmnamen werden dabei nicht bercksichtigt, dies hat den Vorteil, daž Programme, die auch als Accessories verwendet werden k”nnen, nicht zweimal in der CRC-Liste auftauchen. Selbiges gilt auch fr Auto-Ordnerprogramme, deren Extension in PR oder PRX ver„ndert wurden. Wenn ein Programm seine CRC-Prfsumme „ndert, so kann diese Žnderung diverse Ursachen haben. Es k”nnte sich um ein Update handeln, es kann ein anderes Programm gleichen Namens in der CRC-Liste existieren oder es handelt sich um ein selbstmodifizierendes Programm (einige Programme speichern bestimmte Einstellungen in sich selbst ab - eigentlich kein feiner Programmierstil, dazu eignet sich eine *.INF Datei n„mlich in der Regel ebenso gut. Somit k”nnen also durchaus eine Reihe von Ver„nderungen der CRC-Prfsumme auftreten, die NICHT durch Virenbefall verursacht wurden). Auch bei der Umwandlung der unregistrierten Version in eine registrierte Version „ndert der VIRENDETEKTOR seine CRC-Prfsumme. Wundern Sie sich also nicht, wenn das Programm bei der registrierten Version ber eine ver„nderte Prfsumme meckert. Nehmen Sie diese neue Prfsumme einfach zus„tzlich in die CRC-Datei auf. Es ist allerdings auch m”glich, daž ein neuer, bisher unbekannter Linkvirus das Programm ver„ndert hat! Dies wird dann wahrscheinlich, wenn sich ver„nderte Prfsummen h„ufen, ohne daž eine der oben genannten Erkl„rungen zutrifft. Sie k”nnen eine neue, ver„nderte CRC-Prfsumme bernehmen, verwerfen oder das betreffende Programm l”schen. Sie k”nnen auch die alten Prfsummen durch die neue ersetzen, dabei werden aber ALLE alten Prfsummen, die fr diesen Programmnamen gespeichert waren, ersetzt. Der VIRENDETEKTOR kann maximal 5000 verschiedene Prfsummen verwalten. Nach Erreichen dieses Limits k”nnen keine weiteren Prfsummen aufgenommen werden. Nochmals der Hinweis: Wenn sich pl”tzlich mehrere Programme ohne erkennbaren Grund ver„ndert haben, wenn also der VIRENDETEKTOR in mehreren F„llen eine ver„nderte CRC-Prfsumme meldet, ist Vorsicht geboten. Sie sollten mir eines der m”glicherweise befallenen Programme zusenden, ich werde dann - sofern es sich tats„chlich um einen neuen Virus handelt - eine entsprechende Erkennung in den VIRENDETEKTOR einbauen und Sie erhalten umgehend eine neue, an diesen Virus angepažte Version. Beachten Sie bitte, daž Sie mir ausreichend Rckporto und einen selbstadressierten Rckumschlag mitschicken, falls Sie Ihre Diskette zurckbekommen m”chten. F9: (HD-Rootsektor prfen/restaurieren/speichern) Hinter diesem Menpunkt verbirgt sich eine Auswahlbox, in der Sie angeben k”nnen, ob Sie einen Rootsektor prfen, restaurieren oder anzeigen wollen. Der Rootsektor der Festplatte wird beim DMA-Bootvorgang gelesen und ausgefhrt. Im Rootsektor ist aužerdem die Partitionierungsinformation der Festplatte enthalten. Haben Sie mehrere Festplatten (physikalische Laufwerke, nicht Partitionen) an Ihren Rechner angeschlossen, so k”nnen Sie auch das gewnschte Target ausw„hlen. Beim Prfen des Rootsektors wird der aktuelle Rootsektor mit einem zuvor fr dieses Target gesicherten Rootsektor verglichen und das Ergebnis wird angezeigt. Sollte noch kein Vergleichsrootsektor gespeichert sein, so k”nnen Sie den aktuellen Rootsektor fr sp„tere Vergleiche bernehmen. Wenn Sie einen Festplattenrootsektor zum ersten Mal eingelesen haben, dann k”nnen Sie ihn in eine Datei sichern. Der VIRENDETEKTOR schreibt die Rootsektoren der angeschlossenen Targets in die Dateien VDET-HD.*, dabei steht "*" fr die Targetnummer. Diese Dateien sind normalerweise nicht im Lieferumfang enthalten, sondern werden vom VIRENDETEKTOR bei der ersten Festplattenprfung erzeugt. Sollten Sie das Programm von einem Bekannten oder PD-Versender bekommen haben, dann sollte sich daher normalerweise keine Datei mit diesem Namen im VIRENDET.3_1-Ordner befinden. Sollten Sie dort dennoch eine solche Datei finden, dann l”schen Sie diese VOR dem Start des VIRENDETEKTORS und legen Sie nach šberprfung Ihrer Festplatte(n) mit diesem Menpunkt neu an. WICHTIG: Verwenden Sie keine VDET-HD.*-Datei von fremden Festplatten!!! Auch wenn Sie Ihre Platte(n) neu partitionieren _muž_ die zu diesem Target geh”rende Datei neu angelegt werden! Wenn Sie das Programm weitergeben, dann bitte OHNE ihre Rootsektordateien! Es k”nnte sonst bei Anwendern, die diese Anleitung oder die Kurzanleitung im Programm selbst nicht durchlesen, zu Datenverlust fhren, wenn diese einen fremden Rootsektor auf die eigene Platte kopieren. Sollten Sie einen oder mehrere neue Rootsektoren bernommen haben, so werden Sie beim Programmende darauf hingewiesen, falls Sie diese Rootsektoren bislang noch nicht abgespeichert haben und k”nnen das dann vor dem Verlassen des VIRENDETEKTORS nachholen. Da die Partitionierungsinformationen beim Befall durch einen Virus zerst”rt werden k”nnen, ist fr diesen Fall eine Restaurierungsm”glichkeit gegeben. Dazu mssen Sie sich von den Dateien VDET-HD.* SICHERHEITSKOPIEN AUF DISKETTE anlegen. Dies ist wichtig, da Ihnen eine solche Datei auf der Festplatte nichts mehr ntzt, denn mit einem zerst”rten Rootsektor ist Ihnen jeder Zugriff auf die Platte verwehrt. Mit Hilfe des VIRENDETEKTORS - von dem Sie natrlich ebenfalls eine Sicherheitskopie haben sollten - kann der Rootsektor dann wieder auf die Festplatte geschrieben werden. WICHTIG: (Ich weiž, das habe ich schon erw„hnt - man kann es aber nicht oft genug wiederholen!) Jede neue Partitionierung Ihrer Platte fhrt natrlich zu einer Ver„nderung des Rootsektors! In diesem Fall muž die Datei VDET-HD.*, (dabei ist "*" die Nummer des neu partitionierten Targets) die ja noch den alten Rootsektor enth„lt, gel”scht werden und der Rootsektor neu eingelesen werden. Auf keinen Fall drfen Sie nach einer Neupartitionierung den alten Rootsektor wieder zurckschreiben! Der Rootsektor darf nur restauriert werden, wenn er unrechtm„žig (durch einen Virus oder ein anderes "amoklaufendes" Programm) ver„ndert wurde. Wenn Sie Ihre Platte neu partitioniert haben, kommt auf jeden Fall die Meldung "Rootsektor wurde ver„ndert". Dies ist normal und kein Grund zur Besorgnis! Schreiben Sie NIEMALS einen alten Rootsektor nach einer Neupartitionierung zurck! Ansonsten sind Ihre Daten auf der Festplatte pl”tzlich ins Nirwana entfleucht. Wenn Sie die Targetnummer einer angeschlossenen Platte „ndern, mssen Sie entsprechend die Extension der Datei VDET-HD.* anpassen, da der VIRENDETEKTOR die Zugeh”rigkeit einer solchen Datei zur jeweiligen Targetnummer ber die Extension vornimmt. WICHTIG: Die Extension wird mit einer fhrenden Null ausgegeben! (Also: 00, 01, 02, ..., 09, 010, 011, ...) Die Nummern 0-7 entsprechen dabei den ACSI-Targets, 8-15 ist der SCSI-BUS und h”here Targetnummern kommen z.B. bei der FALCON 030 IDE-Platte vor. ACHTUNG: Nach dem Zurckschreiben eines Rootsektors wird automatisch ein RESET (Warmstart) ausgel”st! Dies ist aus Kompatibilit„tsgrnden zu verschiedenen Festplattentreibern n”tig. Wenn Sie "restaurieren" anw„hlen, werden Sie auf diesen Umstand aufmerksam gemacht und haben noch die M”glichkeit, diesen Vorgang abzubrechen. F10: (Weitere Optionen) Unter diesem Menpunkt sind verschiedene Einstellungsm”glichkeiten sowie nicht so h„ufig ben”tigte Funktionen zusammengefažt. Es erscheint ein Untermen mit folgenden Punkten: Viren-Datenbank aufrufen...: Unter diesem Menpunkt verbirgt sich eine geballte Ladung Information. Sie finden hier eine ausfhrliche Beschreibung aller bekannten Link- und Bootsektorviren, die sowohl Verbreitungsweise als auch die Wirkung der einzelnen Viren erl„utert. Sofern die Herkunft des Virus bekannt ist, finden Sie auch diese Information dort. Der Virus, zu dem Sie n„here Infos wnschen, wird mit den Cursortasten oder durch Klicken in die Pfeilboxen ausgew„hlt. Diese Infos sind _nur_ in der registrierten Version vollst„ndig abrufbar. In der unregistrierten Version ist lediglich der Eintrag ber den ACA Virus anw„hlbar, damit Sie sich auch in der unregistrierten Version ein Bild von dieser Viren-Datenbank machen k”nnen. Das ist keine besondere Einschr„nkung, denn fr die eigentliche Funktion des VIRENDETEKTORS ist diese Datenbank ja in keiner Weise relevant. Sie k”nnen also die unregistrierte Version, wie bei SHAREWARE blich, in aller Ruhe ber den in der Datei HINWEIS.TXT angegebenen Zeitraum testen. Wenn ihnen das Programm zusagt, erhalten Sie nach Zahlung der Sharegebhr eine aktuelle Version auf einer Originaldisk, die Sie zum Installieren der registrierten Version ben”tigen. Diese enth„lt dann zum einen die bereits erw„hnte Viren-Datenbank in der vollst„ndigen Version. Zum anderen sind die gelegentlichen Hinweise (z.B. beim Verlassen des Programms oder nach einer gr”žeren Zahl berprfter Disketten und Dateien), die Sie daran erinnern sollen, daž Sie mit einer unregistrierten Version arbeiten, in der registrierten Version natrlich nicht mehr vorhanden. Immunisierung w„hlen...: Zum Thema "Immunisierung" werde ich im weiteren noch Stellung nehmen. Hier sei nur erw„hnt, daž ich, um auf alle Wnsche nach den verschiedensten Immunisierungsmethoden einzugehen, im VIRENDETEKTOR drei verschiedene M”glichkeiten zur Immunisierung von Bootsektoren vorgesehen habe. Mit diesem Menpunkt k”nnen Sie die gewnschte Immunisierung ein- oder ausschalten und die automatische Impfung einschalten. Bei eingeschalteter Immunisierung wird beim Schreiben eines Bootsektors, also wenn z.B. ein Virus vernichtet wird oder ein anderes Bootprogramm entfernt wird, ein Immunisierungs-Bootsektor bzw. der Immunisierungs-Autoordner erzeugt. Was unter den drei Methoden zu verstehen ist, entnehmen Sie bitte dem Kapitel VIII. Wenn die Bootsektorimpfung eingeschaltet ist, wird die gew„hlte Immunisierungsart immer auf die zu prfende Diskette aufgebracht, also auch dann, wenn kein Virus berschrieben wird. Dazu drfen die zu prfenden Disketten natrlich nicht schreibgeschtzt sein. Es erfolgt auch dann eine Immunisierung, wenn im Bootsektor bereits eine Immunisierung eines anderen Virenkillers vorhanden ist. Diese wird dann entfernt. Andere ausfhrbare harmlose Bootsektoren werden nicht geimpft, auch 1st Lock Disketten (LOGILEX) werden nicht geimpft, da im Bootsektor wichtige Informationen stehen, die sonst verloren gehen wrden. Ausnahme: Die Immunisierung durch den Autoordner, da bei dieser Immunisierungsart der Bootsektor nicht ver„ndert wird. Info-Meldungen ein/ausschalten: Wenn Sie mit dem VIRENDETEKTOR Ihre komplette Diskettensammlung berprfen und Ihre kostbare Zeit nicht zu sehr strapazieren wollen, dann k”nnen Sie die ohnehin schon hohe Arbeitsgeschwindigkeit des Programms noch weiter erh”hen, indem Sie alle Meldungen des Programms, die nicht auf Virenbefall hinweisen, unterdrcken. Sie brauchen dann pro Diskette nur einmal die RETURN-Taste (oder F7) zu drcken und der VIRENDETEKTOR kehrt nach der šberprfung der Diskette sofort zum Hauptmen zurck (sofern kein Virus gefunden wurde) und Sie k”nnen mit der n„chsten Diskette fortfahren. Extensionen w„hlen: Wenn der VIRENDETEKTOR eine komplette Diskette/RAM-Disk/Partition oder einen gew„hlten Pfad auf Linkviren untersucht, dann werden alle Dateien mit den Extensionen PR* (z.B. PRG, PRX, PR, ...), AC*, TOS, TTP, APP und GTP berprft. Mit diesem Menpunkt k”nnen Sie weitere vier Extensionen (allerdings ohne Wildcards) angeben, die bei der šberprfung bercksichtigt werden sollen. CRC-Prfung konfigurieren... Nach Auswahl dieses Menpunktes, erscheint eine Auswahlbox, in der Sie mit "CRC-Daten automatisch/von Hand bernehmen" entscheiden, ob bei der CRC- Prfung die Prfsummen bislang unbekannter Programme automatisch aufgenommen werden sollen oder ob der VIRENDETEKTOR bei jedem unbekannten Programm nach- fragt, ob eine šbernahme gewnscht wird. Wenn Sie die CRC-Option zum ersten Mal verwenden, ist es sinnvoll, auf "automatisch bernehmen" zu schalten, da sonst bei jedem berprften Programm eine Alert-Box mit der Nachfrage er- scheint, ob die Datei bernommen werden soll. BEACHTEN SIE BITTE, DASS AUS INTERNEN GRšNDEN DIE CRC-PRšFSUMMEN DER ALTEN VERSION 3.0 NICHT WEITER VERWENDET WERDEN K™NNEN! Wenn versucht wird, eine alte VIRENDET.CRC Datei zu laden, meldet der VIRENDETEKTOR, daž diese Prfsummen ungltig sind. Beim Umstieg auf die Version 3.1 ist es sinnvoll, zun„chst noch einmal einen Prfdurchgang mit der alten Version vorzunehmen und sofort im Anschluž daran mit der neuen Version eine erneute Prfung vorzunehmen. Dabei sollte dann die automatische šbernahme der Prfsummen eingestellt werden. Mit "CRC-Datei abspeichern" k”nnen Sie die neuen CRC-Prfsummen, die seit dem letzten Start des VIRENDETEKTORS hinzugekommen sind, abspeichern. Sollten Sie seit dem letzten Programmstart des VIRENDETEKTORS neue CRC-Prfsummen bernommen oder gel”scht haben, so werden Sie beim Programmende darauf hingewiesen, daž Sie diese bislang noch nicht abgespeichert haben und k”nnen dieses dann vor dem Verlassen des VIRENDETEKTORS nachholen. Wenn Sie einzelne CRC-Prfsummen entfernen wollen, dann k”nnen Sie dies mit "CRC-Prfsummen editieren" erledigen. Die zu l”schende CRC-Prfsumme wird mit den Cursortasten oder durch klicken in die Pfeilboxen ausgew„hlt und kann dann mit "l”schen" oder durch Drcken der DELETE-Taste gel”scht werden. Dieses L”schen wird zun„chst nur im Arbeitsspeicher vorgenommen. Die CRC-Datei auf dem Massenspeicher wird erst beim n„chsten Abspeichern aktualisiert. Bootsektor auf/von Disk schreiben/lesen... Oft ist es ntzlich, wenn man einen Bootsektor auf Diskette sichern kann, um z.B. den Bootsektor einer Spieledisk bei Bedarf restaurieren zu k”nnen. Mit dieser Option k”nnen Sie aber auch verd„chtige ausfhrbare Bootsektoren, deren Zweck Sie nicht kennen, in eine Datei schreiben um mir diese zur Analyse zuzuschicken. Wenn Sie dies tun und Ihre Diskette zurckgeschickt haben wollen, sollten Sie einen ausreichend frankierten und selbst- adressierten Rckumschlag beilegen. Haben Sie bitte Verst„ndnis dafr, daž ich zwar gerne bereit bin, meine Freizeit mit der Analyse verd„chtiger Programme oder Bootsektoren zu verbringen, daž ich aber bei der Vielzahl von Zuschriften NUR DANN ANTWORTEN kann, wenn RšCKPORTO beigefgt wird. ACHTUNG: Das Zurckschreiben eines Bootsektors auf eine Diskette, auf die dieser Bootsektor nicht geh”rt, kann zu DATENVERLUST fhren! Sie haben bei diesem Menpunkt auch die M”glichkeit, einen HEX-Dump des Bootsektors auf den Drucker oder in eine Datei auszugeben. PFXPAK-Programme auspacken/nicht auspacken Dient zur Auswahl, ob PFXPAK-Programme auch im entpackten Zustand berprft werden sollen. Bedauerlicherweise kam es mit dieser Option kurz vor der Aus- lieferung der Version 3.1 zu r„tselhaften Abstrzen, deren Ursache bislang nicht gekl„rt werden konnte. Ich werde diese Funktion bis zur Version 3.2 mit Sicherheit fehlerfrei implementiert haben. Dann k”nnen nicht nur PFXPAK-Programme, sondern auch mit dem ICE-PACK gepackte Programme auf Wunsch automatisch im entpackten Zustand berprft werden. Ich bitte bis zum Erscheinen der Version 3.2 noch um ein wenig Geduld. Protokolldatei erzeugen: Wenn Ihnen Ihr Rechner Schwierigkeiten macht, sei es, daž irgendwelche Programme nicht funktionieren oder st„ndig Fehler auftreten, deren Ursache Sie nicht kennen, dann k”nnen Sie sich mit dem VIRENDETEKTOR eine Protokolldatei ausgeben lassen (Dateiname: VIRDPROT.INF), die alle wichtigen Systemvariablen dokumentiert. Mit Hilfe dieser Datei kann man sich ein Bild ber den momentanen Status des Rechners machen, um so die Fehlerursache (unvertr„gliche Accessories, falsche Treibersoft, Virenbefall, ...) festzustellen. Insbesondere wenn der VIRENDETEKTOR einen Programmfehler meldet oder unmotiviert abstrzt (nobody is perfect) ben”tige ich diese Datei, um dem Fehler auf die Spur zu kommen. Die Protokolldatei wird im Startpfad des VIRENDETEKTORS erzeugt! Konfiguration sichern Alle Einstellungen, die Sie im VIRENDETEKTOR vornehmen, k”nnen Sie in die Datei VIRENDET.INF sichern. Dabei werden auch die vier selbstdefinierten Extensionen mit abgespeichert. Findet der VIRENDETEKTOR beim Start diese Datei auf derselben Ebene wie das Programm, so werden die dort gew„hlten Einstellungen bernommen. Ansonsten wird eine Defaulteinstellung gew„hlt. Sollte das gew„hlte Laufwerk in der Parameter-Datei bei einem erneuten Start des VIRENDETEKTORS nicht mehr vorhanden sein, so wird Laufwerk A als aktuelles Laufwerk vorgegeben. Verwenden Sie bitte keine VIRENDET.INF Datei, die Sie mit Version 3.0 angelegt haben, da diese ein anderes Format aufweist, als die Konfigurationsdatei der aktuellen Version. Registrierte Version erzeugen... Mit diesem Menpunkt k”nnen Sie aus der unregistrierten eine registrierte Programmversion erstellen. Dies funktioniert jedoch nur, wenn Sie im Besitz der Originaldiskette sind - die wiederum erhalten Sie nach Zahlung des Kaufpreises von 30,- DM, also der Sharegebhr. Sie sollten sich zun„chst eine Kopie des Programms anfertigen, um nicht die Originalversion patchen zu mssen. Dies gilt auch deshalb, weil die registrierte Version ja nicht mehr weitergegeben werden darf. Wenn Sie registrierter Benutzer sind, legen Sie bitte Ihre Originaldisk in Laufwerk A und halten Sie eine Kopie des VIREND31.PRG auf Disk oder Festplatte bereit. Die Originaldiskette wird selbstverst„ndlich _nur_ fr die Installation der registrierten Version ben”tigt. Diese kann - einmal erstellt - dann genauso auf eine andere Diskette, die Festplatte oder eine RAM-Disk kopiert werden. Sie ist also nicht kopiergeschtzt. Nach der Installation kann die Originaldiskette somit wieder in den Safe. Sicherheit vor einer unerlaubten Weitergabe der registrierten Programmversion gibt eine individuelle Seriennummer, die bei der Installation von der Originaldiskette in das VIREND31.PRG bertragen wird. Als registrierter Anwender beachten Sie bitte auch die Datei PRIVAT.TXT auf der VIRENDETEKTOR-Originaldiskette. Programmende: Beendet wird der VIRENDETEKTOR mit dem Button "Programmende", seit der Version 3.1f reicht auch ein ^q (CONTROL-q) in einer beliebigen Menbox des Programms. Der VIRENDETEKTOR zeigt dabei eine kurze Statistik an, in der unregistrierten Version (und natrlich nur in dieser) wird zudem darauf hingewiesen, daž diese Testversion nach Ablauf der Testphase bezahlt werden muž. Bei ge„nderten CRC- oder Rootsektordaten erfolgt eine Sicherheitsabfrage. Sie haben nun alle wichtigen Funktionen des Programms kennengelernt. Lesen Sie auf jeden Fall noch die Datei NEWS.TXT, dort finden Sie die wichtigsten Ver„nderungen der letzten Programmversionen und auch einen Abschnitt ber Inkompatibilit„ten und bekannte Programmfehler. Beachten Sie bitte aužerdem den Anhang, dort stehen einige Antworten auf die am h„ufigsten gestellten Fragen zum VIRENDETEKTOR. Dann steht einer erfolgreichen Arbeit mit dem VIRENDETEKTOR nichts mehr im Wege. Sollten bei der Arbeit mit dem VIRENDETEKTOR Probleme auftreten oder sollte es gar zu Abstrzen kommen, so berprfen Sie bitte zun„chst, ob es an einem AUTO-Ordner-Programm oder Accessory liegt. Tritt der Fehler auch mit "nacktem" Rechner (also _OHNE_ AUTO-Ordner-Programme oder Accessories) auf, so teilen Sie mir den Fehler und die Art und Weise, wie Sie ihn erzeugt haben mit. Legen Sie bitte auch das vom VIRENDETEKTOR erzeugt Protokollfile bei (auf Disk oder ausgedruckt). Ich