home *** CD-ROM | disk | FTP | other *** search
/ Computer Club Elmshorn Atari PD / CCE_PD.iso / pc / 0400 / CCE_0475.ZIP / CCE_0475.PD / VIRENDET.3-1 / HANDBUCH.TXT < prev    next >
Text File  |  1993-01-23  |  178KB  |  2,856 lines

  1.   ****************************************************************************
  2.   *                                                              23.01.1993  *
  3.   *               Computerviren auf dem    A T A R I    S T                  *
  4.   *               ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯                  *
  5.   *  Dieses Textfile gehört zum Programm  V I R E N D E T E K T O R  3.1 j,  *
  6.   *  kopieren  Sie es bitte nur mit  diesem  Programm  zusammen  weiter !!!  *
  7.   *                                                                          *
  8.   *  Das Programm ist   S H A R E W A R E !   Es darf somit  in  der  unre-  *
  9.   *  gistrierten  Version kopiert und weitergegeben werden, um der weiteren  *
  10.   *  Virenverbreitung  zu  begegnen. Die Datei HINWEIS.TXT sollten  Sie  in  *
  11.   *  Ihrem und in meinem Interesse bitte beachten.                           *
  12.   *                                                                          *
  13.   *  Zum Programm gehören folgende Files:                                    *
  14.   *        VIREND31.PRG  -  Das Programm selbst                              *
  15.   *        CONV-HD.PRG   -  Konvertiert das alte VIRENDET.HD ins neue Format *
  16.   *        CONV-HD.TXT   -  Einige Zeilen Erläuterung dazu                   *
  17.   *        REGISTER.TXT  -  Eine Registrierkarte zum Ausdrucken              *
  18.   *        HINWEIS.TXT   -  Die  Nutzungsbestimmungen und wichtige Hinweise  *
  19.   *                         zur Verbreitung des Programms                    *
  20.   *        HANDBUCH.TXT  -  Diese Datei                                      *
  21.   *        NEWS.TXT      -  Eine Liste der Änderungen  der  letzten  VIREN-  *
  22.   *                         DETEKTOR-Versionen und ein Ausblick auf weitere  *
  23.   *                         Verbesserungen  in zukünftigen Versionen, sowie  *
  24.   *                         bekannte Programmfehler, Inkompatibilitäten und  *
  25.   *                         Unschönheiten. BITTE UNBEDINGT LESEN!            *
  26.   *                                                                          *
  27.   *  sowie der Ordner WPROTECT mit den Dateien:                              *
  28.   *        WPROTECT.ACC  -  Accessory zum Schreibschützen von Festplatten    *
  29.   *                         und/oder RAM-Disks                               *
  30.   *        WPROTECT.PRG  -  Das gleiche für den AUTO-Ordner                  *
  31.   *        WPROTECT.TXT  -  Kurze Anleitung dazu                             *
  32.   *        WPROTECT.S    -  Assembler-Source zu WPROTECT.PRG                 *
  33.   *        WPRORSC.S     -  Resource-to-Source Datei                         *
  34.   *        WPROTECT.RSC  -  Resource-Datei                                   *
  35.   *        WPROTECT.RSD                                                      *
  36.   *                                                                          *
  37.   *  Folgende Files werden bei Bedarf vom VIRENDETEKTOR erstellt, sind aber  *
  38.   *  nicht unbedingt notwendig und müssen auch bei einer  Weitergabe  nicht  *
  39.   *  mitkopiert werden:                                                      *
  40.   *        VIRENDET.INF  -  Parameter-Datei                                  *
  41.   *        VIRENDET.CRC  -  Datei mit CRC-Prüfsummen                         *
  42.   *                                                                          *
  43.   *  Diese Dateien werden vom VIRENDETEKTOR erstellt und gehören NICHT  zum  *
  44.   *  Lieferumfang - bitte auch nicht mit Ihrer Version weitergeben:          *
  45.   *        VDET-HD.xxx   -  Datei(en) mit Festplatten-Rootsektoren           *
  46.   *        VIRDPROT.INF  -  Protokoll-Datei                                  *
  47.   *                                                                          *
  48.   *     ©  Volker Söhnitz,  Beginenstr. 17,  5100 Aachen                     *
  49.   *        Fax:   ++49 241 - 40 40 70                                        *
  50.   *        EMAIL: volker_soehnitz@ac.maus.de (privat, keine binaries/UUEs)   *
  51.   *          oder volker_soehnitz@solaris.hamm.sub.org                       *
  52.   *                                                                          *
  53.   *     ©  für WPROTECT und das Protokollfile:  Christoph Conrad             *
  54.   *        EMAIL: christoph_conrad@ac3.maus.de (privat, keine binaries/UUEs) *
  55.   *                                                                          *
  56.   ****************************************************************************
  57.  
  58.   Alle  Rechte  vorbehalten.  Kein Teil dieses Textes darf in irgendeiner Form 
  59.   (Druck  oder  einem  anderen  Verfahren)  ohne  schriftliche Genehmigung des 
  60.   Autors   reproduziert   oder   unter   Verwendung   elektronischer   Systeme 
  61.   verarbeitet,  vervielfältigt  oder verbreitet werden. Eine Weitergabe dieses 
  62.   Textes  in  _unveränderter_  Form  und  nur  zusammen mit den oben genannten 
  63.   Dateien  unter  Berücksichtigung der in HINWEIS.TXT festgehaltenen Nutzungs- 
  64.   bestimmungen ist ausdrücklich gestattet!
  65.  
  66.   Zum  Ausdrucken  dieses Textes ist es am günstigsten, den Drucker auf 12 cps 
  67.   (ELITE) und auf einen Rand von 6-8 Zeichen einzustellen.
  68.  
  69.  
  70.   WICHTIG:  Unbedingt zumindest NEWS.TXT und das Vorwort lesen!
  71.   ¯¯¯¯¯¯¯¯  ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  72.   Ich  weiß,  niemand  liest  gerne  lange  Handbücher  oder  Anleitungen aber 
  73.   zumindest  das  Vorwort  und die Datei NEWS.TXT sollten Sie sich durchlesen. 
  74.   Das  heißt  nicht,  daß nicht auch der Rest lesenswert wäre, aber den können 
  75.   Sie  sich  ja  an  einem  regnerischen Abend zu Gemüte führen. Ich habe mich 
  76.   bemüht,   auf   mögliche  Bedienungsfehler,  die  bei  der  Arbeit  mit  dem 
  77.   VIRENDETEKTOR  auftreten  können,  einzugehen. Wenn Sie dieses Kapitel nicht 
  78.   lesen, sind DATENVERLUSTE nicht auszuschließen!
  79.  
