home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
The Atari Compendium
/
The Atari Compendium (Toad Computers) (1994).iso
/
files
/
umich
/
utils
/
virus
/
virend31.zoo
/
virendet.3-1
/
handbuch.txt
next >
Wrap
Text File
|
1992-04-30
|
149KB
|
2,391 lines
****************************************************************************
* 23.04.1992 *
* Computerviren auf dem A T A R I S T *
* ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ *
* Dieses Textfile gehört zum Programm V I R E N D E T E K T O R 3.1, *
* kopieren Sie es bitte nur mit diesem Programm zusammen weiter !!! *
* *
* Das Programm ist S H A R E W A R E ! Es darf und soll kopiert und *
* weitergegeben werden, um der weiteren Virenverbreitung zu begegnen. *
* Die Datei HINWEIS.TXT sollten Sie in Ihrem und in meinem Interesse *
* bitte beachten. *
* *
* Zum Programm gehören folgende Files: *
* VIREND31.PRG - Das Programm selbst *
* REGISTER.TXT - Eine Registrierkarte zum Ausdrucken *
* HINWEIS.TXT - Die Nutzungsbestimmungen und wichtige Hinweise *
* zur Verbreitung des Programms *
* HANDBUCH.TXT - Diese Datei *
* NEWS.TXT - Eine Liste der Änderungen der letzten VIREN- *
* DETEKTOR-Versionen und ein Ausblick auf weitere *
* Verbesserungen in zukünftigen Versionen, sowie *
* bekannte Programmfehler, Inkompatibilitäten und *
* Unschönheiten. BITTE UNBEDINGT LESEN! *
* *
* sowie der Ordner WPROTECT mit den Dateien: *
* WPROTECT.ACC - Accessory zum Schreibschützen von Festplatten *
* und/oder RAM-Disks *
* WPROTECT.PRG - Das gleiche für den AUTO-Ordner *
* WPROTECT.TXT - Kurze Anleitung dazu *
* WPROTECT.S - Assembler-Source zu WPROTECT.PRG *
* WPRORSC.S - Resource-to-Source Datei *
* WPROTECT.RSC - Resource-Datei *
* WPROTECT.RSD *
* *
* Folgende Files werden bei Bedarf vom VIRENDETEKTOR erstellt, sind aber *
* nicht unbedingt notwendig und müssen auch bei einer Weitergabe nicht *
* mitkopiert werden: *
* VIRENDET.INF - Parameter-Datei *
* VIRENDET.CRC - Datei mit CRC-Prüfsummen *
* *
* Diese Dateien werden vom VIRENDETEKTOR erstellt und gehören NICHT zum *
* Lieferumfang - bitte auch nicht mit Ihrer Version weitergeben: *
* VIRENDET.HD - Datei mit Festplatten-Rootsektoren *
* VIRDPROT.INF - Protokoll-Datei *
* *
* © Volker Söhnitz, Beginenstr. 17, 5100 Aachen *
* EMAIL: Volker Soehnitz @ AC (MausNet) *
* Volker Soehnitz % MAUS AC 2:242/2 (FidoNet) *
* Volker_Soehnitz@ac.maus.de (Usenet) *
* Volker_Soehnitz%ac@ZERMAUS.ZER (Z-Netz) *
* BTX: Seite *35008024#, im Formular ausfüllen *
* Volker_Soehnitz@AC.MAUS.DE.UUCP (kostet 90 Pfennig) *
* *
* © für WPROTECT und das Protokollfile: Christoph Conrad *
* EMAIL: Christoph Conrad @ AC3 (MausNet) *
* Christoph Conrad % MAUS AC3 2:242/2 (FidoNet) *
* Christoph_Conrad@ac3.maus.de (Usenet) *
* Christoph_Conrad%ac3@ZERMAUS.ZER (Z-Netz) *
* BTX: Seite *35008024#, im Formular ausfüllen *
* Christoph_Conrad@AC3.MAUS.DE.UUCP (kostet 90 Pfennig) *
* *
****************************************************************************
Alle Rechte vorbehalten. Kein Teil dieses Textes darf in irgendeiner Form
(Druck oder einem anderen Verfahren) ohne schriftliche Genehmigung des
Autors reproduziert oder unter Verwendung elektronischer Systeme
verarbeitet, vervielfältigt oder verbreitet werden. Eine Weitergabe dieses
Textes in unveränderter Form und nur zusammen mit den oben genannten Dateien
ist ausdrücklich gestattet!
WICHTIG: Unbedingt zumindest NEWS.TXT und das Vorwort lesen!
¯¯¯¯¯¯¯¯ ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Ich weiß, niemand liest gerne lange Handbücher oder Anleitungen aber
zumindest dieses Kapitel und die Datei NEWS.TXT sollten Sie sich durchlesen.
Das heißt nicht, daß nicht auch der Rest lesenswert wäre, aber den können
Sie sich ja an einem regnerischen Abend zu Gemüte führen. Ich habe mich
bemüht, auf mögliche Bedienungsfehler, die bei der Arbeit mit dem
VIRENDETEKTOR auftreten können, einzugehen. Wenn Sie dieses Kapitel nicht
lesen, sind DATENVERLUSTE nicht auszuschließen!
Inhalt:
¯¯¯¯¯¯¯ 0. Das (etwas längere) Vorwort
a) Danksagungen
b) Was ist der VIRENDETEKTOR?
c) Hinweise zur Bedienung (WICHTIG!!!)
I. Einführung (Allgemeines über Computerviren)
a) Was ist ein Computervirus?
b) Woher kommen Computerviren?
II. Viren im ST, wo sie stecken und wie sie sich vermehren
a) Bootsektor-Viren
b) Link-Viren
c) Link-Viren in gepackten Programmen
d) Neue, bisher unbekannte Link-Viren
III. Wie beugt man Virenbefall vor?
IV. An welchen Effekten erkennt man Computerviren?
V. Neues von der Virenfront
VI. So funktioniert der VIRENDETEKTOR
VII. "Immunisierung" - Schutz vor Bootsektor-Viren???
VIII. Was ist im Fall des (Be)falls zu tun?
IX. Das SHAREWARE-Vertriebskonzept
X. Hinweise für kommerzielle Nutzer und PD-Versender
XI. Schlußwort
Einige Soft- und Hardwarebezeichnungen, die in diesem Text erwähnt werden,
sind eingetragene Warenzeichen und sollten als solche betrachtet werden.
0. Das (etwas längere) Vorwort
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
a) Danksagungen
Für die Unterstützung bei der Erstellung dieses Programms bedanke ich mich
insbesondere bei:
Christoph Conrad,
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
der nicht nur mit einigen genialen Hacks die Effizienz des VIRENDETEKTORS
stark verbessert hat, sondern dem vor allem zu verdanken ist, daß der
VIRENDETEKTOR nun auflösungsunabhängig und absolut LINE-A frei läuft.
Außerdem bedanke ich mich für das Programm WPROTECT und die Routinen zur
Erstellung des Protokollfiles, die Christoph freundlicherweise für den
VIRENDETEKTOR zur Verfügung gestellt hat.
Richard Karsmakers,
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
dem niederländischen Virenkiller-Programmierer (UVK), für die fruchtbare
Zusammenarbeit, die für die Weiterentwicklung des Programms wichtige Impulse
gegeben hat.
H.-D. Jankowski, J.F. Reschke und D. Rabich,
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
für das ATARI ST PROFIBUCH (Sybex).
C. Brod und A. Stepper,
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
für das Buch SCHEIBENKLEISTER II (MAXON).
Mein Dank geht auch an die vielen User des VIRENDETEKTORS, die mit
detaillierten Fehlermeldungen und der Zusendung neuer Viren an der
Weiterentwicklung des Programms beteiligt waren. (Hallo Dirk, hallo
Anton-Jürgen!)
Mein ganz besonders herzlicher Dank geht an alle registrierten User, die
durch die Zahlung der Sharegebühr meinen Glauben an das Shareware-Konzept
aufrechterhalten haben und die mich motivieren, den VIRENDETEKTOR auch in
Zukunft weiterzuentwickeln.
Last but not least bedanke ich mich bei meiner Frau Sabine für die
unendliche Geduld mit einem Ehemann, der nächtelang vor seinen Computern
sitzt und bereits im Schlaf von Viren brabbelt ;-)
Sollte ich jemanden bei dieser Aufzählung vergessen haben, so geschah dies
nicht aus böser Absicht.
b) Was ist der VIRENDETEKTOR?
Der VIRENDETEKTOR entstand vor mehr als fünf Jahren, als die ersten
Computerviren auf dem ST auftauchten. Zunächst als "Quick and dirty"-Hack
gegen Bootsektor-Viren, doch mit der Zeit kam eine ansprechende
Benutzeroberfläche hinzu, die Erkennung der ersten Link-Viren, die sich auf
dem ST breit machten, die Anpassung an verschiedene Auflösungen und vieles
mehr. Seit der Version 3.0 ist nun auch eine CRC-Prüfsummenbildung
eingebaut, so daß auch die Gefahr eines Befalls mit bislang unbekannten
Viren ausgeschlossen werden kann. Auch zukünftige Versionen werden wieder
Neuheiten zu bieten haben und der VIRENDETEKTOR bleibt - auch wenn er
manchem kommerziellen Virenkiller durchaus überlegen ist und obwohl mir
mehrere Angebote zur kommerziellen Vermarktung vorliegen - weiterhin
SHAREWARE. Was SHAREWARE ist und warum dieses Konzept sowohl dem Benutzer
als auch dem Programmautor viele Vorteile bietet, erfahren Sie in Kapitel
IX.
Mit dem Programm VIRENDETEKTOR haben Sie nun das geeignete Mittel in der
Hand, um jede Art von Virus zu entdecken, bevor er Unheil anrichten kann und
sich über die gesamten Datenbestände verbreitet.
c) Hinweise zur Bedienung
Der VIRENDETEKTOR ist denkbar einfach zu bedienen. Auch Einsteiger auf dem
ST/STE/TT sollten mit diesem Programm problemlos auf "Virenjagd" gehen
können. Dennoch sind mit zunehmender Anzahl an Optionen, die das Programm
bietet, auch einige Erläuterungen nützlich. Hier nun ein paar wichtige
Hinweise zur Bedienung. Auf einige spezielle Punkte wird an späterer Stelle
in diesem Text noch eingegangen.
Wenn Sie das Programm vom Desktop oder aus einer Shell heraus starten, dann
erscheint eine große Dialogbox, in der Sie mit der Maus oder den
Funktionstasten und RETURN einzelne Punkte auswählen können. Der stark
umrandete Button kann auch mit der Return-Taste gewählt werden. Bei der
Auswahl einiger Menüpunkte erscheint wiederum eine ähnliche Dialogbox.
F1: (Kurzanleitung/Programminfo)
Wie der Name vermuten läßt, handelt es sich bei diesem Punkt um eine kurze
Anleitung, die das wichtigste aus diesem Kapitel zusammenfaßt. Damit haben
Sie auch im VIRENDETEKTOR die Möglichkeit, die Arbeitsweise einzelner
Funktionen nachschauen zu können. Zunächst erscheint aber noch eine kleine
"Danksagung" an verschiedene Leute, die direkt oder indirekt bei der
Entstehung dieses Programms mitgewirkt haben. Diese Kurzanleitung umfaßt 12
Seiten, durch Drücken der ESCAPE-Taste kommen Sie jederzeit ins Programm
zurück.
F2: (Laufwerk wählen)
Dient zur Auswahl der Diskettenstation/RAM-Disk/Festplattenpartitionen, die
als aktuelles Laufwerk gelten soll. Bei der Überprüfung von Programmen
arbeitet der VIRENDETEKTOR immer auf dem Laufwerk, das hier angewählt wurde.
Es können nur tatsächlich vorhandene Laufwerke selektiert werden. Bei mehr
als 8 Laufwerken/Partitionen/RAM-Disks erscheint diese Auswahlbox
zweigeteilt. Mit den Pfeilboxen kann zwischen den beiden Teilen hin und her
gewechselt werden.
Bei der Überprüfung von Festplattenpartitionen oder RAM-Disks (also Laufwerk
C und größer) wird nach der Überprüfung aller Programme automatisch zum
nächsten Laufwerk gewechselt. Dadurch sparen Sie bei der Überprüfung der
gesamten Platte den manuellen Wechsel der Laufwerke. Sie können somit nach
Anwahl der ersten Partition (im allgemeinen C) durch wiederholtes Betätigen
der Return-Taste alle Partitionen auf Link-Viren überprüfen.
F3: (Einzelne Programme überprüfen)
Untersucht einzelne Programme (Auswahl über Fileselectbox) auf Virenbefall.
Dabei werden eine große Zahl von Link-Viren erkannt, dazu gehören in dieser
Version des VIRENDETEKTOR der MILZBRAND-VIRUS und auf dessen Algorithmus
beruhende Nachfolger, alle VCS-VIREN (mit dem VIRUS-CONSTRUCTION-SET
erstellte Viren), der CRASH-VIRUS, der PAPA&GARFIELD-VIRUS und der
MAD/ZIMMERMANN-VIRUS (auch als Uluru-Virus bekannt)! Es ist leider nicht
möglich, befallene Programme zu restaurieren! Sie müssen durch
Sicherheitskopien ersetzt werden. Sollten Sie nicht über Sicherheitskopien
verfügen und die infizierten Programme sind für Sie von großer Wichtigkeit,
dann finden Sie in einem späteren Kapitel noch einige Hinweise, wie Sie
eventuell auch noch mit diesen Programmen weiterarbeiten können. Dies sollte
aber wirklich die absolute Ausnahme sein! Abgesehen von der Suche nach den
oben erwähnten bekannten Link-Viren, werden Programme auch auf bislang
unbekannte Link-Viren überprüft. Prinzipbedingt kann diese Überprüfung aber
nur eine nützliche Ergänzung sein. Es gibt keine Garantie dafür, daß jeder
neue Link-Virus dadurch entdeckt werden kann. Neben einzelnen Programmen
können auch komplette Pfade durchsucht werden, dazu wird in der
Fileselectbox einfach der gewünschte Pfad eingestellt. Wollen Sie also z.B.
alle Dateien im Ordner "KUCKREIN" überprüfen, so öffnen Sie diesen Ordner
und klicken auf den OK-Button (oder drücken die RETURN-Taste). Dann werden
alle Programmfiles in dem gewünschten Ordner, sowie in allen weiteren
Ordnern, die sich im gewählten Ordner befinden, überprüft!
F4: (Alle Programme überprüfen)
Alle Programme auf dem aktuellen Laufwerk werden auf Link-Viren untersucht.
(Analog zu F3.) Dabei werden nicht nur die Programme im Hauptdirectory des
aktuellen Laufwerks (Floppy/RAM-Disk/Harddisk) überprüft, sondern auch alle
Programme, die sich in irgendwelchen Ordnern aufhalten! WICHTIG: Wenn Sie
mit einer Festplatte und einer alten TOS-Version (1.00 oder 1.02) arbeiten,
dann sollten Sie unbedingt das FOLDR100.PRG im Autoordner haben. Aber diese
Regel gilt nicht nur für den VIRENDETEKTOR. Es werden auch "Hidden"- und
"System"-Files überprüft. Auf der Festplatte kann diese Überprüfung je nach
Partitionsgröße einige Zeit in Anspruch nehmen. Die laufende Überprüfung
kann durch Betätigung der ESCAPE-Taste abgebrochen werden. Wenn der Abbruch
nicht gleich klappt, dann halten Sie die ESCAPE-Taste solange gedrückt, bis
der VIRENDETEKTOR diesen Abbruch bestätigt. Berücksichtigt werden alle
Files, deren Extension auf PR*, AC*, TOS, TTP, APP, GTP oder auf eine der
vier selbstdefinierten Extensionen paßt. Bei eingeschalteter CRC-Prüfung
wird die aktuelle CRC-Prüfsumme mit einer gegebenenfalls zuvor gespeicherten
Prüfsumme verglichen. Falls das aktuelle Laufwerk nicht A oder B ist, so ist
diese Funktion defaultmäßig auch mit RETURN zu erreichen.
F5: (Bootsektor überprüfen)
Diese Funktion kann nur bei Wahl von Laufwerk A oder B angewählt werden. Es
wird der Bootsektor einer Diskette auf Virenbefall überprüft! Alle
verbreiteten ST-Bootsektor-Viren werden erkannt, welcher Virus entdeckt
wurde, wird ebenso angezeigt, wie bei einigen mutierenden Viren die
vorgefundene Generation! Ist der Bootsektor infiziert, so kann der Virus
entfernt und der Bootsektor restauriert werden. Der VIRENDETEKTOR erkennt
die meisten Immunisierungs-Bootsektoren, wie sie von einigen Virenkillern
erzeugt werden. Falls Sie im Menü "Weitere Optionen" die Immunisierung nicht
eingeschaltet haben, kann eine vorhandene Immunisierung auf Wunsch auch
entfernt werden! Natürlich werden auch berechtigterweise ausführbare
Bootsektoren erkannt und gemeldet, z.B. 1st Freezer-Disks, Aladin-Disketten
(MAC-Emulator), TOS-Lader, viele Spiele-Bootlader, 60-Hertz Bootsektoren,
mehr als ein halbes Dutzend HD-Waiter und viele mehr. Seit der Version 2.9e
werden AUCH NICHT AUSFÜHRBARE Bootsektor-Viren erkannt! Diese können sich
mittels eines undokumentierten Features des Betriebssystems resetfest im
Speicher installieren, OBWOHL der Bootsektor eigentlich nicht ausführbar
ist! Genauere Informationen zur Arbeits- und Verbreitungsweise dieser Viren
finden Sie in einem gesonderten Kapitel über Bootsektor-Viren. Trifft der
VIRENDETEKTOR auf einen bisher unbekannten ausführbaren Bootsektor (z.B.
einen neuen Spiele-Lader oder aber einen neuen Virus), so wird eine
entsprechende Meldung ausgegeben und es kann eine Routine aufgerufen werden,
die das Bootprogramm auf typische Merkmale eines Virus-Programms untersucht!
Das Ergebnis dieser Analyse wird in einer Alert-Box angezeigt. Falls es sich
um einen bisher unbekannten Virus handelt, kann der Bootsektor restauriert
werden. Das Programm wird im übrigen laufend aktualisiert und an neue Viren
angepaßt! Sollten Sie über einen Virus oder ein harmloses Bootprogramm
verfügen, welches der VIRENDETEKTOR nicht kennt, dann schicken Sie es mir zu
- ich werde umgehend eine Erkennung einbauen.
F6: (Bootsektor und Disk-Info anzeigen)
Zeigt den Bootsektor der Diskette im gewählten Laufwerk (A oder B) sowohl im
ASCII-Code als auch in Hexadezimalzahlen an. Zusätzlich werden die
Disketten-Struktur-Informationen entschlüsselt und angezeigt. (Anzahl der
Seiten, Tracks, Sektoren, Ausführbarkeit, Länge des Directories, ...) Auch
diese Funktion kann nur bei Wahl von Laufwerk A oder B gewählt werden.
F7: (Bootsektor und alle Programme überprüfen)
Mit diesem Menüpunkt werden die Funktionen "Bootsektor überprüfen" und "Alle
Programme überprüfen" hintereinander ausgeführt. Wenn Laufwerk A oder B als
aktuelles Laufwerk gewählt wurden, so ist dieser Punkt defaultmäßig über
RETURN erreichbar. Wenn Sie also Ihre Diskettensammlung sowohl auf Link- wie
auf Bootsektor-Viren überprüfen wollen, brauchen Sie nur die Disketten der
Reihe nach einzulegen, RETURN zu drücken und die Meldungen des Programms
abzuwarten.
