^4VIRII rechtzeitig ERKENNEN, Fortsetzung ^1...von Bcherwurm Hallo Leute, erst einmal ein ganz groáes Kompliment fr Dich, The Real Adok. Du tust eine ganze Menge mehr gegen Virenbefall als die meisten meiner Bekannten. Von deinen Virenerkennungsmethoden haben alle eine gewisse Trefferquote. Besonders gut finde ich deinen ^4Speichercheck^5 im RAM und auf der Festplatte, auch wenn bekanntlich MEM manchmal ziemlich merkwrdige Ergebnisse liefert. Es ist dir aber hoffentlich klar, daá keine von dir genannte Methode und keine Kombination daraus alle Viren finden kann. Wenn gleich beim ersten Start des Virus die Schadfunktion losgehen sollte, dann kann das ziemlich peinliche Folgen haben. Und wenn ein Virus sich sehr langsam vermehrt, dann k”nnte dir das auch entgehen. Wenn du ein wenig nachdenkst, werden dir sicher noch eine Menge weiterer Sicherheitsl”cher einfallen. Ich weiá, daá das alles nicht so wahrscheinlich ist, daá man Angst davor bekommen muá. Deshalb erst einmal Hut ab! Hier noch einige weitere Vorschl„ge. Ich bin kein Experte und hatte auch erst mit 4 aktiven Viren (2 Bootviren, 2 Fileviren) zu tun. Wenn ihr bessere Vorschl„ge habt, k”nnt ihr die ja auch noch an den Hugi schicken. Falls ihr von euren Bekannten virenverseuchte Software bekommt oder bemerkt, daá ihr ihnen welche geschickt habt, dann solltet ihr ihnen das sofort melden. Manchmal ist es sinnvoller, zus„tzlich eine ^4Warnung^5 vor bestimmten Programmen zu publizieren. Gleich zwei Beispiele: ^1Scorpe hat mir krzlich die ^2Croco Disk #6^1 und ^2Digital Chat #3^1 geschickt. ^1Auf der Croco Disk war im Verzeichnis ^4\M&C_READ^1 folgende Datei: ^0GEPACKT.EXE 21283 25.11.1996 20.23 ^1GEPACKT.EXE ist ein RAR-SFX-Archiv, das beim Entpacken folgende mit dem ^4WereWolf.1500.b-Virus^1 infizierte Datei freisetzt: ^0README.EXE 12148 21.10.96 09:49 ^1šbrigens ein sehr sch”nes Beispiel dafr, wie man eine gepackte .EXE-Datei ^1durch Archivierung verl„ngern kann!! ^1Bei DigitalChat #3 war das ^4Installationsprogramm^1 mit WereWolf.1500.b ver- ^1seucht. Es handelt sich um folgende Datei: ^0INSTALL.EXE 13294 30.10.96 15:30 ^1So, das waren die schlimmsten Horrormeldungen fr heute. Hoffentlich h„lt sich ^1die Epidemie diesmal in Grenzen! Noch wichtiger als das Aufspren von Viren ist die ^4Vorsorge^5. Darum erst mal: ^4Backups machen!^5 Sonst droht stets Datenverlust, auch ohne Viren. Eine sicher mit intaktem mechanischem Schreibschutz aufbewahrte ^4Notfall- ^4diskette^5 kann nicht schaden. Darauf geh”ren neben den Systemdateien noch einige wichtige DOS-Bestandteile (Tastaturtreiber, FDisk, Format, Sys etc.), m”glichst auch ein Diskeditor oder Debugger und Kopien von Masterboot Record und Bootsektor der Festplatte, wenn ihr damit umgehen k”nnt. Manchmal denken wir alle zu wenig daran, wie unglaublich schnell sich so ein Rechner mit Fest- platte - mit oder ohne Viren - in einen Rechner mit kaputter oder ber- schriebener Festplatte verwandeln kann! Ganz wichtig ist auch der richtige Gebrauch des ^4Schreibschutzschieber^5s auf Disketten mit Originalsoftware. Bevor die Disks im Laufwerk verschwinden, immer erst den Schreibschutz aktivieren. Scannen sollt ihr