  80.   Registrierte  Benutzer  sollten  auch  die  Datei  PRIVAT.TXT,  die  auf der 
  81.   VIRENDETEKTOR-Originaldiskette  zu finden ist, durchlesen. Dort ist auch die 
  82.   Installation der registrierten Version ausführlich erläutert.
  83.  
  84.  
  85.   Inhalt:
  86.   ¯¯¯¯¯¯¯     0.    Das (etwas längere) Vorwort
  87.                       a) Danksagungen
  88.                       b) Was ist der VIRENDETEKTOR?
  89.                       c) Hinweise zur Bedienung (WICHTIG!!!)
  90.  
  91.               I.    Einführung (Allgemeines über Computerviren)
  92.                       a) Was ist ein Computervirus?
  93.                       b) Woher kommen Computerviren?
  94.  
  95.               II.   Viren im ST, wo sie stecken und wie sie sich vermehren
  96.                       a) Bootsektorviren
  97.                       b) "Tarnkappen"-Viren
  98.                       c) Linkviren
  99.                       d) Linkviren in gepackten Programmen
  100.                       e) Viren in CPX-Modulen
  101.                       f) Neue, bisher unbekannte Linkviren
  102.                       g) Alle Link- und Bootsektorviren im Überblick
  103.  
  104.               III.  Wie beugt man Virenbefall vor?
  105.  
  106.               IV.   An welchen Effekten erkennt man Computerviren?
  107.  
  108.               V.    Neues von der Virenfront
  109.  
  110.               VI.   So funktioniert der VIRENDETEKTOR
  111.  
  112.               VII.  "Immunisierung" - Schutz vor Bootsektorviren???
  113.  
  114.               VIII. Was ist im Fall des (Be)falls zu tun?
  115.  
  116.               IX.   Das SHAREWARE-Vertriebskonzept
  117.  
  118.               X.    Hinweise für kommerzielle Nutzer und PD-Versender
  119.  
  120.               XI.   Schlußwort
  121.  
  122.                     Anhang:  Antworten auf die am häufigsten gestellten Fragen
  123.                              zum  VIRENDETEKTOR  (bitte erst lesen, bevor  Sie
  124.                              sich mit Fragen an mich wenden)
  125.  
  126.  
  127.   Einige  Soft-  und Hardwarebezeichnungen, die in diesem Text erwähnt werden, 
  128.   sind eingetragene Warenzeichen und sollten als solche betrachtet werden.
  129.  
  130.  
  131.  
  132.   0.              Das (etwas längere) Vorwort
  133.                   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  134.  
  135.     a)            Danksagungen
  136.  
  137.   Für  die  Unterstützung bei der Erstellung dieses Programms bedanke ich mich 
  138.   insbesondere bei:
  139.  
  140.   Christoph Conrad,
  141.   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  142.   der  nicht  nur  mit einigen genialen Hacks die Effizienz des VIRENDETEKTORS 
  143.   stark  verbessert  hat,  sondern  dem  vor  allem  zu verdanken ist, daß der 
  144.   VIRENDETEKTOR  seit  der Version 3.0 auflösungsunabhängig und absolut LINE-A 
  145.   frei  läuft.  Außerdem  bedanke  ich  mich für das Programm WPROTECT und die 
  146.   Routinen  zur Erstellung des Protokollfiles, die Christoph freundlicherweise 
  147.   für den VIRENDETEKTOR zur Verfügung gestellt hat.
  148.  
  149.   Richard Karsmakers,
  150.   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  151.   dem  niederländischen  Virenkiller-Programmierer  (UVK),  für die fruchtbare 
  152.   Zusammenarbeit, die für die Weiterentwicklung des Programms wichtige Impulse 
  153.   gegeben hat.
  154.  
  155.   Bernhard Artz und Gregor Tielsch,
  156.   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  157.   den Autoren des Virenkillers Poison! für die Zusammenarbeit.
  158.  
  159.   H.-D. Jankowski, J.F. Reschke und D. Rabich,
  160.   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  161.   für das ATARI ST PROFIBUCH (Sybex).
  162.  
  163.   C. Brod und A. Stepper,
  164.   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  165.   für das Buch SCHEIBENKLEISTER II (MAXON).
  166.  
  167.   Mein  Dank  geht  auch  an  die  vielen  User  des  VIRENDETEKTORS,  die mit 
  168.   detaillierten  Fehlermeldungen  und  der  Zusendung  neuer  Viren  und neuer 
  169.   Bootprogramme an der Weiterentwicklung des Programms beteiligt waren. (Hallo 
  170.   Dirk, hallo Anton-Jürgen, hallo Oliver!)
  171.  
  172.   Mein  ganz  besonders  herzlicher  Dank geht an alle registrierten User, die 
  173.   durch  die  Zahlung  der Sharegebühr meinen Glauben an das SHAREWARE-Konzept 
  174.   aufrechterhalten  haben  und  die mich motivieren, den VIRENDETEKTOR auch in 
  175.   Zukunft weiterzuentwickeln.
  176.  
  177.   Last  but  not  least  bedanke  ich  mich  bei  meiner  Frau  Sabine für die 
  178.   unendliche  Geduld  mit  einem  Ehemann, der nächtelang vor seinen Computern 
  179.   sitzt und bereits im Schlaf von Viren brabbelt ;-)
  180.  
  181.   Sollte  ich  jemanden bei dieser Aufzählung vergessen haben, so geschah dies 
  182.   nicht aus böser Absicht. Er möge sich als hier aufgeführt betrachten.
  183.  
  184.  
  185.     b)            Was ist der VIRENDETEKTOR?
  186.  
  187.   Der  VIRENDETEKTOR  entstand  vor  mehr  als  fünf  Jahren,  als  die ersten 
  188.   Computerviren  auf  dem  ST auftauchten. Zunächst als "Quick and dirty"-Hack 
  189.   gegen   Bootsektorviren,   doch   mit   der   Zeit   kam  eine  ansprechende 
  190.   Benutzeroberfläche  hinzu,  die Erkennung der ersten Linkviren, die sich auf 
  191.   dem  ST  breit machten, die Anpassung an verschiedene Auflösungen und vieles 
  192.   mehr.   Seit  der  Version  3.0  ist  nun  auch  eine  CRC-Prüfsummenbildung 
  193.   eingebaut,  so  daß  auch  die  Gefahr eines Befalls mit bislang unbekannten 
  194.   Viren  nahezu  ausgeschlossen  werden kann. Auch zukünftige Versionen werden 
  195.   wieder Neuheiten zu bieten haben und der VIRENDETEKTOR bleibt - auch wenn er 
  196.   manchem  kommerziellen  Virenkiller  durchaus  überlegen  ist und obwohl mir 
  197.   mehrere   Angebote  zur  kommerziellen  Vermarktung  vorliegen  -  weiterhin 
  198.   SHAREWARE.  Was  SHAREWARE  ist und warum dieses Konzept sowohl dem Benutzer 
  199.   als  auch  dem  Programmautor viele Vorteile bietet, erfahren Sie in Kapitel 
  200.   IX.
  201.  