F8: (CRC-Prüfung ein/ausschalten)
Dient zum Ein- oder Ausschalten der CRC-Prüfsummenoption. Ist der CRC-Check
eingeschaltet, so berechnet der VIRENDETEKTOR bei jeder Link-
Virenüberprüfung eine CRC-Prüfsumme über den Teil des Programms, der bei
einer Infizierung mit einem Link-Virus auf jeden Fall verändert würde. Ist
für das jeweilige Programm bereits eine CRC-Summe aus vorhergegangenen
Überprüfungen vorhanden, so wird die neue Prüfsumme mit der alten verglichen
und eventuell auftretende Unterschiede werden gemeldet. Somit kann sich auch
ein völlig neuartiger Link-Virus, den der VIRENDETEKTOR noch nicht kennt,
nicht unbemerkt in Ihren Programmbestand einschleichen. Natürlich
funktioniert diese Lösung nur dann, wenn nicht schon zum Zeitpunkt der
erstmaligen CRC-Prüfsummenerstellung ein Link-Virus, den der VIRENDETEKTOR
noch nicht kennt, Ihre Programmbestände komplett durchseucht hat. Dieser
Umstand ist aber außergewöhnlich unwahrscheinlich.
Beachten Sie bitte: Wenn Sie mehrere unterschiedliche Programme gleichen
Namens (z.B. zwei EDITOR.PRG) oder verschiedene Versionen eines Programmes
besitzen, dann wird der VIRENDETEKTOR beim zweiten Programm eine Veränderung
melden. Seit der Version 3.1 des VIRENDETEKTORS sind zu jedem Programmnamen
maximal 20 CRC-Prüfsummen abspeicherbar. Die Extensionen der Programmnamen
werden dabei nicht berücksichtigt, dies hat den Vorteil, daß Programme, die
auch als Accessories verwendet werden können, nicht zweimal in der CRC-Liste
auftauchen. Selbiges gilt auch für Auto-Ordnerprogramme, deren Extension in
PR oder PRX verändert wurden. Wenn ein Programm seine CRC-Prüfsumme ändert,
so kann diese Änderung diverse Ursachen haben. Es könnte sich um ein Update
handeln, es kann ein anderes Programm gleichen Namens in der CRC-Liste
existieren oder es handelt sich um ein selbstmodifizierendes Programm
(einige Programme speichern bestimmte Einstellungen in sich selbst ab - sehr
unfeiner Programmiererstil - also können auch hier Veränderungen auftreten,
die NICHT durch Virenbefall verursacht wurden). Es ist allerdings auch
möglich, daß ein neuer, bisher unbekannter Link-Virus das Programm verändert
hat! Dies wird dann wahrscheinlich, wenn sich veränderte Prüfsummen häufen,
ohne daß eine der oben genannten Erklärungen zutrifft. Sie können die neue
CRC-Prüfsumme dann übernehmen, verwerfen oder das Programm löschen. Sie
können auch die alten Prüfsummen durch die neue ersetzen, dabei werden aber
ALLE alten Prüfsummen, die für diesen Programmnamen gespeichert waren,
ersetzt. Der VIRENDETEKTOR kann maximal 5000 verschiedene Prüfsummen
verwalten. Nach Erreichen dieses Limits können keine weiteren Prüfsummen
aufgenommen werden.
Nochmals der Hinweis: Wenn sich plötzlich mehrere Programme ohne erkennbaren
Grund verändert haben, wenn also der VIRENDETEKTOR in mehreren Fällen eine
veränderte CRC-Prüfsumme meldet, ist Vorsicht geboten. Sie sollten mir eines
der möglicherweise befallenen Programme zusenden, ich werde dann - sofern es
sich tatsächlich um einen neuen Virus handelt - eine entsprechende Erkennung
in den VIRENDETEKTOR einbauen und Sie erhalten umgehend eine neue, an diesen
Virus angepaßte Version.
F9: (HD-Rootsektor prüfen/restaurieren/speichern)
Hinter diesem Menüpunkt verbirgt sich eine Auswahlbox, in der Sie angeben
können, ob Sie einen Rootsektor prüfen, restaurieren oder anzeigen wollen.
Der Rootsektor der Festplatte wird beim DMA-Bootvorgang gelesen und
ausgeführt. Im Rootsektor ist außerdem die Partitionierungsinformation der
Festplatte enthalten. Haben Sie mehrere Festplatten (physikalische
Laufwerke, nicht Partitionen) an Ihren Rechner angeschlossen, so können Sie
auch das gewünschte Target auswählen. Beim Prüfen des Rootsektors wird der
aktuelle Rootsektor mit einem zuvor gesicherten Rootsektor verglichen und
das Ergebnis wird angezeigt. Sollte noch kein Vergleichsrootsektor
gespeichert sein, so können Sie den aktuellen Rootsektor für spätere
Vergleiche übernehmen.
Wenn Sie einen Festplattenrootsektor zum ersten Mal eingelesen haben, dann
können Sie ihn in eine Datei sichern. Der VIRENDETEKTOR schreibt die
Rootsektoren aller angeschlossenen Targets in die Datei VIRENDET.HD. Die
Datei VIRENDET.HD ist normalerweise nicht im Lieferumfang enthalten, sondern
muß von Ihnen bei der ersten Festplattenprüfung erzeugt werden. Sollten Sie
das Programm von einem Bekannten oder PD-Versender bekommen haben, dann
sollte sich daher normalerweise keine Datei mit diesem Namen im
VIRENDET.3_1-Ordner befinden. Sollten Sie dort dennoch diese Datei finden,
dann löschen Sie diese VOR dem Start des VIRENDETEKTORS und legen Sie nach
Überprüfung Ihrer Festplatte(n) mit diesem Menüpunkt neu an. WICHTIG:
Verwenden Sie keine VIRENDET.HD-Datei von fremden Festplatten!!! Auch wenn
Sie Ihre Platte(n) neu partitionieren muß diese Datei neu angelegt werden!
Wenn Sie das Programm weitergeben, dann bitte OHNE die Datei VIRENDET.HD! Es
könnte sonst bei Anwendern, die diese Anleitung oder die Kurzanleitung im
Programm selbst nicht durchlesen, zu Datenverlust führen, wenn diese einen
fremden Rootsektor auf die eigene Platte kopieren. Sollten Sie einen oder
mehrere neue Rootsektoren übernommen haben, so werden Sie beim Programmende
darauf hingewiesen, falls Sie diese Rootsektoren bislang noch nicht
abgespeichert haben und können das dann vor dem Verlassen des VIRENDETEKTORS
nachholen.
Da die Partitionierungsinformationen beim Befall durch einen Virus zerstört
werden können, ist für diesen Fall eine Restaurierungsmöglichkeit gegeben.
Dazu müssen Sie sich von der Datei VIRENDET.HD eine SICHERHEITSKOPIE AUF
DISKETTE anlegen.
Dies ist wichtig, da Ihnen diese Datei auf der Festplatte nichts mehr nützt,
denn mit einem zerstörten Rootsektor ist Ihnen jeder Zugriff auf die Platte
verwehrt. Mit Hilfe des VIRENDETEKTORS - von dem Sie natürlich ebenfalls
eine Sicherheitskopie haben sollten - kann der Rootsektor dann wieder auf
die Festplatte geschrieben werden.
WICHTIG: (Ich weiß, das habe ich schon erwähnt - man kann es aber nicht oft
genug wiederholen!) Jede neue Partitionierung Ihrer Platte führt natürlich
zu einer Veränderung des Rootsektors! In diesem Fall muß die Datei
VIRENDET.HD, die die gespeicherten Rootsektoren enthält, gelöscht werden und
der Rootsektor neu eingelesen werden. Auf keinen Fall dürfen Sie nach einer
Neupartitionierung den alten Rootsektor wieder zurückschreiben! Der
Rootsektor darf nur restauriert werden, wenn er unrechtmäßig (durch einen
Virus oder ein anderes "amoklaufendes" Programm) verändert wurde. Wenn Sie
Ihre Platte neu partitioniert haben, kommt auf jeden Fall die Meldung
"Rootsektor wurde verändert". Dies ist normal und kein Grund zur Besorgnis!
Schreiben Sie NIEMALS einen alten Rootsektor nach einer Neupartitionierung
zurück! Ansonsten sind Ihre Daten auf der Festplatte plötzlich ins Nirwana
entfleucht.
ACHTUNG: Nach dem Zurückschreiben eines Rootsektors wird automatisch ein
RESET (Warmstart) ausgelöst! Dies ist aus Kompatibilitätsgründen zu
verschiedenen Festplattentreibern nötig. Wenn Sie "restaurieren" anwählen,
werden Sie auf diesen Umstand aufmerksam gemacht und haben noch die
Möglichkeit, diesen Vorgang abzubrechen.
F10: (Weitere Optionen)
Unter diesem Menüpunkt sind verschiedene Einstellungsmöglichkeiten sowie
nicht so häufig benötigte Funktionen zusammengefaßt. Es erscheint ein
Untermenü mit folgenden Punkten:
File löschen:
Zum v o l l s t ä n d i g e n Löschen von Files! Da beim Löschen einer
Datei im Desktop, oder beim Aufruf der Löschfunktion des TOS nur der
Filename im Directory unkenntlich gemacht, sowie die FAT gelöscht wird,
bleiben die Daten unversehrt auf der Diskette und können deshalb mit Hilfe
diverser Diskutilities, z.B. RESCUE, DUST oder DISKDOC restauriert werden
(falls sie nicht zwischenzeitlich überschrieben wurden). Mit diesem
Programmpunkt werden Files unwiderruflich und endgültig ausgenullt!
Immunisierung wählen...:
Zum Thema "Immunisierung" werde ich im weiteren noch Stellung nehmen. Hier
sei nur erwähnt, daß ich, um auf alle Wünsche nach den verschiedensten
Immunisierungsmethoden einzugehen, im VIRENDETEKTOR drei verschiedene
Möglichkeiten zur Immunisierung von Bootsektoren vorgesehen habe. Mit diesem
Menüpunkt können Sie die gewünschte Immunisierung ein- oder ausschalten und
die automatische Impfung einschalten. Bei eingeschalteter Immunisierung wird
beim Schreiben eines Bootsektors, also wenn z.B. ein Virus vernichtet wird
oder ein anderes Bootprogramm entfernt wird, ein Immunisierungs-Bootsektor
bzw. der Immunisierungs-Autoordner erzeugt. Was unter den drei Methoden zu
verstehen ist, entnehmen Sie bitte dem Kapitel VII. Wenn die
Bootsektorimpfung eingeschaltet ist, wird die gewählte Immunisierungsart
immer auf die zu prüfende Diskette aufgebracht, also auch dann, wenn kein
Virus überschrieben wird. Dazu dürfen die zu prüfenden Disketten natürlich
nicht schreibgeschützt sein. Es erfolgt auch dann eine Immunisierung, wenn
im Bootsektor bereits eine Immunisierung eines anderen Virenkillers
vorhanden ist. Diese wird dann entfernt. Andere ausführbare harmlose
Bootsektoren werden nicht geimpft, auch 1st Lock Disketten (LOGILEX) werden
nicht geimpft, da im Bootsektor wichtige Informationen stehen, die sonst
verloren gehen würden. Ausnahme: Die Immunisierung durch den Autoordner, da
bei dieser Immunisierungsart der Bootsektor nicht verändert wird.
Info-Meldungen ein/ausschalten:
Wenn Sie mit dem VIRENDETEKTOR Ihre komplette Diskettensammlung überprüfen
und Ihre kostbare Zeit nicht zu sehr strapazieren wollen, dann können Sie
die ohnehin schon hohe Arbeitsgeschwindigkeit des Programms noch weiter
erhöhen, indem Sie alle Meldungen des Programms, die nicht auf Virenbefall
hinweisen, unterdrücken. Sie brauchen dann pro Diskette nur einmal die
RETURN-Taste (oder F7) zu drücken und der VIRENDETEKTOR kehrt nach der
Überprüfung der Diskette sofort zum Hauptmenü zurück (sofern kein Virus
gefunden wurde) und Sie können mit der nächsten Diskette fortfahren.
Extensionen wählen:
Wenn der VIRENDETEKTOR eine komplette Diskette/RAM-Disk/Partition oder einen
gewählten Pfad auf Link-Viren untersucht, dann werden alle Dateien mit den
Extensionen PR* (z.B. PRG, PRX, PR, ...), AC*, TOS, TTP, APP und GTP
überprüft. Mit diesem Menüpunkt können Sie weitere vier Extensionen
(allerdings ohne Wildcards) angeben, die bei der Überprüfung berücksichtigt
werden sollen.
CRC-Prüfung konfigurieren...
Nach Auswahl dieses Menüpunktes, erscheint eine Auswahlbox, in der Sie mit
"CRC-Daten automatisch/von Hand übernehmen" entscheiden, ob bei der CRC-
Prüfung die Prüfsummen bislang unbekannter Programme automatisch aufgenommen
werden sollen oder ob der VIRENDETEKTOR bei jedem unbekannten Programm nach-
fragt, ob eine Übernahme gewünscht wird. Wenn Sie die CRC-Option zum ersten
Mal verwenden, ist es sinnvoll, auf "automatisch übernehmen" zu schalten, da
sonst bei jedem überprüften Programm eine Alert-Box mit der Nachfrage er-
scheint, ob die Datei übernommen werden soll.
BEACHTEN SIE BITTE, DASS AUS INTERNEN GRÜNDEN DIE CRC-PRÜFSUMMEN DER ALTEN
VERSION 3.0 NICHT WEITER VERWENDET WERDEN KÖNNEN!
Wenn versucht wird, eine alte VIRENDET.CRC Datei zu laden, meldet der
VIRENDETEKTOR, daß diese Prüfsummen ungültig sind. Beim Umstieg auf die
Version 3.1 ist es sinnvoll, zunächst noch einmal einen Prüfdurchgang mit
der alten Version vorzunehmen und sofort im Anschluß daran mit der neuen
Version eine erneute Prüfung vorzunehmen. Dabei sollte dann die automatische
Übernahme der Prüfsummen eingestellt werden.
Mit "CRC-Datei abspeichern" können Sie die neuen CRC-Prüfsummen, die seit
dem letzten Start des VIRENDETEKTORS hinzugekommen sind, abspeichern.
Sollten Sie seit dem letzten Programmstart des VIRENDETEKTORS neue
CRC-Prüfsummen übernommen oder gelöscht haben, so werden Sie beim
Programmende darauf hingewiesen, daß Sie diese bislang noch nicht
abgespeichert haben und können dieses dann vor dem Verlassen des
VIRENDETEKTORS nachholen. Wenn Sie einzelne CRC-Prüfsummen entfernen wollen,
dann können Sie dies mit "CRC-Prüfsummen editieren" erledigen. Die zu
löschende CRC-Prüfsumme wird mit den Cursortasten oder durch klicken in die
Pfeilboxen ausgewählt und kann dann mit "löschen" oder durch Drücken der
DELETE-Taste gelöscht werden. Dieses Löschen wird zunächst nur im Speicher
vorgenommen. Die CRC-Datei auf dem Massenspeicher wird erst beim nächsten
Abspeichern aktualisiert.
Bootsektor auf/von Disk schreiben/lesen...
Oft ist es nützlich, wenn man einen Bootsektor auf Diskette sichern kann, um
z.B. den Bootsektor einer Spieledisk bei Bedarf restaurieren zu können. Mit
dieser Option können Sie aber auch verdächtige ausführbare Bootsektoren,
deren Zweck Sie nicht kennen, in eine Datei schreiben um mir diese zur
Analyse zuzuschicken. ACHTUNG: Das Zurückschreiben eines Bootsektors auf
eine Diskette, auf die dieser Bootsektor nicht gehört, kann zu Datenverlust
führen!
PFXPAK-Programme auspacken/nicht auspacken
Dient zur Auswahl, ob PFXPAK-Programme auch im entpackten Zustand überprüft
werden sollen. Bedauerlicherweise kam es mit dieser Option kurz vor der Aus-
lieferung dieser Version zu rätselhaften Abstürzen, deren Ursache bislang
nicht geklärt werden konnte. Ich werde diese Funktion bis zur nächsten
Version mit Hilfe des PFXPAK-Programmierers Thomas Quester mit Sicherheit
fehlerfrei implementiert haben. Ich bitte daher noch um ein wenig Geduld.
Protokolldatei erzeugen:
Wenn Ihnen Ihr Rechner Schwierigkeiten macht, sei es, daß irgendwelche
Programme nicht funktionieren oder ständig Fehler auftreten, deren Ursache
Sie nicht kennen, dann können Sie sich mit dem VIRENDETEKTOR eine
Protokolldatei ausgeben lassen (Dateiname: VIRDPROT.INF), die alle wichtigen
Systemvariablen dokumentiert. Mit Hilfe dieser Datei kann man sich ein Bild
über den momentanen Status des Rechners machen, um so die Fehlerursache
(unverträgliche Accessories, falsche Treibersoft, Virenbefall, ...)
festzustellen. Insbesondere wenn der VIRENDETEKTOR einen Programmfehler
meldet oder unmotiviert abstürzt (nobody is perfect) benötige ich diese
Datei, um dem Fehler auf die Spur zu kommen. Die Protokolldatei wird im
Startpfad des VIRENDETEKTORS erzeugt!
Konfiguration sichern
Alle Einstellungen, die Sie im VIRENDETEKTOR vornehmen, können Sie in die
Datei VIRENDET.INF sichern. Dabei werden auch die vier selbstdefinierten
Extensionen mit abgespeichert. Findet der VIRENDETEKTOR beim Start diese
Datei auf derselben Ebene wie das Programm, so werden die dort gewählten
Einstellungen übernommen. Ansonsten wird eine Defaulteinstellung gewählt.
Sollte das gewählte Laufwerk in der Parameter-Datei bei einem erneuten Start
des VIRENDETEKTORS nicht mehr vorhanden sein, so wird Laufwerk A als
aktuelles Laufwerk vorgegeben. Verwenden Sie bitte keine VIRENDET.INF Datei,
die Sie mit Version 3.0 angelegt haben.
Sie haben nun alle wichtigen Funktionen des Programms kennengelernt. Lesen
Sie auf jeden Fall noch die Datei NEWS.TXT, dort finden Sie die wichtigsten
Veränderungen der letzten Programmversionen und auch einen Abschnitt über
Inkompatibilitäten und bekannte Programmfehler. Dann steht einer
erfolgreichen Arbeit mit dem VIRENDETEKTOR nichts mehr im Wege.
Sollten bei der Arbeit mit dem VIRENDETEKTOR Probleme auftreten oder sollte
es gar zu Abstürzen kommen, so überprüfen Sie bitte zunächst, ob es an einem
AUTO-Ordner-Programm oder Accessory liegt. Tritt der Fehler auch mit
"nacktem" Rechner (also _OHNE_ AUTO-Ordner-Programme oder Accessories) auf,
so teilen Sie mir den Fehler und die Art und Weise, wie Sie ihn erzeugt
haben mit. Legen Sie bitte auch das vom VIRENDETEKTOR erzeugt Protokollfile
bei (auf Disk oder ausgedruckt). Ich werde mich schnellstens an die
Beseitigung des Fehlers machen.
Wenn Sie ein Accessory oder AUTO-Ordner-Programm haben, welches nicht mit
dem VIRENDETEKTOR zusammenarbeitet, so können Sie mir auch das mitteilen,
ich werde - wenn möglich - für Abhilfe sorgen.
