^1VIRII rechtzeitig ERKENNEN ...by The Real Adok So, nachdem in letzter Zeit ein paar Viren durch die Szene gegeistert sind, mchte ich mal was ber einige Manahmen schreiben, mit denen man auch ohne Virenscanner Viren erkennen kann. ^1- Numero #1: Speicherresidente Viren erkennen Um speicherresidente Viren zu erkennen, macht man - wenn man sicher ist, da der Computer absolut virenfrei ist - eine oder mehrere Kopien der Datei MEM.EXE (DOS-Verzeichnis), z.B. in ME1.EXE. Diese Datei startet man nun mit den Parametern /C und /P, also: ^0 ME1 /C/P Rechts oben wird dann angezeigt, wie viele Bytes im konventionellen RAM frei sind. Diese Zahl schreibt ihr euch genau auf oder merkt sie euch. Wenn ihr spter vermutet, da sich ein Virus im Arbeitsspeicher eingenistet haben knnte, seht ihr noch einmal mit ME1 /C/P nach. Hat sich nun etwas beim freien Speicher gendert, ist es mglich, da ein TSR-Virus im Speicher ist. Nun schaltet man am besten den Compi aus, startet ihn mit einer sauberen Bootdisk und prft die Festplatte mit einem Virenscanner. Vorsicht: Falls ein Virus gefunden wird, ist dann hchstwahrscheinlich auch die Datei ME1.EXE verseucht - deshalb haben wir sie ja auch angelegt, damit dem Original MEM.EXE nichts passiert. Also lscht ME1.EXE und erstellt sie noch einmal. Mit dieser Methode kann es fters auch zu Fehlalarmen kommen, falls ihr in der Zwischenzeit ein speicherresidentes Programm (z.B. einen Maustreiber, Screenshooter) geladen habt. Also achtet auch darauf, welche TSR-Programme ihr startet. ^1- Numero #2: Dateiviren erkennen Mit dieser Methode lassen sich viele Dateiviren aufspren (z.B. der Werewolf-Virus): Lat einfach ein Programm wie den Norton Commander oder UFO im Hintergrund laufen. (Falls irgendjemandem das zu lame sein sollte, kann er mit STRG + O ja auch jederzeit auf den DOS-Bildschirm wechseln.) Nun knnt ihr durch einen Druck auf STRG + L nachsehen, wieviel Speicherplatz noch auf dem Datentrger frei ist. Schreibt euch diese Zahl am besten auf (kann ja ziemlich lang sein). Jetzt startet ein (DOS-)Programm, beendet es und schaut nach, wieviel Speicherplatz jetzt frei ist. Ist nun weniger Speicherplatz frei als zuvor, ist die Wahrscheinlichkeit gro, da ein Virus aktiv ist und das Programm infiziert wurde. => Mit Bootdisk neu starten, scannen. Es gibt jedoch auch einige Programme, die temporre Dateien erstellen und danach vergessen, sie zu lschen. Dadurch kann es zu Fehlalarmen kommen. Aber zumindest bei den Programmen, die ihr am meisten verwendet, solltet ihr eigentlich wissen, ob sie temporre Dateien anlegen oder nicht. Nun ein kleiner Exkurs in Sache FAT-Dateisystem. Jede Datei belegt im FAT- System mindestens einen Cluster, egal, wie klein sie auch sein mag. Ist die Datei grer als ein Cluster, belegt sie eben so viele Cluster, wie sie in ihnen Platz findet. Die Gre eines Clusters hngt von der Festplatte ab. Bei einer Festplatte zwischen 255 und 510 MByte belegt ein Cluster beispielsweise 8 KByte, bei greren Festplatten 16 oder mehr KByte, bei kleineren Festplatten 4 bzw. noch weniger KByte. Bei einer Diskette betrgt die Clustergre 512 Byte. Nehmen wir als Beispiel eine Datei, die 10 KByte (10240 Byte) gro ist. Auf einer 300-MByte-Festplatte wrde diese Datei zwei Cluster, also 2 x 8192 = 16384 Byte belegen, wohingegen sie sich auf einer Disk in genau zwanzig Clusters ausgeht und somit nur soviel Platz belegt, wie sie wirklich gro ist (also 10240 Byte). Deshalb sind Datentrger mit kleineren Speicherkapazitten oftmals gar nicht so unntz. Wenn ihr also wit, wie gro ein Cluster auf eurer Festplatte ist, knnt ihr