  202.   Mit  dem  Programm  VIRENDETEKTOR  haben Sie nun das geeignete Mittel in der 
  203.   Hand, um jede Art von Virus zu entdecken, bevor er Unheil anrichten kann und 
  204.   sich über die gesamten Datenbestände verbreitet.
  205.  
  206.  
  207.     c)            Hinweise zur Bedienung
  208.  
  209.   Der  VIRENDETEKTOR  ist denkbar einfach zu bedienen. Auch Einsteiger auf dem 
  210.   ST/STE/TT  sollten  mit  diesem  Programm  problemlos  auf "Virenjagd" gehen 
  211.   können.  Dennoch  sind  mit zunehmender Anzahl an Optionen, die das Programm 
  212.   bietet,  auch  einige  Erläuterungen  nützlich.  Hier  nun ein paar wichtige 
  213.   Hinweise  zur Bedienung. Auf einige spezielle Punkte wird an späterer Stelle 
  214.   in diesem Text noch eingegangen.
  215.  
  216.   Versuchen  Sie  bitte  nicht,  den  PFX-PAK, den ICE-PACK oder einen anderen 
  217.   Packer,   der  Programme  mit  einem  Laufzeitentpacker  versieht,  auf  den 
  218.   VIRENDETEKTOR los zu lassen. Erstens werden diese Packer im günstigsten Fall 
  219.   die  Programmdatei  um  lächerliche  5-10% verkleinern können, es lohnt also 
  220.   nicht.  Zweitens  wird  der  VIRENDETEKTOR  dies  als Manipulation an seiner 
  221.   Programmdatei empfinden und beim Versuch, das Programm zu starten, mit einer 
  222.   wütenden Meldung nebst Warmstart (Reset) antworten.
  223.  
  224.   Wenn  Sie das Programm vom Desktop oder aus einer Shell heraus starten, wird 
  225.   zunächst  ein  Speichertest durchgeführt. Dabei erscheint auf dem Bildschirm 
  226.   eine  Übersicht  über  verschiedene  Systemvariablen, in die sich ein Virus, 
  227.   sofern er resident im Arbeitsspeicher lauert, in der Regel einklinkt. Dieser 
  228.   Ausgabe  brauchen Sie keine weitere Beachtung zu schenken, die Bedeutung der 
  229.   XBRA-Kennungen ist im Kapitel VI erläutert.
  230.  
  231.   Sollte ein speicherresidenter Virus gefunden werden, bricht das Programm mit 
  232.   einer  entsprechenden  Warnbox  ab. Leider arbeitet ein solcher Speichertest 
  233.   prinzipbedingt  nicht  100% sicher. Vor allem dann nicht, wenn sich ein oder 
  234.   mehrere  Programme  im  Arbeitsspeicher  befinden,  die  Systemvektoren ohne 
  235.   XBRA-Kennung   verbiegen.   Sie   sollten   also   vor   der  Benutzung  des 
  236.   VIRENDETEKTORS im Zweifel den Rechner aus- und  wieder einschalten, ohne daß 
  237.   sich  eine  Diskette  im  Laufwerk befindet. Die dauert zwar etwa eine halbe 
  238.   Minute  (der  ST wird zunächst verzweifelt nach einer Diskette fahnden), ist 
  239.   aber  der  sicherste  Weg,  falls Sie nicht sicher sind, ob Sie überhaupt im 
  240.   Besitz einer "sauberen" Diskette sind.
  241.  
  242.   Die  vom  VIRENDETEKTOR  angezeigte  Liste  der  einzelnen XBRA-Verkettungen 
  243.   sollte  im  Idealfall  mit  einem  Pseudoeintrag  "->BS"  enden.  Damit wird 
  244.   angezeigt,  daß  der  Vektor  nun  ins  Betriebssystem zeigt. Steht dort ein 
  245.   "????",  so  ist  dafür  ein  Programm verantwortlich, das sich nicht an die 
  246.   XBRA-Konvention  hält.  Dabei muß es sich nun aber keineswegs um einen Virus 
  247.   handeln,  denn trotz der relativ großen Verbreitung des XBRA-Verfahrens gibt 
  248.   es  immer noch eine Menge Programme und Accessories, die ohne Verwendung der 
  249.   XBRA-Struktur Vektoren verbiegen.
  250.  
  251.   Eine  kurze Erklärung zum den ausgegebenen Systemvariablen erhalten Sie auch 
  252.   im Programm, wenn Sie die "Help"-Taste drücken.
  253.  
  254.   Jede   andere   Taste   oder   ein  Mausklick  führen  zum  "Hauptmenü"  des 
  255.   VIRENDETEKTORS.  Dabei  handelt  es sich um eine große Dialogbox, in der Sie 
  256.   mit  der  Maus,  mit  den Funktionstasten oder mit der RETURN-Taste einzelne 
  257.   Punkte  auswählen  können.  Der  stark umrandete Button kann jeweils mit der 
  258.   Return-Taste  gewählt  werden.  Bei der Auswahl einiger Menüpunkte erscheint 
  259.   wiederum eine ähnliche Dialogbox.
  260.  
  261.   F1: (Kurzanleitung/Programminfo)
  262.  
  263.   Wie  der  Name vermuten läßt, handelt es sich bei diesem Punkt um eine kurze 
  264.   Anleitung,  die  das wichtigste aus diesem Kapitel zusammenfaßt. Damit haben 
  265.   Sie  auch  im  VIRENDETEKTOR  die  Möglichkeit,  die  Arbeitsweise einzelner 
  266.   Funktionen  nachschauen  zu können. Zunächst erscheint aber noch eine kleine 
  267.   "Danksagung"  an  verschiedene  Leute,  die  direkt  oder  indirekt  bei der 
  268.   Entstehung  dieses Programms mitgewirkt haben. Diese Kurzanleitung umfaßt 12 
  269.   Seiten,  durch  Drücken  der  ESCAPE-Taste kommen Sie jederzeit ins Programm 
  270.   zurück.
  271.  
  272.   F2: (Laufwerk wählen)
  273.  
  274.   Dient  zur Auswahl der Diskettenstation/RAM-Disk/Festplattenpartitionen, die 
  275.   als  aktuelles  Laufwerk  gelten  soll.  Bei  der Überprüfung von Programmen 
  276.   arbeitet der VIRENDETEKTOR immer auf dem Laufwerk, das hier angewählt wurde. 