Wenn Sie mehr über Computerviren erfahren wollen, wenn Sie an Tips zur
Vorbeugung vor Virenbefall interessiert sind (ja, es gibt tatsächlich noch
andere Tips als die Verwendung des VIRENDETEKTORS) und wenn Sie bestimmte
Punkte (z.B. die verschiedenen Immunisierungsarten) genauer kennenlernen
wollen, dann lesen Sie doch einfach weiter...
I. Einführung
¯¯¯¯¯¯¯¯¯¯
a) Was ist ein Computervirus?
Der Begriff "Virus" ist inzwischen in der Computerszene genauso geläufig,
wie in der Biologie und Medizin. Für die ST-User, die noch nicht genau
wissen, was es mit diesen kleinen "elektronischen Tierchen" auf sich hat,
ist diese Einführung gedacht:
Zu Anfang eine Definition des Begriffs "Computervirus":
"Computerviren sind Programme oder Routinen, die fremde Software ohne
Wissen oder wenigstens ohne Willen des zur Nutzung der betroffenen
Dateien berechtigten Anwenders manipulieren und diese mit der neuen
Fähigkeit ausstatten können, die Verbreitung softwarefremder Routinen
fortzusetzen."
Alles klar?! - Nein? - Na dann noch etwas ausführlicher:
Die Bezeichnung "Computervirus" deutet schon auf zwei typische Eigenschaften
dieser Programme hin: Wie ihre biologischen Vettern sind sie ansteckend und
gefährlich. Konkret heißt das, daß es sich bei einem Virus um ein kleines,
unauffälliges Programm handelt, welches sich möglichst oft vervielfachen
soll und dann eine bestimmte Aktion ausführt, deren Gefährlichkeit ganz von
der Skrupellosigkeit des Virus-Programmierers abhängt.
Auf Home- und Personalcomputern handelt es sich dabei meistens um Lösch-
oder Formatierbefehle, Programmabstürze, die Verhinderung eines
Programmaufrufs ohne Passworteingabe oder auch relativ harmlose Dinge wie
z.B. Bildschirmflackern, ein "Hackergruß" auf dem Bildschirm, ein paar
Geräusche aus dem Soundchip, ... die Liste läßt sich beliebig erweitern und
die Entwicklung neuer Viren geht in einem haarsträubenden Tempo voran.
Welche Viren inzwischen auf dem ST bekannt sind, wird in Kapitel IV und
Kapitel V noch näher erläutert.
Übrigens werden Disketten von Viren so gut wie nie vollständig formatiert.
Das würde zuviel Zeit beanspruchen und dem geplagten Opfer die Chance
lassen, die Diskette mit einem verzweifelten Griff zum Laufwerk aus selbigem
zu entfernen. Gewöhnlich werden nur die Verwaltungssektoren, also FAT und
Directory, gelöscht. Das geht blitzschnell und ist für die Daten auf der
Diskette fast ebenso tötlich wie das normale Formatieren. Zwar sind die
Daten physikalisch noch vorhanden, die Suche nach einzelnen Sektoren, um sie
wieder den entsprechenden Dateien zuzuordnen, würde jedoch selbst der
Kollege Sysiphus nicht gegen seine derzeitige Tätigkeit eintauschen wollen.
An dieser Stelle möchte ich auch ein Wort an die Hobby-Germanisten unter den
Lesern richten. Es haben nämlich einige Anwender dieses Programms ihren
Unmut darüber geäußert, daß ich nicht durchgängig "DAS Virus" schreibe,
sondern (meistens) "DER Virus". Tatsächlich erlaubt der Duden aber BEIDE
Möglichkeiten - lediglich in der Medizin ist "DAS Virus" üblich - in der
Umgangssprache hat sich hingegen "DER VIRUS" eingebürgert. Aber ich denke,
diese Frage ist für die Bekämpfung von Computerviren auf dem ST von keiner
großen Bedeutung!
Meistens startet der Virus seinen gefährlichen Hauptteil erst dann, wenn
seine Überlebensfähigkeit durch eine ausreichende Menge befallener Disketten
bzw. Programme gewährleistet ist.
Als Auslöser dienen dabei je nach Art des Virus die verschiedensten Dinge.
Möglicherweise ein bestimmtes Systemdatum, der aktuelle Zustand bestimmter
Systemvariablen (z.B.: Löschen der Festplatte, wenn ein bestimmter Füllgrad
überschritten wird) oder der Virus wird mit einer beliebigen, vorher
festgelegten Wahrscheinlichkeit zufällig aktiv. Selbstverständlich kann man
einen Virus auch so programmieren, daß er erst startet, wenn er auf ein
zuvor bestimmtes Programm (oder eine Datei) trifft. Interessanter als die
Frage, WAS der Virus tut, ist für uns aber die Frage WIE er das tut (oder
besser nicht mehr tut - wozu haben Sie denn sonst den VIRENDETEKTOR)!
b) Woher kommen Computerviren?
Die ersten Viren tauchten vor einigen Jahren in Rechenzentren auf. Dort
waren die Urheber in erster Linie Programmierer, die sich ungerecht
behandelt fühlten und sich so an ihrem ehemaligen Arbeitgeber rächen
wollten. Oft waren aber auch handfeste finanzielle Interessen im Spiel
(Erpressung, Schädigung von Konkurrenten u.ä.). Auch "Experimentierfreude"
mag zu Anfang den einen oder anderen Programmierer zur Produktion eines
Viren-Programms bewogen haben.
In der letzten Zeit tritt dieses Problem jedoch auch verstärkt im PC- und
Home-Computer-Bereich auf und läßt so manchen Software-Sammler um seine
Programmbestände bangen.
Nun scheint es tatsächlich Leute zu geben, die eine verstärkt um sich
greifende Virenplage für ein geeignetes Mittel halten, um der Raubkopiererei
Herr zu werden. Diese Vorstellung ist allerdings extrem blauäugig (und von
der Realität längst widerlegt), denn die Verbreitung von verseuchten
Disketten ist ja keineswegs auf Raubkopien beschränkt. PD-Programme,
Datendisketten und sogar Originalsoftware renommierter Softwarehersteller
können befallen sein.
Letzteres ist bereits mehrfach vorgekommen, inzwischen sind aber sowohl
PD-Versender als auch Softwarefirmen deutlich vorsichtiger geworden. Die
Gefahr von dieser Seite ist damit schon stark zurückgegangen.
Im übrigen ist es aber gleichgültig, ob jemand eine PD-Diskette tauscht
(legal) oder eine Raubkopie (illegal), die Gefahr ist in beiden Fällen
gleich.
Trotz allem ist auch unter dem Aspekt der Virenplage (übrigens nicht nur
unter diesem) die Verteilung von Raubkopien nicht ohne Risiko und sollte
unterlassen werden.
Die Hacker und professionellen Raubkopierer trifft ein Computervirus aber
sicher am allerwenigsten. Wer sich mit seinem Rechner sehr gut auskennt,
wird in der Regel auch mit Viren gut fertig. Schlimmer trifft es die
Anwender, die ihren Computer nur für Textverarbeitung oder
Tabellenkalkulation nutzen, vielleicht gelegentlich Pac-Man spielen und
immer brav nur Originaldisketten verwenden, mit Begriffen wie "Bootsektor",
"Disketten-Monitor" oder "Einsprung-Adressen-Tabelle" und ähnlichem aber
wenig anzufangen wissen. Wenn dann ein Virus (z.B. über eine PD-Disk
eingeschleppt) die Festplatte mit der fast fertigen Diplom-Arbeit formatiert
und das letzte Backup schon ein halbes Jahr alt ist, beginnt das große
Heulen und Zähneklappern.
Während die Virenprogrammierung auf professionellen Mehrplatzsystemen wie
schon erwähnt verschiedene Gründe haben kann, kommen im PC-Bereich
eigentlich nur ein übersteigertes Geltungsbedürfnis oder chronischer
Vandalismus als Motivation in Frage.
Das Programmieren von Virus-Programmen kann man ohne Übertreibung mit dem
Zerstechen von Autoreifen, dem Beschädigen von Telefonzellen und ähnlich
sinnlosen Attacken auf fremdes Eigentum vergleichen. Diese Einstellung hält
glücklicherweise auch nach und nach Einzug in die deutsche Rechtsprechung.
Auf dem ATARI ST kann man seit etwa zwei Jahren eine starke Zunahme von
Virus-Programmen feststellen, auch wenn es sich vielfach um Viren handelt,
die nicht zu der wirklich gefährlichen Sorte gehören.
Nach meinen Erfahrungen auf Grund vieler Stichproben sowohl in meinem
Bekanntenkreis als auch bei den Benutzern des VIRENDETEKTOR, hat heute schon
jeder dritte ST-Besitzer auf irgendeine Art und Weise Erfahrungen mit Viren
gesammelt oder hat sogar selbst verseuchtes Diskettenmaterial!
Häufig werden diese Viren nicht einmal bemerkt, weil gelegentliches "DATEN
AUF DISK xy DEFEKT" oder ähnliche Effekte auf andere Ursachen zurückgeführt
werden. Damit steigt natürlich die Gefahr, verseuchte Disketten über den
Daten- oder Programmtausch ungewollt weiterzugeben.
II. Wo "verstecken" sich die Viren im ST
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Ein Computervirus kann sein Unwesen natürlich nur ungestört treiben, wenn es
ihm gelingt, sich vor den Augen des Benutzers zu verbergen. Auf
Großrechenanlagen kann man Viren leicht im Speicher verbergen, da diese
Anlagen Tag und Nacht in Betrieb sind.
Da die wenigsten ST-User ihr Gerät 24 Stunden täglich eingeschaltet lassen,
ist der einzige Platz, an dem Viren überleben können, um sich bei günstiger
Gelegenheit zu verbreiten, der Massenspeicher. Das ist in aller Regel die
Diskette (bzw. Festplatte). Dort können sie die stromlose Zeit des Rechners
überdauern und sich bei Inbetriebnahme des Systems wieder im Arbeitsspeicher
einnisten. Dazu müssen sie sich auf dem Massenspeicher so unterbringen, daß
auch ein aufmerksamer Benutzer sie nicht erkennt. Die erneute Installierung
im Speicher darf dabei den normalen Arbeitsvorgang nicht beeinflussen, um
ihre ihre Anwesenheit nicht zu verraten.
Berücksichtigt man diese Vorgaben, dann gibt es prinzipiell zwei
Möglichkeiten für Computerviren, sich im ST breitzumachen:
a) Bootsektor-Viren
Man sollte zunächst wissen, was beim Einschalten des Rechners (bzw. beim
Reset) passiert: Das Betriebssystem liest den Bootsektor, das ist generell
der erste Sektor auf Track 0 / Seite 0, der in Laufwerk A liegenden Diskette
und prüft ob er ausführbar ist. Ausführbar heißt, daß die Prüfsumme (das ist
die auf 16 Bit reduzierte Summe aller Worte im Bootsektor) $1234 beträgt.
Ist das der Fall, dann versucht TOS ein im Bootsektor liegendes Programm
auszuführen, indem es mittels JSR an den Beginn des Bootsektors springt.
Sollten Sie bei den Begriffen "Bootsektor", "Track" u.ä. schon mit
unwissendem Ausdruck die Stirne gerunzelt haben, dann sollten Sie vielleicht
zunächst ein Buch zur Hand nehmen, in dem diese Materie auch für Anfänger
leicht verdaulich aufbereitet ist. (Zum Beispiel das Buch "Scheibenkleister"
von C. Brod und A. Stepper aus dem MAXON-Verlag.) Ich werde im weiteren
nämlich davon ausgehen, daß Sie mit Ihrem Rechner und mit dem Aufbau von
Disketten zumindest in Ansätzen vertraut sind.
Dieses Vorgehen, also das Abarbeiten eines eventuell ausführbaren
Bootsektorprogramms, welches noch vor Ausführung der Programme im
AUTO-ORDNER und vor der Installierung der Accessories stattfindet, ist ein
Relikt aus der Zeit, als das TOS noch von Diskette ins RAM geladen werden
mußte (dafür sorgte dann eine Lade-Routine in besagtem Bootsektor).
Heute, wo das TOS sich im ROM befindet, wird diese Eigenschaft des
Betriebssystems gelegentlich genutzt, um beim Start des Rechners kleinere
Programme automatisch auszuführen, z.B. die Umschaltung auf 60Hz-Betrieb
beim Farbmonitor oder die Eingabe des aktuellen Datums. Auch einige Spiele
starten mit Hilfe einer Lade-Routine im Bootsektor.
Der Bootsektor einer normalen Diskette hat beispielsweise folgendes
Aussehen: (Diese Diskette wurde mit dem Programm HYPERFORMAT Vers. 3.26
formatiert.)
Ich habe dabei die Bootsektordaten nur als HEX-Zahlen angegeben, da die
entsprechenden ASCII-Zeichen nicht ohne weiteres dargestellt werden können.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
| | | | | | | | | | | | | | | |
EB 34 90 49 42 4D 20 20 0F E2 B8 00 02 02 01 00
17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
| | | | | | | | | | | | | | | |
02 70 00 A0 05 F9 03 00 09 00 02 00 00 00 00 00
Anhand dieses Beispieleintrags möchte ich erklären, was die einzelnen
Einträge im Bootsektor bedeuten:
-> Bytes 1+2: Branch to bootcode.
Wenn der Bootsektor AUSFÜHRBAR ist, (seine Prüfsumme 1234 ist), so steht ein
Bootprogramm im Bootsektor. Da die nächsten Bytes im Bootsektor jedoch Daten
zur Diskettenstruktur enthalten, muß dieser Datenbereich übersprungen
werden, weil das Bootprogramm erst HINTER den Daten stehen kann. Daher muß
in den ersten beiden Bytes ein 68000er BRA-Befehl (Sprungbefehl) stehen, der
die Bootsektordaten überspringt. Wenn an dieser Stelle ein Eintrag der Art
"60 XX" steht, mit xx ungleich 00, dann befindet sich in diesem Bootsektor
normalerweise ein Bootprogramm (oder aber ein Virus). Ob dieses allerdings
ausgeführt wird, hängt wie schon gesagt noch von der Prüfsumme ab. Dieser
Sprungbefehl wird aber auch gerne als "Immunisierung" auf die Diskette
geschrieben, ohne daß ein Bootprogramm vorhanden wäre. Was es damit auf sich
hat, erfahren Sie weiter unten. Auf MS-DOS Disketten steht an dieser Stelle
meistens $EB34 gefolgt von $90 im 3. Byte, manche Formatierprogramme auf dem
ST schreiben diese Bytes aus Kompatibilitätsgründen ebenfalls an diese
Stelle. So auch das Programm HYPERFORMAT. Doch auch dazu unten mehr.
-> Bytes 3-8: Filler(OEM).
An dieser Stelle steht nichts von Bedeutung. Die meisten Formatierprogramme
legen an dieser Stelle irgend eine Kennung ab, die jedoch nie vom TOS
beachtet wird. Häufig findet man die Zeichenkette "Loader". Unsere
Beispieldiskette hat an dieser Stelle nach dem Byte $90 (siehe oben) die
Kennung "IBM" gefolgt von zwei Spaces stehen, auch eine Anlehnung an das
MS-DOS Format.
-> Bytes 9-11: 24-bit serial number.
An dieser Stelle steht eine 24-Bit Seriennummer. Diese wird von den meisten
Formatierprogrammen sinnvollerweise zufällig gewählt, da die Seriennummer
dazu herhalten muß, das TOS auf einen Diskettenwechsel aufmerksam zu machen.
-> Bytes 12+13: Byte per sector.
Dieser Eintrag gibt an, wieviel Bytes in einem Sektor der Disk enthalten
sind. Normalerweise sind das 512, aber prinzipiell sind auch andere Werte
möglich (der Floppycontroller läßt noch 128, 256 und 1024 zu). Dieser
Eintrag ist im INTEL-Format gehalten. Das heißt, daß das höherwertige Byte
erst als zweites angegeben ist. Um einen solchen Eintrag zu lesen, muß man
also die Bytes vertauschen. In unseren Beispiel: 00 02 vertauscht gibt 02
00. Und $200 ist genau 512 dezimal. Diese Schreibweise ist ebenfalls aus
Gründen der Kompatibilität zu MS-DOS gewählt worden. DER BOOTSEKTOR IST
ÜBRIGENS IMMER 512 BYTE LANG!!!
-> Byte 14: Sectors per cluster.
Anzahl der Sektoren pro Cluster (INTEL-Format). Die Diskettensektoren werden
vom Atari intern zu CLUSTERN zusammengefaßt. Und zwar im Allgemeinen je zwei
Sektoren zu einem Cluster.
-> Bytes 15+16: Reserved sectors.
Reservierte Sektoren auf der Disk (INTEL-Format). Beim ST gibt es nur einen
reservierten Sektor, nämlich den Bootsektor.
-> Byte 17: Number of FAT.
Der ATARI verwendet normalerweise zwei FATs. Sozusagen eine
"Sicherheitskopie", was aber wenig nützt, da beide FATs meistens auf einer
Spur liegen und daher auch zumeist gleichzeitig den Sprung ins Nirwana
antreten. In der FAT wird notiert, welche Cluster in welcher Reihenfolge zu
welcher Datei gehören. Wenn ein Virus diese FATs löscht, dann wird die Suche
der zu einer Datei gehörenden Sektoren ähnlich amüsant, wie die berüchtigte
Suche nach der Nadel im Heuhaufen.
-> Bytes 18+19: Number of directory entries.
In diesem Wort (wieder im INTEL-Format) steht die maximale Anzahl der
Einträge im Wurzelverzeichnis. Das TOS rundet diese Anzahl auf die
nächstkleinere durch 16 ohne Rest teilbare Zahl ab. Die hier stehende Zahl
kann also falsch sein; insbesondere frühere HYPERFORMAT-Versionen schrieben
gerne "63", obwohl der Platz nur für 48 ausreicht. Unsere Beispieldiskette
hat Platz für $0070 = 112 Einträge (der normale Wert). Ordner können
natürlich weit mehr Dateien enthalten, dieser Wert gilt NUR für das
Hauptdirectory.
-> Bytes 20+21: Sectors per Disc.
Hier steht die Gesamtzahl der physikalisch vorhandenen Sektoren auf der Disk
(einschließlich der reservierten). Die Beispieldiskette hat $05A0 = 1440
Sektoren. Eine normale, mit dem Desktop formatierte Disk hat 720 oder 1440
Sektoren, je nachdem ob sie einseitig oder doppelseitig ist.
-> Byte 22: Media descriptor.
Soll das Speichermedium näher beschreiben. Dieser Eintrag wird vom TOS nie
benutzt und ist nur vorhanden, um die Kompatibilität zu MS-DOS zu wahren.
Dabei heißt $F8 einseitig/80 Tracks; $F9 heißt doppelseitig/80 Tracks; $FC
heißt einseitig/40 Tracks und FD heißt doppelseitig/40 Tracks.
-> Bytes 23+24: Sectors per FAT.
Hier steht die Anzahl der Sektoren pro FAT. Bei der Beispieldisk sind das
drei Sektoren (die normale FAT-Länge bei ATARI-Disks ist 5 Sektoren). Wie
man Byte 17 schon entnehmen konnte, befinden sich zwei FATs auf der Disk, so
daß normalerweise insgesamt 10 Sektoren für die FATs verbraten werden,
obwohl sechs ausreichend sind. Einige Formatierprogramme (wie zum Beispiel
HYPERFORMAT) kürzen die FATs deshalb auch um je zwei Sektoren.
-> Bytes 25+26: Sectors per Track.