werde mich schnellstens an die Beseitigung des Fehlers machen. Wenn Sie ein Accessory oder AUTO-Ordner-Programm haben, welches nicht mit dem VIRENDETEKTOR zusammenarbeitet, so sollten Sie mir auch das mitteilen. Ich werde dann - soweit m”glich - fr Abhilfe sorgen. Wenn Sie mehr ber Computerviren erfahren wollen, wenn Sie an Tips zur Vorbeugung vor Virenbefall interessiert sind (ja, es gibt tats„chlich noch andere Tips als die Verwendung des VIRENDETEKTORS) und wenn Sie bestimmte Punkte (z.B. die verschiedenen Immunisierungsarten) genauer kennenlernen wollen, dann lesen Sie doch einfach weiter... I. Einfhrung ˙˙˙˙˙˙˙˙˙˙ a) Was ist ein Computervirus? Der Begriff "Virus" ist inzwischen in der Computerszene genauso gel„ufig, wie in der Biologie und Medizin. Fr die ST-User, die noch nicht genau wissen, was es mit diesen kleinen "elektronischen Tierchen" auf sich hat, ist diese Einfhrung gedacht: Computerviren sind keine auf EDV umgeschulte Grippeerreger, sondern Programme oder Routinen, die fremde Software ohne Wissen des Benutzers manipulieren und diese bef„higen, die Verbreitung des Virus fortzusetzen. Computerviren w„ren noch relativ harmlos, wrden sie sich ausschliežlich vermehren - nein, sie richten meistens allerhand Unsinn und zum Teil sogar ernsthafte Sch„den bis hin zum kompletten Datenverlust der Festplatte an. Selbst Hardwaresch„den k”nnen durch Computerviren hervorgerufen werden. Die Bezeichnung "Virus" charakterisiert also die beiden typischen Eigenschaften dieser Programme: Wie ihre biologischen Vettern sind sie ansteckend und gef„hrlich. Konkret heižt das, daž es sich bei einem Virus um ein kleines, unauff„lliges Programm handelt, welches sich m”glichst oft vervielfachen soll und dann eine bestimmte Aktion ausfhrt, deren Gef„hrlichkeit ganz von der Skrupellosigkeit des Virus-Programmierers abh„ngt. Auf Home- und Personalcomputern handelt es sich dabei meistens um L”sch- oder Formatierbefehle, Programmabstrze, die Verhinderung eines Programmaufrufs ohne Passworteingabe oder auch relativ harmlose Dinge wie z.B. Bildschirmflackern, ein "Hackergruž" auf dem Bildschirm, ein paar Ger„usche aus dem Soundchip, ... die Liste l„žt sich beliebig erweitern und die Entwicklung neuer Viren geht in einem haarstr„ubenden Tempo voran. Welche Viren inzwischen auf dem ST bekannt sind, wird in Kapitel IV und Kapitel V noch n„her erl„utert. šbrigens werden Disketten von Viren so gut wie nie vollst„ndig formatiert. Das wrde zuviel Zeit beanspruchen und dem geplagten Opfer die Chance lassen, die Diskette mit einem verzweifelten Griff zum Laufwerk aus selbigem zu entfernen. Gew”hnlich werden nur die Verwaltungssektoren, also FAT und Directory, gel”scht. Das geht blitzschnell und ist fr die Daten auf der Diskette fast ebenso t”tlich wie das normale Formatieren. Zwar sind die Daten physikalisch noch vorhanden, die Suche nach einzelnen Sektoren, um sie wieder den entsprechenden Dateien zuzuordnen, wrde jedoch selbst der Kollege Sysiphus nicht gegen seine derzeitige T„tigkeit eintauschen wollen. An dieser Stelle m”chte ich auch ein Wort an die Hobby-Germanisten unter den Lesern richten. Es haben n„mlich einige Anwender dieses Programms ihren Unmut darber ge„užert, daž ich nicht durchg„ngig "DAS Virus" schreibe, sondern (meistens) "DER Virus". Tats„chlich erlaubt der Duden aber BEIDE M”glichkeiten - lediglich in der Medizin ist "DAS Virus" blich - in der Umgangssprache hat sich hingegen "DER VIRUS" eingebrgert. Aber ich denke, diese Frage ist fr die Bek„mpfung von Computerviren auf dem ST von keiner grožen Bedeutung! Ich bitte auch darum, gelegentliche Rechtschreib- und Interpunktionsfehler zu entschuldigen. Ich bemhe mich zwar, diese weitgehend auszumerzen, aber "nobody is perfect". Meistens startet der Virus seinen gef„hrlichen Hauptteil erst dann, wenn seine šberlebensf„higkeit durch eine ausreichende Menge befallener Disketten bzw. Programme gew„hrleistet ist. Als Ausl”ser dienen dabei je nach Art des Virus die verschiedensten Dinge. M”glicherweise ein bestimmtes Systemdatum, der aktuelle Zustand bestimmter Systemvariablen (z.B.: L”schen der Festplatte, wenn ein bestimmter Fllgrad berschritten wird) oder der Virus wird mit einer beliebigen, vorher festgelegten Wahrscheinlichkeit zuf„llig aktiv. Selbstverst„ndlich kann man einen Virus auch so programmieren, daž er erst startet, wenn er auf ein zuvor bestimmtes Programm (oder eine Datei) trifft. Interessanter als die Frage, WAS der Virus tut, ist fr uns aber die Frage WIE er das tut (oder besser nicht mehr tut - wozu haben Sie denn sonst den VIRENDETEKTOR)! b) Woher kommen Computerviren? Die ersten Viren tauchten vor einigen Jahren in Rechenzentren auf. Dort waren die Urheber in erster Linie Programmierer, die sich ungerecht behandelt fhlten und sich so an ihrem ehemaligen Arbeitgeber r„chen wollten. Oft waren aber auch handfeste finanzielle Interessen im Spiel (Erpressung, Sch„digung von Konkurrenten u.„.). Auch "Experimentierfreude" mag zu Anfang den einen oder anderen Programmierer zur Produktion eines Viren-Programms bewogen haben. In der letzten Zeit tritt dieses Problem jedoch auch verst„rkt im PC- und Home-Computer-Bereich auf und l„žt so manchen Software-Sammler um seine Programmbest„nde bangen. Nun scheint es tats„chlich Leute zu geben, die eine verst„rkt um sich greifende Virenplage fr ein geeignetes Mittel halten, um der Raubkopiererei Herr zu werden. Diese Vorstellung ist allerdings extrem blau„ugig (und von der Realit„t l„ngst widerlegt), denn die Verbreitung von verseuchten Disketten ist ja keineswegs auf Raubkopien beschr„nkt. PD-Programme, Datendisketten und sogar Originalsoftware renommierter Softwarehersteller k”nnen befallen sein. Letzteres ist bereits mehrfach vorgekommen, inzwischen sind aber sowohl PD-Versender als auch Softwarefirmen deutlich vorsichtiger geworden. Die Gefahr von dieser Seite ist damit schon stark zurckgegangen. Im brigen ist es aber gleichgltig, ob jemand eine PD-Diskette tauscht (legal) oder eine Raubkopie (illegal), die Gefahr ist in beiden F„llen gleich. Trotz allem ist auch unter dem Aspekt der Virenplage (brigens nicht nur unter diesem) die Verteilung von Raubkopien nicht ohne Risiko und sollte unterlassen werden. Die Hacker und professionellen Raubkopierer trifft ein Computervirus aber sicher am allerwenigsten. Wer sich mit seinem Rechner sehr gut auskennt, wird in der Regel auch mit Viren gut fertig. Schlimmer trifft es die Anwender, die ihren Computer nur fr Textverarbeitung oder Tabellenkalkulation nutzen, vielleicht gelegentlich Pac-Man spielen und immer brav nur Originaldisketten verwenden, mit Begriffen wie "Bootsektor", "Disketten-Monitor" und „hnlichem aber wenig anzufangen wissen. Wenn dann ein Virus (z.B. ber eine PD-Disk eingeschleppt) die Festplatte mit der fast fertigen Diplom-Arbeit formatiert und das letzte Backup schon ein halbes Jahr alt ist, beginnt das grože Heulen und Z„hneklappern. W„hrend die Virenprogrammierung auf professionellen Mehrplatzsystemen wie schon erw„hnt verschiedene Grnde haben kann, kommen im PC-Bereich eigentlich nur ein bersteigertes Geltungsbedrfnis oder chronischer Vandalismus als Motivation in Frage. Das Programmieren von Virus-Programmen kann man ohne šbertreibung mit dem Zerstechen von Autoreifen, dem Besch„digen von Telefonzellen und „hnlich sinnlosen Attacken auf fremdes Eigentum vergleichen. Diese Einstellung h„lt glcklicherweise auch nach und nach Einzug in die deutsche Rechtsprechung. Auf dem ATARI ST konnte man gegen Ende der achtziger Jahre eine starke Zunahme von Virus-Programmen feststellen, auch wenn es sich vielfach um Viren handelte, die nicht zu der wirklich gef„hrlichen Sorte geh”ren. Nach meinen Erfahrungen auf Grund vieler Stichproben sowohl in meinem Bekanntenkreis als auch bei den Benutzern des VIRENDETEKTOR, hat heute schon jeder dritte ST-Besitzer auf irgendeine Art und Weise Erfahrungen mit Viren gesammelt oder hat sogar selbst verseuchtes Diskettenmaterial! H„ufig werden diese Viren nicht einmal bemerkt, weil gelegentliches "DATEN AUF DISK xy DEFEKT" oder „hnliche Effekte auf andere Ursachen zurckgefhrt werden. Damit steigt natrlich die Gefahr, verseuchte Disketten ber den Daten- oder Programmtausch ungewollt weiterzugeben. II. Viren im ST, wo sie stecken und wie sie sich vermehren ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ Ein Computervirus kann sein Unwesen natrlich nur ungest”rt treiben, wenn es ihm gelingt, sich vor den Augen des Benutzers zu verbergen. Auf Grožrechenanlagen kann man Viren leicht im Arbeitsspeicher verbergen, da diese Anlagen Tag und Nacht in Betrieb sind. Da die wenigsten ST-User ihr Ger„t 24 Stunden t„glich eingeschaltet lassen, ist der einzige Platz, an dem Viren berleben k”nnen, um sich bei gnstiger Gelegenheit zu verbreiten, der Massenspeicher. Das ist in aller Regel die Diskette (bzw. Festplatte). Dort k”nnen sie die stromlose Zeit des Rechners berdauern und sich bei Inbetriebnahme des Systems wieder im Arbeitsspeicher einnisten. Dazu mssen sie sich auf dem Massenspeicher so unterbringen, daž auch ein aufmerksamer Benutzer sie nicht erkennt. Die erneute Installierung im Arbeitsspeicher darf dabei den normalen Arbeitsvorgang nicht beeinflussen, um ihre ihre Anwesenheit nicht zu verraten. Bercksichtigt man diese Vorgaben, dann gibt es prinzipiell zwei M”glichkeiten fr Computerviren, sich im ST breitzumachen: a) Bootsektorviren Man sollte zun„chst wissen, was beim Einschalten des Rechners (bzw. beim Reset) passiert: Das Betriebssystem liest den Bootsektor, das ist generell der erste Sektor auf Track 0 / Seite 0, der in Laufwerk A liegenden Diskette und prft ob er ausfhrbar ist. Ausfhrbar heižt, daž die Prfsumme (das ist die auf 16 Bit reduzierte Summe aller Words im Bootsektor) $1234 betr„gt. Ist das der Fall, dann versucht TOS ein im Bootsektor liegendes Programm auszufhren, indem es mittels JSR an den Beginn des Bootsektors springt. Sollten Sie bei den Begriffen "Bootsektor", "Track" u.„. schon mit unwissendem Ausdruck die Stirne gerunzelt haben, dann sollten Sie vielleicht zun„chst ein Buch zur Hand nehmen, in dem diese Materie auch fr Anf„nger leicht verdaulich aufbereitet ist. (Zum Beispiel das Buch "Scheibenkleister II" von C. Brod und A. Stepper aus dem MAXON-Verlag.) Ich werde im weiteren n„mlich davon ausgehen, daž Sie mit Ihrem Rechner und mit dem Aufbau von Disketten zumindest in Ans„tzen vertraut sind. Dieses Vorgehen, also das Abarbeiten eines eventuell ausfhrbaren Bootsektorprogramms, welches noch vor Ausfhrung der Programme im AUTO-ORDNER und vor der Installierung der Accessories stattfindet, ist ein Relikt aus der Zeit, als das TOS noch von Diskette ins RAM geladen werden mužte (dafr sorgte dann eine Lade-Routine in besagtem Bootsektor). Heute, wo das TOS sich im ROM befindet, wird diese Eigenschaft des Betriebssystems gelegentlich genutzt, um beim Start des Rechners kleinere Programme automatisch auszufhren, z.B. die Umschaltung auf 60Hz-Betrieb beim Farbmonitor oder die Eingabe des aktuellen Datums. Auch einige Spiele starten mit Hilfe einer Lade-Routine im Bootsektor. Der Bootsektor einer normalen Diskette hat beispielsweise folgendes Aussehen: (Diese Diskette wurde mit dem Programm HYPERFORMAT Vers. 3.26 formatiert.) Ich habe dabei die Bootsektordaten nur als HEX-Zahlen angegeben, da die entsprechenden ASCII-Zeichen nicht ohne weiteres dargestellt werden k”nnen. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | | | | | | | | | | | | | | | | EB 34 90 49 42 4D 20 20 0F E2 B8 00 02 02 01 00 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 | | | | | | | | | | | | | | | | 02 70 00 A0 05 F9 03 00 09 00 02 00 00 00 00 00 Anhand dieses Beispieleintrags m”chte ich erkl„ren, was die einzelnen Eintr„ge im Bootsektor bedeuten: -> Bytes 1+2: Branch to bootcode. Wenn der Bootsektor AUSFšHRBAR ist, d.h. wenn seine Prfsumme 1234 ist (die "Prfsumme" ist die auf 16 Bit reduzierte Summe aller Words im Bootsektor), so steht ein Bootprogramm im Bootsektor. Da die n„chsten Bytes im Bootsektor jedoch Daten zur Diskettenstruktur enthalten, muž dieser Datenbereich bersprungen werden, weil das Bootprogramm erst HINTER den Daten stehen kann. Daher muž in den ersten beiden Bytes ein 68000er BRA-Befehl (Sprungbefehl) stehen, der die Bootsektordaten berspringt. Wenn an dieser Stelle ein Eintrag der Art "60 XX" steht, dann befindet sich in diesem Bootsektor normalerweise ein Bootprogramm (oder aber ein Virus). Ob dieses allerdings ausgefhrt wird, h„ngt wie schon gesagt noch von der Prfsumme ab. Dieser Sprungbefehl wird aber auch gerne als "Immunisierung" auf die Diskette geschrieben, ohne daž ein Bootprogramm vorhanden w„re. Was es damit auf sich hat, erfahren Sie weiter unten. Auf MS-DOS Disketten steht an dieser Stelle meistens $EB34 gefolgt von $90 im 3. Byte; manche Kopier- bzw. Formatierprogramme auf dem ST schreiben diese Bytes aus Grnden der Kompatibilit„t mit MS-DOS-Disketten ebenfalls an diese Stelle. So auch das Programm HYPERFORMAT. Doch auch dazu unten mehr. -> Bytes 3-8: Filler(OEM). An dieser Stelle steht nichts von Bedeutung. Die meisten Formatierprogramme legen an dieser Stelle irgend eine Kennung ab, die jedoch nie vom TOS beachtet wird. H„ufig findet man die Zeichenkette "Loader". Unsere Beispieldiskette hat an dieser Stelle nach dem Byte $90 (siehe oben) die Kennung "IBM" gefolgt von zwei Spaces stehen, auch eine Anlehnung an das MS-DOS Format. -> Bytes 9-11: 24-bit serial number. An dieser Stelle steht eine 24-Bit Seriennummer. Diese wird von den meisten Formatierprogrammen sinnvollerweise zuf„llig gew„hlt, da die Seriennummer dazu herhalten muž, das TOS auf einen Diskettenwechsel aufmerksam zu machen. -> Bytes 12+13: Byte per sector. Dieser Eintrag gibt an, wieviel Bytes in einem Sektor der Disk enthalten sind. Normalerweise sind das 512, aber prinzipiell sind auch andere Werte m”glich (der Floppycontroller l„žt noch 128, 256 und 1024 zu). Dieser Eintrag ist im INTEL-Format gehalten. Das heižt, daž das h”herwertige Byte erst als zweites angegeben ist. Um einen solchen Eintrag zu lesen, muž man also die Bytes vertauschen. In unseren Beispiel: 00 02 vertauscht gibt 02 00. Und $200 ist genau 512 dezimal. Diese Schreibweise ist ebenfalls aus Grnden der Kompatibilit„t zu MS-DOS gew„hlt worden. DER BOOTSEKTOR IST šBRIGENS IMMER 512 BYTE LANG!!! -> Byte 14: Sectors per cluster. Anzahl der Sektoren pro Cluster (INTEL-Format). Die Diskettensektoren werden vom Atari intern zu CLUSTERN (Verwaltungseinheiten) zusammengefažt. Und zwar im Allgemeinen je zwei Sektoren zu einem Cluster. Das Betriebssystem verteilt den Diskettenplatz nur in einzelnen Clustern. Jede Datei - auch wenn Sie nur 1 Byte lang ist - belegt also mindestens einen Cluster auf der Diskette. -> Bytes 15+16: Reserved sectors. Reservierte Sektoren auf der Disk (INTEL-Format). Beim ST gibt es nur einen reservierten Sektor, n„mlich den Bootsektor. -> Byte 17: Number of FAT. Das TOS verwendet normalerweise zwei FATs auf einer Diskette. Sozusagen eine "Sicherheitskopie", was aber wenig ntzt, da beide FATs meistens auf einer Spur liegen und daher auch zumeist gleichzeitig den Sprung ins Nirwana antreten. In der FAT wird notiert, welche Cluster in welcher Reihenfolge zu welcher Datei geh”ren. Wenn ein Virus diese FATs l”scht, dann wird die Suche der zu einer Datei geh”renden Sektoren „hnlich amsant, wie die berchtigte Suche nach der Nadel im Heuhaufen. -> Bytes 18+19: Number of directory entries. In diesem Word (wieder im INTEL-Format) steht die maximale Anzahl der Eintr„ge im Wurzelverzeichnis. Das TOS rundet diese Anzahl auf die n„chstkleinere durch 16 ohne Rest teilbare Zahl ab. Die hier stehende Zahl kann also falsch sein; insbesondere frhere HYPERFORMAT-Versionen schrieben gerne "63", obwohl der Platz nur fr 48 ausreicht. Unsere Beispieldiskette hat Platz fr $0070 = 112 Eintr„ge (der normale Wert). Ordner k”nnen natrlich weit mehr Dateien enthalten, dieser Wert gilt NUR fr das Hauptdirectory. -> Bytes 20+21: Sectors per Disc. Hier steht die Gesamtzahl der physikalisch vorhandenen Sektoren auf der Disk (einschliežlich der reservierten). Die Beispieldiskette hat $05A0 = 1440 Sektoren. Eine normale, mit dem Desktop formatierte Disk hat 720 oder 1440 Sektoren, je nachdem ob sie einseitig oder doppelseitig ist. -> Byte 22: Media descriptor. Soll das Speichermedium n„her beschreiben. Dieser Eintrag wird vom TOS nie benutzt und ist nur vorhanden, um die Kompatibilit„t zu MS-DOS zu wahren. Dabei heižt $F8 einseitig/80 Tracks; $F9 heižt doppelseitig/80 Tracks; $FC heižt einseitig/40 Tracks und FD heižt doppelseitig/40 Tracks. Obwohl das TOS diesen Eintrag nicht verwendet, legen die aktuellen TOS-Versionen - und auch viele Formatierprogramme - diesen Wert ordnungsgem„ž an, da ansonsten die Diskette auf vielen MS-DOS kompatiblen PCs nicht gelesen werden kann. -> Bytes 23+24: Sectors per FAT. Hier steht die Anzahl der Sektoren pro FAT. Bei der Beispieldisk sind das drei Sektoren (die normale FAT-L„nge bei ATARI-Disks ist 5 Sektoren). Wie man Byte 17 schon entnehmen konnte, befinden sich zwei FATs auf der Disk, so daž normalerweise insgesamt 10 Sektoren fr die FATs verbraten werden, obwohl sechs ausreichend sind. Einige Formatierprogramme (wie zum Beispiel HYPERFORMAT) krzen die FATs deshalb auch um je zwei Sektoren. -> Bytes 25+26: Sectors per Track. Die Anzahl der Sektoren pro Spur. Normalerweise, wie auch in unserem Beispiel neun Stck. Jeder Sektor mehr pro Track bringt ca. 80 Kilobyte Speicherplatz zus„tzlich auf der Diskette. Statt der normalerweise blichen 9 Sektoren lassen sich auch problemlos 10 Stck unterbringen, da die Lcke zwischen Sektor 9 und Sektor 1 grož genug ist. Die meisten Formatierprogramme bieten diese M”glichkeit. Einige bringen mit ein paar "Tricks" auch 11 unter. -> Bytes 27+28: Number of sides. Die Anzahl der Diskettenseiten. Im Beispiel zwei; sollten Sie mehr Seiten formatieren k”nnen, dann schicken Sie mir doch mal eine derartige Diskette fr mein Gruselkabinett. -> Byte 29+30: Hidden sectors. Die Anzahl der verborgenen Sektoren auf der Disk. Wird vom TOS nicht benutzt und drfte daher auch nur aus Kompatibilit„tsgrnden vorhanden sein. Der Eintrag ist bei ST-Disketten immer 0. Alle weiteren Bytes im Bootsektor geh”ren zu einem eventuell vorhandenen Bootprogramm und sollen hier nicht weiter er”rtert werden. Falls Ihr Interesse geweckt wurde, dann sollten Sie sich ein Buch zu diesem Thema zulegen. ACHTUNG: Fr Festplattenbesitzer ist wichtig zu wissen, daž beim Einschalten des Systems (Kaltstart) zun„chst in jedem Fall der Bootsektor der Diskette in Laufwerk A gelesen und gegebenenfalls ausgefhrt wird. Das gilt auch bei Auto-Boot-f„higen Platten. Auch bei jedem nachfolgenden Reset (Warmstart) wird als erstes auf den Bootsektor der Diskette zugegriffen. (Diese Aussage ist lediglich fr die alten TOS-Versionen 1.00 und 1.02 nicht richtig, hier wird nach einem Warmstart der Bootsektor nicht erneut gelesen bzw. ausgefhrt!) Naturgem„ž ist die L„nge solcher Bootprogramme beschr„nkt (auf maximal 480 Bytes), da von dem 512 Byte langen Bootsektor noch 32 Bytes fr andere Aufgaben (die oben genannten Diskettenstrukturinformationen und das Prfsummen-Ausgleichswort) reserviert