  277.   Es  können  nur tatsächlich vorhandene Laufwerke selektiert werden. Bei mehr 
  278.   als    8   Laufwerken/Partitionen/RAM-Disks   erscheint   diese   Auswahlbox 
  279.   zweigeteilt.  Mit den Pfeilboxen kann zwischen den beiden Teilen hin und her 
  280.   gewechselt werden.
  281.  
  282.   Bei der Überprüfung von Festplattenpartitionen oder RAM-Disks (also Laufwerk 
  283.   C  und  größer)  wird  nach  der Überprüfung aller Programme automatisch zum 
  284.   nächsten  Laufwerk  gewechselt, sofern diese Überprüfung nicht zwischendurch 
  285.   mit  "Escape"  abgebrochen wurde. Dadurch sparen Sie bei der Überprüfung der 
  286.   gesamten  Platte  den manuellen Wechsel der Laufwerke. Sie können somit nach 
  287.   Anwahl  der ersten Partition (im allgemeinen C) durch wiederholtes Betätigen 
  288.   der Return-Taste alle Partitionen auf Linkviren überprüfen.
  289.  
  290.   F3: (Einzelne Programme überprüfen)
  291.  
  292.   Untersucht  einzelne Programme (Auswahl über Fileselectbox) auf Virenbefall. 
  293.   Dabei  werden  eine große Zahl von Linkviren erkannt, dazu gehören in dieser 
  294.   Version  des  VIRENDETEKTOR  der  MILZBRAND VIRUS und auf dessen Algorithmus 
  295.   beruhende   Nachfolger,  alle  VCS  VIREN  (mit  dem  VIRUS-CONSTRUCTION-SET 
  296.   erstellte   Viren),  der  CRASH  VIRUS,  der  PAPA&GARFIELD  VIRUS  und  der 
  297.   MAD/ZIMMERMANN  VIRUS  (auch  als  Uluru Virus bekannt)! Es ist leider nicht 
  298.   möglich,   befallene   Programme   zu   restaurieren!   Sie   müssen   durch 
  299.   Sicherheitskopien  ersetzt  werden. Sollten Sie nicht über Sicherheitskopien 
  300.   verfügen  und die infizierten Programme sind für Sie von großer Wichtigkeit, 
  301.   dann  finden  Sie  in  einem  späteren Kapitel noch einige Hinweise, wie Sie 
  302.   eventuell auch noch mit diesen Programmen weiterarbeiten können. Dies sollte 
  303.   aber  wirklich  die absolute Ausnahme sein! Abgesehen von der Suche nach den 
  304.   oben  erwähnten  bekannten  Linkviren,  werden  Programme  auch  auf bislang 
  305.   unbekannte  Linkviren  überprüft. Prinzipbedingt kann diese Überprüfung aber 
  306.   nur  eine  nützliche Ergänzung sein. Es gibt keine Garantie dafür, daß jeder 
  307.   neue  Linkvirus  dadurch  entdeckt  werden  kann. Neben einzelnen Programmen 
  308.   können   auch   komplette   Pfade   durchsucht  werden,  dazu  wird  in  der 
  309.   Fileselectbox  einfach der gewünschte Pfad eingestellt. Wollen Sie also z.B. 
  310.   alle  Dateien  im  Ordner "KUCKREIN" überprüfen, so öffnen Sie diesen Ordner 
  311.   und  klicken  auf den OK-Button (oder drücken die RETURN-Taste). Dann werden 
  312.   alle  Programmfiles  in  dem  gewünschten  Ordner,  sowie  in allen weiteren 
  313.   Ordnern, die sich im gewählten Ordner befinden, überprüft!
  314.  
  315.   F4: (Alle Programme überprüfen)
  316.  
  317.   Alle  Programme  auf dem aktuellen Laufwerk werden auf Linkviren untersucht. 
  318.   (Analog  zu  F3.) Dabei werden nicht nur die Programme im Hauptdirectory des 
  319.   aktuellen  Laufwerks (Floppy/RAM-Disk/Harddisk) überprüft, sondern auch alle 
  320.   Programme,  die  sich  in irgendwelchen Ordnern aufhalten! WICHTIG: Wenn Sie 
  321.   mit  einer Festplatte und einer alten TOS-Version (1.00 oder 1.02) arbeiten, 
  322.   dann  sollten Sie unbedingt das FOLDR100.PRG im Autoordner haben. Aber diese 
  323.   Regel  gilt  nicht  nur  für den VIRENDETEKTOR. Es werden auch "Hidden"- und 
  324.   "System"-Files  überprüft.  Auf  der Festplatte kann die Überprüfung je nach 
  325.   Partitionsgröße  einige  Zeit  in  Anspruch nehmen. Die laufende Überprüfung 
  326.   kann  durch Betätigung der ESCAPE-Taste abgebrochen werden. Wenn der Abbruch 
  327.   nicht  gleich klappt, dann halten Sie die ESCAPE-Taste solange gedrückt, bis 
  328.   der  VIRENDETEKTOR  diesen  Abbruch  bestätigt.  Berücksichtigt  werden alle 
  329.   Files,  deren  Extension  auf PR*, AC*, TOS, TTP, APP, GTP oder auf eine der 
  330.   vier  selbstdefinierten  Extensionen  paßt.  Bei eingeschalteter CRC-Prüfung 
  331.   werden  auch  Dateien  mit der Endung "CPX" (CPX-Module) berücksichtigt. Bei 
  332.   dieser  CRC-Prüfung wird die aktuelle CRC-Prüfsumme mit einer gegebenenfalls 
  333.   zuvor  gespeicherten Prüfsumme verglichen. Falls das aktuelle Laufwerk nicht 
  334.   A  oder  B  ist,  so  ist  diese  Funktion  defaultmäßig  auch mit RETURN zu 
  335.   erreichen.
  336.  
  337.   F5: (Bootsektor überprüfen)
  338.  