Die Anzahl der Sektoren pro Spur. Normalerweise, wie auch in unserem
Beispiel neun Stück. Jeder Sektor mehr pro Track bringt ca. 80 Kilobyte
Speicherplatz zusätzlich auf der Diskette. Statt der normalerweise üblichen
9 Sektoren lassen sich auch problemlos 10 Stück unterbringen, da die Lücke
zwischen Sektor 9 und Sektor 1 groß genug ist. Die meisten
Formatierprogramme bieten diese Möglichkeit. Einige bringen mit ein paar
"Tricks" auch 11 unter.
-> Bytes 27+28: Number of sides.
Die Anzahl der Diskettenseiten. Im Beispiel zwei; sollten Sie mehr Seiten
formatieren können, dann schicken Sie mir doch mal eine derartige Diskette
für mein Gruselkabinett.
-> Byte 29+30: Hidden sectors.
Die Anzahl der verborgenen Sektoren auf der Disk. Wird vom TOS nicht benutzt
und dürfte daher auch nur aus Kompatibilitätsgründen vorhanden sein. Der
Eintrag ist bei ST-Disketten immer 0.
Alle weiteren Bytes im Bootsektor gehören zu einem eventuell vorhandenen
Bootprogramm und sollen hier nicht weiter erörtert werden. Falls Ihr
Interesse geweckt wurde, dann sollten Sie sich ein Buch zu diesem Thema
zulegen.
ACHTUNG: Für Festplattenbesitzer ist wichtig zu wissen, daß beim Einschalten
des Systems (Kaltstart) zunächst in jedem Fall der Bootsektor der Diskette
in Laufwerk A gelesen und gegebenenfalls ausgeführt wird. Das gilt auch bei
Auto-Boot-Platten, lediglich beim Reset (Warmstart) wird nicht mehr auf den
Bootsektor der Diskette zugegriffen. (Diese Aussage ist für das neue TOS
1.4/1.6 nicht mehr richtig, hier wird auch nach einem Warmstart der
Bootsektor gelesen und ausgeführt!)
Naturgemäß ist die Länge solcher Bootprogramme beschränkt (auf maximal 480
Bytes), da von dem 512 Byte langen Bootsektor noch 32 Bytes für andere
Aufgaben (die oben genannten Diskettenstrukturinformationen und das
Prüfsummen-Ausgleichswort) reserviert sind. 480 Bytes sind für ein
Virusprogramm (selbstverständlich in Assembler programmiert) aber völlig
ausreichend. Viele Bootsektor-Viren bringen es auf kaum mehr als 200 Bytes.
Versteckt sich der Virus auf dem Bootsektor der Diskette, wo er ohne
Hilfsmittel nicht zu erkennen ist, so wird er bei jedem Bootvorgang in den
Speicher geladen (ohne das der Benutzer etwas davon merkt) und reserviert
sich dort ein Plätzchen. Der Bootvorgang wird dadurch nicht merkbar
verlangsamt, der Anwender merkt von diesem Vorgang wirklich nichts! Dann
versucht er sich auf jede erreichbare Diskette zu kopieren, die man ins
Laufwerk legt. Auf diese Weise hat man nach relativ kurzer Zeit alle
Disketten verseucht. Wenn der Virus dann seinen Hauptteil startet, hat man
ihn meistens auch schon durch Diskettentausch an Bekannte weitergegeben, die
ihn ihrerseits ebenfalls ungewollt weiterverbreitet haben.
Dieser Schneeballeffekt kann nur durch konsequente Anwendung einiger
Vorsichtsmaßregeln gestoppt werden, auf die ich im weiteren Verlauf noch
eingehen werde.
Es gibt auch eine Möglichkeit, einen Bootsektor-Virus im Speicher zu
installieren, OHNE daß der Bootsektor ausführbar sein muß! Wie das geschieht
erfahren Sie weiter unten im Text. Hier sei nur angemerkt, daß der
VIRENDETEKTOR (ab Version 2.9e) auch solche Viren zuverlässig erkennt!
Leider sind viele Virenkiller immer noch der Ansicht, nicht ausführbare
Bootsektoren seien prinzipiell unverdächtig.
Übrigens bleiben viele Viren auch nach einem Reset im Speicher des Rechners.
Man sollte den Rechner für mindestens 15 Sekunden ausschalten, um sicher zu
sein, daß sich kein Virus mehr im Speicher befindet. Ein kurzes Aus-An des
des Rechners reicht oft nicht, da die RAMs auch im stromlosen Zustand noch
ein kurzzeitiges Erinnerungsvermögen haben.
b) Link-Viren
Es gibt noch einen zweiten etwas anders arbeitenden Virentyp:
Sogenannte "Link-Viren" sind Virenprogramme, die sich an andere Programme
oder Dateien anhängen und dann den Zeiger der Einsprungadresse des
befallenen Programms so verändern, daß dieser auf den Anfang der
Virusroutine zeigt.
Der Virus wird dann aktiviert, sobald man das infizierte Programm startet.
Sodann versucht der Replikationsteil des Virus alle erreichbaren und noch
nicht infizierten Programme ebenfalls mit dem Virus zu versehen. Bei den
meisten Link-Viren - z.B. dem Milzbrand-Virus - wird pro Programmstart eines
verseuchten Programms nur EIN weiteres Programm infiziert.
Vielleicht fragen Sie sich, warum sich der Virus nicht gleich in alle
Programme kopiert, die er auf der Diskette oder RAM-Disk/Festplatte
erreichen kann? Der Grund für diese freundliche Zurückhaltung liegt in der
Zeit, die der Link-Virus für die Infizierung benötigt. Während ein
Bootsektor-Virus lediglich einen Sektor auf der Diskette manipulieren muß,
um sich zu verbreiten, hat es ein Link-Virus weitaus schwerer. Er muß
relativ umfangreiche Änderungen an der Struktur der zu infizierenden
Programme vornehmen. Zudem muß er die möglichen Opfer, also noch nicht
infizierte Programmfiles, erst einmal finden. Damit sind auch relativ
umfangreiche Massenspeicherzugriffe notwendig. Um nicht aufzufallen,
schließlich darf der Start eines verseuchten Programms nicht wesentlich
länger dauern als vor seiner Infizierung, bleibt nur Zeit für eine weitere
Infizierung. Dieses Verhalten ist der eine Grund für die langsamere
Verbreitung von Link-Viren im Gegensatz zu den Kollegen aus dem Bootsektor.
Ein zweiter Faktor, der die Ausbreitung von Link-Viren behindert, liegt im
Zeitpunkt der Infizierung: Da die weitere Infizierung zumindest bei den
nicht speicherresidenten Link-Viren gleich beim Starten eines verseuchten
Programms erfolgt, können neben den Programmen auf der Festplatte und einer
eventuell vorhandenen RAM-Disk nur die Programme auf den zu dieser Zeit in
Laufwerk A oder B liegenden Disketten befallen werden. Das erschwert die
Ausbreitung eines Virus auf Systemen, die nur über ein Diskettenlaufwerk und
keine Festplatte verfügen. Der Virus kann nur die Programme auf der
Diskette, von der das verseuchte Programm gestartet wurde, erreichen.
Allerdings stellt auch auf solchen Systemen die RAM-Disk einen geeigneten
Übertragungsweg da.
Derartige Viren sind also besonders für Festplattenbesitzer gefährlich, weil
sie sich dann auf Dauer fast genauso lawinenartig verbreiten, wie
Bootsektor-Viren.
ACHTUNG: Es gibt auch Link-Viren, die sich (wie ihre Bootsektor-Kollegen)
resident im Speicher einnisten und von dort aus jedes erreichbare Programm
infizieren. "Jedes erreichbare Programm" heißt dabei, daß jedes Programm
infiziert werden kann, das von einem nicht schreibgeschützten Medium
gestartet wird, während der Virus im Speicher ist. Obwohl die Mehrzahl der
Link-Viren nicht nach diesem, sondern nach dem oben beschriebenen Schema
arbeiten, sind die speicherresidenten Link-Viren besonders gefährlich, da
ihre Verbreitungsgeschwindigkeit wesentlich größer ist!
Natürlich sind von Link-Viren befallene Programme plötzlich länger als vor
der Infizierung; einige Viren befallen deshalb nur Programme, die eine
bestimmte Mindestlänge haben, um so weniger schnell aufzufallen. Einige VCS-
Viren arbeiten beispielsweise so. Auch der Milzbrand-Virus läßt Programme
unter 10 Kilobyte Länge unbehelligt.
Auch der Start eines befallenen Programms benötigt plötzlich mehr Zeit. Aber
wer merkt schon, ob die Textverarbeitung statt nach 12 Sekunden erst nach 16
Sekunden geladen ist.
Es gibt auch Virusprogramme, die zu keiner Vergrößerung der befallenen
Programme führen! Im einfachsten Fall überschreibt der Virus einen Teil des
infizierten Programms mit dem Virusprogramm. Das infizierte Programm hat
seine Länge dann natürlich nicht verändert, es ist aber auch nicht mehr
vollständig vorhanden, so daß es beim Start normalerweise abstürzen wird.
Sehr große Programme können aber in wesentlichen Bereichen auch nach einer
Infektion durch einen überschreibenden Virus noch funktionieren.
Geschicktere Viren lagern einen Teil des infizierten Programms in einen
unbenutzten Massenspeicher-Bereich aus und laden ihn später nach. Auf dem ST
kämen dafür z. B. der Track 80 und 81 in Frage. Der Virus macht sich also
durch einen zusätzlichen Disketten/Festplattenzugriff bei Aufruf einen
Programmes bemerkbar. Auch dadurch verlängert sich das Programm natürlich
nicht. Ein Virus mit einer derartigen Arbeitsweise ist allerdings auf dem ST
(noch) nicht bekannt.
Noch geschickter ist es, wenn der Virus einen Teil des befallenen Programms
komprimiert, um so für sich selbst Platz zu schaffen. Beim Starten wird der
entsprechende Programmteil dann wieder entkomprimiert. Auch solche Viren,
auf (do)M(e)SDOS-Rechnern bereits im Umlauf, haben den ST bisher verschont.
Viren können sich im Prinzip überall dahin schreiben, wo die Hardware ein
Ablegen von Daten erlaubt. Also hauptsächlich in RAM und Massenspeicher.
Ungefährdet sind dagegen ROM, EPROM, CPU, Monitor und ähnliche
Hardware-Erweiterungen (nicht jedoch deren Treibersoftware!!!).
Die batteriegepufferte Uhr im Mega ST kann einem Virus nicht als
Aufenthaltsort dienen, da dort zum einen nicht einmal 128 Byte Speicher zur
Verfügung stehen und zum anderen keine Möglichkeit existiert, mit der sich
ein Programm aus dem RAM des Uhrchips wieder im Hauptspeicher installieren
könnte. Wer glaubt, es gehe doch und absolut sicher gehen will, der entfernt
die Batterien für etwa 20 Sekunden und setzt sie dann wieder ein.
c) Link-Viren in gepackten Programmen
"Was sind gepackte Programme", werden vermutlich einige Leser wissen wollen.
"Packen" bedeutet in diesem Zusammenhang "komprimieren". Seit langem bekannt
sind die Standardpacker ARC, LHARC, ZIP, ZOO und andere. Diese archivieren
beliebige Files in eine einzige komprimierte Datei. Besonders für die
Datenübertragung mittels Modem und Telefonleitung ist diese Methode beliebt,
da eine Komprimierung hier Zeit und Geld spart. Aber auch für Backups oder
ähnliches sind solche Programme zu gebrauchen. Ihr Nachteil liegt darin, daß
mit diesen gepackten Dateien nicht gearbeitet werden kann. Wenn man sie
braucht, müssen sie zunächst wieder entpackt werden. Für die tägliche Arbeit
ist dieses Verfahren also nicht zu gebrauchen.
Einige Programmierer haben sich nun überlegt, wie man diesen Nachteil
umgehen könnte. Sie entwickelten Programme wie PFX-PAK, ICE-PACK,
TURBO-PACKER+ oder PACK2. Was diese Programme machen? - Ganz einfach: Diese
Programme erstellen aus einem Programm ein gepacktes Programm, welches aber
nach wie vor ausführbar bleibt und sich beim Programmstart zunächst
blitzschnell selbst entpackt! Der Vorteil liegt auf der Hand, die Programme
belegen nur noch 50-60% des Speicherplatzes auf der Diskette oder Festplatte
und werden zudem von Diskette schneller gestartet, da der Zeitbedarf für das
Entpacken durch die verkürzte Ladezeit mehr als wettgemacht wird. Der
geringfügig erhöhte Zeitbedarf für das Laden von Festplatte oder RAM-Disk
wird angesichts des veringerten Platzbedarfs in Kauf genommen.
Ich möchte an dieser Stelle einen häufig vorkommenden Irrtum klarstellen: Es
besteht anscheinend die weit verbreitete Annahme, daß ein Packen von
Programmfiles einen zusätzlichen Schutz vor Link-Viren darstellt. Dies ist
aber nicht der Fall.
Auch wenn das Packen von Programmen einige Vorteile bietet, ein Schutz vor
Link-Viren ist dadurch NICHT gegeben. Zwar kann das gepackte Programm selbst
nicht mehr befallen werden, aber statt dessen ist die Entpack-Routine, die
ja bei jedem Programmstart ausgeführt wird, nun Ziel des Virus. Die
Ausbreitung von Link-Viren wird also weder verhindert noch verlangsamt!
Richtig gefährlich wird es, wenn ein bereits befallenes Programm
nachträglich gepackt wird. Entweder, weil der Befall nicht bekannt ist oder
weil jemand auf diese Weise Viren "unter die Leute" bringen will. Letzteres
ist tatsächlich ein ernstes Problem! Auf diese Weise gepackte Programme
werden nämlich beim Starten für den Benutzer unbemerkt im Speicher entpackt.
Wird ein mit einem Link-Virus befallenes Programm nach dem Befall mit einem
dieser Packer eingepackt, so erkennt keines der bislang auf dem Markt
befindlichen Virenkillerprogramme diesen Link-Virus, da dann auch der
Virencode in gepackter Form auf dem Massenspeicher vorliegt und der
Virenkiller nicht mehr in der Lage ist, solche Virencodeteile zu erkennen,
obwohl der Virus beim Starten eines gepackten Programms nach wie vor aktiv
wird.
Leider haben einige "Spaßvögel" diese Art der Virenverteilung inzwischen
entdeckt. Sie sollten also solche Programme vor dem Überprüfen wieder
entpacken. Da der Anwender bei einem neuen Programm i.a. nicht erkennen
kann, ob es gepackt vorliegt, meldet der VIRENDETEKTOR seit der Version 3.1,
ob ein Programm gepackt vorliegt und mit welchem Packer es ggf. gepackt
wurde. Der VIRENDETEKTOR erkennt folgende Packer: PFX-PAK, Turbo-Packer+,
ICE-Pack, DCSquish, BA-Packer, PACK 2.0, JAM-Pack und Automation Compacter.
In Deutschland ist der PFX-PAK von Thomas Quester das beliebteste und am
häufigsten verwendendete Programm dieser Art, nicht zuletzt weil es als
Sharewareprogramm sehr preiswert ist.
Für den am stärksten verbreiteten Packer (den PFX-PAK) sollte der
VIRENDETEKTOR sogar die Möglichkeit vorsehen, ein gepacktes Programm zu
entpacken und in seiner ausgepackten Form zu überprüfen. Diese Möglichkeit
war in der Beta-Version auch schon eingebaut, ich mußte sie allerdings
kurzfristig wieder ausbauen, da es gelegentlich zu unerklärlichen Abstürzen
kam, die nicht eindeutig reproduzierbar waren und deren Ursache ich nicht
klären konnte. Bis zur nächsten Version wird diese Option mit Sicherheit
realisiert werden. Da der Entpackvorgang im RAM abläuft, führt dieser
zusätzliche Prüfvorgang (der abschaltbar ist) kaum zu einer Verlangsamung
der Überprüfung.
Für die anderen sieben Packer (die aber zusammen nur ca. 20 % Marktanteil
haben) besteht leider im Moment noch keine Möglichkeit des automatischen
Entpackens durch den VIRENDETEKTOR. Hier muß der Benutzer diese Programme
manuell entpacken und dann erneut überprüfen. Da sechs der oben genannten
acht Packer PD/Freeware/Shareware sind, ist es kein Problem, sich diese
Packer zu besorgen.
Die Erstellung der CRC-Prüfsumme hilft natürlich auch bei der Bekämpfung
solcher Viren.
d) Neue, bisher unbekannte Link-Viren
Der beste Schutz vor unbekannten Link-Viren ist ein ständiges Updaten des
VIRENDETEKTORS. Es erübrigt sich darauf hinzuweisen, daß die Versionen aus
Mailboxen und von PD-Versendern _nicht_ aktuell sein können. Bis eine neue
Version in eine PD-Serie kommt, vergehen 6-8 Wochen. Dazu kommt noch, daß
viele PD-Versender die Programme nicht updaten, so daß über diesen Weg oft
uralte Versionen im Umlauf sind. Auch die Versionen in Mailboxen sind
mindestens 6 Wochen alt. Wer registrierter Anwender ist, bekommt natürlich
umgehend die aktuellen Programmversionen, die ständig an neue Link-Viren
angepaßt werden.
Glücklicherweise hält sich der Fortgang bei der Entwicklung neuer
Link-Viren in erträglichen Grenzen. Diese sind nicht so leicht zu
programmieren, wie die Kollegen im Bootsektor und verbreiten sich zudem
wesentlich langsamer. Oft handelt es sich bei neuen Link-Viren um alte
Bekannte, die nur geringfügig manipuliert wurden. Je nach Umfang und Art
dieser Manipulation kann es aber durchaus sein, daß der VIRENDETEKTOR diesen
veränderten Virus nicht mehr erkennt. Um aber ein weiteres Stück Sicherheit
zu bieten, werden alle überprüften Programme auf typische Hinweise für den
Befall durch Link-Viren analysiert. Ein erkannter Verdacht wird dann
gemeldet. Wenn Sie mir ein solches verdächtiges Programm zuschicken, kann
ich eine genauere Analyse mittels eines Disassemblers vornehmen, die diesen
Verdacht dann entweder bestätigt oder entkräftet. Diese Analyse kann aber
unmöglich alle denkbaren neuen Link-Viren finden, eine zusätzliche
Verwendung der CRC-Prüfsummenbildung ist in jedem Fall zu empfehlen.
Bei mehr als 3.000 testweise überprüften Programmen trat übrigens nicht ein
einziger Fehlalarm auf. Dennoch ist es möglich, daß diese Funktion zu einem
Fehlalarm führt.
III. Wie beugt man Virenbefall vor?
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Auch bei Computerviren gilt der oft strapazierte Spruch "Vorbeugen ist
besser als heilen". (Toll, wie sich immer neue Beziehungen zwischen
Informatik und Medizin finden lassen.)
Mit "Vorbeugen" ist dabei das Befolgen einiger elementarer Regel gemeint,
die hier kurz erwähnt werden sollen:
Die 10 goldenen Regeln zum Schutz vor Virusprogrammen:
======================================================
1. Nie mit Originalen sondern nur mit Sicherheitskopien arbeiten!
(Die Unart, Software mit einem Diskettenkopierschutz zu versehen, ist
zum Glück fast nur noch bei Spiele-Software verbreitet)
2. Booten Sie immer mit einer eigenen, stets schreibgeschützten Disk!
(Denken Sie daran, daß auch bei autobootfähigen Festplatten zunächst
der Bootsektor der Diskette in Laufwerk A gelesen wird!)