sind. 480 Bytes sind fr ein Virusprogramm (selbstverst„ndlich in Assembler programmiert) aber v”llig ausreichend. Einige Bootsektorviren bringen es auf kaum mehr als 200 Bytes. Versteckt sich der Virus auf dem Bootsektor der Diskette, wo er ohne Hilfsmittel nicht zu erkennen ist, so wird er bei jedem Bootvorgang in den Arbeitspeicher geladen (ohne das der Benutzer etwas davon merkt) und reserviert sich dort ein Pl„tzchen. Der Bootvorgang wird dadurch nicht sprbar verlangsamt, der Anwender merkt von diesem Vorgang wirklich nichts! Dann versucht er sich auf jede erreichbare Diskette zu kopieren, die man ins Laufwerk legt. Auf diese Weise hat man nach relativ kurzer Zeit alle Disketten verseucht. Wenn der Virus dann seinen Hauptteil startet, hat man ihn meistens auch schon durch Diskettentausch an Bekannte weitergegeben, die ihn ihrerseits ebenfalls ungewollt weiterverbreitet haben. Dieser Schneeballeffekt kann nur durch konsequente Anwendung einiger Vorsichtsmažregeln gestoppt werden, auf die ich im weiteren Verlauf noch eingehen werde. Es gibt auch eine M”glichkeit, einen Bootsektorvirus im Arbeitsspeicher zu installieren, OHNE daž der Bootsektor ausfhrbar sein muž! Wie das geschieht erfahren Sie weiter unten im Text. Hier sei nur angemerkt, daž der VIRENDETEKTOR (ab Version 2.9e) auch solche Viren zuverl„ssig erkennt - und zwar auch dann, wenn es sich um einen neuen, bisher unbekannten Virus dieser Art handelt! Leider sind viele Virenkiller immer noch der Ansicht, nicht ausfhrbare Bootsektoren seien prinzipiell unverd„chtig. šbrigens bleiben viele Viren auch nach einem Reset im Arbeitsspeicher des Rechners. Man sollte den Rechner fr mindestens 15 Sekunden ausschalten, um sicher zu sein, daž sich kein Virus mehr im Speicher befindet. Ein kurzes Aus-An des des Rechners reicht oft nicht, da die RAMs auch im stromlosen Zustand noch ein kurzzeitiges Erinnerungsverm”gen haben. b) "Tarnkappen"-Viren Virenprogrammierer sind - so bedauerlich dies auch sein mag - wirklich findige K”pfe. Viele User sind inzwischen dazu bergegangen, ihre Disketten zu "immunisieren". Was man darunter im einzelnen versteht, wird in Kapitel VIII. genau erl„utert, hier soll nur soviel gesagt werden, daž eine Art der Immunisierung darin besteht, beim Booten mit einer derartig immunisierten Diskette einen Text auf den Bildschirm auszugeben, der ausbleibt, wenn der Bootsektor von einem Virus befallen ist. Viele Anwender, die Ihre Disketten mit einem Immunisierungs-Bootsektor versehen hatten, fhlten sich lange Zeit sicher, denn gleichgltig welche Diskette bei einem Reset im Laufwerk lag - solange die Immunisierungsmeldung erschien, war ja alles in Ordnung. Diesen Umstand machen sich seit einiger Zeit auch die Virenprogrammierer zunutze! Ein Virus, der einfach die entsprechende Immunisierungsmeldung eines Virenkillers ausgibt, wird vom Benutzer m”glicherweise fr einen harmlosen Immunisierungs-Bootsektor gehalten. Wenn der Virus dann seinen b”sartigen Absichten nachgeht, ist es oftmals schon zu sp„t. Solche "Tarnkappen"-Viren gibt es inzwischen sowohl fr das ANTI-VIREN-KIT von G-DATA, als auch fr das Programm SAGROTAN. Beide Viren sind in der Bootphase nicht von den "echten" Immunisierungen zu unterscheiden. Der WOLF Virus, der die SAGROTAN-Meldung ("Kein Virus im Bootsektor") kopiert, ist sogar so geschickt codiert, daž viele Virenkiller ihn fr einen harmlosen Bootsektor halten. Auch SAGROTAN selbst meldet in der letzten ver”ffentlichten Version 4.17 bei diesem Virus einen harmlosen, MS-DOS-kompatiblen Bootsektor! Der Virus geht darber hinaus sehr sorgf„ltig vor, nach drei neuen Infizierungen verschwindet er wieder aus dem Speicher. Sein eigentliches Ziel, die schrittweise Verkleinerung des Arbeitsspeichers, nimmt er erst in Angriff, nachdem er sich ausreichend oft vermehrt hat. Angst um die RAM-Bausteine braucht nun aber niemand zu haben, der Virus kann dem Rechner den verringerten Speicher natrlich nur vort„uschen. Nach der Beseitigung des unerwnschten Eindringlings ist auch das vermeintlich verschwundene RAM wieder da. Keine Frage, daž Sie mit dem VIRENDETEKTOR auch solche Viren sicher aufspren k”nnen. Vielleicht fragt sich der eine oder andere, wann fr die Immunisierungs- meldung des VIRENDETEKTORS ein entsprechender Virus auftaucht, der die Immunisierung kopiert, die vom VIRENDETEKTOR auf Wunsch erzeugt wird. Dieses Problem ist letztlich nie auszuschliežen, da der VIRENDETEKTOR inzwischen mit Abstand der beliebteste Virenkiller fr den ST/TT im deutschsprachigen Raum ist, w„re ein solches Mimikry fr einen Virenprogrammierer sicher eine "lohnende" Sache. Dem stehen aber zum Glck zwei Dinge entgegen: Erstens ist die Immunisierungsmeldung des VIRENDETEKTORS so lang, daž im Bootsektor kein Platz fr den Virencode brigbleibt. Dadurch mžte ein solcher Virus wesentlich komplexer aufgebaut sein, denn der Immunisierungstext mžte aus einem weiteren Sektor nachgeladen werden. Zweitens wird der VIRENDETEKTOR mit Sicherheit jeden Virus, der diese Meldung kopiert, sofort mit Hilfe seiner Analyseroutine erkennen. Fazit: Wenn Sie eine Diskette bekommen, die beim Booten die VIRENDETEKTOR-Immunisierung meldet, dann sollten Sie sich darauf nicht verlassen, sondern vorsichtshalber die Diskette - wie jede neue Diskette - mit dem VIRENDETEKTOR berprfen. Erst dann ist auch der letzte Rest an Unsicherheit beseitigt. Zur Zeit existiert lediglich ein "Laborvirus", der sich u.a. mit einem (beliebigen!) Immunisierungsbootsektor tarnen kann. Er ist aber lediglich ein Laborexemplar, d.h. der Virus wurde nur entwickelt, um zu sehen, wie ein solcher Virus prinzipiell vorgehen k”nnte. Er ist von einem Experten entwickelt worden, der sich ansonsten mit "vernnftigen" Softwareprojekten besch„ftigt. Glcklicherweise stammen alle im Umlauf befindlichen Viren von Leuten, die ber weniger umfangreiche Kenntnisse verfgen. Also nur weil er nicht ganz so simpel zu erstellen ist, wie die Masse der "0815"-Viren und weil es den Virenprogrammierern offenbar an "know-how" fehlt, ist ein solcher Virus bislang nicht im Umlauf. Dennoch ist es prinzipiell nicht auszuschliežen, daž sich jemand an einem solchen Exemplar versucht, ohne es lediglich zu Testzwecken zu entwickeln. Die Virenerkennung des VIRENDETEKTORS wird aber auch damit fertig. c) Linkviren Es gibt noch einen zweiten etwas anders arbeitenden Virentyp: Sogenannte "Linkviren" sind Virenprogramme, die sich an andere Programme oder Dateien anh„ngen und dann den Zeiger der Einsprungadresse des befallenen Programms so ver„ndern, daž dieser auf den Anfang der Virusroutine zeigt. Der Virus wird dann aktiviert, sobald man das infizierte Programm startet. Sodann versucht der Replikationsteil des Virus alle erreichbaren und noch nicht infizierten Programme ebenfalls mit dem Virus zu versehen. Bei den meisten Linkviren - z.B. dem Milzbrand Virus - wird pro Programmstart eines verseuchten Programms nur EIN weiteres Programm infiziert. Vielleicht fragen Sie sich, warum sich der Virus nicht gleich in alle Programme kopiert, die er auf der Diskette oder RAM-Disk/Festplatte erreichen kann? Der Grund fr diese freundliche Zurckhaltung liegt in der Zeit, die der Linkvirus fr die Infizierung ben”tigt. W„hrend ein Bootsektorvirus lediglich einen Sektor auf der Diskette manipulieren muž, um sich zu verbreiten, hat es ein Linkvirus weitaus schwerer. Er muž relativ umfangreiche Žnderungen an der Struktur der zu infizierenden Programme vornehmen. Zudem muž er die m”glichen Opfer, also noch nicht infizierte Programmfiles, erst einmal finden. Damit sind auch relativ umfangreiche Massenspeicherzugriffe notwendig. Um nicht aufzufallen, schliežlich darf der Start eines verseuchten Programms nicht wesentlich l„nger dauern als vor seiner Infizierung, bleibt nur Zeit fr eine weitere Infizierung. Dieses Verhalten ist der eine Grund fr die langsamere Verbreitung von Linkviren im Gegensatz zu den Kollegen aus dem Bootsektor. Ein zweiter Faktor, der die Ausbreitung von Linkviren behindert, liegt im Zeitpunkt der Infizierung: Da die weitere Infizierung zumindest bei den nicht speicherresidenten Linkviren gleich beim Starten eines verseuchten Programms erfolgt, k”nnen neben den Programmen auf der Festplatte und einer eventuell vorhandenen RAM-Disk nur die Programme auf den zu dieser Zeit in Laufwerk A oder B liegenden Disketten befallen werden. Das erschwert die Ausbreitung eines Virus auf Systemen, die nur ber ein Diskettenlaufwerk und keine Festplatte verfgen. Der Virus kann nur die Programme auf der Diskette, von der das verseuchte Programm gestartet wurde, erreichen. Allerdings stellt auch auf solchen Systemen die RAM-Disk einen geeigneten šbertragungsweg da. Derartige Viren sind also besonders fr Festplattenbesitzer gef„hrlich, weil sie sich dann auf Dauer fast genauso lawinenartig verbreiten, wie Bootsektorviren. ACHTUNG: Es gibt auch Linkviren, die sich (wie ihre Bootsektor-Kollegen) resident im Arbeitsspeicher einnisten und von dort aus jedes erreichbare Programm infizieren. "Jedes erreichbare Programm" heižt dabei, daž jedes Programm infiziert werden kann, das von einem nicht schreibgeschtzten Medium gestartet wird, w„hrend der Virus im Speicher ist. Obwohl die Mehrzahl der Linkviren nicht nach diesem, sondern nach dem oben beschriebenen Schema arbeiten, sind die speicherresidenten Linkviren besonders gef„hrlich, da ihre Verbreitungsgeschwindigkeit wesentlich gr”žer ist! Natrlich sind von Linkviren befallene Programme pl”tzlich l„nger als vor der Infizierung; einige Viren befallen deshalb nur Programme, die eine bestimmte Mindestl„nge haben, um so weniger schnell aufzufallen. Einige VCS- Viren arbeiten beispielsweise so. Auch der Milzbrand Virus l„žt Programme unter 10 Kilobyte L„nge unbehelligt. Auch der Start eines befallenen Programms ben”tigt pl”tzlich mehr Zeit. Aber wer merkt schon, ob die Textverarbeitung statt nach 12 Sekunden erst nach 16 Sekunden geladen ist. Es gibt auch Virusprogramme, die zu keiner Vergr”žerung der befallenen Programme fhren! Im einfachsten Fall berschreibt der Virus einen Teil des infizierten Programms mit dem Virusprogramm. Das infizierte Programm hat seine L„nge dann natrlich nicht ver„ndert, es ist aber auch nicht mehr vollst„ndig vorhanden, so daž es beim Start normalerweise abstrzen wird. Sehr grože Programme k”nnen aber in wesentlichen Bereichen auch nach einer Infektion durch einen berschreibenden Virus noch funktionieren. Geschicktere Viren lagern einen Teil des infizierten Programms in einen unbenutzten Massenspeicher-Bereich aus und laden ihn sp„ter nach. Auf dem ST k„men dafr z. B. der Track 80 und 81 in Frage. Der Virus macht sich also durch einen zus„tzlichen Disketten/Festplattenzugriff bei Aufruf einen Programmes bemerkbar. Auch dadurch verl„ngert sich das Programm natrlich nicht. Ein Virus mit einer derartigen Arbeitsweise ist allerdings auf dem ST (noch) nicht bekannt. Noch geschickter ist es, wenn der Virus einen Teil des befallenen Programms komprimiert, um so fr sich selbst Platz zu schaffen. Beim Starten wird der entsprechende Programmteil dann wieder entkomprimiert. Auch solche Viren, auf MS-DOS-Rechnern bereits im Umlauf, haben den ST bisher verschont. Viren k”nnen sich im Prinzip berall dahin schreiben, wo die Hardware ein Ablegen von Daten erlaubt. Also haupts„chlich in RAM und Massenspeicher. Ungef„hrdet sind dagegen ROM, EPROM, CPU, Monitor und „hnliche Hardware-Erweiterungen (nicht jedoch deren Treibersoftware!!!). Die batteriegepufferte Uhr im ST kann einem Virus nicht als Aufenthaltsort dienen, da dort zum einen nicht einmal 128 Byte Speicher zur Verfgung stehen und zum anderen keine M”glichkeit existiert, mit der sich ein Programm aus dem RAM des Uhrchips wieder im Hauptspeicher installieren k”nnte. Wer glaubt, es gehe doch und absolut sicher gehen will, der entfernt die Batterien fr etwa 20 Sekunden und setzt sie dann wieder ein. d) Linkviren in gepackten Programmen "Was sind gepackte Programme", werden vermutlich einige Leser wissen wollen. "Packen" bedeutet in diesem Zusammenhang "komprimieren". Seit langem bekannt sind die Standardpacker ARC, LHARC, ZIP, ZOO und andere. Diese archivieren beliebige Files in eine einzige komprimierte Datei. Besonders fr die Datenbertragung mittels Modem und Telefonleitung ist diese Methode beliebt, da eine Komprimierung hier Zeit und damit Geld spart. Aber auch fr Backups oder „hnliches sind solche Programme zu gebrauchen. Ihr Nachteil liegt darin, daž mit diesen gepackten Dateien nicht gearbeitet werden kann. Wenn man sie braucht, mssen sie zun„chst wieder entpackt werden. Fr die t„gliche Arbeit ist dieses Verfahren also nicht zu gebrauchen. Einige Programmierer haben sich nun berlegt, wie man diesen Nachteil umgehen k”nnte. Sie entwickelten Programme wie PFX-PAK, ICE-PACK, TURBO-PACKER+ oder PACK2. Was diese Programme machen? - Ganz einfach: Diese Programme erstellen aus einem Programm ein gepacktes Programm, welches aber nach wie vor ausfhrbar bleibt und sich beim Programmstart zun„chst blitzschnell selbst entpackt! Der Vorteil liegt auf der Hand, die Programme belegen nur noch 50-60% des Speicherplatzes auf der Diskette oder Festplatte und werden zudem von Diskette schneller gestartet, da der Zeitbedarf fr das Entpacken durch die verkrzte Ladezeit mehr als wettgemacht wird. Der geringfgig erh”hte Zeitbedarf fr das Laden von Festplatte oder RAM-Disk wird angesichts des eingesparten Platzbedarfs in Kauf genommen. Ich m”chte an dieser Stelle einen h„ufig vorkommenden Irrtum klarstellen: Es besteht anscheinend die weit verbreitete Annahme, daž ein Packen von Programmfiles einen zus„tzlichen Schutz vor Linkviren darstellt. Dies ist aber nicht der Fall. Auch wenn das Packen von Programmen einige Vorteile bietet, ein Schutz vor Linkviren ist dadurch NICHT gegeben. Zwar kann das gepackte Programm selbst nicht mehr befallen werden, aber statt dessen ist die Entpack-Routine, die ja bei jedem Programmstart ausgefhrt wird, nun Ziel des Virus. Die Ausbreitung von Linkviren wird also weder verhindert noch verlangsamt! Richtig gef„hrlich wird es, wenn ein bereits befallenes Programm nachtr„glich gepackt wird. Entweder, weil der Befall nicht bekannt ist oder weil jemand auf diese Weise Viren "unter die Leute" bringen will. Letzteres ist tats„chlich ein ernstes Problem! Auf diese Weise gepackte Programme werden n„mlich beim Starten fr den Benutzer unbemerkt im Arbeitsspeicher entpackt. Wird ein mit einem Linkvirus befallenes Programm nach dem Befall mit einem dieser Packer eingepackt, so erkennt keines der bislang auf dem Markt befindlichen Virenkillerprogramme diesen Linkvirus, da dann auch der Virencode in gepackter Form auf dem Massenspeicher vorliegt und der Virenkiller nicht mehr in der Lage ist, solche Virencodeteile zu erkennen, obwohl der Virus beim Starten eines gepackten Programms nach wie vor aktiv wird. Leider haben einige "Spažv”gel" diese Art der Virenverteilung inzwischen entdeckt. Sie sollten also solche Programme vor dem šberprfen wieder entpacken. Da der Anwender bei einem neuen Programm i.a. nicht erkennen kann, ob es gepackt vorliegt, meldet der VIRENDETEKTOR seit der Version 3.1, ob ein Programm gepackt vorliegt und mit welchem Packer es ggf. gepackt wurde. Der VIRENDETEKTOR erkennt in der aktuellen Version folgende Packer: PFX-PAK, Turbo-Packer+, ICE-Pack, DCSquish, BA-Packer, PACK 2.0, JAM-Pack, Automation Compacter und CRUNCHER.TTP. In Deutschland ist der PFX-PAK von Thomas Quester das beliebteste und am h„ufigsten verwendendete Programm dieser Art, nicht zuletzt weil es als SHAREWARE-Programm sehr preiswert ist. Fr den im deutschsprachigen Raum am st„rksten verbreiteten Packer (den PFX-PAK) sollte der VIRENDETEKTOR sogar die M”glichkeit vorsehen, ein gepacktes Programm zu entpacken und in seiner ausgepackten Form zu berprfen. Diese M”glichkeit war in der Beta-Version auch schon eingebaut, ich mužte sie allerdings kurzfristig wieder ausbauen, da es gelegentlich zu unerkl„rlichen Abstrzen kam, die nicht eindeutig reproduzierbar waren und deren Ursache ich nicht kl„ren konnte. Bis zur Version 3.2 wird diese Option mit Sicherheit realisiert werden. Da der Entpackvorgang im RAM abl„uft, fhrt dieser zus„tzliche Prfvorgang (der abschaltbar ist) kaum zu einer Verlangsamung der šberprfung. Auch fr den ICE-PACK (der z.B. in den Niederlanden und in GB weit verbreitet ist) ist eine solche Prfung im ungepackten Zustand in Vorbereitung. Fr die anderen Packer (die aber zusammen weniger als 20 % Marktanteil haben) besteht leider auch nach dem n„chsten Update noch keine M”glichkeit des automatischen Entpackens durch den VIRENDETEKTOR. Hier muž der Benutzer diese Programme manuell entpacken und dann erneut berprfen. Da sechs der oben genannten acht Packer PD/Freeware/Shareware sind, ist es kein Problem, sich diese Packer zu besorgen. Sollten Sie diese Packer nicht besitzen und keine anderweitige Bezugsquelle haben, dann sollten Sie bei der Registrierung die drei Utility-Disketten gegen einen Unkostenbeitrag von 10,- DM mitbestellen. Auf einer dieser Diskette finden Sie die genannten Packer, so daž Sie verd„chtige Programme vor der šberprfung selbst entpacken k”nnen. Davon abgesehen werden Sie feststellen, daž einige dieser Packer sehr ntzliche Werkzeuge sind, wenn es darum geht, Platz auf Disketten oder auf der Festplatte zu sparen. Fr ATARI-User ohne Festplatte kommt hinzu, daž gepackte Programme von Diskette wesentlich schneller gestartet werden k”nnen. Die Erstellung der CRC-Prfsumme hilft natrlich auch bei der Bek„mpfung solcher Viren. e) Viren in CPX-Modulen Keine Panik! Hier werden Sie nichts von "CPX-Viren" lesen, denn diese Viren gibt es zum Glck noch nicht. Falls Sie beim Lesen des letzten Satzes nur verst„ndnislos mit dem Kopf geschttelt haben, dann lassen Sie sich kurz erl„utern, was ein CPX-Modul ist: Das neue, modulare Kontrollfeld XCONTROL von Atari ist ein Accessory, das sogenannte "CPX-Module" nachladen kann. Diese CPX-Module sind wiederum eine Art Accessory und dienen i.a. zu Konfigurationszwecken. Ein solches Modul besteht aus einem 512 Byte langen Header und einer normalen GEMDOS-Programmdatei. Die bekannten Linkviren k”nnen solche CPX-Module nicht infizieren. Es ist aber durchaus m”glich, daž in Zukunft auch Linkviren auftauchen, die solche CPX-Module infizieren. Daher werden ab Version 3.1c diese CPX-Module ebenfalls in die CRC-Prfung (sofern eingeschaltet) einbezogen. f) Neue, bisher unbekannte Linkviren Der beste Schutz vor unbekannten Linkviren ist ein st„ndiges Updaten des VIRENDETEKTORS. Es erbrigt sich darauf hinzuweisen, daž die Versionen aus den diversen PD-Serien meist _nicht_ aktuell sein k”nnen. Bis eine neue Version in eine PD-Serie kommt, vergehen 6-8 Wochen, oft sogar l„nger. Dazu kommt noch, daž ein grožer Teil der PD-Versender die Programme nicht updaten, so daž ber diesen Weg oft uralte Versionen im Umlauf sind. Wer registrierter Anwender ist - also das Programm bezahlt hat - bekommt natrlich die aktuellen Programmversionen, die st„ndig an eventuelle neue Linkviren angepažt werden. Glcklicherweise h„lt sich der Fortgang bei der Entwicklung neuer Linkviren in ertr„glichen Grenzen. Diese sind nicht so leicht zu programmieren, wie die Kollegen im Bootsektor und verbreiten sich zudem wesentlich langsamer. Oft handelt es sich bei neuen Linkviren um alte Bekannte, die nur geringfgig manipuliert wurden. Je nach Umfang und Art dieser Manipulation kann es aber durchaus sein, daž der VIRENDETEKTOR diesen ver„nderten Virus nicht mehr erkennt. Um aber ein weiteres Stck Sicherheit zu bieten, werden alle berprften Programme auf typische Hinweise fr den Befall durch Linkviren analysiert. Ein erkannter Verdacht wird dann gemeldet. Wenn Sie mir ein solches verd„chtiges Programm zuschicken, kann ich eine genauere Analyse mittels eines Disassemblers vornehmen, die diesen Verdacht dann entweder best„tigt oder entkr„ftet. Die vom VIRENDETEKTOR vorgenommene Analyse kann aber unm”glich alle denkbaren neuen Linkviren finden, eine zus„tzliche Verwendung der CRC-Prfsummenbildung ist in jedem Fall zu empfehlen. Bei mehreren tausend testweise berprften Programmen hat sich diese Analyse bislang bew„hrt und ist sehr sicher gegen Fehlalarme. Dennoch ist es m”glich, daž diese Funktion zu einem Fehlalarm fhrt. In der Datei NEWS.TXT finden Sie eine Liste, in der sich die bisher bekannten unverseuchten Originalprogramme befinden, bei denen ein "Virenverdacht" unbegrndet gemeldet wird, sofern mir solche F„lle bekannt sind. g) Alle Link- und Bootsektorviren im šberblick Eine ausfhrliche Liste mit allen bekannten Link- und Bootsektorviren, die sowohl Verbreitungsweise als auch Wirkung der einzelnen Viren beschreibt, werden sie an dieser Stelle nicht finden. Allerdings nicht etwa, weil eine solche Liste nicht existiert, sondern weil diese Infos bereits im Programm selbst integriert sind. Unter dem Menpunkt "Viren-Datenbank" finden Sie genaue Details zu mehr als 50 verschiedenen Viren. Da diese Datenbank nicht notwendig ist, um w„hrend der Testphase die Tauglichkeit des VIRENDETEKTORS beurteilen zu k”nnen, ist dieser Menpunkt in der unregistrierten Version fast vollst„ndig gesperrt. Wenn Sie sich dazu entschliežen, dieses Programm regelm„žig zu nutzen und dann auch den Sharewarebeitrag entrichten, erhalten Sie eine Diskette mit der vollst„ndigen Programmversion, in der eine Beschreibung jedes einzelnen Virus zu finden ist. Dies ist eine kleine Erinnerung daran, daž dieses Programm - auch wenn es frei kopiert werden darf - nicht ganz "umsonst" ist. III. Wie beugt man Virenbefall vor? ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ Wie schtzt man sich vor Viren? Scheinbar weiž es fast jeder, das beweisen die gestiegenen Verkaufszahlen diverser Virenkiller. Trotzdem ist Vorsicht geboten, denn in den Programmierern von Computerviren schlummert ein skrupelloser Ehrgeiz. Aus ihrem zerst”rerischen Engagement entwickeln sich immer geschicktere Viren, zumal diese Programmierer st„ndig nach neuen Wegen suchen, um das Heer der Virenkiller zu berlisten. Will man sich vor ihnen schtzen, so ist es ntzlich, sich zumindest einen šberblick ber die verschiedenen Typen und ihre Arbeits- und Verbreitungsweise zu verschaffen. Wenn Sie diesen Text bis hierher gelesen haben, dann haben sie die prinzipielle Arbeitsweise von Viren auf dem ST/TT hoffentlich etwas besser kennengelernt. Aber auch bei Computerviren gilt der oft strapazierte Spruch "Vorbeugen ist besser als heilen". (Toll, wie sich immer neue Beziehungen zwischen Informatik und Medizin finden lassen.) Mit "Vorbeugen" ist dabei das Befolgen einiger elementarer Regel gemeint, die hier kurz erw„hnt werden sollen: Die 10 "goldenen Regeln" zum Schutz vor Virusprogrammen: ======================================================== 1. Nie mit Originalen sondern nur mit Sicherheitskopien arbeiten! (Die Unart, Software mit einem Diskettenkopierschutz zu versehen, ist zum Glck fast nur noch bei Spiele-Software verbreitet.) 2. Booten Sie immer mit einer eigenen, stets schreibgeschtzten Disk! (Denken Sie daran, daž auch bei autobootf„higen Festplatten zun„chst der Bootsektor der Diskette in Laufwerk A gelesen wird!) 3. Aktivieren Sie soweit es m”glich ist, den Schreibschutz der Diskette! Verwenden Sie fr RAM-Disks und Festplatten gegebenenfalls das beiliegende Accessory WPROTECT. 4. Bei fremden Disketten zweifelhafter Herkunft die Harddisk ausschalten und das Zweitlaufwerk leer lassen. Nach Beendigung des Programms den Rechner ausschalten! 5. Wenn m”glich zwischen Programm- und Daten-Disketten unterscheiden, erstere stets schreibschtzen! 6. Auf Raubkopien verzichten! (Naja, das sollte wohl selbstverst„ndlich sein...) 7. Ein Reset ist kein sicherer Schutz vor Viren im RAM, nur AUSSCHALTEN (mind. 15 Sekunden) beseitigt auch resetfeste Viren! 8. Neue Software zun„chst mit dem VIRENDETEKTOR berprfen! (Mehrere PD-Versender, aber auch bekannte Firmen und Zeitschriften haben schon versehentlich verseuchte Disketten ausgeliefert!) 9. Den VIRENDETEKTOR regelm„žig updaten lassen, damit Sie immer mit der neusten Version, die regelm„žig an die aktuelle Virenentwicklung an- gepasst wird, arbeiten! Virenprogrammierer kommen st„ndig auf neue Ideen, wie zum Beispiel die Entwicklung von Bootsektorviren auf NICHT ausfhrbaren Bootsektoren gezeigt hat. Bei keiner anderen Programmsparte sind regelm„žige Updates so wichtig, wie bei Viren- killern! Bedenken Sie, daž die Versionen, die auf den Disketten von PD-Versendern erscheinen, NIE den aktuellen Stand des VIRENDETEKTORS widerspiegeln - und damit zumeist auch nicht den aktuellen Stand der Virenentwicklung! Wie Sie eine Nutzungslizenz fr den VIRENDETEKTOR erwerben k”nnen und so regelm„žig in den Besitz der neusten Version gelangen, erfahren Sie am Schluž dieses Textes. 10. Wenn sich doch ein Virus bei Ihnen eingeschlichen hat, informieren Sie alle, an die Sie den Virus eventuell weitergegeben haben k”nnten; kopieren Sie Ihnen den VIRENDETEKTOR (natrlich nur die un- registrierte Version im kompletten Ordner) am besten gleich mit! Eine weitere Art der Vorbeugung gegen Bootsektorviren ist die sogenannte "Immunisierung" von Bootsektoren. Darauf werde ich weiter unten noch ausfhrlich eingehen. Leider gibt es bei Computerviren wie auch bei ihren Kollegen aus der Biologie kein Allheilmittel. Selbst das strenge Befolgen dieser Tips ist keine Garantie, daž es nicht doch irgendwann einmal einem Virus gelingt, Ihre Disketten oder die Festplatte zu infizieren und Schaden anzurichten. So hat man beispielsweise bis vor kurzer Zeit angenommen, ein nicht ausfhrbarer Bootsektor sei in jedem Fall als harmlos einzustufen. Wie inzwischen bekannt ist, war dies eine krasse Fehleinsch„tzung! Diese Tips sind allerdings zum jetzigen Zeitpunkt gegen alle bekannten Viren auf dem ATARI ST ein absolut sicherer Schutz. IV. An welchen Effekten erkennt man Computerviren? ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ Ich habe schon einige prinzipielle Effekte, die von Viren verursacht werden k”nnen, in Kapitel I erw„hnt. Es gibt aber noch viel b”sartigere Viren, sie k”nnen teilweise sogar Sch„den an der Hardware verursachen, indem sie z. B. den Schreib-/Lesekopf des Laufwerks/Festplatte laufend gegen den Anschlag bewegen oder (bei IBM-Kompatiblen mit Hercules-Karte) die Graphikkarte so programmieren, daž diese irreparablen Schaden nehmen kann. Besitzer von Farbmonitoren droht auch noch eine andere Gefahr! Man kann den ST dazu bewegen, auch im Farbbetrieb auf die (monochrome) Bildfrequenz von 71 Hz umzuschalten. Damit „ndert sich die Zeilenfrequenz von 16 MHz auf 36 MHz. Den "Notreset", den der ST normalerweise bei solcherlei Unfug ausfhrt, kann man softwarem„žig sperren. Wenn Sie einmal ein dutzend Farbmonitore brig haben, sollten Sie ruhig ausprobieren, wie lange der Farbmonitor diese Prozedur berlebt. Derzeitige Hochrechnungen schwanken zwischen einer Sekunde und wenigen Minuten. Sicher ist jedenfalls, daž Ihr Farbmonitor nach recht kurzer Zeit jede weitere Mitarbeit fr alle Zeiten verweigern wird. (Letzte Tests mit dem Original-ATARI-Farbmonitor haben gezeigt, daž einige Bildschirme dieser Prozedur durchaus fast eine halbe Stunde gewachsen sind.) Ein Virus, der es auf die Zerst”rung Ihrer Hardware abgesehen hat, k”nnte sich diesen Umstand zunutze machen. Das bisher kein derartiger Virus aufgetaucht ist, liegt wahrscheinlich an der schwierigen programmtechnischen Umsetzung des soeben gesagten. Auch der neue FALCON 030 kann, sofern ein VGA-Festfrequenzmonitor verwendet wird, als potentielles Virenopfer angesehen werden, da die Zerst”rung eines solchen Monitors durch Software - und damit auch durch ein Virenprogramm - m”glich ist. Sie sehen also, daž auch die Hardware einem potentiellen Virus jede Menge Angriffspunkte bietet. Glcklicherweise sind nicht alle Viren auf dem ST dermažen b”sartig. Ein paar Beispiele sollen das verdeutlichen: Ein (Bootsektor-)Virus dreht, nachdem er sich fnf mal weiterkopiert hat, die vertikale Bewegungsrichtung der Maus um 180 Grad. Dieser Virus st”rt also "nur" Ihren normalen Arbeitsfluž, ohne das es zu Datenverlust kommt. Ein anderer Virus schreibt, nachdem man drei Stunden am Rechner gearbeitet hat, die Meldung "Ihr Computer hat AIDS" auf den Monitor und stoppt den Prozessor. Abgesehen davon, daž dies ein ausgesprochen geschmackloser "Scherz" ist, wird jemand, der drei Stunden einen Text eingegeben hat ohne abzuspeichern, ber diesen Virus wenig lachen k”nnen. Ein weiterer Virus berschreibt in jedem VBL-Interrupt, also nach jedem Bildaufbau (d.h. 71 mal pro Sekunde beim Monochrom- und 50 bzw. 60 mal pro Sek. beim Farbmonitor) ein beliebiges Byte im Arbeitsspeicher mit einem Zufallswert. Die Folge ist ein Absturz des Rechners, sobald wichtige Programmteile oder ein Teil des Betriebssystems getroffen werden. Wenn Sie bei der Arbeit mit dem ST feststellen, daž einige Programme beim Starten deutlich l„nger brauchen als vorher, dann ist gr”žte Vorsicht angezeigt. Es ist sehr wahrscheinlich ein Linkvirus, der diese Verz”gerung beim Start verursacht. Sollten Sie bei der šberprfung mit dem VIRENDETEKTOR keinen Befall feststellen, dann bedeutet dies noch nicht die v”llige Entwarnung! Denn auch dann, wenn Sie mit der neusten VIRENDETEKTOR-Version arbeiten, ist es m”glich, daž bei Ihnen ein neuer Linkvirus aufgetaucht ist, der bislang noch nicht erkannt wird. Hier greift als zus„tzlicher Schutz in erster Linie die CRC-Prfsummenbildung, die ich Ihnen nochmals w„rmstens ans Herz legen m”chte. Sind Sie sich nicht sicher, ob sich ein Linkvirus bei Ihnen eingenistet hat, dann schicken Sie mir eine Diskette mit dem m”glicherweise verseuchten Programm. Ich werde Ihnen die Diskette umgehend zurckschicken und sofern es sich tats„chlich um einen neuen Linkvirus handelt, bekommen Sie auch gleich eine Version des VIRENDETEKTOR, die diesen neuen Virus erkennt. Selbstverst„ndlich gilt dieses Angebot nur fr diejenigen, die den VIRENDETEKTOR ordnungsgem„ž bei mir erworben haben (registrierte Benutzer), schon deshalb, weil nur diese immer mit der neusten Version arbeiten! Wenn Sie bisher noch nichts von Computerviren bemerkt haben, so geh”ren Sie entweder zu denen, deren Disketten noch "virenfrei" sind oder Sie beherbergen auf Ihren Disketten nur "harmlose" Bootsektorviren. Gerade auf dem ST gibt es einige Virenprogramme, die sich nur auf jeden erreichbaren Bootsektor kopieren, ohne berhaupt eine b”sartige Wirkung zu entfalten. Jedoch auch solche Viren k”nnen Schaden anrichten, weil z.B. manche Spiele den Bootsektor als Lader oder als Kopierschutz benutzen und ein Bootsektorvirus das Programm somit unbrauchbar macht. Auch MS-DOS-Disketten (PC-Ditto/PC-Speed) m”gen einen Virus im Bootsektor berhaupt nicht. Manchmal werden Viren aber auch nicht als solche erkannt, weil Effekte, die nur gelegentlich auftreten, oft auf Programmfehler, defekte Disketten oder „hnliches geschoben werden. In der im Programm integrierten Viren-Datenbank finden Sie alle Informationen zu den bislang bekannten Viren bersichtlich nach Virennamen sortiert. Allerdings sollte man auch nicht gleich bei jedem Absturz oder Programmfehler einen Virus fr den šbelt„ter halten! Denn leider gibt es fr den ST zum Teil so besch...eidene Software, daž berhaupt kein Virus mehr n”tig ist, um den Anwender zum Wahnsinn zu treiben! Auch das TOS hatte zumindest in den ersten Versionen einige Eigenschaften, die den Schluž nahelegten, ATARI wollte eigentlich kein Betriebssystem, sondern einen 192 KByte grožen Mammutvirus programmieren. ;-) Schliežlich k”nnen sowohl defekte Disketten als auch ein besch„digter Rechner als Ursache fr diverse Probleme in Erscheinung treten. Neben einem Virenkiller sind daher auch ein Diskprfprogramm und ein Memorytester zur Lokalisierung von Fehlern ntzlich. Wer nicht ber derartige Utilities verfgt, der kann bei mir drei (doppelseitige) Disketten mit insgesamt etwa 4,5 MB (!) der wichtigsten Hilfsprogramme (PD/Freeware/Shareware) und Online-Packer erhalten. Auf diesen Disketten finden Sie unter anderem ein Programm zur Funktionsberprfung der RAM-Chips, ein Programm, das Ihre Disketten auf physikalische Defekte berprft (und rettet, was noch zu retten ist), ein Programm zur Wiederherstellung versehentlich gel”schter Dateien und viele weitere ntzliche Kleinigkeiten. Diese Disketten k”nnen Sie als registrierter Benutzer (und nur als solcher) bei mir erhalten! Dazu erh”ht sich Ihre Registrierungsgebhr lediglich um 10,- DM Unkostenbeitrag. N„heres dazu finden Sie in Kapitel X. Mit dem Programm VIRENDETEKTOR haben Sie nun das geeignete Mittel in der Hand, um einen Virus zu entdecken, bevor er Unheil anrichten kann oder sich ber die gesamten Datenbest„nde verbreitet hat. Eine genaue Beschreibung der bekannten Viren fr den ST/TT finden Sie in der Viren-Datenbank, in der auch auf Verbreitungsweise und Manipulationsaufgabe jedes einzelnen Virus eingegangen wird. Daž dieser Menpunkt nur in der registrierten Programmversion des VIRENDETEKTORS vollst„ndig zug„nglich ist, dient nicht zuletzt als kleiner zus„tzlicher Anreiz, die Sharegebhr zu zahlen. V. Neues von der Virenfront ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ Die Entwicklung neuer Viren fr den ST scheint nicht mehr in dem Tempo voran zu schreiten, wie noch vor einigen Jahren. Das kann zum einen am gestiegenen Verantwortungsbewužtsein der Virenprogrammierer liegen (wer's glaubt ...), oder aber an der gestiegenen Vorsicht der Anwender (wohl eher). Zudem verfgen die meisten ST-Besitzer inzwischen ber einen Virenkiller, mit dem Sie Ihre Disketten berprfen k”nnen. Lediglich die Gerchtekche k”chelt weiter vor sich hin. Fr einige Zeitschriften ist das Thema "Computerviren" inzwischen zum beliebten Seitenfller geworden. Mit der Angst vor Computerviren l„žt sich die Auflage anscheinend deutlich steigern. Man bietet den Lesern ein paar drittklassige Virenkiller Marke "Bootsektor-Ex" zum abtippen und bringt ein paar "echte Insidertips". Da kommt dann ab und zu die Nachricht von einem Supervirus, das sogar schreibgeschtzte Disketten befallen soll (absoluter Bl”dsinn, weil physikalisch nicht m”glich), man h”rt von Original-Software, die einen Virus verbreitet, wenn Sie unrechtm„žig kopiert wird (noch bl”dsinniger, da sowas fr den Hersteller erhebliche straf- und zivilrechtliche Konsequenzen haben drfte) und „hnlichen Gruselm„rchen. Eine wichtige Neuigkeit - die inzwischen schon gar nicht mehr besonders neu ist - m”chte ich Ihnen aber nicht vorenthalten: Es gibt Bootsektorviren, die sich im Arbeitsspeicher installieren, OBWOHL der Bootsektor NICHT AUSFšHRBAR ist!!! Wie das geht? - Sehen Sie selbst: Das Betriebssystem des STs hat ein undokumentiertes Feature, mit dem sich Programme resetfest im Speicher installieren k”nnen. Nach dem Booten von Diskette oder Platte, aber noch vor Ausfhrung der Programme im AUTO-Ordner durchsucht das Betriebssystem den gesamten Arbeitsspeicher nach einer Speicher-Doppelseite (mit gerader Seitennummer, also $400, $600, ...), die folgende Eigenschaften erfllt: - erstes Long-Word ist die Magic-Number $12123456 - in den zweiten vier Bytes steht ein Zeiger auf den Anfang der Speicher- seite - Die (Word-)Summe aller Bytes in diesem 512 Bytes langen Bereich ist $5678 Die Suche l„uft von PHYSTOP abw„rts bis $600. Sollte der ST fndig werden, so wird ein dort befindliches Programm ausgefhrt. Zuvor hat das Betriebssystem den Bootsektor der Diskette in den Arbeitsspeicher geladen, um zu prfen, ob der Bootsektor ausfhrbar ist. Dort verbleibt der Bootsektor als "Daten-Leiche", auch wenn er NICHT ausgefhrt wird. Nun braucht ein Bootsektorvirus nur die entsprechenden Magics an den richtigen Stellen zu enthalten und der Virus wird installiert, OBWOHL der Bootsektor eigentlich nicht ausfhrbar ist! Derartige Viren k”nnen dann - einmal im Speicher installiert - durchaus noch Code-Teile nachladen. Diese sind dann auf normalerweise unbenutzten Bereichen (z.B. Sektor 4 und 5 der beiden FATs) gespeichert, so daž der zus„tzliche Platzbedarf des Virus nicht auff„llt. Die meisten Virenkiller (auch der VIRENDETEKTOR bis 2.9d) sind diesen Viren bislang auf den Leim gegangen, da nicht ausfhrbare Bootsektoren als harmlos klassifiziert wurden. Damit ist nun allerdings Schluž! Zu erw„hnen bleibt noch, daž diese Viren nicht TOS-unabh„ngig sind. Sie laufen also nur auf jeweils einer einzigen TOS-Version, da die absoluten Adressen des Diskettenpuffers, das ist der Teil des Speichers, in den der Bootsektor eingelesen wird, sich von TOS-Version zu TOS-Version verschoben haben. Somit stimmt die Lage des Magics immer nur fr eine TOS-Version, wobei allerdings 1.04 und 1.06 die gleiche Diskettenpufferadresse besitzen. Ein Virenprogrammierer muž somit mehrere leicht modifizierte Versionen seines Virus in Umlauf bringen, um alle TOS-Versionen abzudecken. Glcklicherweise gibt's ja jetzt auch schon 2.05 und 2.06 und 3.01 und 3.05 und ... sollte sich die Adresse des Diskettenpuffers bei diesen Versionen jeweils verschoben haben, dann laufen die "alten" Viren, die sich auf das beschriebene Feature stzen, nicht mehr auf den neuen TOS-Versionen. Es wird aber nur eine Frage der Zeit sein, bis es auch fr diese TOS-Versionen einen entsprechend arbeitenden Virus gibt. Vor einiger Zeit gab es aužerdem ein "Update" des Virus-Construction-Sets. Zur Zeit wird diese Version aber meines Wissens nirgendwo vertrieben. Es ist ohnehin erstaunlich, daž gegen ein derartiges Programm, welches auf Knopfdruck nahezu beliebige Linkviren erzeugt, noch nicht gerichtlich vorgegangen worden ist. Zumal einige Softwareh„user fast ebensoviel Rechtsanw„lte wie Programmierer besch„ftigen. Seit der Version 3.0 hat sich nicht mehr viel getan, neue Linkviren gibt es nicht, lediglich ein paar neue Bootsektorviren haben sich angefunden. Daž die Virenprogrammierer sich dennoch nicht v”llig vom ST abgewendet haben, zeigen immer wieder neue Versuche, Computerviren so zu programmieren, daž diese dem Anwender m”glichst lange verborgen bleiben. Die "Tarnkappen"-Viren, die ja schon erw„hnt wurden, sind auch ein solcher Versuch. Doch nicht immer sind es neue oder besonders geschickte Viren, die zu zweifelhaftem Ruhm gelangen. Ein besonders aktuelles Beispiel der letzten Monate, bei der ein Virus auf einer Heftdiskette im ganzen Land verbreitet wurde, betrifft einen alten Bekannten: Auf der Diskette zur Septemberausgabe 92 der ST-Zeitschrift "TOS" (die inzwischen eingestellt