  339.   Diese  Funktion kann nur bei Wahl von Laufwerk A oder B angewählt werden. Es 
  340.   wird   der   Bootsektor  einer  Diskette  auf  Virenbefall  überprüft!  Alle 
  341.   verbreiteten  ST-Bootsektorviren  werden  erkannt,  welcher  Virus  entdeckt 
  342.   wurde,  wird  ebenso  angezeigt,  wie  bei  einigen  mutierenden  Viren  die 
  343.   vorgefundene  Generation!  Ist  der  Bootsektor infiziert, so kann der Virus 
  344.   entfernt  und  der  Bootsektor restauriert werden. Der VIRENDETEKTOR erkennt 
  345.   die  meisten  Immunisierungs-Bootsektoren,  wie sie von einigen Virenkillern 
  346.   erzeugt werden. Falls Sie im Menü "Weitere Optionen" die Immunisierung nicht 
  347.   eingeschaltet  haben,  kann  eine  vorhandene  Immunisierung auf Wunsch auch 
  348.   entfernt   werden!   Natürlich  werden  auch  berechtigterweise  ausführbare 
  349.   Bootsektoren  erkannt und gemeldet, z.B. 1st Freezer-Disks, Aladin-Disketten 
  350.   (MAC-Emulator),  TOS-Lader,  viele  Spiele-Bootlader, 60-Hertz Bootsektoren, 
  351.   mehr  als ein halbes Dutzend HD-Waiter und viele mehr. Seit der Version 2.9e 
  352.   werden  AUCH  NICHT  AUSFÜHRBARE  Bootsektorviren erkannt! Diese können sich 
  353.   mittels  eines  undokumentierten  Features  des Betriebssystems resetfest im 
  354.   Arbeitsspeicher   installieren,   OBWOHL  der  Bootsektor  eigentlich  nicht 
  355.   ausführbar  ist!  Genauere  Informationen zur Arbeits- und Verbreitungsweise 
  356.   dieser Viren finden Sie in einem gesonderten Kapitel über Bootsektorviren.
  357.  
  358.   Trifft   der   VIRENDETEKTOR   auf  einen  bisher  unbekannten  ausführbaren 
  359.   Bootsektor  (z.B.  einen neuen Spiele-Lader oder aber einen neuen Virus), so 
  360.   wird  eine  entsprechende  Meldung  ausgegeben  und  es  kann  eine  Routine 
  361.   aufgerufen   werden,  die  das  Bootprogramm  auf  typische  Merkmale  eines 
  362.   Virus-Programms  untersucht!  Das  Ergebnis  dieser  Analyse  wird  in einer 
  363.   Alert-Box  angezeigt.  Falls  es  sich  um  einen  bisher  unbekannten Virus 
  364.   handelt,  kann  der  Bootsektor  restauriert  werden.  Das  Programm wird im 
  365.   übrigen  laufend  aktualisiert  und an neue Viren angepaßt! Sollten Sie über 
  366.   einen   Virus   oder   ein  harmloses  Bootprogramm  verfügen,  welches  der 
  367.   VIRENDETEKTOR  nicht kennt, dann schicken Sie es mir zu - ich werde umgehend 
  368.   eine Erkennung einbauen.
  369.  
  370.   F6: (Bootsektor und Disk-Info anzeigen)
  371.  
  372.   Zeigt den Bootsektor der Diskette im gewählten Laufwerk (A oder B) sowohl im 
  373.   ASCII-Code   als   auch  in  Hexadezimalzahlen  an.  Zusätzlich  werden  die 
  374.   Disketten-Struktur-Informationen  entschlüsselt  und  angezeigt. (Anzahl der 
  375.   Seiten,  Tracks,  Sektoren, Ausführbarkeit, Länge des Directories, ...) Auch 
  376.   diese Funktion kann nur bei Wahl von Laufwerk A oder B gewählt werden.
  377.  
  378.   F7: (Bootsektor und alle Programme überprüfen)
  379.  
  380.   Mit diesem Menüpunkt werden die Funktionen "Bootsektor überprüfen" und "Alle 
  381.   Programme  überprüfen" hintereinander ausgeführt. Wenn Laufwerk A oder B als 
  382.   aktuelles  Laufwerk  gewählt  wurden,  so ist dieser Punkt defaultmäßig über 
  383.   RETURN erreichbar. Wenn Sie also Ihre Diskettensammlung sowohl auf Link- wie 
  384.   auf  Bootsektorviren  überprüfen  wollen, brauchen Sie nur die Disketten der 
  385.   Reihe  nach  einzulegen,  RETURN  zu drücken und die Meldungen des Programms 
  386.   abzuwarten.
  387.  
  388.   F8: (CRC-Prüfung ein/ausschalten)
  389.  
  390.   Dient  zum Ein- oder Ausschalten der CRC-Prüfsummenoption. Ist der CRC-Check 
  391.   eingeschaltet, so berechnet der VIRENDETEKTOR bei jeder Linkvirenüberprüfung 
  392.   eine  CRC-Prüfsumme  über  den Teil des Programms, der bei einer Infizierung 
  393.   mit  einem  Linkvirus  auf jeden Fall verändert würde. Ist für das jeweilige 
  394.   Programm   bereits   eine   CRC-Summe   aus  vorhergegangenen  Überprüfungen 
  395.   vorhanden, so wird die neue Prüfsumme mit der alten verglichen und eventuell 
  396.   auftretende  Unterschiede  werden  gemeldet. Somit kann sich auch ein völlig 
  397.   neuartiger   Linkvirus,  den  der  VIRENDETEKTOR  noch  nicht  kennt,  nicht 
  398.   unbemerkt  in  Ihren  Programmbestand  einschleichen. Natürlich funktioniert 
  399.   diese  Lösung  nur  dann,  wenn  nicht  schon  zum Zeitpunkt der erstmaligen 
  400.   CRC-Prüfsummenerstellung  ein  Linkvirus,  den  der VIRENDETEKTOR noch nicht 
  401.   kennt,  Ihre  Programmbestände  komplett durchseucht hat. Dieser Umstand ist 
  402.   aber außergewöhnlich unwahrscheinlich.
  403.  
  404.   Beachten  Sie  bitte:  Wenn  Sie mehrere unterschiedliche Programme gleichen 
  405.   Namens  (z.B.  zwei  EDITOR.PRG bzw. ein EDITOR.PRG und ein EDITOR.TTP) oder 
  406.   verschiedene   Versionen   eines   Programmes   besitzen,   dann   wird  der 
  407.   VIRENDETEKTOR  beim  zweiten  Programm  eine  Veränderung  melden.  Seit der 
  408.   Version  3.1  des  VIRENDETEKTORS  sind  zu  jedem  Programmnamen maximal 20 
  409.   CRC-Prüfsummen abspeicherbar. Die Extensionen der Programmnamen werden dabei 
  410.   nicht  berücksichtigt,  dies  hat  den  Vorteil, daß Programme, die auch als 
  411.   Accessories   verwendet  werden  können,  nicht  zweimal  in  der  CRC-Liste 
  412.   auftauchen.  Selbiges gilt auch für Auto-Ordnerprogramme, deren Extension in 
  413.   PR oder PRX verändert wurden.
  414.  