euch auch ausrechnen, wieviel Speicherplatz von einer Datei bentigt wird. Speichert ihr in einem Programm eine Datei ab, schaut also am besten gleich danach nach, wie gro sie ist, wie viele Cluster sie belegen mte und wie viele Cluster tatschlich von ihr belegt wurden. Sind es zu viele Cluster und ihr seid sicher, da das Programm keine temporren Dateien anlegt, ohne sie wieder zu lschen, knnte ein Virus aktiv sein. Bei dieser Methode kann es sehr oft zu Fehlalarmen kommen, wenn ^0 - ihr Programme benutzt, die temporre Dateien oder Config-Files anlegen und ^0 nicht wieder lschen (auch F-Prot legt ein CFG-File an!), ^0 - Windows (95) im Hintergrund luft - dieses legt nmlich laufend temporre ^0 Dateien an, ^0 - ihr eine(n) Text/Grafik unter Windows ausgedruckt habt - in eurem ^0 temporren Verzeichnis (SET TEMP=... in der AUTOEXEC.BAT) werden dann ^0 nmlich Dateien wie ~SPL????.TMP angelegt, ^0 - ihr im Norton Commander zum ersten Mal eine Grafik betrachtet oder die ^0 temporre Datei VIEWER.BAT gelscht habt - dann wird VIEWER.BAT neu ^0 angelegt, ^0 - euer Computer abgestrzt ist, whrend der NC lief - dann existiert noch ^0 die Datei NCTMP.TMP, ^0 - etc. ^1- Nummer #3: Dateiviren erkennen, die zweite Legt von den meistbenutzten EXE- und COM-Dateien Sicherheitskopien in einem anderen Verzeichnis an und startet ab sofort *NUR* die Originaldateien. Wenn ihr vermutet, da ein Virus aktiv sein knnte und eine der Originaldateien infiziert hat, startet den Computer ber eine Bootdisk neu und vergleicht mit Hilfe des DOS-Befehls FC die Originaldatei mit der Sicherheitskopie. Sind die beiden Dateien identisch, so ist die Originaldatei nicht infiziert - auer, die Sicherheitskopie selber ist von einem Virus befallen. Werden Unterschiede festgestellt, ist die Originaldatei mit grter Wahrscheinlichkeit infiziert. Fehlalarme treten nur bei einigen wenigen Programmen auf, die sich selbst modifizieren. Wer gut in Assembler coden kann, kann nun die angeblich verseuchte Datei in einen Debugger laden. FC gibt, wenn Unterschiede gefunden wurden, ja auch die Position bekannt. Mit dem Debugger sieht man nun an dieser Stelle (bzw. diesen Stellen) nach, ob virenhnlicher Code vorhanden ist. Wenn ja, dann schnipselt man diesen heraus und schickt ihn an Leute wie dataPROT, Thunderbyte oder McAfee, damit sie das Virus analysieren und in ihren neuen Scannern bercksichtigen knnen. ^1- Nummer #4: Bootsektorviren erkennen Mit diversen Programmen lassen sich Hexdumps vom Bootsektor einer Festplatte oder Diskette erstellen. Diesen Hexdump speichert man auf einer Disk ab und vergleicht ihn von Zeit zu Zeit mit dem Bootsektor der Festplatte bzw. Disk. Fehlalarme gibt's nur, wenn ein neues Betriebssystem installiert wurde. Neue BIOSse haben auch eine Virus-Warning-Funktion, die aktiviert wird, wenn auf den Bootsektor der Festplatte geschrieben wird. Diese ist jedoch ausfhrlich dokumentiert und kann von einigen Viren umgangen werden. ^1- Nummer #5: Dateiviren zum dritten Erstellt mit einem Assembler eine COM-Datei mit dem Inhalt ^0 MOV AH,4Ch ^0 INT 21h und bindet diese in eure AUTOEXEC.BAT ein! Sollte sich die Gre dieser Datei ndern, ist sicher auch die COMMAND.COM infiziert. Und zum Schlu noch eine Methode zum Abwehren von Viren, die Spusty entdeckt hat (siehe CF 1/97): Manche Viren infizieren nur Dateien mit der Endung EXE, ohne nachzuprfen, ob es auch dem Aufbau nach wirklich EXE-Dateien sind. Wenn man die EXE-Dateien nun einfach in *.COM umbenennt, sind diese Dateien gegen solche Viren immun. Ich hoffe, damit vielen Leuten geholfen zu haben! ^4 Euer The Real Adok.