das Zeug natrlich trotzdem! Ihr braucht mindestens einen ^4aktuellen Virenscanner^5. Wenn ihr st„ndig dieselben alten Programme verwendet und niemals Daten oder Programme von anderen Leuten bekommt, dann ist das Alter des Virenscanners nicht so wichtig. Da ihr aber gerade dieses DiskMag lest, geh”rt ihr nicht zu diesen Leuten. Viel „lter als ein Vierteljahr sollte euer Scanner besser nicht sein. Und alle Daten und Programme, die ihr von anderen Leuten erhaltet, solltet ihr vorsichtshalber scannen. Je weniger der Anbieter eurer Software sich um Virenabwehr Gedanken macht und je mehr Leute ihm Programme liefern, desto riskanter ist die Sache mit den Daten. Deshalb ist der Daten-GAU nicht ganz so wahrscheinlich, wenn ich meine Original- disketten von Borland nicht scanne als wenn ich vergessen sollte, die Croco Disk oder Digital Chat auf Viren zu untersuchen. Denn bei so etwas reicht das einfache Scannen auf gar keinen Fall aus! Ein Hauptproblem beim Scannen sind ^4archivierte Dateien^5. Zwar entpacken einige wenige gute Virenscanner bei entsprechender Parametereinstellung bzw. ent- sprechendem Setup manche „ltere Archivformate (aber l„ngst nicht alle!) Sicher hilft nur folgende Methode: scannen, entpacken und dann nochmals scannen. Noch schlimmer sind mit Online-Packern gepackte Programme, die sich bei jedem Aufruf selbst in den Speicher entpacken. Ist ein verseuchtes Programm mit exotischer Software gepackt worden, so versagen vermutlich alle Virenscanner, auch wenn sie den Virus sonst sicher erkennen. Was h”re ich da? Protest- geschrei von einigen Codern? Selbstverst„ndlich drft ihr weiter euren Lieblings-Packer verwenden, der eure Dateien noch 3 Byte krzer macht als die etablierte FreeWare-Konkurrenz! Nur solltet ihr euch dann ber eure Verantwor- tung klar werden. Nicht empfehlenswert ist es auch, Archivdateien oder Programme mit einer nicht standardgem„áen Extension (.PCK, .DAT etc.) zu versehen. Die Virenscanner bergehen so etwas normalerweise, wenn man sie nicht zum Gegenteil zwingt. Im Handel gibt es noch sogenannte heuristische Scanner, die angeblich unbekannte Viren feststellen k”nnen sowie residente Virenw„chter, sogenannte "Behaviour blocker", die virenverd„chtige Aktivit„ten im System feststellen k”nnen. So viel ich bisher geh”rt habe, sind die Risiken und Nebenwirkungen solcher Progs z.T. viel besser zu erkennen als ihre Wirkung. Ich habe damit noch wenig herumprobiert. Was haltet ihr davon? Zum Aufspren residenter Viren, die Interrupt-Vektoren verbiegen, sichere ich die ^4Interrupt-Vektorentabelle^5 in den Datenbereich eines kleinen speicher- residenten Programms. Hinterher kann ich dann die Tabelle mit der aktuellen Interrupt-Vektorentabelle vergleichen. Leider ist es aber ziemlich einfach, sich in Interrupts einzuklinken, ohne daá die Interrupt-Vektorentabelle ver„ndert wird. Wenn ihr zu Programmen den ^4Quelltext^5 mitgeliefert bekommt, dann k”nnt ihr den mit euren eigenen Compilern oder Assemblern nochmals bersetzen. Das Ergebnis ist fast immer virenfrei, wenn euer Rechner bisher virenfrei war. Zu 100% kann man sich zwar auch nicht darauf verlassen (vgl. HDE #1!!) Aber wer einen Virus im