wurde) befand sich n„mlich der SIGNUM/BPL Virus. Er ist wohl der am weitesten verbreitete Bootsektorvirus auf dem Atari ST. Man sch„tzt, daž weltweit etwa 1,5 Millionen Kopien davon existieren. Da er nun wieder einmal Thema der aktuellen Diskussion ist, soll seine Arbeitsweise hier kurz erw„hnt werden: Mit der bekannten Textverarbeitung gleichen Namens hat der Virus trotz gegenteiliger Gerchte nichts zu tun. Wie alle Bootsektorviren kopiert er sich in den Speicher, sofern von einer infizierten Diskette gebootet wird. Dort wartet er, bis auf eine nicht schreibgeschtzte Diskette in Laufwerk A oder B zugegriffen wird. Sind die ersten beiden Byte im Bootsektor dieser Diskette nicht $6038 (der typische Sprungbefehl BRA $38 am Anfang dieses Virus und vieler Bootprogramme), dann kopiert er sich auf diesen Bootsektor (er infiziert also die eingelegte Diskette) und tut zun„chst nichts weiter. Dies „ndert sich, wenn der Virus auf einen Bootsektor trifft, bei dem die ersten beiden Byte $6038 sind und bei dem an einer bestimmten Stelle der Wert $1092 (dezimal brigens 4242 (42-Crew???)) steht. Ist dann zudem noch ein Z„hler des Virus kleiner als ein entsprechender Z„hler im berprften Bootsektor, dann wird dieser Bootsektor ausgefhrt, gleichgltig ob er fr das Betriebssystem tats„chlich ausfhrbar ist. Der SIGNUM/BPL Virus k”nnte also eine Art "Hilfsvirus" fr einen ganz anderen Virus sein, der mangels Ausfhrbarkeit von den meisten Usern erstens nicht gefunden und zweitens, falls bemerkt wird, daž da etwas im Bootsektor steht, trotzdem nicht weiter beachtet wird. Dieser Virus verfgt h”chstwahrscheinlich ber einen Z„hler. Dieser "zweite Teil" ist aber bislang nirgendwo aufgetaucht. Da der SIGNUM/BPL Virus ohne diesen zweiten Teil keine Aktionen startet, die dem Anwender auffallen k”nnten, ist seine weite Verbreitung nicht weiter verwunderlich. Auch ausfhrbare Bootsektoren (Spiele-Lader oder Immunisierungs-Bootsektoren) werden nicht berschrieben, sofern sie mit dem blichen $6038 beginnen - allerdings trifft das nicht auf alle Bootprogramme zu. Zudem gibt es von diesem Virus bereits Mutationen, die sich generell auf jeden Bootsektor kopieren. Doch auch ohne den bislang unbekannten zweiten Teil kann der Virus Probleme bereiten, da zum Beispiel zuvor MS-DOS-kompatible Disketten nun von MS-DOS-Rechnern nicht mehr gelesen werden k”nnen. Zudem fhrt eine infizierte Diskette auf einem TOS 2.05, zu dem der Virus nicht kompatibel ist, zu Abstrzen beim Bootvorgang. Weiterhin wurde beobachtet, daž der im Speicher residente Virus in bestimmten F„llen zu einer Zerst”rung der FAT einer eingelegten Diskette fhren kann, was seine Ursache wohl in einem "geschlabberten" Media-change hat. Obwohl der Name des Virus derartigen Gerchten Vorschub leistet, hat der Virus wie schon erw„hnt _nichts_ mit der gleichnamigen Textverarbeitung zu tun. Weder fhrt er dazu, daž Signum seine Zeichens„tze nicht mehr findet, noch l”scht er die Dokumente dieses Programms. Auch fr die gelegentlich ge„užerte Vermutung, der Virus sei vor einigen Jahren von ASH mit der Textverarbeitung zusammen ausgeliefert worden, gibt es nicht den Hauch einer Best„tigung. Relativ neu sind auch Bootsektorviren einer besonders fiesen Art, die sich durch bestimmte Verfahren (ich m”chte das hier aus verst„ndlichen Grnden nicht n„her ausfhren) einer automatischen Analyse entziehen. Diese Analyse nimmt der VIRENDETEKTOR (ganz „hnlich wie einige andere Virenkiller) auf Wunsch des Benutzers immer dann vor, wenn der Bootsektor einer Diskette nicht als bekannt (entweder Virus oder harmloser Bootsektor) erkannt werden konnte. Da ich jedoch mit anderen Virenexperten und diversen Autoren anderer Virenkiller zusammenarbeite, ist garantiert, daž der VIRENDETEKTOR bereits kurz nach dem erstmaligen Auftauchen eines solchen Virus entsprechend an diesen Typ angepažt wird, so daž eine sichere Erkennung gew„hrleistet ist. VI. So funktioniert der VIRENDETEKTOR ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ Der VIRENDETEKTOR ist, wie schon im Vorwort beschrieben, „užerst einfach in der Handhabung! Das Programm ist auf allen STs lauff„hig; ben”tigt wird allerdings ein Monitor (bzw. eine Grafikkarte), die mindestens 640*400 Punkte liefert. Wer nur einen ST mit Farbmonitor hat, braucht sich nun aber nicht entt„uscht abzuwenden. Es gibt zwar keine Version des VIRENDETEKTORS, die auf dem ST mit Farbmonitor in der Aufl”sung ST-MID oder ST-LOW l„uft, da beispielsweise die Darstellung eines kompletten Bootsektors in Hex und ASCII in der mittleren oder gar in der niedrigen ST-Monitoraufl”sung nicht vernnftig zu realisieren ist, aber mit einem kleinen Trick kommen auch Farbmonitor-Besitzer in den Genuž dieses Programms: Der Trick heižt MONOCHROM-EMULATOR! Dabei handelt es sich um ein kleines Programm, daž auf dem ST-Farbmonitor die hohe Aufl”sung darstellt. Natrlich kann man von diesem Programm keine Wunder erwarten, d.h. die Bildsch„rfe und Aufl”sung erreicht natrlich nicht die eines SM 124, es stehen schliežlich auch nur halb soviel Bildschirmpunkte zur Verfgung. Ein l„ngeres Arbeiten mit Programmen, die fr die hohe ST-Aufl”sung gedacht sind (z.B. Signum) wird mit diesem Emulator deshalb auch kaum zum Vergngen. Fr die Virenjagd mit dem VIRENDETEKTOR ist der Emulator aber auf dem Farbmonitor eine halbwegs akzeptable L”sung, da zumindest die Meldungen, die das Programm ausgibt, einigermažen lesbar sind. Trotzdem ist die Anschaffung eines SM 124 unbedingt zu empfehlen. Wer lediglich einen Farbmonitor am ST betreibt und keinen Emulator besitzt, kann einen solchen bei mir erhalten! Registrierte Benutzer schicken mir einfach eine formatierte Disk und einen ausreichend (!) frankierten Rckumschlag. Wer noch nicht registriert ist, gibt bei der Registrierung (n„heres dazu in Kapitel IX) bitte an, daž er den Emulator ben”tigt. Er wird kostenlos beigelegt, sofern Sie eine Leerdisk und 1,- DM Porto (oder 2,40 DM in Briefmarken, falls Sie keine Diskette beilegen wollen) mitschicken. Im grožen und ganzen sind die Funktionen der einzelnen Menpunkte des VIRENDETEKTORS ja schon erl„utert worden, hier finden Sie zu dem einen oder anderen Punkt einige erg„nzende Erl„uterungen: Der Startbildschirm enth„lt neben der Angabe von TOS-, GEMDOS- und GEM-Version, dem TOS-Datum und der Anfangsadresse des Betriebssystems eine Liste von sieben Systemvariablen. Dies sind TRAP #1 (zeigt auf den Dispatcher fr die GEMDOS-Traps), TRAP #13 (zeigt auf den Dispatcher fr die BIOS-Traps), TRAP #14 (zeigt auf den Dispatcher fr die XBIOS-Traps), resvektor, hdv_bpb (zeigt auf die Routine, die den Bios Parameter Block eines logischen Laufwerks zurckliefert), hdv_rw (zeigt auf die Routine zum Lesen/Schreiben von Laufwerken) und hdv_mediach (zeigt auf die Routine zur Bestimmung des Medienwechsel-Status eines logischen Laufwerks). Normalerweise zeigen diese Systemvariablen ins Betriebssystem, es sei denn, ein speicherresidentes Programm hat sie auf eine eigene Adresse "verbogen". Dies ist z.B. fr Hardisk-Treiber notwendig. Auch das beiliegende Accessory/Programm WPROTECT verbiegt hdv_rw, denn WPROTECT muž ja irgendwie mitbekommen, wenn ein schreibender Zugriff auf ein softwarem„žig schreibgeschtztes Medium versucht wird, um diesen mit der entsprechenden Meldung zurckzuweisen. Diese sieben Systemvektoren werden aber auch von Viren in der Regel ver„ndert. Dabei „ndert natrlich nicht jeder Virus auch jede dieser sieben Systemvariablen. Weil sich inzwischen eine grože Zahl von Programmen an den diversen Systemvektoren zu schaffen machen, gibt es das sogenannte "XBRA-Protokoll" (eXtended BRAner). Es geht auf den amerikanischen Programmierer Moshe Braner zurck und wurde von Julian F. Reschke erweitert (siehe auch ST-Magazin 10/88, S. 66 und 4/90, S. 58 f.). Mit Hilfe dieses Protokolls, bei dem neben dem ursprnglichen Wert der Systemvariablen auch eine 4-Byte-Kennung des Programms gespeichert wird, (bei WPROTECT ist die Kennung z.B. "WPRO") kann sich ein "Vektorverbieger" auch nachtr„glich wieder aus der Kette aush„ngen, die ja von mehreren Programmen ver„ndert werden kann. Zudem kann ein Programm erkennen, ob es bereits in diesem Vektor installiert ist. Verwenden alle Programme, die sich in einen Systemvektor einh„ngen, dieses XBRA-Protokoll, so kann man die Kette verfolgen, bis man letztlich im Betriebssystem endet. Dies zeigt der VIRENDETEKTOR auch an, es werden jeweils die Programmkennungen und die Adresse, auf die der Vektor umgebogen wurde, ausgegeben. Letztlich endet die Liste mit der Pseudokennung "->BS", die anzeigt, daž man wieder im Betriebssystem angekommen ist. Leider halten sich wie schon erw„hnt nicht alle Programme an diesen Standard. Somit kann es sein, daž diese Kette mit einem "????" endet. Dann wurde der Systemvektor von einem Programm verbogen, welches das XBRA-Protokoll nicht befolgt. Dies k”nnte also auch darauf hindeuten, daž sich an dieser Stelle ein Virus eingeklinkt hat. Damit nicht zwei Programme die gleiche 4-Byte-Kennung verwenden, werden die bereits an andere Programme vergebenen XBRA-Kennungen von Julian F. Reschke (EMail: julian@math.uni-muenster.de oder jr@ms.maus.de) gesammelt. Bei der Funktion 'Bootsektor berprfen' wird der Bootsektor des gew„hlten Laufwerks (A oder B) eingelesen. Dann berprft das Programm zun„chst ob der gelesene Bootsektor ausfhrbar ist. Falls das der Fall ist, so wird er mit allen Bootsektoren, die das Programm kennt (in dieser Version sind das immerhin ber 200 Stck), verglichen. Kann VIRENDETEKTOR den Bootsektor identifizieren, so wird festgestellt, ob es sich um einen Virus handelt oder um einen legalerweise ausfhrbaren Bootsektor (z.B. Aladin-Disk, 60Hz-Bootsektor, TOS-Bootsektor, Lader fr ein Spiel, ...). Das wird dem Benutzer natrlich mitgeteilt (z.B. "Diese Disk ist eine ALADIN-Disk"). Diese Mitteilungen k”nnen unter dem Menpunkt "Weitere Optionen" mit "Info-Meldungen ein/ausschalten" auch unterdrckt werden. Damit ist bei der šberprfung einer grožen Zahl von Disketten ein noch schnelleres Arbeiten m”glich. Wenn das Bootprogramm nicht zwingend erforderlich ist, kann es auch auf Wunsch entfernt werden. Falls es sich um einen Virus handelt, wird das ebenfalls gemeldet (natrlich auch bei abgeschalteten Info-Meldungen) und zwar sowohl mit seinem Namen (fr Viren, deren Herkunft im Dunkeln liegt, ist dieser Name allerdings von mir erfunden und somit wenig aussagekr„ftig) sowie mit dem Hinweis, in der wievielten Generation er vorliegt (natrlich nur bei mutierenden Viren, also Viren, die ein oder mehrere Bytes als Z„hler verwenden). Dann kann der Virus auf Knopfdruck gel”scht werden, d.h. der Bootsektor wird unter Aussparung der Seriennummer und der Diskettenstruktur-Information im Bereich $08-$1D vollst„ndig genullt. Gegebenenfalls wird die gew„hlte Immunisierung aufgebracht. Sollte das Programm einen ausfhrbaren Bootsektor nicht identifizieren k”nnen, so wird auch das gemeldet und der Benutzer hat die M”glichkeit, eine Routine aufzurufen, die das Bootprogramm auf bestimmte Virenmerkmale untersucht. Das Bootprogramm wird dann als gef„hrlich oder harmlos klassifiziert. Der dafr verwendete Algorithmus hat sich bis heute in allen Tests als so weit wie m”glich zuverl„ssig erwiesen! Es gibt allerdings eine M”glichkeit, wie ein Virus diese šberprfung (und die „hnlich arbeitender Anti-Virenprogramme) unerkannt bersteht. Ich werde mich dazu aber nicht n„her „užern, da ich den Programmierern von Computerviren nicht auch noch Hilfestellung geben m”chte. Sollte dennoch einmal die Meldung erscheinen "Keine exakte Aussage m”glich", so ist es am einfachsten, wenn Sie mit den in eine Datei geschriebenen Bootsektor zur genaueren Analyse zuschicken. Ansonsten bleibt Ihnen noch folgender Test, um festzustellen, ob es sich m”glicherweise doch um einen Virus handelt: Nehmen Sie zwei leere Disketten, die ich im folgenden mit A und B bezeichnen werden. Falls Sie eine Festplatte besitzen, so schalten Sie diese unbedingt ab! Sorgen Sie zun„chst dafr, daž Ihr Rechner frei von Viren ist, d.h. Rechner ausschalten und mit garantiert sauberer oder ganz ohne Diskette booten. Kopieren Sie nun die gesamte Diskette mit dem unbekannten Bootprogramm auf Disk A. Verwenden Sie dazu ein Kopierprogramm (z.B. FCopy oder Bitte ein Bit), damit auch der Bootsektor bertragen wird. Formatieren Sie dann Disk B neu. Nun booten Sie von Disk A und legen, nachdem das gewohnte Desktop erschienen ist, Disk B ein. Falls es sich bei dem unbekannten Bootprogramm auf Disk A um einen Virus handelt, so wird dieser sich bei der ersten Gelegenheit auf den Bootsektor der frisch formatierten Disk B kopieren. Diese Gelegenheit schaffen Sie nun, indem Sie Disk B ins Laufwerk legen, sich das Inhaltsverzeichnis anzeigen lassen und 'Arbeit sichern' im Desktop anw„hlen. Schalten Sie Ihren Rechner einen Augenblick (>15 Sek.) aus und dann wieder ein - um ein eventuellen Virus aus dem RAM zu verjagen, natrlich ohne Disk A oder B im Laufwerk! Nun k”nnen Sie den Bootsektor von Disk B mit dem VIRENDETEKTOR berprfen. Sollte der Bootsektor von Disk B nun ein unbekanntes Bootprogramm enthalten, dann kann das nur ein Virus sein! Diese Vorgehensweise ist leider etwas umst„ndlich, dafr sollte sie aber auch so gut wie nie notwendig werden! Wesentlich einfacher k”nnen Sie es sich machen, wenn Sie mir einen verd„chtigen Bootsektor, den Sie zuvor mit dem VIRENDETEKTOR in eine Datei geschrieben haben, auf Diskette zur Analyse zuschicken. Sie erhalten ihre Diskette selbstverst„ndlich mit einer aktualisierten Version des VIRENDETEKTORS zurck. Wer meine Virensammlung um ein neues Exemplar bereichert, kommt zudem noch in den Genuž einer kleinen Belohnung! Wenn der untersuchte Bootsektor nicht ausfhrbar ist, so wird geprft, ob es sich um einen ganz normalen Bootsektor handelt oder ob Daten im Bootsektor stehen. Das k”nnen z.B. ein Copyright sein, Reste eines ehemaligen Virus, der mit einem fremden Viren-Killer bearbeitet worden ist oder „hnliches. Wer m”chte, kann auch diese Daten l”schen, obwohl davon keine Gefahr ausgehen kann. Bei der šberprfung einer gesamten Partition oder eines Laufwerks auf Linkviren werden seit Version 2.9d auch alle "versteckten" Files berprft. Das sind Dateien, bei denen das "hidden"-Attribut im Directory gesetzt ist. Diese Files werden im Directory (und AUCH in der systemeigenen Fileselect-Box) nicht angezeigt. Gleiches gilt auch fr Dateien mit gesetztem "system"-Attribut. Die šberprfung auf Linkviren kann durch Drcken der ESCAPE-Taste (bitte eine Weile gedrckt halten) vorzeitig abgebrochen werden. Sollten Sie einmal aus Versehen die ESCAPE-Taste gedrckt haben, wiederholen Sie die šberprfung einfach noch einmal. Bei der šberprfung werden alle Dateien mit den Extensionen PR*, AC*, APP, TOS, GTP und TTP, sowie mit den vier selbstdefinierten Extensionen bercksichtigt. Damit werden zum Beispiel auch Programme im Auto-Ordner erfažt, die in *.PRX oder *.PR umbenannt wurden. Mit der Funktion "Einzelne Programme berprfen" k”nnen Sie auch Dateien anw„hlen, die keine ausfhrbaren Programme sind. Natrlich ist es vollkommen sinnlos, beispielsweise eine Grafik-Datei oder eine ASCII-Datei auf Virenbefall zu untersuchen. Der VIRENDETEKTOR meldet dies entsprechend, wenn es sich nicht um eine Programmdatei handelt und erstellt dann auch keine CRC-Prfsumme. Ich werde oft gefragt, weshalb der VIRENDETEKTOR bei der Linkvirenberprfung so schnell arbeitet. Der Begriff "schnell" ist zwar relativ unbestimmt, aber wer ber eine schnelle Festplatte verfgt, oder die šberprfung auf einer RAM-Disk vornimmt, wird tats„chlich von der Geschwindigkeit des VIRENDETEKTORS angenehm berrascht oder sogar erstaunt sein. Leider ist die Geschwindigkeit von der Version 3.0 auf die Version 3.1 (bzw. 3.1a) etwas zurckgegangen, ich werde in n„chster Zeit noch einige Optimierungen vornehmen. Seit der Version 3.1b ist die Geschwindigkeit der šberprfung von Programmen auf Linkviren mit eingeschalteter CRC-Prfsummenbildung schon wieder um etwas mehr als 30% gestiegen. Dies macht sich allerdings nur bei Festplatten oder RAM-Disks bemerkbar, beim Zugriff auf Disketten macht der relativ langsame Massenspeicherzugriff den L”wenanteil der verbrauchten Zeit aus. Bisweilen wird der eine oder andere Anwender ein wenig mižtrauisch, ob denn bei dieser Geschwindigkeit alles mit rechten Dingen zugehe oder ob nicht vielleicht die šberprfung nur deswegen so schnell sei, weil eben schlampig gearbeitet werde. Nun, diesen Befrchtungen m”chte ich energisch entgegentreten! Um einmal zu verdeutlichen, warum der VIRENDETEKTOR so schnell arbeitet, werde ich kurz erl„utern, was bei der šberprfung einer Datei auf Linkvirenbefall geschieht. Zun„chst einmal wird anhand des Dateiheaders berprft, ob es sich berhaupt um ein ausfhrbares Programm handelt. Es bleibt Ihnen unbenommen, Ihre Lieblingsbilder mit der Extension *.PRG zu versehen, der VIRENDETEKTOR erkennt trotzdem, daž es sich nicht um ausfhrbare Programme handelt und meldet dann, daž ein Virenbefall einer solchen Datei somit nicht m”glich ist. (Ein "Starten" dieser Datei im Desktop fhrt natrlich auch zu einer Fehlermeldung.) Fr diesen Fall ist die šberprfung somit bereits beendet. Falls es sich aber um ein ausfhrbares Programm handelt, so wird nicht etwa die gesamte Datei in den Arbeitsspeicher geladen (das wrde viel zu lange dauern und ist v”llig unn”tig), sondern nur der Teil, der von einem eventuell vorhandenen Linkvirus tats„chlich ver„ndert wrde. Insgesamt mssen nur etwa 300 Bytes gelesen werden, was auch von einer Diskette noch in akzeptabler Zeit zu machen ist. Danach werden die eingelesenen Teile der Datei auf eine Ver„nderung durch einen der bekannten Linkviren berprft. Falls der CRC-Check eingeschaltet ist, wird zudem ber den Teil des Programmes, der sich bei einem Linkvirenbefall ver„ndern MUSS, eine CRC-Prfsumme gebildet. Damit ist bei sp„teren šberprfungen gew„hrleistet, daž auch ein Befall durch bislang unbekannte Linkviren zuverl„ssig erkannt wird, selbst wenn die Analyse auf unbekannte Linkviren, die der VIRENDETEKTOR durchfhrt, keinen Befall melden sollte. Sie sehen also, daž der VIRENDETEKTOR nur relativ wenig Massenspeicher- zugriffe ben”tigt. Gerade diese sind aber im allgemeinen dafr verantwortlich, wenn ein Virenkiller ein "Schlaftablettenfeeling" aufkommen l„žt. Es ist v”llig unsinnig, ein Programm von mehreren hundert Kilobyte komplett in den Arbeitsspeicher zu laden, auch die Berechnung der Checksumme ber eine komplette Programmdatei ist nervt”tend langsam und absolut unsinnig. Ich bin sogar sicher, daž sich die Geschwindigkeit des VIRENDETEKTORS noch um ein paar Prozent steigern l„žt, viel ist aber wohl nicht mehr herauszuholen. Immerhin hat sich die Arbeitsgeschwindigkeit von Update zu Update bis zur Version 3.0g kontinuierlich gesteigert und das, obwohl sich die Anzahl der Viren, die das Programm erkennt, ebenfalls erh”ht hat! Der geringe Geschwindigkeitsrckgang mit Einfhrung der Version 3.1, den Sie bei der šberprfung von Disketten berhaupt nicht bemerken werden, ist auf die neuen Programmfunktionen zurckzufhren (insbesondere darauf, daž nun mehr CRC-Prfsummen pro Programmnamen m”glich sind und darauf, daž auch nach gepackten Programmen gesucht wird). Wenn Ihnen der Aufbau