3. Aktivieren Sie wenn möglich den Schreibschutz der Diskette! Sie
sollten für RAM-Disk und Festplatte gegebenenfalls das beiliegende
Accessory verwenden.
4. Bei fremden Disketten die Harddisk ausschalten und das Zweitlaufwerk
leer lassen. Nach Beendigung des Programms den Rechner ausschalten!
5. Immer zwischen Programm- und Daten-Diskette unterscheiden, erstere
stets schreibschützen!
6. Auf Raubkopien verzichten!!!
7. Ein Reset ist kein Schutz vor Viren im RAM, nur AUSSCHALTEN (mind.
15 Sekunden) beseitigt speicherresidente Viren!
8. Neue Software zunächst mit dem VIRENDETEKTOR überprüfen! (Mehrere
PD-Versender, aber auch bekannte Firmen (z.B. GFA-Systemtechnik)
haben schon versehentlich verseuchte Disketten ausgeliefert!)
9. Den VIRENDETEKTOR regelmäßig updaten lassen, damit Sie immer mit der
neusten Version, die regelmäßig an die aktuelle Virenentwicklung an-
gepasst wird, arbeiten! Virenprogrammierer kommen ständig auf neue
Ideen, wie zum Beispiel die Entwicklung von Bootsektor-Viren auf
NICHT ausführbaren Bootsektoren gezeigt hat. Bei keiner anderen
Programmsparte sind regelmäßige Updates so wichtig, wie bei Viren-
killern! Bedenken Sie, daß die Versionen, die auf den Disketten von
PD-Versendern erscheinen, NIE den aktuellen Stand des VIRENDETEKTORS
widerspiegeln - und damit zumeist auch nicht den aktuellen Stand der
Virenentwicklung! Wie Sie registrierter Benutzer werden und so
regelmäßig in den Besitz der neusten Version gelangen, erfahren Sie
am Schluß dieses Textes.
10. Wenn sich doch ein Virus bei Ihnen eingeschlichen hat, informieren
Sie alle, an die Sie den Virus eventuell weitergegeben haben könnten;
kopieren Sie Ihnen den VIRENDETEKTOR (aber bitte den kompletten
Ordner) am besten gleich mit!
Eine weitere Art der Vorbeugung gegen Bootsektor-Viren ist die sogenannte
"Immunisierung" von Bootsektoren. Darauf werde ich weiter unten noch
ausführlich eingehen.
Leider gibt es bei Computerviren wie auch bei ihren Kollegen aus der
Biologie kein Allheilmittel. Selbst das strenge Befolgen dieser Tips ist
keine Garantie, daß es nicht doch irgendwann einmal einem Virus gelingt,
Ihre Disketten oder die Festplatte zu infizieren und Schaden anzurichten. So
hat man beispielsweise bis vor kurzer Zeit angenommen, ein nicht
ausführbarer Bootsektor sei in jedem Fall als harmlos einzustufen. Wie
inzwischen bekannt ist, war dies eine krasse Fehleinschätzung!
Diese Tips sind allerdings zum jetzigen Zeitpunkt gegen alle bekannten Viren
auf dem ATARI ST ein absolut sicherer Schutz.
IV. An welchen Effekten erkennt man Computerviren?
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Ich habe schon einige Effekte, die von Viren verursacht werden können, in
Kapitel I erwähnt. Es gibt aber noch viel bösartigere Viren, sie können
teilweise sogar Schäden an der Hardware verursachen, indem sie z. B. den
Schreib-/Lesekopf des Laufwerks/Festplatte laufend gegen den Anschlag
bewegen oder (bei IBM-Kompatiblen mit Hercules-Karte) die Graphikkarte so
programmieren, daß diese irreparablen Schaden nehmen kann.
Ein (Bootsektor-)Virus der ersten Art - er fährt den Kopf der Festplatte bis
zur Zerstörung an den Anschlag - ist inzwischen auch auf dem ST bekannt, da
als Auslöser das Datum 31.12.1988 diente, werden die meisten Festplatten
diesen Virus hoffentlich unbeschadet überstanden haben.
Besitzer von Farbmonitoren droht auch noch eine andere Gefahr! Man kann den
ST dazu bewegen, auch im Farbbetrieb auf die (monochrome) Bildfrequenz von
71 Hz umzuschalten. Damit ändert sich die Zeilenfrequenz von 16 MHz auf 36
MHz. Den "Notreset", den der ST normalerweise bei solcherlei Unfug ausführt,
kann man softwaremäßig sperren. Wenn Sie einmal ein dutzend Farbmonitore
übrig haben, sollten Sie ruhig ausprobieren, wie lange der Farbmonitor diese
Prozedur überlebt. Derzeitige Hochrechnungen schwanken zwischen einer
Sekunde und wenigen Minuten. Sicher ist jedenfalls, daß Ihr Farbmonitor nach
recht kurzer Zeit jede weitere Mitarbeit für alle Zeiten verweigern wird.
(Letzte Tests mit dem Original-ATARI-Farbmonitor haben gezeigt, daß einige
Bildschirme dieser Prozedur durchaus fast eine halbe Stunde gewachsen sind.)
Ein Virus, der es auf die Zerstörung Ihrer Hardware abgesehen hat, könnte
sich diesen Umstand zunutze machen. Das bisher kein derartiger Virus
aufgetaucht ist, liegt wahrscheinlich an der schwierigen programmtechnischen
Umsetzung des soeben gesagten.
Sie sehen also, daß auch die Hardware einem potentiellen Virus jede Menge
Angriffspunkte bietet.
Glücklicherweise sind nicht alle Viren auf dem ST dermaßen bösartig. Ein
paar Beispiele sollen das verdeutlichen:
Ein (Bootsektor-)Virus dreht, nachdem er sich fünf mal weiterkopiert hat,
die Bewegungsrichtung der Maus um 180 Grad. Dieser Virus stört also "nur"
Ihren normalen Arbeitsfluß, ohne das es zu Datenverlust kommt. Ich habe
schon gesehen, wie ein Opfer dieses Virus einfach seine Maus umdrehte und
weiterarbeitete als wäre nichts passiert.
Ein anderer Virus schreibt, nachdem man drei Stunden am Rechner gearbeitet
hat, die Meldung "Ihr Computer hat AIDS" auf den Monitor und stoppt den
Prozessor. Abgesehen davon, daß dies ein ausgesprochen geschmackloser
"Scherz" ist, wird jemand, der drei Stunden einen Text eingegeben hat ohne
abzuspeichern, über diesen Virus wenig lachen können.
Ein weiterer Virus überschreibt in jedem VBL-Interrupt, also nach jedem
Bildaufbau (d.h. 71 mal pro Sekunde beim Monochrom- und 50 bzw. 60 mal pro
Sek. beim Farbmonitor) ein beliebiges Byte im Speicher mit einem
Zufallswert.
Die Folge ist ein Absturz des Rechners, sobald wichtige Programmteile oder
ein Teil des Betriebssystems getroffen werden.
Wenn Sie bei der Arbeit mit dem ST feststellen, daß einige Programme beim
Starten deutlich länger brauchen als vorher, dann ist größte Vorsicht
angezeigt. Es ist sehr wahrscheinlich ein Link-Virus, der diese Verzögerung
beim Start verursacht. Sollten Sie bei der Überprüfung mit dem VIRENDETEKTOR
keinen Befall feststellen, dann bedeutet dies noch nicht die völlige
Entwarnung! Denn auch dann, wenn Sie mit der neusten VIRENDETEKTOR-Version
arbeiten, ist es möglich, daß bei Ihnen ein neuer Link-Virus aufgetaucht
ist, der bislang noch nicht erkannt wird. Sind Sie sich nicht sicher, ob
sich ein Link-Virus bei Ihnen eingenistet hat, dann schicken Sie mir eine
Diskette mit dem möglicherweise verseuchten Programm. Ich werde Ihnen die
Diskette umgehend zurückschicken und sofern es sich tatsächlich um einen
neuen Link-Virus handelt, bekommen Sie auch gleich eine Version des
VIRENDETEKTOR, die diesen neuen Virus erkennt. Selbstverständlich gilt
dieses Angebot nur für registrierte Benutzer, schon deshalb, weil nur diese
immer mit der neusten Version arbeiten!
Wenn Sie bisher noch nichts von Computerviren bemerkt haben, so gehören Sie
entweder zu denen, deren Disketten noch "virenfrei" sind oder Sie
beherbergen auf Ihren Disketten nur "harmlose" Bootsektor-Viren. Gerade auf
dem ST gibt es einige Virenprogramme, die sich nur auf jeden erreichbaren
Bootsektor kopieren, ohne überhaupt eine bösartige Wirkung zu entfalten.
Jedoch auch solche Viren können Schaden anrichten, weil z.B. manche Spiele
den Bootsektor als Lader oder als Kopierschutz benutzen und ein
Bootsektor-Virus das Programm somit unbrauchbar macht. Auch MS-DOS-Disketten
(PC-Ditto/PC-Speed) mögen einen Virus im Bootsektor überhaupt nicht.
Manchmal werden Viren aber auch nicht als solche erkannt, weil Effekte, die
nur gelegentlich auftreten, oft auf Programmfehler, defekte Disketten oder
ähnliches geschoben werden.
Allerdings sollte man auch nicht gleich bei jedem Absturz oder
Programmfehler einen Virus für den Übeltäter halten! Denn leider gibt es für
den ST zum Teil so besch...eidene Software, daß überhaupt kein Virus mehr
nötig ist, um den Anwender zum Wahnsinn zu treiben! Auch das TOS hat einige
Eigenschaften, die den Schluß nahelegen, ATARI wollte eigentlich kein
Betriebssystem, sondern einen 192 KByte großen Mammutvirus programmieren.
Schließlich können sowohl defekte Disketten als auch ein beschädigter
Rechner als Ursache für diverse Probleme in Erscheinung treten. Neben einem
Virenkiller sind daher auch ein Diskprüfprogramm und ein Memorytester zur
Lokalisierung von Fehlern nützlich. Wer nicht über derartige Utilities
verfügt, der kann bei mir zwei (doppelseitige) Disketten mit insgesamt etwa
3 MB (!) der wichtigsten Hilfsprogramme (PD/Freeware/Shareware) erhalten.
Auf diesen Disketten finden Sie unter anderem ein Programm zur
Funktionsüberprüfung der RAM-Chips, ein Programm, das Ihre Disketten auf
physikalische Defekte überprüft (und rettet, was noch zu retten ist), ein
Programm zur Wiederherstellung versehentlich gelöschter Dateien, ein
Archivierungsprogramm, mit dem Sie Ihre Programme und Daten vor
Virenzugriffen schützen können und vieles mehr. (Natürlich auch den Packer,
der ca 1,5 MB auf eine doppelseitige Diskette packt!)
Diese Disketten können Sie als registrierter Benutzer (und nur als solcher)
bei mir erhalten! Dazu erhöht sich Ihre Registrierungsgebühr lediglich um
5,- DM Unkostenbeitrag. Näheres dazu finden Sie in Kapitel IX.
Mit dem Programm VIRENDETEKTOR haben Sie nun das geeignete Mittel in der
Hand, um einen Virus zu entdecken, bevor er Unheil anrichten kann oder sich
über die gesamten Datenbestände verbreitet hat.
V. Neues von der Virenfront
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Die Entwicklung neuer Viren für den ST scheint nicht mehr in dem Tempo voran
zu schreiten, wie noch vor einigen Jahren. Das kann zum einen am gestiegenen
Verantwortungsbewußtsein der Virenprogrammierer liegen (wer's glaubt ...),
oder aber an der gestiegenen Vorsicht der Anwender (wohl eher). Zudem
verfügen die meisten ST-Besitzer inzwischen über einen Virenkiller, mit dem
Sie Ihre Disketten überprüfen können.
Lediglich die Gerüchteküche köchelt weiter vor sich hin. Für einige
Zeitschriften ist das Thema "Computerviren" inzwischen zum beliebten
Seitenfüller geworden. Mit der Angst vor Computerviren läßt sich die Auflage
anscheinend deutlich steigern. Man bietet den Lesern ein paar drittklassige
Virenkiller Marke "Bootsektor-Ex" zum abtippen und bringt ein paar "echte
Insidertips". Da kommt dann ab und zu die Nachricht von einem Supervirus,
das sogar schreibgeschützte Disketten befallen soll (absoluter Blödsinn,
weil physikalisch nicht möglich), man hört von Original-Software, die einen
Virus verbreitet, wenn Sie unrechtmäßig kopiert wird (noch blödsinniger) und
ähnlichen Gruselmärchen.
Eine wichtige Neuigkeit möchte ich Ihnen aber nicht vorenthalten: Es gibt
Bootsektor-Viren, die sich im Speicher installieren, OBWOHL der Bootsektor
NICHT AUSFÜHRBAR ist!!!
Wie das geht? - Sehen Sie selbst:
Das Betriebssystem des STs hat ein undokumetiertes Feature, mit dem sich
Programme resetfest im Speicher installieren können. Nach dem Booten von
Diskette oder Platte, aber noch vor Ausführung der Programme im AUTO-Ordner
durchsucht das Betriebssystem den gesamten Speicher nach einer
Speicher-Doppelseite (mit gerader Seitennummer, also $400, $600, ...), die
folgende Eigenschaften erfüllt:
- erstes Long-Wort ist die Magic-Number $12123456
- in den zweiten vier Bytes steht ein Zeiger auf den Anfang der Speicher-
seite
- Die (Word-)Summe aller Bytes in diesem 512 Bytes langen Bereich ist $5678
Die Suche läuft von PHYSTOP abwärts bis $600. Sollte der ST fündig werden,
so wird ein dort befindliches Programm ausgeführt. Zuvor hat das
Betriebssystem den Bootsektor der Diskette in den Speicher geladen, um zu
prüfen, ob der Bootsektor ausführbar ist. Dort verbleibt der Bootsektor als
"Daten-Leiche", auch wenn er NICHT ausgeführt wird. Nun braucht ein
Bootsektor-Virus nur die entsprechenden Magics an den richtigen Stellen zu
enthalten und der Virus wird installiert, OBWOHL der Bootsektor eigentlich
nicht ausführbar ist! Derartige Viren laden dann - einmal im Speicher
installiert - meistens noch Code-Teile nach. Diese sind auf normalerweise
unbenutzten Bereichen (z.B. Sektor 4 und 5 der beiden FATs) gespeichert, so
daß der zusätzliche Platzbedarf des Virus nicht auffällt.
Die meisten Virenkiller (auch der VIRENDETEKTOR bis 2.9d) sind diesen Viren
bislang auf den Leim gegangen, da nicht ausführbare Bootsektoren als harmlos
klassifiziert wurden. Damit ist nun allerdings Schluß!
Zu erwähnen bleibt noch, daß diese Viren nicht TOS-unabhängig sind. Sie
laufen also nur auf jeweils einer einzigen TOS-Version, da die absoluten
Adressen des Diskettenpuffers, das ist der Teil des Speichers, in den der
Bootsektor eingelesen wird, sich von TOS-Version zu TOS-Version verschoben
haben. Somit stimmt die Lage des Magics immer nur für eine TOS-Version. Da
es aber bislang nur vier verschiedene offizielle TOS-Versionen gibt (1.0,
1.2, 1.4 und 1.6), braucht ein Virenprogrammierer nur drei (nicht vier, weil
1.4 und 1.6 die gleiche Diskettenpufferadresse besitzen) leicht modifizierte
Versionen seines Virus in Umlauf zu bringen, um alle TOS-Versionen
abzudecken. Ähm, jetzt gibt's ja auch schon 2.05 und 2.06 und 3.01 und 3.05
und ... sollte sich die Adresse des Diskettenpuffers bei diesen Versionen
verschoben haben, dann laufen die "alten" Viren, die sich auf das
beschriebene Feature stüzen, nicht mehr auf den neuen TOS-Versionen. Es wird
aber nur eine Frage der Zeit sein, bis es auch für diese TOS-Versionen einen
entsprechend arbeitenden Virus gibt.
Vor einiger Zeit gab es außerdem ein "Update" des Virus-Construction-Sets.
Zur Zeit wird diese Version aber meines Wissens nirgendwo vertrieben. Es ist
ohnehin erstaunlich, daß gegen ein derartiges Programm, welches auf
Knopfdruck nahezu beliebige Link-Viren erzeugt, noch nicht gerichtlich
vorgegangen worden ist. Zumal einige Softwarehäuser fast ebensoviel
Rechtsanwälte wie Programmierer beschäftigen.
Seit der Version 3.0 hat sich nicht mehr viel getan, neue Link-Viren gibt es
nicht, lediglich zwei neue Bootsektor-Viren haben sich angefunden.
VI. So funktioniert der VIRENDETEKTOR
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Der VIRENDETEKTOR ist, wie schon im Vorwort beschrieben, äußerst einfach in
der Handhabung! Das Programm ist auf allen STs lauffähig; benötigt wird
allerdings ein Monitor (bzw. eine Grafikkarte), die mindestens 640*400
Punkte liefert. Wer nur einen ST mit Farbmonitor hat, braucht sich nun aber
nicht enttäuscht abzuwenden. Es gibt zwar keine Version des VIRENDETEKTORS,
die auf dem ST mit Farbmonitor läuft, da beispielsweise die Darstellung
eines kompletten Bootsektors in Hex und ASCII in der mittleren oder gar in
der niedrigen ST-Monitorauflösung nicht vernünftig zu realisieren ist, aber
mit einem kleinen Trick kommen auch Farbmonitor-Besitzer in den Genuß dieses
Programms:
Der Trick heißt MONOCHROM-EMULATOR! Dabei handelt es sich um ein kleines
Programm, daß auf dem ST-Farbmonitor die hohe Auflösung darstellt. Natürlich
kann man von diesem Programm keine Wunder erwarten, d.h. die Bildschärfe und
Auflösung erreicht natürlich nicht die eines SM 124, es stehen schließlich
auch nur halb soviel Bildschirmpunkte zur Verfügung. Ein längeres Arbeiten
z.B. mit Signum wird mit diesem Emulator deshalb auch kaum zum Vergnügen.
Für die Virenjagd mit dem VIRENDETEKTOR ist der Emulator aber auf dem
Farbmonitor eine halbwegs akzeptable Lösung, da zumindest die Meldungen, die
das Programm ausgibt, einigermaßen lesbar sind. Trotzdem ist die Anschaffung
eines SM 124 unbedingt zu empfehlen.
Wer keinen solchen Emulator besitzt, kann einen solchen bei mir erhalten!
Registrierte Benutzer schicken mir einfach eine formatierte Disk und einen
ausreichend (!) frankierten Rückumschlag. Wer noch nicht registriert ist,
gibt bei der Registrierung (näheres dazu in Kapitel VIII) bitte an, daß er
den Emulator benötigt. Er wird dann kostenlos beigelegt.
Im großen und ganzen sind die Funktionen der einzelnen Menüpunkte ja schon
erläutert worden, hier finden Sie zu dem einen oder anderen Punkt einige
ergänzende Erläuterungen:
Bei der Funktion 'Bootsektor überprüfen' wird der Bootsektor des gewählten
Laufwerks (A oder B) eingelesen. Dann überprüft das Programm zunächst ob der
gelesene Bootsektor ausführbar ist. Falls das der Fall ist, so wird er mit
allen Bootsektoren, die das Programm kennt (in dieser Version sind das
immerhin über 70 Stück), verglichen. Kann VIRENDETEKTOR den Bootsektor
identifizieren, so wird festgestellt, ob es sich um einen Virus handelt oder
um einen legalerweise ausführbaren Bootsektor (z.B. Aladin-Disk,
60Hz-Bootsektor, TOS-Bootsektor, Lader für ein Spiel, ...). Das wird dem
Benutzer natürlich mitgeteilt (z.B. "Diese Disk ist eine ALADIN-Disk").