Quelltext ver”ffentlicht und nicht davor warnt, drfte auch auáerhalb der Schweiz rasch in Konflikt mit dem Gesetz geraten. ^4Virenfallen^5 sind sehr zu empfehlen. Besonders gut wirkt ein Selbstcheck von Programmen. Ich baue so etwas inzwischen bei all meinen ohne Quelltext ver”ffentlichten Freeware-Progs ein. Ich melde meist vor dem ersten Programmtest beim BIOS die ^4Festplatte^5 ab. Wenn dann ein Virus oder Trojaner freigesetzt wird, kommt er hoffentlich nicht ganz so weit. Žuáerst wirksam bei der Abwehr von Bootviren ist, neben dem von Real Adok genannten Bootsektorschutz, in vielen BIOS-Setupprogrammen ein Punkt, der z.B. ^4"Boot Sequence"^5 heiát. Damit kann man festlegen, ob der Rechner erst von Diskettenlaufwerk A: zu booten versucht, bevor er von der Festplatte startet oder nicht. Ich empfehle in solchen F„llen, immer von der Festplatte zu starten. Dann haben Viren im Bootsektor von Disketten keine Chance mehr, die Festplatte zu infizieren. Und es gibt keine l„stigen Nachfragen, wenn man eine Diskette formatiert. Wenn man wirklich mal von einer Diskette starten muá, dann l„át sich diese Setup-Einstellung ja leicht wieder umstellen. Mein BIOS ist leider nicht so modern, daá es den Rechner daran hindern k”nnte, vom Diskettenlaufwerk zu booten oder Schreibzugriffe auf die Bootbereiche abzufangen. Deshalb behelfe ich mir mit meinem Freeware-Programm ^2VIR_ADE!^5. Das berschreibt zuverl„ssig alle ausfhrbaren Teile von Bootsektoren, l„át aber die darin enthaltenen wichtigen Daten (Bootparameterblock etc.) intakt. Nur Originaldisks mit kommerziellen Programmen bleiben davon auf Dauer verschont. Alle anderen Disks, vor allem die, die ich an andere Leute verschicke, werden erst einmal mit VIR_ADE! traktiert. Noch ein Wort an die Coder, die wie ich die Finger von DOS nicht lassen k”nnen. Ihr macht euch ungeheuer viel Mhe, coole Fonts und Grafikeffekte zu erzeugen. Wenn ihr euch doch endlich mal genauso viel Energie darauf verwenden wrdet, eure Programme mit Selbstchecks auszursten! Ich habe gut reden, weil meine Programme alle eine Oberfl„che aus der Software-Steinzeit haben? Zugegeben! Das tut aber nichts zur Sache. Ich h„tte meine liebe Mhe, einen Textviewer mit eingebautem Copper-Balken zu fabrizieren (doch, doch - so was gibt's tats„chlich...) Trotzdem f„nde ich alter Lamer es ganz entzckend, wenn ihr etwas von eurem reichlich vorhandenen Talent fr die Dinge verwenden wrdet, die man nicht gleich auf den ersten Blick sieht oder sofort h”rt - Datensicherheit, Absturzsicherheit, relative Virenfestigkeit. Falls euch das Thema interessiert, schreibt mir mal. Eventuell k”nnen wir zusammen etwas basteln. Und hier meine Anschrift: ^4Robert Flogaus-Faust ^4Pfarrstr. 6 ^4D-63303 Dreieich ^4Deutschland Eine ganz andere L”sung des DOS-Virenproblems ist absehbar: die Umstellung auf sogenannte moderne, angeblich sicherere Betriebssysteme wie OS/2 und Windows NT. Irgendwann ist das das Ende der heutigen polymorphen Stealth-Monster unter DOS. Ob aber dadurch die Viren aussterben oder weniger werden? Die Entwicklung bei den Makroviren f”rdert die Zweifel daran. Die n”tigen Sicherheitsmaánahmen werden sich stark „ndern.