der Dialogboxen auf dem Bildschirm zu langsam ist, dann sollten Sie einen sogenannten "Software-Blitter" verwenden (NVDI, TURBO ST oder QUICK ST). Ich kann hier aus Kompatibilit„tsgrnden nicht mehr viel herauskitzeln, schliežlich soll der VIRENDETEKTOR auf allen ATARI ST/STE/TT/FALCON 030 Rechnern und mit diversen Grafikkarten laufen. Ein wichtiger Punkt bei der Beurteilung eines Anti-Virenprogramms ist die Anf„lligkeit fr Fehlalarme. D.h. wie h„ufig kommt es vor, daž eine vermeintliche Infizierung durch einen Virus diagnostiziert wird, die in Wahrheit nicht vorhanden ist. Der VIRENDETEKTOR verh„lt sich in diesem Punkt relativ unproblematisch. Wird ein unbekannter Bootsektor als infiziert gekennzeichnet, so kann man tats„chlich zu beinahe 100% davon ausgehen, daž es sich um einen bislang unbekannten Virus handelt. Es ist jedenfalls bis heute kein harmloses Bootprogramm aufgetaucht, welches vom VIRENDETEKTOR irrtmlich fr einen Virus gehalten worden w„re. Bei Linkviren ist es so, daž die bekannten Linkviren immer erkannt werden - wird ein Befall gemeldet, so kann es sich nicht um einen Fehlalarm handeln. Die šberprfung der CRC-Prfsumme ist allerdings mit einer gewissen Unsicherheit behaftet. Zum einen kann nicht ausgeschlossen werden, daž ein Programm zum Zeitpunkt der Prfsummenerstellung bereits von einem bislang unbekannten Virus befallen ist, zum anderen kann es zu Ver„nderungen an Programmen kommen, die nicht durch Virenbefall verursacht worden sind, die aber durch eine ver„nderte CRC-Prfsumme den Verdacht auf Virenbefall nahelegen. Nun noch einige Zeilen zum Ordner WPROTECT: WPROTECT.ACC und WPROTECT.PRG, sowie die weiteren Dateien in diesem Ordner sind ein Bestandteil des Lieferumfangs des VIRENDETEKTOR. Eine Weitergabe dieser Dateien und des Quellcodes ist auch ohne die weiteren Files dieses SHAREWARE-Pakets zul„ssig, nicht jedoch umgekehrt! WPROTECT ist seit der Version 1.02 wieder Public Domain, der Autor gestattet die Weitergabe jedoch nur in der unver„nderten Version. Das Accessory muž auf das Hauptdirectory Ihrer Bootpartition oder Bootdiskette kopiert werden und wird dann beim n„chsten Reset installiert, das Programm geh”rt in den AUTO-Ordner. šbrigens sind Programm und Accessory identisch. Sie brauchen es nur umzubenennen. Der Einfachheit halber ist es im VIRENDETEKTOR-Ordner doppelt vorhanden. Das Accessory erm”glicht es Ihnen, beliebige Partitionen Ihrer Festplatte oder Ihre RAM-Disk vor Schreibzugriffen zu schtzen. Nach Aufruf des Accessories erscheint eine Dialog-Box, in der Sie mit der Maus unter allen angemeldeten Laufwerken anw„hlen k”nnen. Sie k”nnen die gew„hlte Konfiguration auch abspeichern. N„heres zur Bedienung von WPROTECT finden Sie in der Datei WPROTECT.TXT. Eine mit WPROTECT schreibgeschtzte Partition oder RAM-Disk verh„lt sich genau wie eine schreibgeschtzte Diskette. Beim Versuch etwas zu schreiben oder zu l”schen erscheint die von dort bekannte Alert-Box. Der Schreibschutz kann auch von den zur Zeit im Umlauf befindlichen Viren nicht umgangen werden, dennoch bietet er nicht den absoluten Schutz eines Hardware-Schreibschutzes! Das Accessory wurde auf den TOS-Versionen 1.00, 1.02 1.04, 2.05, 3.01 und 3.05, mit diversen RAM-Disks sowie mit den Festplatten SH204, SH205, Megafile 30 und einigen SCSI-Platten getestet. Es l„uft mit dem AHDI von Atari ebenso zusammen, wie mit dem CBHD vom Scheibenkleister und Julian Reschkes HUSHI. TROTZDEM empfehlen wir bei der Verwendung eines anderen Treibers (insbesondere bei VORTEX-Treibern) Vorsicht walten zu lassen. Die Bedienung des Accessories ist seit der Version 1.0 sehr komfortabel geworden. Das Auto-Ordnerprogramm belegt weniger als ein Kilobyte Hauptspeicher, das Accessory begngt sich immerhin noch mit deutlich weniger als 10 Kilobyte Hauptspeicher. Damit ist seine Verwendung auch auf einem 0,5 MB Rechner kein Problem! Genaueres erfahren Sie in der Datei WPROTECT.TXT. Fr die Programmierung des Accessories geht mein Dank an Christoph Conrad, der auch sonst einiges zum VIRENDETEKTOR beigetragen hat. Als letzten Hinweis m”chte ich Sie noch daran erinnern, daž Sie vor der Arbeit mit VIRENDETEKTOR dafr sorgen, daž sich kein Virus im Arbeitsspeicher aufh„lt. Das wrde sich n„mlich sonst nach Restaurieren des Bootsektors gleich wieder dort einnisten. VIRENDETEKTOR berprft zwar zu Beginn, ob sich ein Virus im Speicher aufh„lt und meldet sich, wenn es einen Virus findet, ich kann jedoch nicht dafr garantieren, daž diese šberprfung wirklich jeden Virus im Arbeitsspeicher entdeckt. Dies gilt besonders dann, wenn noch weitere Programme im Speicher resident sind, die sich ebenfalls an diversen Systemvektoren zu schaffen machen (Harddisk-Treiber, u.„. ...)! Deshalb ist dringend zu empfehlen, vor dem Start von VIRENDETEKTOR mit einer garantiert sauberen Diskette zu booten! (Sollten Sie sich nicht sicher sein, ob Sie berhaupt noch eine unverseuchte Diskette besitzen, so booten Sie einfach ohne Diskette, das dauert zwar etwa 40 Sekunden, ist dafr aber auch totsicher.) VII. VD-QUICK - ein kleines fixes Helferlein ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ Das Programm VD-QUICK.TTP, das erstmals mit der VIRENDETEKTOR Version 3.1l ausgeliefert wurde, dient zum schnellen und bequemen Virentest. Die Bedienung ist nicht ganz so einfach, wie die des VIRENDETEKTORS. Wenn Sie also dieses Kapitel nicht gleich verstehen sollten oder wenn Ihnen die Bedienung zu kompliziert ist, dann vergessen Sie VD-QUICK einfach. Alles, was dieses kleine Programm macht, k”nnen Sie im Grunde auch mit dem VIRENDETEKTOR selbst erledigen. VD-QUICK verwendet exakt die gleiche Analysefunktion wie der VIRENDETEKTOR, die Ergebnisse der Bootsektor- und Linkvirenprfung mit VD-QUICK oder dem VIRENDETEKTOR sind also ebenfalls exakt gleich. Im Gegensatz zum VIRENDETEKTOR erwartet VD-QUICK seine Eingaben nicht im Dialogbetrieb vom Benutzer, sondern wertet eine bergebene Kommandozeile aus. Dabei wird auch das ARGV-Verfahren zur šbergabe langer (>125 Bytes) Kommandozeilen untersttzt. Die Ausgaben von VD-QUICK gehen normalerweise auf die Standardausgabe (also in der Regel auf den Bildschirm), k”nnen aber auch in die Datei VIRENDET.LOG umgeleitet oder ganz unterdrckt werden. Eine Umleitung auf den Drucker ist mit einem entsprechenden Tool ebenfalls m”glich. Das Programm kann durch drcken von vorzeitig abgebrochen werden (ggf. muž diese Taste einige Sekunden gedrckt gehalten werden). Falls sich im Verzeichnis, aus dem VD-QUICK gestartet wird, auch die Konfigurationsdatei des VIRENDETEKTORS befindet (VIRENDET.INF), dann werden daraus lediglich die vier selbstdefinierten Extensionen ausgelesen, die neben PR*, AC*, TOS, TTP, APP, GTP (und bei eingeschalteter CRC-Prfung auch CP*) bercksichtigt werden. Zus„tzlich wird die im VIRENDETEKTOR eingestellte Immunisierungsart fr Bootsektoren bernommen, sofern diese mit "Konfiguration sichern" gespeichert wurde (abschaltbar, s.u.); die weiteren Einstellungen des VIRENDETEKTORS, die dort abgespeichert sind, werden nicht bercksichtigt. Je nach Ergebnis der Virenprfung wird an die aufrufende Shell ein Wert zurckgegeben, dessen gesetzte Bits folgende Bedeutung haben: Bit 0 : Abbruch durch Benutzer " 1 : Abbruch wegen Fehler " 2 : (Mindestens ein) Programm mit einem Laufzeitentpacker gefunden " 3 : " " " " ver„nderter CRC-Prfsumme " " 4 : " " " zeigt Verdacht auf unbekannten Virus " 5 : " " " mit einem bekannten Linkvirus infiziert " 6 : (Mindestens ein) unbekannter Bootsektor gefunden " 7 : " " verd„chtiger Bootsektor gefunden " 8 : " " infizierter Bootsektor gefunden Durch Auswertung diese Rckgabewertes ist es zum Beispiel m”glich, daž eine Shell oder ein anderes Programm VD-QUICK aufruft und es zur Virenberprfung (insbesondere zum Linkvirentest) einsetzt. Die Anwendungsm”glichkeiten sind vielf„ltig, eine Packershell k”nnte dadurch beispielsweise ein ausgepacktes Archiv sofort auf Linkvirenbefall untersuchen, ein Kopierprogramm k”nnte ebenfalls jede zu kopierende Diskette zun„chst auf Virenbefall prfen und vieles mehr. Wer VD-QUICK in eigenen Programmen untersttzen will, sollte sich fr weitere Informationen mit mir in Verbindung setzen, insbesondere deshalb, weil der Rckgabewert in der Version 1.0 gegebenenfalls noch erweitert und/oder ver„ndert wird. VD-QUICK sollte sich im gleichen Ordner wie VIREND31.PRG befinden, damit gegebenenfalls die Dateien VIRENDET.CRC und VIRENDET.INF gefunden werden k”nnen. Als Kommandozeile erwartet das Programm optional einige Schalter, sowie die šbergabe der zu untersuchenden Programme oder Ordner oder einer Datei, die eine Liste dieser Dateien bzw. Ordner enth„lt. N„heres dazu finden Sie in diesem Kapitel. Das Starten ohne Kommandozeile wird mit der Ausgabe einer kurzen Hilfsseite beantwortet, wonach VD-QUICK sich wieder beendet. Beachten Sie bitte, daž dieses Tool noch in der Erprobungsphase steckt, wie auch die Versionsnummer erkennen l„žt. Dies bedeutet insbesondere, daž bis zur Version 1.0 noch einige zus„tzliche Optionen eingebaut werden. Doch auch schon jetzt ist VD-QUICK ein ausgereiftes Helferlein... Die EBNF fr die Syntax der bergebenen Kommandozeile: (Falls Sie nicht wissen, was eine EBNF ist und wenn Ihnen die folgenden Zeilen nur als unverst„ndliches Kauderwelch erscheinen, dann sehen Sie sich die Beispiele an, die ich dazu weiter unten angebe, das Ganze ist wirklich relativ einfach...) Kommandozeile: ["-" schalter] path {" " path} schalter: "b"|"c"|"d"|"f"|"i"|"q"|"q1"|"q2"|"q3"|"s"|"w"| "B"|"C"|"D"|"F"|"I"|"Q"|"Q1"|"Q2"|"Q3"|"S"|"W" path: [drive] ["\"] {ordner} [filename] drive: "A:"|"B:"|"C:"|...|"Z:" ordner: filename: Falls VD-QUICK ohne Schalter, lediglich mit einer Liste der zu berprfenden Dateien oder Ordner aufgerufen wird, werden bestimmte Defaultwerte fr die šberprfung verwendet, die mit den im folgenden genannten Schaltern ver„ndert werden k”nnen. Folgende Schalter k”nnen Sie verwenden, Grož- oder Kleinschreibung spielt _keine_ Rolle: Schalter: Falls gesetzt: Sonst (default): "f" Ausgabe auf Datei VD-QUICK.LOG Ausgabe ber stdout "w" Programmende ohne warten Am Ende auf Taste warten "c" CRC-Prfung ist eingeschaltet CRC-Prfung ausgeschaltet "d" Zu berprfende Pfade werden aus Pfade aus Kommandozeile der ersten, in der Kommandozeile angegebenen Datei geholt. "s" Ausgabe einer Statistik am Prg.ende Keine Statistik ausgeben "b" Bootsektor _nicht_ berprfen Bootsektor prfen "i" Immer Immunisieren (Bootprg.)/l”schen Immunisierung wie in INF-Datei "v" Gef. Bootsektorviren _nicht_ l”schen Gefundene Boots.viren l”schen "q" Ausgaben komplett unterdrcken Ausgaben eingeschaltet Dem Schalter "q" kann ein Wert von 1 bis 3 nachgestellt werden, dabei bedeutet: "q1" oder "Q1" Ausgabe komplett unterdrcken (also das gleiche wie "q") "q2" oder "Q2" Nur entdeckte Viren und verd„chtige Programme (inclusive ver„nderte CRCs) ausgeben "q3" oder "Q3" Wie q2, aber zus„tzlich auch Warnungen ber gepackte Files (Weitere Optionen sind in Vorbereitung, z.B. automatische šberprfung zuvor festgelegter Programme bei jedem Kaltstart des Rechners, u.a.) Hier noch eine etwas detailliertere Beschreibung der einzelnen Schalter: F: Normalerweise erfolgen die Ausgaben von VD-QUICK ber stdout, dies ist also in der Regel der Bildschirm. Falls eine entsprechende Shell verwendet wird, die eine Ausgabeumleitung zul„žt, kann stdout auch auf den Drucker, die serielle Schnittstelle oder eine beliebige Datei umgelenkt werden. Ersatzweise kann durch Angabe des Schalters "F" oder "f" die Ausgabe in die Datei VD-QUICK.LOG im Startverzeichnis von VD-QUICK erzwungen werden. Im Fall, daž ein Zugriff auf diese Datei nicht m”glich ist, bricht das Programm mit einer Fehlermeldung aud stdout ab. W: VD-QUICK wartet normalerweise nach dem Programmende auf einen beliebigen Tastendruck und kehrt erst danach zur Shell oder zum Desktop zurck. Dadurch bekommt der Benutzer die notwendige Zeit, um die Ausgaben des Programms zu lesen. Wird der Schalter "W" oder "w" angegeben, dann wird nicht auf einen Tastendruck gewartet. Falls einer der Schalter "F" oder "Q" angegeben wurde, wird "W" automatisch gesetzt und braucht nicht explizit abgegeben zu werden, da das Warten auf einen Tastendruck in diesen F„llen unsinnig w„re. C: Wenn dieser Schalter gesetzt ist, wird neben dem Linkvirentest auch eine šberprfung der CRC-Prfsummen durchgefhrt. Dabei werden lediglich ver„nderte Prfsummen gemeldet, die Aufnahme neuer CRC-Prfsummen in die CRC-Liste durch VD-QUICK ist nicht m”glich, dies ist nach wie vor dem VIRENDETEKTOR vorbehalten. Fr den Fall, daž "C" gesetzt ist, muž die Datei VIRENDET.CRC im gleichen Ordner zu finden sein, in der sich auch VD-QUICK befindet. Wird diese Datei nicht gefunden oder ist sie fehlerhaft, wird VD-QUICK eine entsprechende Fehlermeldung ausgeben und den Linkvirentest ohne CRC-Prfung durchfhren. D: Statt die zu berprfenden Programme oder Pfade ber die Komandozeile zu bergeben, kann man diese auch in eine Datei schreiben. Mit dem Schalter "D" wird VD-QUICK dann mitgeteilt, daž diese Datei als Quelle fr die Pfad- und Dateinamen zu verwenden ist. Zus„tzlich muž der Name der Datei (mit vollst„ndiger Pfadangabe) bergeben werden. Dies ist besonders dann praktisch, wenn man regelm„žig die gleichen Programme oder Pfade berprfen m”chte, mit einer entsprechenden Shell ist dies unter anderem auch automatisch bei jedem Neustart des Rechners m”glich. Die Datei mit den zu berprfenden Pfaden kann mit jedem beliebigen ASCII-Editor erstellt werden. Die einzelnen Programme oder Ordner mssen dabei jeweils in einer einzelnen Zeile stehen. Es drfen beliebig Leerzeilen vorkommen, allerdings darf in dieser Datei nichts stehen, was kein legaler GEMDOS-Pfad ist. VD-QUICK bricht den Programmlauf ab, sobald innerhalb dieser Datei auf einen ungltigen Pfad getroffen wird. S: Dieser Schalter veranlažt VD-QUICK zu einer kurzen Statistik-Ausgabe nach Beendigung der šberprfung. Dadurch sieht man auf einen Blick, wieviele Dateien berprft wurden und wieviele davon als infiziert oder verd„chtig erkannt wurden. B: Defaultm„žig wird auch der Bootsektor der Diskettenlaufwerke A oder B berprft, sofern berhaupt darauf zugegriffen wird, d.h. also genau dann, wenn mindestens eine Datei auf einem dieser Laufwerke zum šberprfen angegeben wird. Mit diesem Schalter kann die Bootsektorprfung ausgeschaltet werden. I: Falls die Bootsektorprfung fr Laufwerk A oder B nicht mit dem Schalter "B" unterbunden wird, verwendet VD-QUICK die Immunisierungseinstellung, die in im VIRENDETEKTOR mit "Konfiguration sichern" in VIRENDET.INF gespeichert wurde. Existiert diese Datei nicht im Startpfad von VD-QUICK, dann ist die Immunisierung ausgeschaltet. Mit diesem Schalter kann eine Immunisierung mit dem ausfhrbaren Bootsektorprogramm erzwungen werden, unabh„ngig davon, ob VIRENDET.INF vorhanden ist oder welche Immunisierung dort gespeichert wurde. Wichtig: Harmlose Bootprogramme - auch solche die zwar verd„chtig sind, aber nicht eindeutig als Virus infiziert werden konnten - werden auch bei eingeschalteter Immunisierung _nicht_ gel”scht. (Dies gilt allerdings nicht fr fremde Immunisierungsprogramme im Bootsektor.) Sie k”nnen also auch problemlos Spieledisks oder Disketten mit irgendwelchen Utilities im Bootsektor mit VD-QUICK berprfen. Im brigen funktioniert die Immunisierung natrlich nur bei nicht schreibgeschtzten Disketten. V: Gefundene Bootsektorviren werden normalerweise sofort gel”scht. (Das funktioniert natrlich ebenfalls nur dann, wenn die Diskette nicht schreibgeschtzt ist.) Mit diesem Schalter kann das L”schen unterbunden werden. ACHTUNG: Wenn man somit den Schalter "I" verwendet, BLEIBEN GEFUNDENE BOOTSEKTORVIREN AUF DER DISKETTE ZURšCK! Diese Option ist eigentlich nur fr die "J„ger und Sammler" gedacht, die eine verseuchte Diskette nicht sofort s„ubern wollen, sondern den Virus archivieren oder analysieren wollen. Diesen Schalter sollte man also normalerweise NICHT verwenden, denn Bootsektorviren werden NUR gemeldet, aber NICHT entfernt. Q: Dieser Schalter unterdrckt die Ausgaben von VD-QUICK. Dabei sind verschiedene Abstufungen m”glich, die mit einem Wert von 1 bis 3 ausgew„hlt werden. Q1 (oder Q ohne nachfolgende Ziffer) unterdrckt alle Ausgaben des Programms. Natrlich erscheint es auf den ersten Blick nicht besonders sinnvoll zu sein, ein Programm laufen zu lassen, das keinerlei Ausgaben t„tigt, denn schliežlich soll VD-QUICK ja melden, wenn es einen Virus, eine ge„nderte CRC-Prfsumme oder „hnliches findet. Da VD-QUICK aber auch mittels seines Rckgabewerts an die aufrufende Shell das Ergebnis der šberprfung meldet, kann diese Option doch ntzlich sein, sofern eine Shell oder ein anderes Programm mit VD-QUICK zusammenarbeiten m”chte. Die Angabe der Schalter "Q1" _und_ "F" ist sinnlos, in einem solchen Fall wird "F" von "Q" berdeckt, d.h. es erfolgt _keine_ Ausgabe auf die Datei VD-QUICK.LOG! Mit Q2 werden nur entdeckte Viren und verd„chtige Programme (inclusive ver„nderte CRCs) oder Bootsektoren ausgeben. Dadurch werden also alle Hinweise des Programms - mit Ausnahme dieser Warnmeldungen - unterdrckt. Q3 arbeitet wie Q2, allerdings werden zus„tzlich auch Warnungen ber gepackte Files ausgegeben. Hier nun endlich ein paar Beispiele fr die Kommandozeile: A:\EDITOR.PRG šberprft das Programm EDITOR.PRG auf Laufwerk A. Keine Schalter, es werden also die o.g. Defaultwerte verwendet, der Bootsektor von Laufwerk A wird ebenfalls berprft, ein darauf befindlicher Virus wird gel”scht und gegebenenfalls wird die Diskette immunisiert (sofern diese im VIRENDETEKTOR eingeschaltet und mit "Konfiguration sichern" abgespeichert wurde). -b A:\EDITOR.PRG šberprft das Programm EDITOR.PRG auf Laufwerk A. Der Bootsektor von Laufwerk A wird nicht berprft. -i B:\TERMINAL.APP šberprft das Programm TERMINAL.APP auf Laufwerk B. Der Bootsektor von Laufwerk A wird berprft und mit dem Bootprogramm immunisiert (unabh„ngig von der in VIRENDET.INF gespeicherten Einstellung). -c D:\KREMPEL\ šberprft alle Programmdateien im Ordner KREMPEL auf Partition D, incl. CRC-Prfsummentest. -cv A:\ B:\ šberprft alle Programmdateien auf den Laufwerken A und B inclusive CRC-Prfsummentest, die Bootsektoren von A und B werden ebenfalls berprft, gefundene Bootsektorviren werden jedoch _nicht_ gel”scht. (Wie gesagt, der Schalter "v" sollte eigentlich nicht verwendet werden.) -wc C:\AUTO\ D:\WORDPLUS\WORDPLUS.PRG šberprft alle Programmdateien im Ordner AUTO auf Partition C und das Programm WORDPLUS.PRG im Ordner WORDPLUS auf Partition D, incl. CRC-Prfsummentest. VD-QUICK wartet am Programmende nicht auf einen Tastendruck. -fq3s C:\ D:\ E:\ šberprft alle Programmdateien auf den Partitionen C, D und E, VD-QUICK schreibt die Ergebnisse der šberprfung in die Datei VD-QUICK.LOG, dabei werden alle Ausgaben mit Ausnahme von entdeckten Viren, verd„chtige Programme (inclusive ver„nderte CRCs) und gepackte Programme unterdrckt. Bei Programmende wird die Prfungsstatistik erstellt (und ebenfalls in VD-QUICK.LOG geschrieben). -dc C:\UTILITY\VIRENKIL\VIRENDET.3-1\FILELIST.TXT šberprft alle Programmdateien, die in der Datei FILELIST.TXT angegeben sind, incl. CRC-Prfsummentest. Die Datei FILELIST.TXT k”nnte z.B. folgenden Aufbau haben: A:\ F:\NEWS\ F:\DOWNLOAD\ In diesem Fall wrde also Laufwerk A (inclusive dessen Bootsektor) sowie der Inhalt der Ordner NEWS und DOWNLOAD auf Laufwerk F berprft. Wirklich ntzlich ist VD-QUICK insbesondere dann, wenn man es entweder direkt auf dem Desktop ablegen kann (dazu wird allerdings ein TOS >=2.05 oder ein alternativer Desktop mit dieser M”glichkeit - z.B. GEMINI - ben”tigt) oder wenn man es von einer Shell aus im Batchbetrieb verwendet. Im ersten Fall kann man eine zu berprfende Programmdatei oder auch einen oder mehrere Ordner einfach auf VD-QUICK draggen und die Programme werden sofort auf Linkvirenbefall getestet. Erweiterungen von VD-QUICK sind geplant (in der n„chsten Version wird z.B. die automatische šberprfung zuvor festgelegter Programme bei jedem Kaltstart des Rechners m”glich sein). Sollten Sie Verbesserungsvorschl„ge oder Fehlermeldungen zu VD-QUICK haben, so bin ich ber jeden Hinweis sehr dankbar. VIII. "Immunisierung" - Schutz vor Bootsektorviren? ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ Viele Anti-Virenprogramme versprechen eine "Immunisierung" des Bootsektors zum Schutz vor Bootsektorviren. Diese "Immunisierung" soll den Bootsektor vor dem Zugriff eines Virus schtzen oder den Befall zumindest erkennbar machen, bevor der Virus sich weiter verbreitet und Schaden anrichtet. Um dieses Ziel zu erreichen sind zwei Methoden verbreitet: Zum einen kann man an den Beginn des Bootsektors die Kombination 9656 ($6038) schreiben, das ist im Maschinencode ein BRA +$38, also ein Sprung zum Beginn eines Bootprogramms. Dieses zun„chst unsinnig erscheinende Vorgehen, schliežlich existiert weder ein Bootprogramm, noch ist der Bootsektor berhaupt ausfhrbar, hat durchaus einen Sinn. Einige Bootsektorviren schauen freundlicherweise vor der Infizierung eines Bootsektors nach, ob sich schon ein ausfhrbares Programm im Bootsektor befindet und verzichten dann auf eine Infizierung. Dieses Nachschauen besteht meist aus einer Kontrolle der beiden ersten Bytes des Bootsektors, findet sich dort ein $6038, so nimmt der Virus die Existenz eines Bootprogramm an und l„žt die Finger vom Bootsektor. Damit sind solchermažen immunisierte Disketten tats„chlich vor dem Zugriff einiger Viren sicher. Allerdings hat dieses Verfahren auch seine Schattenseiten, da es erstens nur vor Viren schtzt, die freundlicherweise die oben erw„hnte šberprfung vornehmen (wie es z.B. der SIGNUM/BPL Virus oder der Virus der Bayrischen-Hackerpost tun) und somit keinen sicheren Schutz darstellt, sowie zweitens - und das ist sicher ein ebenso schwerwiegender Nachteil - einen eventuellen MS-DOS kompatiblen Bootsektor (z.B. fr den PC-Ditto) fr MS-DOS ungeniežbar macht. TOS und MS-DOS haben n„mlich ein sehr „hnliches Diskettenformat, man kann MS-DOS Disketten deshalb problemlos mit einem ATARI ST lesen und auch auf dem umgekehrten Weg ist das m”glich, wenn beim Formatieren einige Feinheiten beachtet werden. (Einige Formatierprogramme - wie z.B. HYPERFORMAT 3.xx tun das bereits.) Eine dieser Feinheiten ist die Bytefolge $EB 34 90 (8086-Code fr einen relativen Sprung und ein NOP) mit welcher der Bootsektor beginnen muž, wenn er von einer MS-DOS Maschine gelesen werden soll. TOS ist es bei nicht ausfhrbaren Bootsektoren v”llig egal was dort steht, MS-DOS ist da leider etwas empfindlich. šber den Sinn einer solchen Immunisierung kann also gestritten werden; einige Anti-Virenprogramme fhren sie durch (z.B. G-DATA ANTI-VIREN-KIT I, VDU, ...) andere nicht (SAGROTAN, ANTIBIOTUKUM, ...)! Eine Unversch„mtheit ist allerdings die Behauptung, diese Immunisierung sei ein zuverl„ssiger Schutz vor allen bekannten Bootsektorviren, wie sie zum Beispiel von G-DATA in Bezug auf ihr Anti-Viren-Kit I aufgestellt wurde. Entweder diente diese Behauptung der bewužten K„ufert„uschung, um das eigene Produkt geldbeutelfllenderweise an den Mann/die Frau zu bringen (sehr wahrscheinlich) oder sie war ein Zeichen v”lliger Unkenntnis (eigentlich genauso wahrscheinlich), denn tats„chlich gibt es bereits seit langem mehrere(!) Bootsektorviren die diese "Immunisierung" v”llig kalt l„žt. Die zweite Immunisierungsmethode wurde aus der Erkenntnis geboren, daž die oben genannte Methode nicht der Weisheit letzter Schluž sein kann. Die Idee ist recht einfach: Man schreibe ein Bootprogramm in den Bootsektor, welches sich beim Booten mit einer Meldung auf dem Bildschirm bemerkbar macht. Es schreibt zum Beispiel "Diskette OK." auf den Bildschirm. Sollte nun ein Virus diese Diskette befallen (und somit unser Bootprogramm berschreiben), so fehlt beim n„chsten Booten diese Meldung und der Benutzer weiž, daž sich ein Virus im Bootsektor befindet. Dieser Virus kann dann mit einem Anti-Virenprogramm vernichtet werden. Mit dieser Art der Immunisierung wird inzwischen recht h„ufig gearbeitet (SAGROTAN, ANTIVIR, G-DATA ANTI-VIREN-KIT III ...). Natrlich verr„t sich jeder Virus durch das Ausbleiben der Schutzmeldung, allerdings ist neben der Unvertr„glichkeit mit MS-DOS (siehe oben) zu beachten, daž dieses Schutzprogramm nur bei Disketten verwendet werden kann, die noch kein (ntzliches) Bootsektorprogramm enthalten. Zudem mssen dann natrlich alle Disketten, von denen eventuell mal gebootet wird mit diesem Schutzprogramm versehen werden, denn ein Ausbleiben der Meldung beim Booten wird ja als ein Zeichen fr Virenbefall interpretiert. Geben Sie eine solchermažen behandelte Diskette an jemanden weiter, der diese Art von Schutzbootsektor noch nicht kennt, so kann er zu allem šberfluž noch fr einen neuen Virus gehalten werden. An dieser Stelle hatte ich in einer „lteren Version dieses Textes zu einer vorherigen Version des VIRENDETEKTORS geschrieben: "Auf den ersten Virus, der sich mit "Bootsektor OK" meldet warte ich noch...". Nun, dieses Thema scheint jemand aufgegriffen zu haben, denn inzwischen gibt es tats„chlich mehrere Viren, die beim Booten eine „hnliche Meldung ausgeben und damit dem Benutzer einen Immunisierungs-Bootsektor vorgaukeln. Ich habe diese Viren ja bereits im Kapitel ber "Tarnkappen"-Viren erw„hnt. Sie sehen also, was von solchen Meldungen zu halten ist. Denn neben diesem kurzen Text bietet der Bootsektor dann noch ausreichend Platz fr den Virencode. Dennoch ist diese Art der "Immunisierung" besser, als die Immunisierung mit dem Pseudobranch ($6038). Fr Festplattenbesitzer, die immer die gleiche (schreibgeschtzte) Diskette im Laufwerk haben, aber von der Platte booten, kann Sie sogar empfohlen werden. Eine weitere Masche ist ein Schutzprogramm der letztgenannten Art, das sich selbst wie ein Virus auf jeden noch nicht ausfhrbaren Bootsektor schreibt! Dieses Bootprogramm meldet sich beim Booten mit dem Kommentar, daž der Bootsektor nicht verseucht ist. Ursprung ist ein Anti-Virenprogramm namens VIRUS-DESTRUCTION-UTILITY (VDU) 3.2 aus den Niederlanden. Ich halte das fr eine „užerst ble Sache, denn ob ich meine Disketten mit einem solchen Bootprogramm versehe, m”chte ich schon gerne selbst entscheiden. Es darf nicht dazu kommen, daž jeder Programmierer seine Programme, nur weil er sie fr eine segensreiche Entwicklung h„lt, auf diese Weise unkontrolliert verbreitet! Diese Erkenntnis ist glcklicherweise auch dem Autor dieses Virenkillers gekommen, denn in den neuen Versionen seines Programmes ist diese Art der "Immunisierung" nicht mehr enthalten. Nach meiner Ansicht sind alle diese Immunisierungs-Bemhungen eigentlich unn”tig. Wer seine Programme und Disketten einmal komplett berprft und gegebenenfalls von Viren befreit hat, desweiteren jedes neue Programm zun„chst mit dem VIRENDETEKTOR berprft (das gleiche bei Disketten, die man verliehen hat), dazu die oben genannten Vorsichtsmažregeln befolgt, sollte in Zukunft keinen Žrger mehr mit Computerviren haben. Da man ber die Immunisierung von Bootsektoren aber wohl auch anders urteilen kann und ich jedem Anwender die M”glichkeit offenlassen m”chte, nach eigener Fasson glcklich zu werden, bietet der VIRENDETEKTOR ab Vers. 2.9 auch die M”glichkeit zur Erzeugung eines solchen "Immunisierungs"- Bootsektors. Damit komme ich den Wnschen einiger Anwender des VIRENDETEKTORS nach - wie Sie sehen lohnt es sich durchaus, als (registrierter) Anwender Verbesserungsvorschl„ge zu machen. Wenn m”glich werden diese in der n„chsten Programmversion bercksichtigt. Und da ich mich nicht entscheiden konnte, welcher der beiden erw„hnten Immunisierungs- Methoden ich den Vorzug geben sollte, drfen Sie sich entscheiden, welche Methode Sie anwenden wollen, sofern Sie ein Freund solcher Mažnahmen sind. Ich habe es mir aber nicht verkneifen k”nnen, noch eine kleine Verbesserung an der Methode mit dem ausfhrbaren Bootsektor-Immunisierungsprogramm vorzunehmen. Wenn Sie mit dem VIRENDETEKTOR einen solchen Immunisierungs- bootsektor auf die Diskette schreiben, DANN BLEIBT DIESE DENNOCH MS-DOS-kompatibel (selbst wenn sie es vorher nicht war). Probieren Sie es ruhig auf einem PC einmal aus. Als dritte Immunisierung besteht noch die M”glichkeit, sich vom VIRENDETEKTOR ein kleines Programm in den Autoordner schreiben zu lassen, das den Bootsektor bei jedem Booten auf Ver„nderungen berprft. Dazu braucht der Bootsektor nicht manipuliert zu werden, er wird einfach zum Vergleich in eine Datei auf die Diskette geschrieben. Der grože Vorteil dieser Methode ist die absolute Sicherheit, denn der Bootsektor kann jederzeit bei Befall wieder durch den Originalbootsektor, der ja in einer Datei vorliegt, ersetzt werden. Allerdings ist dieses Verfahren nur fr diejenigen von Interesse, die von Disketten booten. Festplattenbesitzer sollten - wenn berhaupt - eine der beiden erstgenannten Immunisierungsarten verwenden. Bei der Immunisierung mittels Autoordnerprogramms ist zu beachten, daž Sie eine solche Diskette nach M”glichkeit nicht als einzelne Dateien, sondern mit einem Kopieroprogramm (oder mit der Diskcopy-Funktion im Desktop) kopieren. Denn nur in diesem Fall wird auch eine Kopie des Bootsektors erstellt. Kopieren Sie alle Dateien einzeln auf eine andere Diskette oder „ndern Sie beim Kopieren mit einem Kopierprogramm die Formatierung der Diskette (z.B. Umkopieren einer einseitigen auf eine doppelseitige Diskette), dann wird der Bootsektor der Zieldiskette im allgemeinen nicht mit dem Bootsektor der Quelldiskette identisch sein. Dies wird bei einem Bootvorgang von der Zieldiskette dazu fhren, daž das Immunisierungsprogramm im Autoordner den vermeintlich "manipulierten" Bootsektor anmeckert. In diesem Fall drfen Sie UNTER KEINEN UMSTŽNDEN den alten Bootsektor "restaurieren" - denn dann haben Sie den Bootsektor der Quelldiskette auf der Zieldiskette. Und wenn das Format dieser beiden Disketten nicht identisch war, werden Sie Ihren Daten auf dieser Diskette wohl Adieu sagen mssen, sofern Sie den Bootsektor nicht mittels eines Diskettenmonitors wieder mit den ursprnglichen Formatinformationen fttern k”nnen. Kopieren Sie also beim "Filecopy" die Datei mit dem Bootsektorduplikat im Autoordner NICHT mit auf die Zieldiskette. Nach dem n„chsten Booten von der Zieldiskette erstellt das Immunisierungsprogramm im Autoordner sich eine neue Kopie des Bootsektors und alles ist in bester Ordnung. Beim Programmstart ist die Immunisierung abgeschaltet, wird also ein Bootsektor neu geschrieben weil er z.B. von Viren befallen war, dann wird er gel”scht (bis auf die Disketten-Strukturinformationen und die Seriennummer) und MS-DOS-kompatibel gemacht. Haben allerdings "Immunisierung durch $6038" gew„hlt, dann wird diese Bytefolge in die beiden ersten Bytes des Bootsektors geschrieben und der Rest des Bootsektors gel”scht. Als Alternative bietet sich noch die M”glichkeit "Immunisierung durch Bootprogramm" an, bei der ein ausfhrbares Bootprogramm in den Bootsektor geschrieben wird. Dieses Programm meldet sich dann beim Booten mit einem Glockenton und dem Hinweis, daž der Bootsektor nicht befallen ist. Dieser Text ist im Unterschied zu den Meldungen anderer Anti-Virenprogramme so lang, daž sich jeder davon berzeugen kann, daž dieses Bootprogramm tats„chlich nichts anderes machen kann, als diesen Text ber Cconws (Gemdos 9) auszugeben. Fr andere Routinen ist da wirklich kein Pl„tzchen mehr frei. Abgesehen davon ist dieser Bootsektor TROTZ der Immunisierung noch MS-DOS-kompatibel. Dieses Bootprogramm gibt es inzwischen in verschiedenen Varianten, da einige PD-H„ndler, die Ihre Disketten mit dem VIRENDETEKTOR berprfen und immunisieren, von mir eine "Spezialversion" mit ihrer Gesch„ftsadresse im Bootsektor erhalten haben. Selbstverst„ndlich erkennt der VIRENDETEKTOR jeden dieser Bootsektoren als "eigenes" Produkt und meldet ihn entsprechend. Ich m”chte noch anmerken, daž die gew„hlte Immunisierung in jedem Fall aufgebracht wird, wenn ein neuer Bootsektor erzeugt wird. Also nicht nur, wenn ein Virus vernichtet wird, sondern auch dann, wenn sie ein anderes Bootprogramm von der Diskette entfernen wollen. Wollen Sie also eine Immunisierung gleich welcher Art wieder entfernen, dann muž "Keine Immunisierung" gew„hlt sein. IX. Was tun im Fall des (Be)falls? ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ Bei Bootsektorviren ist die Rettung der Software meistens kein Problem. Mit Anti-Viren-Programmen, z.B. mit dem VIRENDETEKTOR ist ein einmal identifizierter Virus im Bootsektor schnell beseitigt. Denn gleichen Zweck erfllt ein Disk-Monitor, allerdings muž man dann wissen, wie ein Virusprogramm aussieht, welche Bytes im Bootsektor nicht genullt werden drfen (Diskettenstruktur-Information im Bereich $08-$1D) und umst„ndlicher ist es aužerdem. Bei Viren die sich direkt in Programme einklinken ist die ganze Sache nicht so einfach. Man ben”tigt schon hervorragende Assemblerkenntnisse und einen guten Debugger, um ein Programm zu retten. Oft ist es auch dann nicht m”glich, mit einem Anti-Viren-Programm "auf Knopfdruck" jedenfalls bis heute noch nicht. Gegenteilige Behauptungen einiger Virenkiller haben sich im Test bislang noch alle als heiže Luft herausgestellt. Lediglich die Entfernung des "Milzbrand Virus" ist bereits erfolgreich gelungen. Wenn sich also ein Linkvirus in Ihre Programmsammlung eingeschlichen hat, dann sollten Sie alle verseuchten Programme l”schen und durch Sicherheitskopien ersetzen. Wenn Sie keine Sicherheitskopien angefertigt haben, k”nnen Sie die befallenen Programme auf die Verlustliste setzen; aber wer arbeitet schon mit Originalen ohne Sicherheitskopie!?! Sollten Sie einmal von einem wichtigen Programm keine Kopie angefertigt haben (na, na,...) oder sollte auch das Original verseucht sein (wohl nich' im Panzerschrank aufbewahrt, wa?), dann k”nnen Sie das Programm, sofern es noch einwandfrei l„uft, auf eine separate Diskette kopieren und weiterbenutzen. Das kann jedoch nur eine absolute "Notl”sung" sein und die folgenden Regeln mssen Sie u n b e d i n g t beachten: 1. Starten Sie ein infiziertes Programm nur wenn keine Diskette im Zweitlaufwerk liegt und lassen Sie Ihre Festplatte unbedingt ausgeschaltet. 2. Kopieren Sie nie verseuchte mit sauberen Programmen zusammen auf eine Diskette. 3. Geben Sie Datum und Uhrzeit beim Systemstart nicht ein, sondern belassen Sie das Systemdatum als aktuelles Datum (manche Viren werden erst ab einem bestimmten Datum aktiv). 4. Kennzeichnen Sie die Diskette mit dem verseuchten Programm!!! 5. Geben Sie n i e verseuchte Programme weiter! 6. Rechner nach Benutzung des Programms a u s s c h a l t e n !!! Besser ist natrlich, wenn Sie rechtzeitig eine Sicherheitskopie angefertigt haben und das infizierte Programm l”schen k”nnen. Glcklicherweise sind Linkviren auf Grund ihrer Verbreitungsweise (noch) weit weniger h„ufig als ihre Kollegen im Bootsektor. Falls Sie bei Ihrer Software Virenbefall festgestellt haben, informieren Sie umgehend alle, an die Sie eventuell verseuchte Disketten weitergegeben haben k”nnten!!! Hoffentlich wissen Sie nun in etwa was ein Computervirus ist, wie er arbeitet und wie man sich vor diesen ungebetenen G„sten schtzt. Zum Ende noch eine Anmerkung: Falls Sie zu den Fanatikern geh”ren, die selbst Viren schreiben oder falls Sie mit dem Gedanken spielen selbiges zu versuchen - denken Sie an die Folgen fr andere User. Aber auch fr den Viren-Programmierer selbst kann seine T„tigkeit unangenehme Folgen haben. Im Strafgesetzbuch heižt es: "Wer rechtswidrig Daten l”scht, unterdrckt, unbrauchbar macht oder ver„ndert, wird mit Freiheitsstrafen bis zu zwei Jahren oder Geldstrafe bestraft. Der Versuch ist strafbar." Daneben sind auch die zivilrechtlichen Folgen nicht unerheblich. Wenn der von Ihnen programmierte Virus einem anderen einen finanziellen Schaden zufgt und Sie als Verursacher ausfindig gemacht werden k”nnen, werden Sie unter Umst„nden mit hohen Schadenersatzforderungen zu rechnen haben. Gegebenenfalls k”nnen zudem weitere Paragraphen des StGB auf Virenprogrammierer in Anwendung gebracht werden. Auch wenn Sie meinen, Ihr Virus fge niemandem Schaden zu - Finger weg!!! Es gibt z.B. einen Bootsektorvirus auf dem ST, der eigentlich nichts tun sollte, als sich nur zu verbreiten. Der Sch”pfer dieses Virus hat sicher keinen Schaden anrichten wollen, durch einen Programmierfehler(!) kann dieser Virus jedoch den Rootsektor der Festplatte zerst”ren! Dieses Beispiel zeigt, daž man von der Virenprogrammierung besser die Finger l„žt. Zudem gibt es wahrlich genug ntzliche Dinge zu programmieren! X. Das SHAREWARE-Vertriebskonzept ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ Das Programm VIRENDETEKTOR ist S H A R E W A R E . Falls Sie nicht genau wissen, was der Begriff "SHAREWARE" bedeutet, hier eine kurze Erl„uterung: Mit "SHAREWARE" bezeichnet man Programme, die frei kopiert und weitergegeben werden drfen, sofern sie weder ver„ndert noch kommerziell vertrieben werden. Wer mit einem SHAREWARE-Programm regelm„žig arbeitet, zahlt dem Autor den Kaufpreis fr das Programm, die sogenannte "Registrierungsgebhr". Deren H”he h„ngt sowohl von der Komplexit„t des Programms ab, als auch davon, was nach der Registrierung an weiterer Anwender-Untersttzung erfolgt. Diese Gebhr kann bei einigen Programmen durchaus dreistellige Betr„ge ausmachen, liegt aber immer wesentlich niedriger, als man fr vergleichbare kommerzielle Produkte ausgeben mžte. Nach Zahlung dieses Betrages ist man "legaler" Anwender und erh„lt dann weitere Leistungen, wie z.B. Updates, gedruckte Manuals, Untersttzung falls Fragen oder Schwierigkeiten beim Einsatz des Programms auftauchen, ... usw.! SHAREWARE-Programme sind KEINE Frei-Programme (Public-Domain), die Urheberrechte an diesen Programmen bleiben bestehen, allerdings drfen Kopien der Disketten frei weitergegeben werden, damit andere potentielle Anwender die Programme prfen k”nnen. Das Nutzungsrecht wird erst mit Zahlung des Kaufpreises, d.h. der Registrierungsgebhr, erworben. Um es nochmals klar zum Ausdruck zu bringen: Die Benutzung des Programms durch nicht registrierte User verst”žt gegen geltendes Recht! Es ist nichts anderes, als die Benutzung einer Raubkopie. Lediglich eine kurze Testphase ist bei SHAREWARE-Programmen gestattet. Natrlich kann ich nicht kontrollieren, ob jemand das Programm benutzt, ohne sich registrieren zu lassen. SHAREWARE ist eben Vertrauenssache! Das SHAREWARE-Konzept bietet sowohl dem Autor als auch dem Benutzer des Programms Vorteile: Der Autor hat keine Unkosten