Diese Mitteilungen können unter dem Menüpunkt "Weitere Optionen" mit
"Info-Meldungen ein/ausschalten" auch unterdrückt werden. Damit ist bei der
Überprüfung einer großen Zahl von Disketten ein noch schnelleres Arbeiten
möglich. Wenn das Bootprogramm nicht zwingend erforderlich ist, kann es auch
auf Wunsch entfernt werden.
Falls es sich um einen Virus handelt, wird das ebenfalls gemeldet (natürlich
auch bei abgeschalteten Info-Meldungen) und zwar sowohl mit seinem Namen
(für Viren, deren Herkunft im Dunkeln liegt, ist dieser Name allerdings von
mir erfunden und somit wenig aussagekräftig) sowie mit dem Hinweis, in der
wievielten Generation er vorliegt (natürlich nur bei mutierenden Viren, also
Viren, die ein oder mehrere Bytes als Zähler verwenden).
Dann kann der Virus auf Knopfdruck gelöscht werden, d.h. der Bootsektor wird
unter Aussparung der Seriennummer und der Diskettenstruktur-Information im
Bereich $08-$1D vollständig genullt. Gegebenenfalls wird die gewählte
Immunisierung aufgebracht.
Sollte das Programm einen ausführbaren Bootsektor nicht identifizieren
können, so wird auch das gemeldet und der Benutzer hat die Möglichkeit, eine
Routine aufzurufen, die das Bootprogramm auf bestimmte Virenmerkmale
untersucht. Das Bootprogramm wird dann als gefährlich oder harmlos
klassifiziert.
Der dafür verwendete Algorithmus (registrierte Benutzer erhalten auf Wunsch
eine genaue Beschreibung der verwendeten Merkmale und deren Gewichtung) hat
sich bis heute in allen Tests als absolut zuverlässig erwiesen! Es gibt nur
eine einzige Möglichkeit, daß ein Virus diese Überprüfung (und die ähnlich
arbeitender Anti-Virenprogramme) unerkannt übersteht. Ich werde mich dazu
aber nicht näher äußern, da ich den Programmierern von Computerviren nicht
auch noch Hilfestellung geben möchte. Bisher ist jedenfalls allem Anschein
nach ein solcher Virus noch nicht aufgetaucht.
Sollte dennoch einmal die Meldung erscheinen "Keine exakte Aussage möglich",
so bleibt Ihnen nur noch folgender Test, um festzustellen, ob es sich
möglicherweise doch um einen Virus handelt:
Nehmen Sie zwei leere Disketten, die ich im folgenden mit A und B bezeichnen
werden. Falls Sie eine Festplatte besitzen, so schalten Sie diese unbedingt
ab!
Sorgen Sie zunächst dafür, daß Ihr Rechner frei von Viren ist, d.h. Rechner
ausschalten und mit garantiert sauberer oder ganz ohne Diskette booten.
Kopieren Sie nun die gesamte Diskette mit dem unbekannten Bootprogramm auf
Disk A. Verwenden Sie dazu ein Kopierprogramm (z.B. FCopy oder Bitte ein
Bit), damit auch der Bootsektor übertragen wird. Formatieren Sie dann Disk B
neu. Nun booten Sie von Disk A und legen, nachdem das gewohnte Desktop
erschienen ist, Disk B ein. Falls es sich bei dem unbekannten Bootprogramm
auf Disk A um einen Virus handelt, so wird dieser sich bei der ersten
Gelegenheit auf den Bootsektor der frisch formatierten Disk B kopieren.
Diese Gelegenheit schaffen Sie nun, indem Sie Disk B ins Laufwerk legen,
sich das Inhaltsverzeichnis anzeigen lassen und 'Arbeit sichern' im Desktop
anwählen.
Schalten Sie Ihren Rechner einen Augenblick aus und dann wieder ein - um ein
eventuellen Virus aus dem RAM zu verjagen, natürlich ohne Disk A oder B im
Laufwerk! Nun können Sie den Bootsektor von Disk B mit dem VIRENDETEKTOR
überprüfen.
Sollte der Bootsektor von Disk B nun ein unbekanntes Bootprogramm enthalten,
dann kann das nur ein Virus sein!
Diese Vorgehensweise ist leider etwas umständlich, dafür sollte sie aber
auch so gut wie nie notwendig werden! Wesentlich einfacher können Sie es
sich machen, wenn Sie mir einen verdächtigen Bootsektor, den Sie zuvor mit
dem VIRENDETEKTOR in eine Datei geschrieben haben, auf Diskette zur Analyse
zuschicken. Sie erhalten ihre Diskette selbstverständlich mit einer
aktualisierten Version des VIRENDETEKTORS zurück. Wer meine Virensammlung um
ein neues Exemplar bereichert, kommt zudem noch in den Genuß einer kleinen
Belohnung!
Wenn der untersuchte Bootsektor nicht ausführbar ist, so wird geprüft, ob es
sich um einen ganz normalen Bootsektor handelt oder ob Daten im Bootsektor
stehen. Das können z.B. ein Copyright sein, Reste eines ehemaligen Virus,
der mit einem fremden Viren-Killer bearbeitet worden ist oder ähnliches. Wer
möchte, kann auch diese Daten löschen, obwohl davon keine Gefahr ausgehen
kann.
Bei der Überprüfung einer gesamten Partition oder eines Laufwerks auf
Link-Viren werden seit Version 2.9d auch alle "versteckten" Files überprüft.
Das sind Dateien, bei denen das "hidden"-Attribut im Directory gesetzt ist.
Diese Files werden im Directory (und AUCH in der systemeigenen
Fileselect-Box) nicht angezeigt. Gleiches gilt auch für Dateien mit
gesetztem "system"-Attribut.
Die Überprüfung auf Link-Viren kann durch Drücken der ESCAPE-Taste (bitte
eine Weile gedrückt halten) vorzeitig abgebrochen werden. Sollten Sie einmal
aus Versehen die ESCAPE-Taste gedrückt haben, wiederholen Sie die
Überprüfung einfach noch einmal.
Bei der Überprüfung werden alle Dateien mit den Extensionen PR*, AC*, APP,
TOS, GTP und TTP, sowie mit den vier selbstdefinierten Extensionen
berücksichtigt. Damit werden zum Beispiel auch Programme im Auto-Ordner
erfaßt, die in *.PRX oder *.PR umbenannt wurden.
Mit der Funktion "Einzelne Programme überprüfen" können Sie auch Dateien
anwählen, die keine ausführbaren Programme sind. Natürlich ist es vollkommen
sinnlos, beispielsweise eine Bildschirmgrafik oder eine ASCII-Datei auf
Virenbefall zu untersuchen. Der VIRENDETEKTOR meldet dies entsprechend, wenn
es sich nicht um eine Programmdatei handelt und erstellt dann auch keine
CRC-Prüfsumme.
Ich werde oft gefragt, weshalb der VIRENDETEKTOR bei der Link-
Virenüberprüfung so schnell arbeitet. Der Begriff "schnell" ist zwar relativ
unbestimmt, aber wer über eine schnelle Festplatte verfügt, oder die
Überprüfung auf einer RAM-Disk vornimmt, wird tatsächlich von der
Geschwindigkeit des VIRENDETEKTORS angenehm überrascht oder sogar erstaunt
sein. Leider ist die Geschwindigkeit von der Version 3.0 auf die Version 3.1
etwas zurückgegangen, ich werde in nächster Zeit noch einige Optimierungen
vornehmen. Bisweilen wird der eine oder andere Anwender ein wenig
misstrauisch, ob denn bei dieser Geschwindigkeit alles mit rechten Dingen
zugehe oder ob nicht vielleicht die Überprüfung nur deswegen so schnell sei,
weil eben schlampig gearbeitet werde. Nun, diesen Befürchtungen möchte ich
energisch entgegentreten!
Um einmal zu verdeutlichen, warum der VIRENDETEKTOR so schnell arbeitet,
werde ich kurz erläutern, was bei der Überprüfung einer Datei auf
Link-Virenbefall geschieht. Zunächst einmal wird anhand des Dateianfangs
überprüft, ob es sich überhaupt um ein ausführbares Programm handelt. Es
bleibt Ihnen unbenommen, Ihre Lieblingsbilder mit der Extension *.PRG zu
versehen, der VIRENDETEKTOR erkennt, daß es sich nicht um ausführbare
Programme handelt und meldet dann, daß ein Virenbefall einer solchen Datei
somit nicht möglich ist. (Ein Starten dieser Datei im Desktop führt
natürlich auch zu einer Fehlermeldung.) Für diesen Fall ist die Überprüfung
somit bereits beendet.
Falls es sich aber um ein ausführbares Programm handelt, so wird nicht etwa
die gesamte Datei in den Arbeitsspeicher geladen (das würde viel zu lange
dauern und ist völlig unnötig), sondern nur der Teil, der von einem
eventuell vorhandenen Link-Virus tatsächlich verändert würde. Insgesamt
müssen nur knapp 300 Bytes gelesen werden, was auch von einer Diskette noch
in akzeptabler Zeit zu machen ist. Danach werden die eingelesenen Teile der
Datei auf eine Veränderung durch einen der bekannten Link-Viren überprüft.
Falls der CRC-Check eingeschaltet ist, wird zudem über den Teil des
Programmes, der sich bei einem Link-Virenbefall verändern MUSS, eine
CRC-Prüfsumme gebildet. Damit ist bei späteren Überprüfungen gewährleistet,
daß auch ein Befall durch bislang unbekannte Link-Viren zuverlässig erkannt
wird, selbst wenn die Analyse auf unbekannte Link-Viren, die der
VIRENDETEKTOR durchführt, keinen Befall meldet.
Sie sehen also, daß der VIRENDETEKTOR nur relativ wenig Massenspeicher-
zugriffe benötigt. Gerade diese sind aber im allgemeinen dafür
verantwortlich, wenn ein Virenkiller ein "Schlaftablettenfeeling" aufkommen
läßt. Es ist völlig unsinnig, ein komplettes Programm von mehreren hundert
Kilobyte komplett in den Speicher zu laden, auch die Berechnung der
Checksumme über eine komplette Programmdatei ist nervtötend langsam und
absolut unsinnig. Ich bin sogar sicher, daß sich die Geschwindigkeit des
VIRENDETEKTORS noch um ein paar Prozent steigern läßt, viel ist aber wohl
nicht mehr herauszuholen. Immerhin hat sich die Arbeitsgeschwindigkeit von
Update zu Update bis zur Version 3.0g kontinuierlich gesteigert und das,
obwohl sich die Anzahl der Viren, die das Programm erkennt, ebenfalls erhöht
hat! Der geringe Geschwindigkeitsrückgang seit der Version 3.1, den Sie bei
der Überprüfung von Disketten überhaupt nicht bemerken werden, ist auf die
neuen Programmfunktionen zurückzuführen (insbesondere darauf, daß nun mehr
CRC-Prüfsummen pro Programmnamen möglich sind und darauf, daß auch nach
gepackten Programmen gesucht wird).
Wenn Ihnen der Aufbau der Dialogboxen auf dem Bildschirm zu langsam ist,
dann sollten Sie einen sogenannten "Software-Blitter" verwenden (NVDI, TURBO
ST oder QUICK ST). Ich kann hier aus Kompatibilitätsgründen nicht mehr viel
herauskitzeln, schließlich soll der VIRENDETEKTOR auf allen ATARI ST/STE/TT
Rechnern und mit diversen Grafikkarten laufen.
Ein wichtiger Punkt bei der Beurteilung eines Anti-Virenprogramms ist die
Anfälligkeit für Fehlalarme. D.h. wie häufig kommt es vor, daß eine
vermeintliche Infizierung durch einen Virus diagnostiziert wird, die in
Wahrheit nicht vorhanden ist. Der VIRENDETEKTOR verhält sich in diesem Punkt
relativ unproblematisch. Wird ein unbekannter Bootsektor als infiziert
gekennzeichnet, so kann man tatsächlich zu beinahe 100% davon ausgehen, daß
es sich um einen bislang unbekannten Virus handelt. Es ist jedenfalls bis
heute kein harmloses Bootprogramm aufgetaucht, welches vom VIRENDETEKTOR
irrtümlich für einen Virus gehalten worden wäre. Bei Link-Viren ist es so,
daß die bekannten Link-Viren immer erkannt werden - wird ein Befall
gemeldet, so kann es sich nicht um einen Fehlalarm handeln. Die Überprüfung
der CRC-Prüfsumme ist allerdings mit einer gewissen Unsicherheit behaftet.
Zum einen kann nicht ausgeschlossen werden, daß ein Programm zum Zeitpunkt
der Prüfsummenerstellung bereits von einem bislang unbekannten Virus
befallen ist, zum anderen kann es zu Veränderungen an Programmen kommen, die
nicht durch Virenbefall verursacht worden sind, die aber durch eine
veränderte CRC-Prüfsumme den Verdacht auf Virenbefall nahelegen.
WPROTECT.ACC und WPROTECT.PRG, sowie die weiteren Dateien im Ordner WPROTECT
sind ein Bestandteil des Lieferumfangs des VIRENDETEKTOR. Eine Weitergabe
dieser Dateien und des Quellcodes ist auch ohne die weiteren Files dieses
SHAREWARE-Pakets zulässig, nicht jedoch umgekehrt!
Beachten Sie bitte, daß auch WPROTECT Shareware ist. Die Sharegebühr in Höhe
von 10,- DM braucht jedoch von registrierten VIRENDETEKTOR-Anwendern nicht
bezahlt zu werden. Wer für den VIRENDETEKTOR registriert ist, erwirbt damit
auch automatisch das Nutzungsrecht für WPROTECT. Nur diejenigen, die den
VIRENDETEKTOR nicht verwenden, aber WPROTECT benutzen möchten, müssen die
Sharegebühr von 10,- DM zahlen.
Das Accessory muß auf das Hauptdirectory Ihrer Bootpartition oder
Bootdiskette kopiert werden und wird dann beim nächsten Reset installiert,
das Programm gehört in den AUTO-Ordner. Übrigens sind Programm und Accessory
identisch. Sie brauchen es nur umzubenennen. Der Einfachheit halber ist es
im VIRENDETEKTOR-Ordner doppelt vorhanden.
Das Accessory ermöglicht es Ihnen, beliebige Partitionen Ihrer Festplatte
oder Ihre RAM-Disk vor Schreibzugriffen zu schützen. Nach Aufruf des
Accessories erscheint eine Dialog-Box, in der Sie mit der Maus unter allen
angemeldeten Laufwerken anwählen können. Sie können die gewählte
Konfiguration auch abspeichern. Näheres zur Bedienung von WPROTECT finden
Sie in der Datei WPROTECT.TXT.
Eine mit WPROTECT schreibgeschützte Partition oder RAM-Disk verhält sich
genau wie eine schreibgeschützte Diskette. Beim Versuch etwas zu schreiben
oder zu löschen erscheint die von dort bekannte Alert-Box. Der Schreibschutz
kann auch von den zur Zeit im Umlauf befindlichen Viren nicht umgangen
werden, dennoch bietet er nicht den absoluten Schutz eines
Hardware-Schreibschutzes!
Das Accessory wurde auf den TOS-Versionen 1.00, 1.02 1.04, 2.05, 3.01 und
3.05, mit diversen RAM-Disks sowie mit den Festplatten SH204, SH205,
Megafile 30 und einigen SCSI-Platten getestet. Es läuft mit dem AHDI von
Atari ebenso zusammen, wie mit dem CBHD vom Scheibenkleister und Julian
Reschkes HUSHI. TROTZDEM empfehlen wir bei der Verwendung eines anderen
Treibers (insbesondere bei VORTEX-Treibern) Vorsicht walten zu lassen.
Die Bedienung des Accessories ist seit der Version 1.0 sehr komfortabel
geworden. Das Auto-Ordnerprogramm belegt lediglich 472 Byte Hauptspeicher,
das Accessory belegt 7864 Byte Hauptspeicher. Damit ist seine Verwendung
auch auf einem 0,5 MB Rechner kein Problem! Genaueres erfahren Sie in der
Datei WPROTECT.TXT. Für die Programmierung des Accessories geht mein Dank an
Christoph Conrad, der auch sonst einiges zum VIRENDETEKTOR beigetragen hat.
Als letzten Hinweis möchte ich Sie noch daran erinnern, daß Sie vor der
Arbeit mit VIRENDETEKTOR dafür sorgen, daß sich kein Virus im Speicher
aufhält. Das würde sich nämlich sonst nach Restaurieren des Bootsektors
gleich wieder dort einnisten. VIRENDETEKTOR überprüft zwar zu Beginn, ob
sich ein Virus im Speicher aufhält und meldet sich, wenn es einen Virus
findet, ich kann jedoch nicht dafür garantieren, daß diese Überprüfung
wirklich jeden Virus im Speicher entdeckt.
Deshalb ist dringend zu empfehlen, vor dem Start von VIRENDETEKTOR mit einer
garantiert sauberen Diskette zu booten! (Sollten Sie sich nicht sicher sein,
ob Sie überhaupt noch eine unverseuchte Diskette besitzen, so booten Sie
einfach ohne Diskette, das dauert zwar etwa 40 Sekunden, ist dafür aber auch
totsicher.)
VII. "Immunisierung" - Schutz vor Bootsektor-Viren???
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Viele Anti-Virenprogramme versprechen eine "Immunisierung" des Bootsektors
zum Schutz vor Bootsektor-Viren. Diese "Immunisierung" soll den Bootsektor
vor dem Zugriff eines Virus schützen oder den Befall zumindest erkennbar
machen, bevor der Virus sich weiter verbreitet und Schaden anrichtet.
Um dieses Ziel zu erreichen sind zwei Methoden verbreitet:
Zum einen kann man an den Beginn des Bootsektors die Kombination 9656
($6038) schreiben, das ist im Maschinencode ein BRA +$38, also ein Sprung
zum Beginn eines Bootprogramms.
Dieses zunächst unsinnig erscheinende Vorgehen, schließlich existiert weder
ein Bootprogramm, noch ist der Bootsektor überhaupt ausführbar, hat durchaus
einen Sinn. Viele Bootsektor-Viren schauen freundlicherweise vor der
Infizierung eines Bootsektors nach, ob sich schon ein ausführbares Programm
im Bootsektor befindet und verzichten dann auf eine Infizierung. Dieses
Nachschauen besteht aus einer Kontrolle der beiden ersten Bytes des
Bootsektors, findet sich dort ein $6038, so nimmt der Virus die Existenz
eines Bootprogramm an und läßt die Finger vom Bootsektor. Damit sind
solchermaßen immunisierte Disketten tatsächlich vor dem Zugriff einiger
Viren sicher.
Allerdings hat dieses Verfahren auch seine Schattenseiten, da es erstens nur
vor Viren schützt, die freundlicherweise die oben erwähnte Überprüfung
vornehmen (wie es z.B. der SIGNUM-Virus oder der Virus der
Bayrischen-Hackerpost tun) und somit keinen sicheren Schutz darstellt, sowie
zweitens - und das ist sicher ein ebenso schwerwiegender Nachteil - einen
eventuellen MS-DOS kompatibelen Bootsektor (z.B. für den PC-Ditto) für
MS-DOS ungenießbar macht.