  415.   Wenn ein Programm seine CRC-Prüfsumme ändert, so kann diese Änderung diverse 
  416.   Ursachen  haben.  Es  könnte sich um ein Update handeln, es kann ein anderes 
  417.   Programm gleichen Namens in der CRC-Liste existieren oder es handelt sich um 
  418.   ein  selbstmodifizierendes  Programm  (einige  Programme speichern bestimmte 
  419.   Einstellungen  in sich selbst ab - eigentlich kein feiner Programmiererstil, 
  420.   dazu eignet sich eine *.INF Datei in der Regel ebenso gut. Somit können also 
  421.   durchaus eine Reihe von Veränderungen der CRC-Prüfsumme auftreten, die NICHT 
  422.   durch   Virenbefall   verursacht   wurden).  AUch  bei  der  Umwandlung  der 
  423.   unregistrierten   Version   in   eine   registrierte   Version   ändert  der 
  424.   VIRENDETEKTOR  seine  CRC-Prüfsumme.  Wundern  Sie sich also nicht, wenn das 
  425.   Programm  bei  der  registrierten  Version  über  eine  veränderte Prüfsumme 
  426.   meckert. Nehmen Sie diese neue Prüfsumme einfach zusätzlich in die CRC-Datei 
  427.   auf.
  428.  
  429.   Es  ist allerdings auch möglich, daß ein neuer, bisher unbekannter Linkvirus 
  430.   das  Programm  verändert  hat!  Dies  wird  dann  wahrscheinlich,  wenn sich 
  431.   veränderte  Prüfsummen  häufen, ohne daß eine der oben genannten Erklärungen 
  432.   zutrifft.
  433.  
  434.   Sie  können  eine  neue, veränderte CRC-Prüfsumme übernehmen, verwerfen oder 
  435.   das betreffende Programm löschen. Sie können auch die alten Prüfsummen durch 
  436.   die  neue  ersetzen, dabei werden aber ALLE alten Prüfsummen, die für diesen 
  437.   Programmnamen  gespeichert  waren,  ersetzt.  Der VIRENDETEKTOR kann maximal 
  438.   5000  verschiedene Prüfsummen verwalten. Nach Erreichen dieses Limits können 
  439.   keine weiteren Prüfsummen aufgenommen werden.
  440.  
  441.   Nochmals der Hinweis: Wenn sich plötzlich mehrere Programme ohne erkennbaren 
  442.   Grund  verändert  haben, wenn also der VIRENDETEKTOR in mehreren Fällen eine 
  443.   veränderte CRC-Prüfsumme meldet, ist Vorsicht geboten. Sie sollten mir eines 
  444.   der möglicherweise befallenen Programme zusenden, ich werde dann - sofern es 
  445.   sich tatsächlich um einen neuen Virus handelt - eine entsprechende Erkennung 
  446.   in den VIRENDETEKTOR einbauen und Sie erhalten umgehend eine neue, an diesen 
  447.   Virus angepaßte Version.
  448.  
  449.   F9: (HD-Rootsektor prüfen/restaurieren/speichern)
  450.  
  451.   Hinter  diesem  Menüpunkt  verbirgt sich eine Auswahlbox, in der Sie angeben 
  452.   können,  ob  Sie einen Rootsektor prüfen, restaurieren oder anzeigen wollen. 
  453.   Der   Rootsektor  der  Festplatte  wird  beim  DMA-Bootvorgang  gelesen  und 
  454.   ausgeführt.  Im  Rootsektor ist außerdem die Partitionierungsinformation der 
  455.   Festplatte   enthalten.   Haben   Sie   mehrere  Festplatten  (physikalische 
  456.   Laufwerke,  nicht Partitionen) an Ihren Rechner angeschlossen, so können Sie 
  457.   auch  das  gewünschte Target auswählen. Beim Prüfen des Rootsektors wird der 
  458.   aktuelle Rootsektor mit einem zuvor für dieses Target gesicherten Rootsektor 
  459.   verglichen   und   das   Ergebnis   wird   angezeigt.   Sollte   noch   kein 
  460.   Vergleichsrootsektor   gespeichert   sein,   so  können  Sie  den  aktuellen 
  461.   Rootsektor für spätere Vergleiche übernehmen.
  462.  
  463.   Wenn  Sie  einen Festplattenrootsektor zum ersten Mal eingelesen haben, dann 
  464.   können  Sie  ihn  in  eine  Datei  sichern.  Der  VIRENDETEKTOR schreibt die 
  465.   Rootsektoren  der  angeschlossenen  Targets  in die Dateien VDET-HD.*, dabei 
  466.   steht  "*"  für  die Targetnummer. Diese Dateien sind normalerweise nicht im 
  467.   Lieferumfang  enthalten,  sondern  werden  vom  VIRENDETEKTOR bei der ersten 
  468.   Festplattenprüfung  erzeugt.  Sollten  Sie  das Programm von einem Bekannten 
  469.   oder PD-Versender bekommen haben, dann sollte sich daher normalerweise keine 
  470.   Datei  mit  diesem  Namen  im VIRENDET.3_1-Ordner befinden. Sollten Sie dort 
  471.   dennoch  eine  solche Datei finden, dann löschen Sie diese VOR dem Start des 
  472.   VIRENDETEKTORS und legen Sie nach Überprüfung Ihrer Festplatte(n) mit diesem 
  473.   Menüpunkt  neu  an. WICHTIG: Verwenden Sie keine VDET-HD.*-Datei von fremden 
  474.   Festplatten!!!  Auch wenn Sie Ihre Platte(n) neu partitionieren _muß_ die zu 
  475.   diesem  Target  gehörende  Datei  neu angelegt werden! Wenn Sie das Programm 
  476.   weitergeben,  dann  bitte  OHNE  ihre Rootsektordateien! Es könnte sonst bei 
  477.   Anwendern,  die  diese  Anleitung  oder die Kurzanleitung im Programm selbst 
  478.   nicht   durchlesen,   zu  Datenverlust  führen,  wenn  diese  einen  fremden 
  479.   Rootsektor  auf  die  eigene Platte kopieren. Sollten Sie einen oder mehrere 
  480.   neue  Rootsektoren  übernommen haben, so werden Sie beim Programmende darauf 
  481.   hingewiesen,  falls  Sie diese Rootsektoren bislang noch nicht abgespeichert 
  482.   haben und können das dann vor dem Verlassen des VIRENDETEKTORS nachholen.
  483.  
  484.   Da  die Partitionierungsinformationen beim Befall durch einen Virus zerstört 
  485.   werden  können,  ist für diesen Fall eine Restaurierungsmöglichkeit gegeben. 
  486.   Dazu  müssen  Sie  sich  von  den  Dateien  VDET-HD.*  SICHERHEITSKOPIEN AUF 
  487.   DISKETTE anlegen.
  488.  