fr Vertrieb und Werbung - der Benutzer kann das Programm testen und zahlt den vergleichsweise geringen Betrag fr die Nutzungslizenz (Registrierung) nur dann, wenn ihm das Programm zusagt. Im deutschsprachigen Raum hat sich deshalb auch der Begriff "PRšF-VOR-KAUF-Software" fr SHAREWARE etabliert. Wrde der VIRENDETEKTOR als kommerzielles Programm vertrieben, dann blieben mir (dem Programmautor) vom Verkaufspreis bestenfalls 10-20% brig. Das wrde heižen, daž der VIRENDETEKTOR ca. 100 DM kosten mžte, damit mir (nach Abzug der Kosten fr Versand, etc.) der gleiche Betrag brigbliebe, wie jetzt als SHAREWARE-Programm. Damit drfte der Vorteil von SHAREWARE augenf„llig werden! Public-Domain Programme sind dagegen Programme, bei denen der Autor auf alle Rechte verzichtet (im Gegensatz zu SHAREWARE) und die somit z. B. auch ver„ndert werden drfen, sofern das Copyrightvermerk des Autors nicht entfernt wird. Beim ST wird allerdings vielfach nicht so genau zwischen PD und SHAREWARE unterschieden. Im brigen hat der Begriff "Public-Domain" selbst keine Rechtsverbindlichkeit. Oft wird auch bei PD-Programmen eine Ver„nderung des Programms ausdrcklich untersagt und um eine Spende fr den Autor gebeten. Im Gegensatz zu SHAREWARE-Programmen ist diese Spende jedoch freiwillig. Wichtig ist jedenfalls, daž Sie bei SHAREWARE mit dem Kauf der Diskette bei einem PD-Versender noch nicht fr das Programm bezahlt haben, sondern lediglich fr dessen Dienstleistung! Preiswerte PD-H„ndler verlangen fr eine Diskette 3-5 DM, mehr als 10 DM sollten Sie keinesfalls bezahlen. Natrlich h„ngt der Diskettenpreis auch sehr vom Service des H„ndlers ab, das Einsortieren von Updates und die Anfertigung eines aussagekr„ftigen Katalogs wollen schliežlich auch bezahlt werden. Eine andere Quelle fr SHAREWARE und PD-Software sind Mailboxen und Diskettentausch mit Freunden und Bekannten. Bei Sharewareprogrammen erwerben Sie das Nutzungsrecht an dem Programm erst durch Zahlung des Kaufpreises (Registrierungsgebhr) an den Programmautor! Leider ist die Zahlungsmoral bei vielen ST-Besitzern (wie brigens auch beim Amiga) nicht sonderlich ausgepr„gt. Dabei ist dieses Verhalten ziemlich kurzsichtig. Auf dem amerikanischen PC-Softwaremarkt ist das Sharewareangebot inzwischen nicht zuletzt deshalb so umfangreich und qualitativ hochwertig, weil die Autoren dieser Programme mit der Ehrlichkeit der Anwender rechnen k”nnen. Wer in Europa SHAREWARE fr den ST entwickelt, wird jedoch auf Grund der mangelnden Resonanz schnell entmutigt. Das fhrt dazu, daž der Anteil guter PD- und Sharewareprogramme weiter sinkt. Jedes gute Programm wird nur noch kommerziell vermarktet, der Vertrieb als SHAREWARE funktioniert nur sehr beschr„nkt. Als Folge zahlt der Anwender fr ein kommerzielles Programm das vier- bis fnffache im Vergleich zu einem gleichwertigen Sharewareprogramm. Natrlich gibt es auf dem PD-Markt auch eine Menge Schrott, so manches Programm ist die Diskette nicht wert, auf der es gespeichert ist. Aber Sie gehen im Unterschied zu kommerzieller Software keinerlei Risiko ein. Bevor Sie fr ein Programm zahlen, k”nnen Sie es auf Herz und Nieren testen. Diese M”glichkeit besteht bei kommerziellen Programmen nicht, hier mssen Sie oftmals die berhmte Katze im Sack kaufen. Jeder, der sich bei den Autoren, deren Sharewareprogramme er regelm„žig nutzt, registrieren l„žt, f”rdert und belebt die Entwicklung guter SHAREWARE-Programme fr den ST. Doch nun zurck zum VIRENDETEKTOR. Wenn Sie das Programm regelm„žig verwenden, dann sollten Sie sich registrieren lassen, der Preis von 30,- DM ist im Vergleich zu kommerziellen Virenkillern ja wirklich konkurrenzlos gnstig. Wer einen Drucker besitzt, hat es am einfachsten, in dem er sich die Datei REGISTER.TXT ausdrucken l„žt. Ich denke nach einer vierw”chigen Testphase kann man entscheiden, ob man den VIRENDETEKTOR bezahlen will, oder ob man das Programm nicht weiter benutzen will, weil es einem nicht zusagt. Der Kaufpreis (Registrierungsgebhr) fr den VIRENDETEKTOR betr„gt 30,- DM! (Beziehungsweise 40,- DM incl. des Unkostenbeitrags fr die drei Utility-Disketten - dazu siehe unten.) Schicken Sie diesen Betrag bitte als Verrechnungsscheck (oder in Bar) an meine Adresse: Volker S”hnitz Beginenstr. 17 52062 Aachen Fr diesen Betrag erhalten Sie: 1. Sofort die gerade aktuelle Version des VIRENDETEKTORS zugeschickt. Mit der Originaldiskette k”nnen Sie dann aus dem VIRENDETEKTOR (den Sie natrlich auch weiterkopieren drfen) eine registrierte Version mit Ihrer pers”nlichen Seriennummer erstellen. Diese Version erlaubt dann auch den uneingeschr„nkten Zugriff auf die Viren-Datenbank und enth„lt keine "Erinnerungen" an die Zahlungsmoral mehr, darf in dieser Form dann aber auch nicht mehr weiterkopiert werden. 2. Eine aktualisierte Fassung dieses Textes, der auch auf eventuelle neue ST-Viren eingeht. 3. Alle zuknftigen Updates des VIRENDETEKTORS gegen eine geringe Gebhr fr Porto, Diskette und Verpackung! 4. Falls Sie nur einen ST mit Farbmonitor besitzen, k”nnen Sie bei mir einen MONOCHROM-EMULATOR erhalten. Dabei handelt es sich um ein kleines Programm, welches auf dem Farbmonitor die hohe Aufl”sung dar- stellt. Die Qualit„t dieses Emulators l„žt zwar sehr zu wnschen brig, da ein Farbmonitor/Fernseher nicht ber die M”glichkeiten des SM 124 verfgt, fr die Virenjagd mit dem VIRENDETEKTOR ist der Emulator aber auf dem Farbmonitor gerade noch akzeptabel. Geben Sie bitte bei der Registrierung an, ob Sie den Emulator ben”tigen! 5. Viele Probleme, die sich „hnlich wie Virenbefall „užern, gehen tats„chlich auf andere Ursachen zurck. Neben Hardwaredefekten sind haupts„chlich schlechte Disketten als Schuldige auszumachen. Um solchen Dingen auf den Grund zu gehen, ben”tigt man neben einem guten Virenkiller auch einige weitere Utilities, mit denen man z.B. Hardwarefehler findet oder besch„digte Disketten erkennt. Wer nicht ber derartige Utilities verfgt, der kann bei mir drei (doppelseitige) Disketten mit ca. 4,5 Megabyte (!) der wichtigsten Hilfsprogramme erhalten. Auf einer dieser drei Disketten befinden sich zudem die Online-Packer, die der VIRENDETEKTOR erkennt (soweit diese frei kopierbar sind). Der Inhalt der Disketten ist komprimiert und kann problemlos innerhalb weniger Minuten automatisch entpackt werden. Auf diesen Disketten finden Sie unter anderem ein Programm zur Funktionsberprfung der RAM-Chips, ein Programm, um Ihre Dis- ketten auf physikalische Defekte zu berprfen (und zu retten, was noch zu retten ist), ein Programm zur Wiederherstellung ver- sehentlich gel”schter Dateien und vieles mehr. Als registrierter Benutzer erhalten Sie diese ntzlichen Disketten fr einen Unkostenbeitrag von 10,- DM! Schicken Sie bei der Registrierung zehn Mark mehr, dann fallen keine weiteren Kosten fr Porto und Verpackung an, Sie erhalten die Utility-Disketten zusammen mit Ihrem neuen Exemplar des VIRENDETEKTOR. Wenn Sie bereits registriert sind, und die Disketten separat bestellen, kommen noch 2,- DM fr Porto und Verpackung hinzu. Fr 12,- DM (Scheck oder Zehn- markschein + 2,- in Briefmarken) erhalten Sie dann umgehend eine Menge ntzlicher Software. Sollten Sie mit Ihrer Hard- oder Software Probleme haben, die in irgendeiner Weise mit Viren zusammenh„ngen, so stehe ich Ihnen gerne mit Rat (und Tat) zur Seite! Sie sehen also, daž Sie mit dem Erwerb der Nutzungslizenz durchaus noch weitere Leistungen erhalten, die ein illegaler Benutzer natrlich nicht erh„lt. Ich will aber auch nicht verschweigen, was es bei einer Registrierung NICHT gibt: Es gibt KEINE aufwendige Verpackung - dies wrde die Sharegebhr nur unn”tig in die H”he treiben. Zur Zeit gibt es auch noch KEIN gedrucktes Handbuch. Im Moment erstelle ich aber ein komplett berarbeitetes bebildertes und sehr umfangreiches Handbuch, das in gedruckter und gebundener Form zusammen mit der Version 3.2 erscheinen wird. Dieses Handbuch wird den Umfang der Datei HANDBUCH.TXT bei weitem bersteigen und auch mit einem ausfhrlichen Stichwortverzeichnis versehen sein. Neben detaillierten Infos zu Computerviren wird auch der VIRENDETEKTOR in allen Funktionen ber das in dieser Datei beschrieben Maž hinaus beschrieben werden. Es ist klar, daž ich dieses Handbuch nicht kostenlos mitliefern kann, die Druckkosten liegen zu hoch, um diese auch noch mit ber den Kaufpreis des VIRENDETEKTORS finanzieren zu k”nnen. Registrierte User werden bei Erscheinen des Handbuchs benachrichtigt und k”nnen das Handbuch dann auf Wunsch bei mir beziehen. Somit entscheidet jeder Anwender selbst, ob er ein gedrucktes Handbuch ben”tigt oder ob er sich mit der Datei HANDBUCH.TXT begngt. Dies erscheint mir sinnvoller, als die Druckkosten generell auf den Kaufpreis zu addieren, da dann ja auch die Benutzer ein gedrucktes Handbuch bezahlen mžten, die dies nicht ben”tigen. Der Aufpreis fr das Handbuch steht noch nicht fest, da ich die genauen Druckkosten noch nicht kenne. Vorl„ufig empfehle ich Ihnen, diesen Text auszudrucken. Dann haben Sie ein Handbuch, nach dem sich viele andere SHAREWARE-Programmautoren die Finger schlecken wrden. Zum Ausdrucken dieses Textes ist es am gnstigsten, den Drucker auf 12 cps (ELITE) und auf einen Rand von 6-8 Zeichen einzustellen. Um den Aufwand und die Kosten so klein wie m”glich zu halten, werden auch keine Registrierungen per Nachnahme abgewickelt. Wer aus bestimmten Grnden keine Bestellung per Vorkasse durchfhren kann (dies betrifft beispielsweise die Lehrmittelverwaltungen von Schulen sowie Universit„tsinstitute) kann den VIRENDETEKTOR auch gegen Rechnung beziehen. Einzelheiten - auch bezglich Mehrfachlizenzen - erfahren Sie auf Anfrage bei mir. Rechnungen oder „hnliches stelle ich nur auf ausdrcklichen Wunsch aus, um den Aufwand m”glichst gering zu halten. Lediglich kommerzielle Nutzer, die eine "Spezialversion" des VIRENDETEKTORS bestellen m”chten (siehe Kapitel XI) erhalten diese selbstverst„ndlich ohne einen zus„tzlichen Hinweis gegen Rechnung. Sollten Sie auch einen MS-DOS-kompatiblen Rechner besitzen - oder einen PC-Emulator (PC-Speed, AT-Speed, AT-Once, ...), dann ben”tigen Sie auch fr dieses System einen Virenkiller, denn der VIRENDETEKTOR l„uft natrlich nur unter TOS. Ich kopiere Ihnen auf Wunsch gerne die aktuellste Version des McAfee-VirusScan mit auf die VIRENDETEKTOR-Diskette (natrlich kostenlos). Dieser SHAREWARE-Virenkiller ist ohne Zweifel eines der leistungsf„higsten Programme dieser Art unter MS-DOS. Ich habe st„ndig die aktuellste Version - direkt aus den USA - vorr„tig. Beachten Sie, daž auch dieses Programm SHAREWARE ist und Sie es bei regelm„žiger Benutzung bezahlen mssen. XI. Hinweise fr kommerzielle Nutzer und PD-Versender ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙ Zun„chst einmal verweise ich auf die Datei HINWEIS.TXT, die dem VIRENDETEKTOR beiliegt! Diese erl„utert, wer unter welchen Bedingungen dieses Programm in einem gewerblichen Kopierservice fr PD/Shareware- Programme angeboten werden darf. Auch in Zukunft werde ich mit Abmahnungen und wenn es sein muž auch auf zivilrechtlichem Wege gegen diejenigen H„ndler vorgehen, die sich nicht an diese Bedingungen halten. Wenn Sie dieses Programm zu kommerziellen Zwecken einsetzen (zum Beispiel zur šberprfung aller von Ihnen vertriebenen Disketten oder „hnlichem), dann k”nnen Sie von mir eine "Spezialversion" bekommen. Damit ist es zum Beispiel m”glich, alle Disketten mit einem Immunisierungsbootsektor zu versehen, der beim Booten einen Text IHRER WAHL (ca. 380 Bytes) ausgibt. Ein Beispiel: VIRENDETEKTOR sagt: ************************************* * * * Diese Diskette wurde von * * XYZ-Software * * Hampelweg 69 * * 1234 A-Dorf * * auf Virenbefall berprft * * * ************************************* Es ist jeder Text m”glich, dessen Zeilenl„nge nicht gr”žer als 40 Zeichen ist und der nicht mehr als ca. 400 Zeichen (incl. Leerzeichen) enth„lt. Der Text oder Teile des Textes k”nnen auf Wunsch invers dargestellt werden. Dies ist nicht nur eine gute Werbung fr Sie, schliežlich bleibt der Bootsektor auch erhalten, wenn PD-Disketten privat weiterkopiert werden, es zeigt auch, daž Sie diese Diskette mit einem der leistungsf„higsten Virenkiller auf Virenfreiheit berprft haben. Damit hat der K„ufer die Gewissheit, auch tats„chlich virenfreie Software zu bekommen. Aužerdem bietet der VIRENDETEKTOR den Vorteil, Ihre Disketten trotz der Immunisierung in einem MS-DOS-kompatiblen Zustand zu belassen. Fr eine derartige Anpassung des VIRENDETEKTORS erh”ht sich die Registrierungsgebhr um 50,- DM; falls Sie noch nicht registriert sind, erhalten Sie eine solche Version also fr 80,- DM. Eine Žnderung des Textes (wenn sich z.B. Ihre Gesch„ftsanschrift „ndert) ist jederzeit gegen eine Gebhr von 10,- DM m”glich. Schreiben Sie den gewnschten Text bitte deutlich und geben Sie inverse Bereiche durch unterstreichen oder Fettdruck an. Ich bin auch gerne bereit, andere Sonderwnsche zu bercksichtigen, sofern der Aufwand dafr in einem angemessenen Rahmen bleibt. Bitte beachten Sie folgendes: Alle Rechte an diesem Programm liegen beim Autor, BEACHTEN SIE BITTE DIE VERBINDLICHEN HINWEISE IN DER BEILIEGENDEN TEXTDATEI "HINWEIS.TXT". Es w„re sch”n, wenn Sie als PD-Anbieter sich auch dann bei mir als Anwender registrieren liežen, wenn Sie dieses Programm NICHT selbst verwenden! Schliežlich liefern die PD- und SHAREWARE-Autoren Ihnen quasi Ihre "Lebensgrundlage". Und ein wenig Resonanz wrde manche SHAREWARE-Autoren vielleicht davon abhalten, Ihre Programme ber andere Kan„le zu verbreiten. Bei vielen SHAREWARE-Programmen gehen die Autoren n„mlich inzwischen dazu ber, den PD-Versendern die Weitergabe Ihrer Programme zu untersagen. Aktuelle Beispiele sind die Programme GEMINI, RUFUS, SYSMON und eine grože Zahl an weiteren erstklassigen SHAREWARE-Programmen. Ich habe allerdings auch Verst„ndnis, wenn sich ein PD-Versender nicht bei jedem SHAREWARE-Autor, dessen Programm er vertreibt, registrieren l„žt. Die Kosten w„ren in diesem Falle viel zu hoch. Aber berlegen Sie einmal, ob Sie sich nicht wenigstens jeden Monat bei EINIGEN Autoren registrieren lassen. Schliežlich profitieren auch SIE von der Bereitschaft der Autoren, Ihre Programme als SHAREWARE oder Public-Domain zu verbreiten. XII. Schlužwort ˙˙˙˙˙˙˙˙˙˙ Ich hoffe, dieser Text hat Ihnen einen kleinen Einblick in die Lage an der "Virenfront" auf dem Atari ST gegeben und der VIRENDETEKTOR hat Ihnen im Kampf gegen Computerviren gute Dienste geleistet. Ich wrde mich freuen von Ihnen zu h”ren - fr Anregungen und Kritik habe ich immer ein offenes Ohr. Selbstverst„ndlich habe ich alle Sorgfalt walten lassen, um ein fehlerfreies Programm zu erstellen. Trotzdem sind Fehler nie ganz auszuschliessen. Deshalb kann weder die juristische Verantwortung noch irgendeine Haftung von Seiten des Autors fr eventuelle Sch„den an Daten oder Programmen, die direkt oder indirekt auf die Benutzung dieses Programms zurckzufhren sind, bernommen werden! Viel Spaž bei der Arbeit mit Ihrem Computer und wenig Žrger mit Viren wnscht Ihnen Volker S”hnitz Anhang: ˙˙˙˙˙˙˙ Hier finden Sie eine Reihe von Antworten zu Fragen, die mir bislang mehrfach zum VIRENDETEKTOR gestellt wurden. Sollten Sie noch irgend etwas von mir wissen wollen, sollten Sie nicht sicher sein, ob ein Problem auf Virenbefall oder auf eine andere Ursache zurckzufhren ist oder falls Sie mir eine Diskette zur genaueren Analyse zuschicken wollen, dann beachten Sie bitte folgendes: Ich antworte gerne auf Fragen von registrierten Benutzern, ich bin auch gerne bereit, Hilfestellung bei Problemen rund um den ST/TT zu geben, ich m”chte Sie jedoch um folgendes bitten: Legen Sie ausreichend (!) Rckporto bei, wenn Sie eine Antwort haben wollen oder wenn Sie Ihre Diskette zurckgeschickt haben m”chten. Ich kann Anfragen ohne Rckporto leider in Zukunft nicht mehr beantworten, da die Menge der Zuschriften ein erhebliches Loch in der Kasse hinterl„žt. Trotz der recht geringen Sharewaregebhr leiste ich zwar gerne kostenlose Hilfestellung, die Portokosten muž aber der Fragesteller selbst tragen. FRAGE: Bei einigen Spieledisketten meldet der VIRENDETEKTOR ein oder zwei "virentypische Eigenschaften", kommt aber dennoch zu dem richtigen Schluž, daž es sich h”chstwahrscheinlich nicht um einen Virus handelt. Wie ist das zu erkl„ren? ANTWORT: Auch harmlose Bootsektoren k”nnen das eine oder andere "Virenmerkmal" enthalten, je nachdem was das Bootprogramm tut. Der VIRENDETEKTOR erkennt an Anzahl und Art der gefundenen Merkmale, die auch unterschiedlich gewichtet werden, ob es sich um einen Virus handelt oder nicht. Wenn Sie mir einen unbekannten Spielebootsektor als Datei zuschicken, werde ich eine entsprechende Erkennung in die n„chste Programmversion einfgen. Geben Sie bitte den Namen und Hersteller/Vertreiber des Spiels ebenfalls an. FRAGE: Manchmal wird deutlich h”rbar auf meine Festplatte zugegriffen, obwohl das gerade laufende Programm keine Lade- oder Speichervorg„nge durchfhrt. Der VIRENDETEKTOR findet aber auch keinen Virus. Woran liegt das? ANTWORT: Einige Festplatten fhren in gewissen Zeitabst„nden selbstst„ndig eine automatische Rekalibrierung der Spurlage durch. Diese Rekalibrierungen, die je nach Temperatur und Plattentyp in Abst„nden von ca. 40 Sekunden bis zu einer halben Stunde erfolgen k”nnen, werden oft f„lschlicherweise fr Schreib- oder Lesezugriffe durch einen Virus gehalten. Somit ist das beschriebene Verhalten also v”llig normal und kein Grund zur Besorgnis. FRAGE: Wenn man mit einem Diskettenmonitor einige Bytes eines Programms ver„ndert, meldet der VIRENDETEKTOR trotz dieser Ver„nderung keine ge„nderte CRC-Prfsumme, obwohl die Datei doch ver„ndert wurde. Woran liegt das? ANTWORT: Nun, der VIRENDETEKTOR bezieht nur die Programmteile in seine CRC-Berechnung ein, die ein Linkvirus ver„ndern _muž_, wenn er ein Programm infiziert. Es ist also durchaus m”glich, daž ein zum Teil berschriebenes Programm nicht angemeckert wird, weil eben keine relevanten Programmteile betroffen sind. Sinn der CRC-Prfsummenbildung ist es also nicht, jede Ver„nderung am Programm zu erkennen, sondern ausschliežlich eine solche Ver„nderung, die durch die Infektion mit einem neuen, bislang unbekannten Linkvirus hervorgerufen wurde. FRAGE: Gibt es auf dem ST Linkviren, die die Directoryeintr„ge manipulieren, also dem Benutzer vorgaukeln, daž eine Datei immer noch genausolang ist, wie vor dem Befall (siehe verschiedene Viren aus dem PC-Bereich)? ANTWORT: Nein, die gibt es (bisher) nicht. Bei VCS-Viren kann der "Konstrukteur" des Virus allerdings problemlos eigene Assemblerroutinen hinzulinken. Damit w„re es wohl m”glich, daž ein solcher Virus auf der Basis des Virus-Construction-Sets etwas derartiges tun k”nnte. Bekannt ist ein solcher Virus allerdings nicht und ein Problem w„re er auch nicht, da der VIRENDETEKTOR jeden Virus erkennt, der mit diesem Virus-Construction-Set erzeugt wurde, gleichgltig was der Virus letztlich anstellt und wie er seine Verbreitung tarnt. **************************************************************************** Bitte „ndern Sie weder dieses File noch das dazugeh”rige Programm! Falls Sie diese Diskette oder das Programm VIRENDETEKTOR weiterkopieren, dann bitte mit allen Files (aužer den Dateien VDET-HD.* und VIRDPROT.INF)!