TOS und MS-DOS haben nämlich ein sehr ähnliches Diskettenformat, man kann
MS-DOS Disketten deshalb problemlos mit einem ATARI ST lesen und auch auf
dem umgekehrten Weg ist das möglich, wenn beim Formatieren einige Feinheiten
beachtet werden. (Einige Formatierprogramme - wie z.B. HYPERFORMAT 3.xx tun
das bereits.) Eine dieser Feinheiten ist die Bytefolge $EB 34 90 (8086-Code
für einen relativen Sprung und ein NOP) mit welcher der Bootsektor beginnen
muß, wenn er von einer MS-DOS Maschine gelesen werden soll. TOS ist es bei
nicht ausführbaren Bootsektoren völlig egal was dort steht, MS-DOS ist da
leider etwas empfindlich.
Über den Sinn einer solchen Immunisierung kann also gestritten werden;
einige Anti-Virenprogramme führen sie durch (z.B. G-DATA ANTI-VIREN-KIT I,
VDU, ...) andere nicht (SAGROTAN, ANTIBIOTUKUM, ...)!
Eine Unverschämtheit ist allerdings die Behauptung, diese Immunisierung sei
ein zuverlässiger Schutz vor allen bekannten Bootsektor-Viren, wie sie zum
Beispiel von G-DATA in Bezug auf ihr Anti-Viren-Kit I aufgestellt wurde.
Entweder diente diese Behauptung der bewußten Käufertäuschung, um das eigene
Produkt geldbeutelfüllenderweise an den Mann/die Frau zu bringen (sehr
wahrscheinlich) oder sie war ein Zeichen völliger Unkenntnis (eigentlich
genauso wahrscheinlich), denn tatsächlich gibt es bereits seit langem
mehrere(!) Bootsektor-Viren die diese "Immunisierung" völlig kalt läßt.
Die zweite Immunisierungsmethode wurde aus der Erkenntnis geboren, daß die
oben genannte Methode nicht der Weisheit letzter Schluß sein kann. Die Idee
ist recht einfach: Man schreibe ein Bootprogramm in den Bootsektor, welches
sich beim Booten mit einer Meldung auf dem Bildschirm bemerkbar macht. Es
schreibt zum Beispiel "Diskette OK." auf den Bildschirm. Sollte nun ein
Virus diese Diskette befallen (und somit unser Bootprogramm überschreiben),
so fehlt beim nächsten Booten diese Meldung und der Benutzer weiß, daß sich
ein Virus im Bootsektor befindet. Dieser Virus kann dann mit einem
Anti-Virenprogramm vernichtet werden.
Mit dieser Art der Immunisierung wird inzwischen recht häufig gearbeitet
(SAGROTAN, ANTIVIR, G-DATA ANTI-VIREN-KIT III ...). Natürlich verrät sich
jeder Virus durch das Ausbleiben der Schutzmeldung, allerdings ist neben der
Unverträglichkeit mit MS-DOS (siehe oben) zu beachten, daß dieses
Schutzprogramm nur bei Disketten verwendet werden kann, die noch kein
(nützliches) Bootsektorprogramm enthalten. Zudem müssen dann natürlich alle
Disketten, von denen eventuell mal gebootet wird mit diesem Schutzprogramm
versehen werden, denn ein Ausbleiben der Meldung beim Booten wird ja als ein
Zeichen für Virenbefall interpretiert.
Geben Sie eine solchermaßen behandelte Diskette an jemanden weiter, der
diese Art von Schutzbootsektor noch nicht kennt, so kann er zu allem
Überfluß noch für einen neuen Virus gehalten werden.
An dieser Stelle hatte ich in einer älteren Version dieses Textes zu einer
vorherigen Version des VIRENDETEKTORS geschrieben: "Auf den ersten Virus,
der sich mit "Bootsektor OK" meldet warte ich noch...". Nun, dieses Thema
scheint jemand aufgegriffen zu haben, denn inzwischen gibt es tatsächlich
einen Virus, der beim Booten eine ähnliche Meldung ausgibt und damit dem
Benutzer einen Immunisierungs-Bootsektor vorgaukelt. Sie sehen also, was von
solchen Meldungen zu halten ist. Denn neben diesem kurzen Text bietet der
Bootsektor dann noch ausreichend Platz für den Virencode.
Dennoch ist diese Art der "Immunisierung" besser, als die Immunisierung mit
dem Pseudobranch ($6038). Für Festplattenbesitzer, die immer die gleiche
(schreibgeschützte) Diskette im Laufwerk haben, aber von der Platte booten,
kann Sie sogar empfohlen werden.
Eine weitere Masche ist ein Schutzprogramm der letztgenannten Art, das sich
selbst wie ein Virus auf jeden noch nicht ausführbaren Bootsektor schreibt!
Dieses Bootprogramm meldet sich beim Booten mit dem Kommentar, daß der
Bootsektor nicht verseucht ist. Ursprung ist ein Anti-Virenprogramm namens
VIRUS-DESTRUCTION-UTILITY (VDU) 3.2 aus den Niederlanden.
Ich halte das für eine äußerst üble Sache, denn ob ich meine Disketten mit
einem solchen Bootprogramm versehe, möchte ich schon gerne selbst
entscheiden. Es darf nicht dazu kommen, daß jeder Programmierer seine
Programme, nur weil er sie für eine segensreiche Entwicklung hält, auf diese
Weise unkontrolliert verbreitet! Diese Erkenntnis ist glücklicherweise auch
dem Autor dieses Virenkillers gekommen, denn in den neuen Versionen seines
Programmes ist diese Art der "Immunisierung" nicht mehr enthalten.
Nach meiner Ansicht sind alle diese Immunisierungs-Bemühungen im Grunde
ebenso nutzlos wie aufwendig! Wer seine Programme und Disketten einmal
komplett überprüft und gegebenenfalls von Viren befreit hat, desweiteren
jedes neue Programm zunächst mit dem VIRENDETEKTOR überprüft (das gleiche
bei Disketten, die man verliehen hat), dazu die oben genannten
Vorsichtsmaßregeln befolgt, sollte in Zukunft keinen Ärger mehr mit
Computerviren haben.
Da man über die Immunisierung von Bootsektoren aber wohl auch anders
urteilen kann und ich jedem Anwender die Möglichkeit offenlassen möchte,
nach eigener Fasson glücklich zu werden, bietet der VIRENDETEKTOR ab Vers.
2.9 auch die Möglichkeit zur Erzeugung eines solchen "Immunisierungs"-
Bootsektors. Damit komme ich den Wünschen einiger Anwender des
VIRENDETEKTORS nach - wie Sie sehen lohnt es sich durchaus, als
(registrierter) Anwender Verbesserungsvorschläge zu machen. Wenn möglich
werden diese in der nächsten Programmversion berücksichtigt. Und da ich mich
nicht entscheiden konnte, welcher der beiden erwähnten Immunisierungs-
Methoden ich den Vorzug geben sollte, dürfen Sie sich entscheiden, welche
Methode Sie anwenden wollen, sofern Sie ein Freund solcher Maßnahmen sind.
Ich habe es mir aber nicht verkneifen können, noch eine kleine Verbesserung
an der Methode mit dem ausführbaren Bootsektor-Immunisierungsprogramm
vorzunehmen. Wenn Sie mit dem VIRENDETEKTOR einen solchen Immunisierungs-
bootsektor auf die Diskette schreiben, DANN BLEIBT DIESE DENNOCH
MS-DOS-kompatibel (selbst wenn sie es vorher nicht war). Probieren Sie es
ruhig auf einem PC einmal aus.
Als dritte Immunisierung besteht noch die Möglichkeit, sich vom
VIRENDETEKTOR ein kleines Programm in den Autoordner schreiben zu lassen,
das den Bootsektor bei jedem Booten auf Veränderungen überprüft. Dazu
braucht der Bootsektor nicht manipuliert zu werden, er wird einfach zum
Vergleich in eine Datei auf die Diskette geschrieben. Der große Vorteil
dieser Methode ist die absolute Sicherheit, denn der Bootsektor kann
jederzeit bei Befall wieder durch den Originalbootsektor, der ja in einer
Datei vorliegt, ersetzt werden. Allerdings ist dieses Verfahren nur für
diejenigen von Interesse, die von Disketten booten. Festplattenbesitzer
sollten - wenn überhaupt - eine der beiden erstgenannten Immunisierungsarten
verwenden.
Bei der Immunisierung mittels Autoordnerprogramms ist zu beachten, daß Sie
eine solche Diskette nach Möglichkeit nicht als einzelne Dateien, sondern
mit einem Kopieroprogramm (oder mit der Diskcopy-Funktion im Desktop)
kopieren. Denn nur in diesem Fall wird auch eine Kopie des Bootsektors
erstellt. Kopieren Sie alle Dateien einzeln auf eine andere Diskette oder
ändern Sie beim Kopieren mit einem Kopierprogramm die Formatierung der
Diskette (z.B. Umkopieren einer einseitigen auf eine doppelseitige
Diskette), dann wird der Bootsektor der Zieldiskette im allgemeinen nicht
mit dem Bootsektor der Quelldiskette identisch sein. Dies wird bei einem
Bootvorgang von der Zieldiskette dazu führen, daß das Immunisierungsprogramm
im Autoordner den vermeintlich "manipulierten" Bootsektor anmeckert. In
diesem Fall dürfen Sie UNTER KEINEN UMSTÄNDEN den alten Bootsektor
"restaurieren" - denn dann haben Sie den Bootsektor der Quelldiskette auf
der Zieldiskette. Und wenn das Format dieser beiden Disketten nicht
identisch war, werden Sie Ihren Daten auf dieser Diskette wohl Adieu sagen
müssen, sofern Sie den Bootsektor nicht mittels eines Diskettenmonitors
wieder mit den ursprünglichen Formatinformationen füttern können.
Kopieren Sie also beim "Filecopy" die Datei mit dem Bootsektorduplikat im
Autoordner NICHT mit auf die Zieldiskette. Nach dem nächsten Booten von der
Zieldiskette erstellt das Immunisierungsprogramm im Autoordner sich eine
neue Kopie des Bootsektors und alles ist in bester Ordnung.
Beim Programmstart ist die Immunisierung abgeschaltet, wird also ein
Bootsektor neu geschrieben weil er z.B. von Viren befallen war, dann wird er
gelöscht (bis auf die Disketten-Strukturinformationen und die Seriennummer)
und MS-DOS-kompatibel gemacht. Haben allerdings "Immunisierung durch $6038"
gewählt, dann wird diese Bytefolge in die beiden ersten Bytes des
Bootsektors geschrieben und der Rest des Bootsektors gelöscht. Als
Alternative bietet sich noch die Möglichkeit "Immunisierung durch
Bootprogramm" an, bei der ein ausführbares Bootprogramm in den Bootsektor
geschrieben wird. Dieses Programm meldet sich dann beim Booten mit einem
Glockenton und dem Hinweis, daß der Bootsektor nicht befallen ist. Dieser
Text ist im Unterschied zu den Meldungen anderer Anti-Virenprogramme so
lang, daß sich jeder davon überzeugen kann, daß dieses Bootprogramm
tatsächlich nichts anderes machen kann, als diesen Text über Cconws (Gemdos
9) auszugeben. Für andere Routinen ist da wirklich kein Plätzchen mehr frei.
Abgesehen davon ist dieser Bootsektor TROTZ der Immunisierung noch
MS-DOS-kompatibel.
Dieses Bootprogramm gibt es inzwischen in verschiedenen Varianten, da einige
PD-Händler, die Ihre Disketten mit dem VIRENDETEKTOR überprüfen und
immunisieren, von mir eine "Spezialversion" mit ihrer Geschäftsadresse im
Bootsektor erhalten haben. Selbstverständlich erkennt der VIRENDETEKTOR
jeden dieser Bootsektoren als "eigenes" Produkt und meldet ihn entsprechend.
Ich möchte noch anmerken, daß die gewählte Immunisierung in jedem Fall
aufgebracht wird, wenn ein neuer Bootsektor erzeugt wird. Also nicht nur,
wenn ein Virus vernichtet wird, sondern auch dann, wenn sie ein anderes
Bootprogramm von der Diskette entfernen wollen. Wollen Sie also eine
Immunisierung gleich welcher Art wieder entfernen, dann muß "Keine
Immunisierung" gewählt sein.
VIII. Was tun im Fall des (Be)falls?
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Bei Bootsektor-Viren ist die Rettung der Software meistens kein Problem. Mit
Anti-Viren-Programmen, z.B. mit dem VIRENDETEKTOR ist ein einmal
identifizierter Virus im Bootsektor schnell beseitigt. Denn gleichen Zweck
erfüllt ein Disk-Monitor, allerdings muß man dann wissen, wie ein
Virusprogramm aussieht, welche Bytes im Bootsektor nicht genullt werden
dürfen (Diskettenstruktur-Information im Bereich $08-$1D) und umständlicher
ist es außerdem.
Bei Viren die sich direkt in Programme einklinken ist die ganze Sache nicht
so einfach. Man benötigt schon hervorragende Assemblerkenntnisse und einen
guten Debugger, um ein Programm zu retten. Oft ist es auch dann nicht
möglich, mit einem Anti-Viren-Programm "auf Knopfdruck" jedenfalls bis heute
noch nicht. Gegenteilige Behauptungen einiger Virenkiller haben sich im Test
bislang noch alle als heiße Luft herausgestellt. Lediglich die Entfernung
des "Milzbrand-Virus" ist bereits erfolgreich gelungen.
Wenn sich also ein Link-Virus in Ihre Programmsammlung eingeschlichen hat,
dann sollten Sie alle verseuchten Programme löschen und durch
Sicherheitskopien ersetzen. Wenn Sie keine Sicherheitskopien angefertigt
haben, können Sie die befallenen Programme auf die Verlustliste setzen; aber
wer arbeitet schon mit Originalen ohne Sicherheitskopie!?!
Sollten Sie einmal von einem wichtigen Programm keine Kopie angefertigt
haben (na, na,...) oder sollte auch das Original verseucht sein (wohl nich'
im Panzerschrank aufbewahrt, wa?), dann können Sie das Programm, sofern es
noch einwandfrei läuft, auf eine separate Diskette kopieren und
weiterbenutzen. Das kann jedoch nur eine absolute "Notlösung" sein und die
folgenden Regeln müssen Sie u n b e d i n g t beachten:
1. Starten Sie ein infiziertes Programm nur wenn keine Diskette im
Zweitlaufwerk liegt und lassen Sie Ihre Festplatte unbedingt
ausgeschaltet.
2. Kopieren Sie nie verseuchte mit sauberen Programmen auf dieselbe
Diskette.
3. Geben Sie Datum und Uhrzeit beim Systemstart nicht ein, sondern
belassen Sie das Systemdatum als aktuelles Datum (manche Viren werden
erst ab einem bestimmten Datum aktiv).
4. Kennzeichnen Sie die Diskette mit dem verseuchten Programm!!!
5. Geben Sie n i e verseuchte Programme weiter!
6. Rechner nach Benutzung des Programms a u s s c h a l t e n !!!
Besser ist natürlich, wenn Sie rechtzeitig eine Sicherheitskopie angefertigt
haben und das infizierte Programm löschen können. Glücklicherweise sind
Link-Viren auf Grund ihrer Verbreitungsweise (noch) weit weniger häufig als
ihre Kollegen im Bootsektor.
Falls Sie bei Ihrer Software Virenbefall festgestellt haben, informieren Sie
umgehend alle, an die Sie eventuell verseuchte Disketten weitergegeben haben
könnten!!!
Hoffentlich wissen Sie nun in etwa was ein Computervirus ist, wie er
arbeitet und wie man sich vor diesen ungebetenen Gästen schützt. Weitere
Informationen finden Sie vor allem in einschlägigen Fachzeitschriften.
(Erwähnenswert erscheinen mir folgende Ausgaben: c't 4/87 und 7/88, Happy
Computer 5/88, Atari Special 4/87 und 1/89, Chip 9/87, ST-Magazin (68000er)
9/88 und 3/89, TOS 11/90 u.s.w ...! Die Liste erhebt keinen Anspruch auf
Vollständigkeit, denn ich kann schließlich nicht alles lesen.
Zum Ende noch eine Anmerkung:
Falls Sie zu den Fanatikern gehören, die selbst Viren schreiben oder falls
Sie mit dem Gedanken spielen selbiges zu versuchen - denken Sie an die
Folgen für andere User. Aber auch für den Viren-Programmierer selbst kann
seine Tätigkeit unangenehme Folgen haben. Im Strafgesetzbuch heißt es:
"Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder
verändert, wird mit Freiheitsstrafen bis zu zwei Jahren oder Geldstrafe
bestraft. Der Versuch ist strafbar."
Wenn der von Ihnen programmierte Virus einem anderen einen finanziellen
Schaden zufügt und Sie als Verursacher ausfindig gemacht werden können,
werden Sie unter Umständen mit hohen Schadenersatzforderungen zu rechnen
haben.
Gegebenenfalls können weitere Paragraphen des StGB auf Virenprogrammierer in
Anwendung gebracht werden.
Auch wenn Sie meinen, Ihr Virus füge niemandem Schaden zu - Finger weg!!!
Es gibt z.B. einen Bootsektor-Virus auf dem ST, der eigentlich nichts tun
sollte, als sich nur zu verbreiten. Der Schöpfer dieses Virus hat sicher
keinen Schaden anrichten wollen, durch einen Programmierfehler(!) kann
dieser Virus jedoch den Rootsektor der Festplatte zerstören! Dieses Beispiel
zeigt, daß man von der Virenprogrammierung besser die Finger läßt. Zudem
gibt es wahrlich genug nützliche Dinge zu programmieren!
IX. Das SHAREWARE-Vertriebskonzept
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Das Programm VIRENDETEKTOR ist S H A R E W A R E . Falls Sie nicht genau
wissen, was der Begriff "Shareware" bedeutet, hier eine kurze Erläuterung:
Mit "Shareware" bezeichnet man Programme, die frei kopiert und weitergegeben
werden dürfen, sofern sie weder verändert noch kommerziell vertrieben
werden. Wer mit einem SHAREWARE-Programm regelmäßig arbeitet, zahlt dem
Autor eine Registrierungsgebühr. Deren Höhe hängt sowohl von der Komplexität
des Programms ab, als auch davon, was nach der Registrierung an weiterer
Anwender-Unterstützung erfolgt.
Diese Gebühr kann bei einigen Programmen durchaus dreistellige Beträge
ausmachen, liegt aber immer wesentlich niedriger, als man für vergleichbare
kommerzielle Produkte ausgeben müßte. Nach Zahlung dieses Betrages ist man
"legaler" Anwender und erhält dann weitere Leistungen, wie z.B. Updates,
gedruckte Manuals, Unterstützung falls Fragen oder Schwierigkeiten beim
Einsatz des Programms auftauchen, ... usw.!
SHAREWARE-Programme sind KEINE Frei-Programme (Public-Domain), die
Urheberrechte an diesen Programmen bleiben bestehen, allerdings dürfen
Kopien der Disketten frei weitergegeben werden, damit andere potentielle
Anwender die Programme prüfen können. Das Nutzungsrecht wird erst mit
Zahlung der Registrierungsgebühr erworben. Um es nochmals klar zum Ausdruck
zu bringen: Die Benutzung des Programms durch nicht registrierte User
verstößt gegen geltendes Recht! Lediglich eine kurze Testphase ist bei
SHAREWARE-Programmen gestattet. Natürlich kann niemand kontrollieren, ob
jemand das Programm benutzt ohne sich registrieren zu lassen. SHAREWARE ist
eben Vertrauenssache!