  489.   Dies  ist wichtig, da Ihnen eine solche Datei auf der Festplatte nichts mehr 
  490.   nützt,  denn mit einem zerstörten Rootsektor ist Ihnen jeder Zugriff auf die 
  491.   Platte  verwehrt.  Mit  Hilfe  des  VIRENDETEKTORS  -  von dem Sie natürlich 
  492.   ebenfalls  eine  Sicherheitskopie  haben  sollten - kann der Rootsektor dann 
  493.   wieder auf die Festplatte geschrieben werden.
  494.  
  495.   WICHTIG:  (Ich weiß, das habe ich schon erwähnt - man kann es aber nicht oft 
  496.   genug  wiederholen!)  Jede neue Partitionierung Ihrer Platte führt natürlich 
  497.   zu  einer  Veränderung  des  Rootsektors!  In  diesem  Fall  muß  die  Datei 
  498.   VDET-HD.*, (dabei ist "*" die Nummer des neu partitionierten Targets) die ja 
  499.   noch  den  alten  Rootsektor enthält, gelöscht werden und der Rootsektor neu 
  500.   eingelesen  werden. Auf keinen Fall dürfen Sie nach einer Neupartitionierung 
  501.   den  alten  Rootsektor  wieder  zurückschreiben!  Der  Rootsektor  darf  nur 
  502.   restauriert werden, wenn er unrechtmäßig (durch einen Virus oder ein anderes 
  503.   "amoklaufendes"   Programm)  verändert  wurde.  Wenn  Sie  Ihre  Platte  neu 
  504.   partitioniert  haben,  kommt  auf  jeden  Fall die Meldung "Rootsektor wurde 
  505.   verändert".  Dies  ist  normal  und  kein Grund zur Besorgnis! Schreiben Sie 
  506.   NIEMALS   einen  alten  Rootsektor  nach  einer  Neupartitionierung  zurück! 
  507.   Ansonsten   sind  Ihre  Daten  auf  der  Festplatte  plötzlich  ins  Nirwana 
  508.   entfleucht.
  509.  
  510.   Wenn  Sie  die  Targetnummer einer angeschlossenen Platte ändern, müssen Sie 
  511.   entsprechend   die   Extension   der   Datei   VDET-HD.*  anpassen,  da  der 
  512.   VIRENDETEKTOR   die   Zugehörigkeit   einer  solchen  Datei  zur  jeweiligen 
  513.   Targetnummer  über  die  Extension vornimmt. WICHTIG: Die Extension wird mit 
  514.   einer  führenden Null ausgegeben! (Also: 00, 01, 02, ..., 09, 010, 011, ...) 
  515.   Die  Nummern  0-7  entsprechen dabei den ACSI-Targets, 8-15 ist der SCSI-BUS 
  516.   und höhere Targetnummern kommen z.B. bei der FALCON 030 IDE-Platte vor.
  517.  
  518.   ACHTUNG:  Nach  dem  Zurückschreiben  eines Rootsektors wird automatisch ein 
  519.   RESET   (Warmstart)   ausgelöst!  Dies  ist  aus  Kompatibilitätsgründen  zu 
  520.   verschiedenen  Festplattentreibern  nötig. Wenn Sie "restaurieren" anwählen, 
  521.   werden  Sie  auf  diesen  Umstand  aufmerksam  gemacht  und  haben  noch die 
  522.   Möglichkeit, diesen Vorgang abzubrechen.
  523.  
  524.   F10: (Weitere Optionen)
  525.  
  526.   Unter  diesem  Menüpunkt  sind  verschiedene Einstellungsmöglichkeiten sowie 
  527.   nicht  so  häufig  benötigte  Funktionen  zusammengefaßt.  Es  erscheint ein 
  528.   Untermenü mit folgenden Punkten:
  529.  
  530.   Viren-Datenbank aufrufen...:
  531.  
  532.   Unter  diesem  Menüpunkt verbirgt sich eine geballte Ladung Information. Sie 
  533.   finden  hier  eine  ausführliche  Beschreibung  aller  bekannten  Link-  und 
  534.   Bootsektorviren,  die  sowohl  Verbreitungsweise  als  auch  die Wirkung der 
  535.   einzelnen  Viren  beschreibt.  Der  Virus, zu dem Sie nähere Infos wünschen, 
  536.   wird mit den Cursortasten oder durch Klicken in die Pfeilboxen ausgewählt.
  537.  
  538.   Diese  Infos sind _nur_ in der registrierten Version abrufbar. Das ist keine 
  539.   besondere   Einschränkung,   denn   für   die   eigentliche   Funktion   des 
  540.   VIRENDETEKTORS  ist  diese Datenbank ja in keiner Weise relevant. Sie können 
  541.   also  die  unregistrierte  Version,  wie bei SHAREWARE üblich, in aller Ruhe 
  542.   testen.  Wenn  ihnen  das  Programm  zusagt,  erhalten  Sie nach Zahlung der 
  543.   Sharegebühr  eine  aktuelle  Version  auf  einer  Originaldisk,  die Sie zum 
  544.   Installieren  der  registrierten  Version  benötigen. Diese enthält dann zum 
  545.   einen   die   bereits   erwähnte   Viren-Datenbank.  Zum  anderen  sind  die 
  546.   gelegentlichen  Hinweise  (z.B. beim Verlassen des Programms oder nach einer 
  547.   größeren  Zahl  überprüfter  Disketten  und Dateien), die Sie daran erinnern 
  548.   sollen,   daß  Sie  mit  einer  unregistrierten  Version  arbeiten,  in  der 
  549.   registrierten Version natürlich nicht mehr vorhanden.
  550.  
  551.   Immunisierung wählen...:
  552.  