Das SHAREWARE-Konzept bietet sowohl dem Autor als auch dem Benutzer des
Programms Vorteile:
Der Autor hat keine Unkosten für Vertrieb und Werbung - der Benutzer kann
das Programm testen und zahlt den vergleichsweise geringen Betrag für die
Registrierung nur dann, wenn ihm das Programm zusagt.
Würde der VIRENDETEKTOR als kommerzielles Programm vertrieben, dann blieben
mir (dem Programmautor) vom Verkaufspreis bestenfalls 20% übrig. Das würde
heißen, daß der VIRENDETEKTOR ca. 90-100 DM kosten müßte, damit mir (nach
Abzug der Kosten für Versand, etc.) der gleiche Betrag übrigbliebe, wie
jetzt als SHAREWARE-Programm. Damit dürfte der Vorteil von SHAREWARE
augenfällig werden!
Public-Domain Programme sind dagegen Programme, bei denen der Autor auf alle
Rechte verzichtet (im Gegensatz zu Shareware) und die somit z. B. auch
verändert werden dürfen, sofern das Copyrightvermerk des Autors nicht
entfernt wird. Beim ST wird allerdings vielfach nicht so genau zwischen PD
und Shareware unterschieden. Im übrigen hat der Begriff "Public-Domain"
selbst keine Rechtsverbindlichkeit. Oft wird auch bei PD-Programmen eine
Veränderung des Programms ausdrücklich untersagt und um eine Spende für den
Autor gebeten. Im Gegensatz zu SHAREWARE-Programmen ist diese Spende jedoch
freiwillig.
Wichtig ist jedenfalls, daß Sie bei Shareware mit dem Kauf der Diskette bei
einem PD-Versender noch nicht für das Programm bezahlt haben, sondern
lediglich für dessen Dienstleistung! Preiswerte PD-Händler verlangen für
eine Diskette 3-6 DM, mehr als 10 DM sollten Sie keinesfalls bezahlen. Eine
andere Quelle für Shareware und PD-Software sind Mailboxen und
Diskettentausch mit Freunden und Bekannten. Bei Sharewareprogrammen erwerben
Sie das Nutzungsrecht an dem Programm erst durch Zahlung der
Registrierungsgebühr an den Programmautor!
Leider ist die Zahlungsmoral bei vielen ST-Besitzern (wie übrigens auch beim
Amiga) nicht sonderlich ausgeprägt. Dabei ist dieses Verhalten ziemlich
kurzsichtig. Auf dem amerikanischen PC-Softwaremarkt ist das
Sharewareangebot inzwischen nicht zuletzt deshalb so umfangreich und
qualitativ hochwertig, weil die Autoren dieser Programme mit der Ehrlichkeit
der Anwender rechnen können. Wer in Europa Shareware für den ST entwickelt,
wird jedoch auf Grund der mangelnden Resonanz schnell entmutigt. Das führt
dazu, daß der Anteil guter PD- und Sharewareprogramme weiter sinkt. Jedes
gute Programm wird nur noch kommerziell vermarktet, der Vertrieb als
Shareware funktioniert nur sehr beschränkt. Als Folge zahlt der Anwender für
ein kommerzielles Programm das vier- bis fünffache im Vergleich zu einem
gleichwertigen Sharewareprogramm.
Natürlich gibt es auf dem PD-Markt auch eine Menge Schrott, so manches
Programm ist die Diskette nicht wert, auf der es gespeichert ist. Aber Sie
gehen im Unterschied zu kommerzieller Software keinerlei Risiko ein. Bevor
Sie für ein Programm zahlen, können Sie es auf Herz und Nieren testen. Diese
Möglichkeit besteht bei kommerziellen Programmen nicht, hier müssen Sie
oftmals die berühmte Katze im Sack kaufen.
Jeder, der sich bei den Autoren, deren Sharewareprogramme er regelmäßig
nutzt, registrieren läßt, fördert und belebt die Entwicklung guter
SHAREWARE-Programme für den ST.
Doch nun zurück zum VIRENDETEKTOR. Wenn Sie das Programm regelmäßig
verwenden, dann sollten Sie sich registrieren lassen. Wer einen Drucker
besitzt, hat es am einfachsten, in dem er sich die Datei REGISTER.TXT
ausdrucken läßt. Ich denke nach einer vierwöchigen Testphase kann man
entscheiden, ob man den VIRENDETEKTOR bezahlen will, oder ob man das
Programm nicht weiter benutzen will, weil es einem nicht zusagt.
Die Registrierungsgebühr für den VIRENDETEKTOR beträgt 30,- DM!
(Beziehungsweise 35,- DM incl. der beiden Utility-Disketten - dazu siehe
unten)
Schicken Sie diesen Betrag bitte als Verrechnungsscheck (oder in Bar) an
meine Adresse:
Volker Söhnitz
Schillerstr. 22
4053 Jüchen 2
Geben Sie dabei bitte UNBEDINGT die Seriennummer Ihrer Version des
VIRENDETEKTOR an. Die Seriennummer finden Sie in der Copyrightmeldung des
Programms!
Für diesen Betrag erhalten Sie:
1. Sofort die gerade aktuelle Version des VIRENDETEKTORS zugeschickt,
die Ihre persönliche Seriennummer enthält. Diese Version können Sie
dann an andere Interessenten weitergeben. Empfehlen Sie den VIREN-
DETEKTOR weiter und weisen Sie auch auf das SHAREWARE-Konzept hin,
den für jeden Anwender, der sich mit Ihrer Seriennummer bei mir
registrieren läßt, erhalten Sie als Belohnung für Ihre Empfehlung
einen Scheck über 10,- DM. Das soll für Sie ein Anreiz sein,
das Programm möglichst oft weiterzugeben. (Verteilen Sie den
VIRENDETEKTOR fleißig an Ihre Bekannten, laden Sie ihn in Ihre
Lieblings-Mailbox hoch, ...)
2. Eine aktualisierte Fassung dieses Textes, der auch auf eventuelle
neue ST-Viren eingeht.
3. Alle zukünftigen Updates des VIRENDETEKTORS gegen eine geringe Gebühr
für Porto, Diskette und Verpackung!
4. Auf Wunsch (bitte angeben) eine ausführliche Erläuterung der im
Programm verwendeten Algorithmen, sowie ein Beispiel-Listing (in
Assembler) für die Arbeitsweise eines (relativ harmlosen) Virus.
5. Falls Sie nur einen ST mit Farbmonitor besitzen, können Sie bei mir
einen MONOCHROM-EMULATOR erhalten. Dabei handelt es sich um ein
kleines Programm, welches auf dem Farbmonitor die hohe Auflösung dar-
stellt. Die Qualität dieses Emulators läßt zwar sehr zu wünschen
übrig, da ein Farbmonitor/Fernseher nicht über die Möglichkeiten des
SM 124 verfügt, für die Virenjagd mit dem VIRENDETEKTOR ist der
Emulator aber auf dem Farbmonitor gerade noch akzeptabel.
Geben Sie bitte bei der Registrierung an, ob Sie den Emulator
benötigen!
6. Viele Probleme, die sich ähnlich wie Virenbefall äußern, gehen
tatsächlich auf andere Ursachen zurück. Neben Hardwaredefekten sind
hauptsächlich schlechte Disketten als Schuldige auszumachen. Um
solchen Dingen auf den Grund zu gehen, benötigt man neben einem guten
Virenkiller auch einige weitere Utilities, mit denen man z.B.
Hardwarefehler findet oder beschädigte Disketten erkennt. Wer nicht
über derartige Utilities verfügt, der kann bei mir zwei
(doppelseitige) Disketten mit ca. 3 Megabyte (!) der wichtigsten
Hilfsprogramme erhalten. Der Inhalt der Disketten ist kompaktiert und
kann problemlos innerhalb weniger Minuten automatisch entpackt
werden. Auf diesen Disketten finden Sie unter anderem ein Programm
zur Funktionsüberprüfung der RAM-Chips, ein Programm, um Ihre Dis-
ketten auf physikalische Defekte zu überprüfen (und zu retten, was
noch zu retten ist), ein Programm zur Wiederherstellung ver-
sehentlich gelöschter Dateien und vieles mehr.
Als registrierter Benutzer erhalten Sie diese nützlichen Disketten
für einen Unkostenbeitrag von 5,- DM! Schicken Sie bei der
Registrierung fünf Mark mehr, dann fallen keine weiteren Kosten für
Porto und Verpackung an, Sie erhalten die Utility-Disketten zusammen
mit Ihrem neuen Exemplar des VIRENDETEKTOR. Wenn Sie bereits
registriert sind, und die Diskette separat bestellen, kommen noch
3,- DM für Porto und Verpackung hinzu.
Für 8,- DM (Scheck oder Fünfmarkschein + 3,- in Briefmarken) erhalten
Sie dann umgehend eine Menge nützlicher Software.
Sollten Sie mit Ihrer Hard- oder Software Probleme haben, die in irgendeiner
Weise mit Viren zusammenhängen, so stehe ich Ihnen gerne mit Rat (und Tat)
zur Seite!
Sie sehen also, daß sich eine Registrierung in jedem Fall lohnt (unter
Umständen auch finanziell - siehe 1.)!
Ich will auch nicht verschweigen, was es bei einer Registrierung NICHT gibt:
Es gibt KEINE aufwendige Verpackung - dies würde die Sharegebühr nur unnötig
in die Höhe treiben. Zur Zeit gibt es auch noch kein gedrucktes Handbuch. Im
Moment erstelle ich aber ein komplett überarbeitetes bebildertes und sehr
umfangreiches Handbuch, daß in gedruckter und gebundener Form erscheinen
wird. Dieses Handbuch wird den Umfang der Datei HANDBUCH.TXT bei weitem
übersteigen und auch mit einem Stichwortverzeichnis versehen sein. Neben
detaillierten Infos zu Computerviren wird auch der VIRENDETEKTOR in allen
Funktionen über das in dieser Datei beschrieben Maß hinaus beschrieben
werden. Es ist klar, daß ich dieses Handbuch nicht kostenlos mitliefern
kann, die Druckkosten liegen zu hoch, um diese auch noch mit dem
Sharewarebeitrag zu finanzieren. Registrierte User werden bei Erscheinen des
Handbuchs benachrichtigt und können das Handbuch dann auf Wunsch bei mir
beziehen. Der Preis steht noch nicht fest, da ich die genauen Druckkosten
noch nicht kenne. Vorläufig empfehle ich Ihnen, diesen Text auszudrucken,
dann haben Sie ein Handbuch, nach dem sich viele andere Programmautoren die
Finger schlecken würden.
Um den Aufwand und die Kosten so klein wie möglich zu halten, werden auch
keine Registrierungen per Nachnahme abgewickelt. Rechnungen oder ähnliches
stelle ich ebenfalls nicht aus. Lediglich kommerzielle Nutzer, die eine
"Spezialversion" des VIRENDETEKTORS bestellen möchten (siehe Kapitel X)
erhalten diese gegen Rechnung.
Sollten Sie auch einen MS-DOS-kompatiblen Rechner besitzen - oder einen
PC-Emulator (PC-Speed, AT-Speed, AT-Once, ...), dann benötigen Sie auch für
dieses System einen Virenkiller, denn der VIRENDETEKTOR läuft natürlich nur
unter TOS. Ich kopiere Ihnen auf Wunsch gerne die aktuellste Version des
McAfee-VirusScan mit auf die VIRENDETEKTOR-Diskette (natürlich kostenlos).
Dieser Shareware-Virenkiller ist ohne Zweifel das leistungsfähigste Programm
dieser Art unter MS-DOS. Ich habe ständig die aktuellste Version - direkt
aus den USA - vorrätig. Beachten Sie, daß auch dieses Programm SHAREWARE ist
und Sie es bei regelmäßiger Benutzung bezahlen müssen.
X. Hinweise für kommerzielle Nutzer und PD-Versender
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Wenn Sie dieses Programm zu kommerziellen Zwecken einsetzen (zum Beispiel
zur Überprüfung aller von Ihnen vertriebenen Disketten oder ähnlichem), dann
können Sie von mir eine "Spezialversion" bekommen. Damit ist es zum Beispiel
möglich, alle Disketten mit einem Immunisierungsbootsektor zu versehen, der
beim Booten einen Text IHRER WAHL (ca. 380 Bytes) ausgibt. Zum Beispiel:
VIRENDETEKTOR sagt:
*************************************
* *
* Diese Diskette wurde von *
* XYZ-Software *
* Hampelweg 69 *
* 1234 A-Dorf *
* auf Virenbefall überprüft *
* *
*************************************
Dieser Text oder Teile des Textes können auf Wunsch invers dargestellt
werden.
Dies ist nicht nur eine gute Werbung für Sie, schließlich bleibt der
Bootsektor auch erhalten, wenn PD-Disketten privat weiterkopiert werden, es
zeigt auch, daß Sie diese Diskette mit einem der leistungsfähigsten
Virenkiller auf Virenbefall getestet wurde. Damit hat der Käufer die
Gewissheit, auch tatsächlich virenfreie Software zu bekommen.
Außerdem ist der VIRENDETEKTOR zur Zeit der einzige Virenkiller, der Ihre
Disketten trotz der Immunisierung in einem MS-DOS-kompatiblen Zustand
beläßt.
Für eine derartige Anpassung des VIRENDETEKTORS erhöht sich die
Registrierungsgebühr um 50,- DM; falls Sie noch nicht registriert sind,
erhalten Sie eine solche Version also für 80,- DM.
Eine Änderung des Textes (wenn sich z.B. Ihre Geschäftsanschrift ändert) ist
jederzeit gegen eine Gebühr von 10,- DM möglich.
Schreiben Sie den gewünschten Text bitte deutlich und geben Sie inverse
Bereiche durch unterstreichen oder Fettdruck an.
Ich bin auch gerne bereit, andere Sonderwünsche zu berücksichtigen, sofern
der Aufwand dafür in einem angemessenen Rahmen bleibt.
Falls Sie PD-Versender sind, sollten sie folgendes beachten: Alle Rechte an
diesem Programm liegen beim Autor, daher darf das Programm ohne meine
Zustimmung nicht verkauft werden, keinem kommerziellen Programmpaket
beigelegt werden und nicht in Mailboxen angeboten werden, in denen der
Download gebührenpflichtig ist!
EIN VERTRIEB ÜBER CHANNEL VIDEODAT ODER VERGLEICHBARE SYSTEME IST SEIT DER
3.0 AUSDRÜCKLICH UNTERSAGT!
Die Weitergabe des VIRENDETEKTORS durch PD-Anbieter ist aber durchaus
gestattet, sofern dem Kunden nur die Kosten für die Dienstleistung (also das
Kopieren der Diskette) und damit zusammenhängende Kosten in Rechnung
gestellt werden. Sollte der Preis für den VIRENDETEKTOR (incl. einer
Diskette) eine Summe von 10,- DM übersteigen, gehe ich von einer
kommerziellen Vermarktung des Programms aus, die nach dem
Urheberschutzgesetz ohne meine Zustimmung nicht gestattet ist!
Alle PD-Serien, in die der VIRENDETEKTOR ab Version 3.1 aufgenommen werden
soll, dürfen keinen weitergehenden Einschränkungen unterliegen, was die
Anfertigung und Weitergabe sowohl von privaten wie auch von gewerbsmäßig
vertriebenen Kopien betrifft, sofern diese Einschränkungen nicht ohnehin
inhaltlicher Bestandteil der Datei HINWEIS.TXT sind.
Daraus ergibt sich, daß die Übernahme von VIRENDETEKTOR-Versionen ab 3.1 in
die sogenannte PD-POOL Serie, für deren Disketten ab Disk 2231 ein
sogenanntes "Autorenhonorar" gezahlt wird und deren gewerblicher Vertrieb
PD-POOL Mitgliedern vorbehalten bleibt, UNTERSAGT ist. Gleiches gilt für
andere PD-Serien, die vergleichbaren Bedingungen unterliegen.
Solche "Autorenbeteiligungen" haben meiner Ansicht nach mit Public Domain
oder Shareware nichts zu tun! Shareware bedeutet, daß man ein Programm eben
gerade NICHT VORHER, sondern erst dann bezahlt, wenn man es regelmäßig
benutzt! Daß PD-Händler für ihre Arbeit eine kleine Gebühr pro Diskette
verlangen müssen, ist selbstverständlich. Doch abgesehen von den 3-4 DM, die
man bei preiswerten Händlern pro Diskette zahlt, ist das Programm zunächst
einmal kostenlos. Ich will auch kein Geld von Leuten, denen mein Programm
nach einer Testphase dann doch nicht gefällt.
Um es nochmals zu betonen: Eine Weitergabe des Programms durch PD-Anbieter
ist dann gestattet, wenn die Gebühr für das Kopieren (incl. der Diskette)
einen Betrag von 10,- DM nicht übersteigt!
Es wäre schön, wenn Sie als PD-Anbieter sich auch dann bei mir als Anwender
registrieren ließen, wenn Sie dieses Programm NICHT selbst verwenden!
Schließlich liefern die PD- und Shareware-Autoren Ihnen quasi Ihre
"Lebensgrundlage". Und ein wenig Resonanz würde manche SHAREWARE-Autoren
vielleicht davon abhalten, Ihre Programme über andere Kanäle zu verbreiten.
Bei vielen SHAREWARE-Programmen gehen die Autoren nämlich inzwischen dazu
über, den PD-Versendern die Weitergabe Ihrer Programme zu untersagen.
Aktuelle Beispiele sind die Programme GEMINI, RUFUS und SYSMON.
Ich habe allerdings auch Verständnis, wenn sich ein PD-Versender nicht bei
jedem SHAREWARE-Autor, dessen Programm er vertreibt, registrieren läßt. Die
Unkosten wären in diesem Falle viel zu hoch. Aber überlegen Sie einmal, ob
Sie sich nicht wenigstens jeden Monat bei EINIGEN Autoren registrieren
lassen. Schließlich profitieren auch SIE von der Bereitschaft der Autoren,
Ihre Programme als SHAREWARE oder Public-Domain zu verbreiten.
Der kommerzielle Vertrieb von Disketten (also auch der Vertrieb von
PD-Disketten), auf denen der Immunisierungs-Bootsektor des VIRENDETEKTOR
aufgebracht wurde, ist nur registrierten Benutzern gestattet!
XI. Schlußwort
¯¯¯¯¯¯¯¯¯¯
Ich hoffe, dieser Text hat Ihnen einen kleinen Einblick in die Lage an der
"Virenfront" auf dem Atari ST gegeben und der VIRENDETEKTOR hat Ihnen im
Kampf gegen Computerviren gute Dienste geleistet. Ich würde mich freuen von
Ihnen zu hören - für Anregungen und Kritik habe ich immer ein offenes Ohr.
Selbstverständlich habe ich alle Sorgfalt walten lassen, um ein fehlerfreies
Programm zu erstellen. Trotzdem sind Fehler nie ganz auszuschliessen.
Deshalb kann weder die juristische Verantwortung noch irgendeine Haftung von
Seiten des Autors für eventuelle Schäden an Daten oder Programmen, die
direkt oder indirekt auf die Benutzung dieses Programms zurückzuführen sind,
übernommen werden!
Viel Spaß bei der Arbeit mit dem ST und wenig Ärger mit Viren wünscht Ihnen
Volker Söhnitz
****************************************************************************
Bitte ändern Sie weder dieses File noch das dazugehörige Programm! Falls Sie
diese Diskette oder das Programm VIRENDETEKTOR weiterkopieren, dann bitte
mit allen Files (außer den Dateien VIRENDET.HD und VIRDPROT.INF)!