  553.   Zum  Thema  "Immunisierung" werde ich im weiteren noch Stellung nehmen. Hier 
  554.   sei  nur  erwähnt,  daß  ich,  um  auf alle Wünsche nach den verschiedensten 
  555.   Immunisierungsmethoden   einzugehen,   im  VIRENDETEKTOR  drei  verschiedene 
  556.   Möglichkeiten zur Immunisierung von Bootsektoren vorgesehen habe. Mit diesem 
  557.   Menüpunkt  können Sie die gewünschte Immunisierung ein- oder ausschalten und 
  558.   die automatische Impfung einschalten. Bei eingeschalteter Immunisierung wird 
  559.   beim  Schreiben  eines Bootsektors, also wenn z.B. ein Virus vernichtet wird 
  560.   oder  ein  anderes Bootprogramm entfernt wird, ein Immunisierungs-Bootsektor 
  561.   bzw.  der  Immunisierungs-Autoordner erzeugt. Was unter den drei Methoden zu 
  562.   verstehen   ist,   entnehmen   Sie   bitte   dem   Kapitel   VII.  Wenn  die 
  563.   Bootsektorimpfung  eingeschaltet  ist,  wird  die gewählte Immunisierungsart 
  564.   immer  auf  die  zu prüfende Diskette aufgebracht, also auch dann, wenn kein 
  565.   Virus  überschrieben  wird. Dazu dürfen die zu prüfenden Disketten natürlich 
  566.   nicht  schreibgeschützt  sein. Es erfolgt auch dann eine Immunisierung, wenn 
  567.   im   Bootsektor   bereits  eine  Immunisierung  eines  anderen  Virenkillers 
  568.   vorhanden  ist.  Diese  wird  dann  entfernt.  Andere  ausführbare  harmlose 
  569.   Bootsektoren  werden nicht geimpft, auch 1st Lock Disketten (LOGILEX) werden 
  570.   nicht  geimpft,  da  im  Bootsektor wichtige Informationen stehen, die sonst 
  571.   verloren  gehen würden. Ausnahme: Die Immunisierung durch den Autoordner, da 
  572.   bei dieser Immunisierungsart der Bootsektor nicht verändert wird.
  573.  
  574.   Info-Meldungen ein/ausschalten:
  575.  
  576.   Wenn  Sie  mit dem VIRENDETEKTOR Ihre komplette Diskettensammlung überprüfen 
  577.   und  Ihre  kostbare  Zeit nicht zu sehr strapazieren wollen, dann können Sie 
  578.   die  ohnehin  schon  hohe  Arbeitsgeschwindigkeit  des Programms noch weiter 
  579.   erhöhen,  indem  Sie alle Meldungen des Programms, die nicht auf Virenbefall 
  580.   hinweisen,  unterdrücken.  Sie  brauchen  dann  pro  Diskette nur einmal die 
  581.   RETURN-Taste  (oder  F7)  zu  drücken  und  der VIRENDETEKTOR kehrt nach der 
  582.   Überprüfung  der  Diskette  sofort  zum  Hauptmenü zurück (sofern kein Virus 
  583.   gefunden wurde) und Sie können mit der nächsten Diskette fortfahren.
  584.  
  585.   Extensionen wählen:
  586.  
  587.   Wenn der VIRENDETEKTOR eine komplette Diskette/RAM-Disk/Partition oder einen 
  588.   gewählten  Pfad  auf  Linkviren untersucht, dann werden alle Dateien mit den 
  589.   Extensionen  PR*  (z.B.  PRG,  PRX,  PR,  ...),  AC*,  TOS, TTP, APP und GTP 
  590.   überprüft.   Mit  diesem  Menüpunkt  können  Sie  weitere  vier  Extensionen 
  591.   (allerdings  ohne Wildcards) angeben, die bei der Überprüfung berücksichtigt 
  592.   werden sollen.
  593.  
  594.   CRC-Prüfung konfigurieren...
  595.  
  596.   Nach  Auswahl  dieses Menüpunktes, erscheint eine Auswahlbox, in der Sie mit 
  597.   "CRC-Daten  automatisch/von  Hand  übernehmen"  entscheiden, ob bei der CRC- 
  598.   Prüfung die Prüfsummen bislang unbekannter Programme automatisch aufgenommen 
  599.   werden sollen oder ob der VIRENDETEKTOR bei jedem unbekannten Programm nach- 
  600.   fragt,  ob eine Übernahme gewünscht wird. Wenn Sie die CRC-Option zum ersten 
  601.   Mal verwenden, ist es sinnvoll, auf "automatisch übernehmen" zu schalten, da 
  602.   sonst  bei  jedem  überprüften Programm eine Alert-Box mit der Nachfrage er- 
  603.   scheint, ob die Datei übernommen werden soll.
  604.  
  605.   BEACHTEN  SIE  BITTE, DASS AUS INTERNEN GRÜNDEN DIE CRC-PRÜFSUMMEN DER ALTEN 
  606.   VERSION 3.0 NICHT WEITER VERWENDET WERDEN KÖNNEN!
  607.  
  608.   Wenn  versucht  wird,  eine  alte  VIRENDET.CRC  Datei  zu laden, meldet der 
  609.   VIRENDETEKTOR,  daß  diese  Prüfsummen  ungültig  sind. Beim Umstieg auf die 
  610.   Version  3.1  ist  es sinnvoll, zunächst noch einmal einen Prüfdurchgang mit 
  611.   der  alten  Version  vorzunehmen  und sofort im Anschluß daran mit der neuen 
  612.   Version eine erneute Prüfung vorzunehmen. Dabei sollte dann die automatische 
  613.   Übernahme der Prüfsummen eingestellt werden.
  614.  
  615.   Mit  "CRC-Datei  abspeichern"  können Sie die neuen CRC-Prüfsummen, die seit 
  616.   dem  letzten  Start  des  VIRENDETEKTORS  hinzugekommen  sind,  abspeichern. 
  617.   Sollten   Sie   seit  dem  letzten  Programmstart  des  VIRENDETEKTORS  neue 
  618.   CRC-Prüfsummen   übernommen   oder   gelöscht  haben,  so  werden  Sie  beim 
  619.   Programmende   darauf   hingewiesen,   daß  Sie  diese  bislang  noch  nicht 
  620.   abgespeichert   haben   und   können  dieses  dann  vor  dem  Verlassen  des 
  621.   VIRENDETEKTORS nachholen. Wenn Sie einzelne CRC-Prüfsummen entfernen wollen, 
  622.   dann  können  Sie  dies  mit  "CRC-Prüfsummen  editieren"  erledigen. Die zu 
  623.   löschende  CRC-Prüfsumme wird mit den Cursortasten oder durch klicken in die 
  624.   Pfeilboxen  ausgewählt  und  kann  dann mit "löschen" oder durch Drücken der 
  625.   DELETE-Taste   gelöscht   werden.   Dieses  Löschen  wird  zunächst  nur  im 
  626.   Arbeitsspeicher  vorgenommen. Die CRC-Datei auf dem Massenspeicher wird erst 
  627.   beim nächsten Abspeichern aktualisiert.
  628.  
  629.   Bootsektor auf/von Disk schreiben/lesen...
  630.  
  631.   Oft ist es nützlich, wenn man einen Bootsektor auf Diskette sichern kann, um 
  632.   z.B.  den Bootsektor einer Spieledisk bei Bedarf restaurieren zu können. Mit 
  633.   dieser  Option  können  Sie  aber auch verdächtige ausführbare Bootsektoren, 
  634.   deren  Zweck  Sie  nicht  kennen,  in  eine Datei schreiben um mir diese zur 
  635.   Analyse  zuzuschicken.  Wenn  Sie dies tun und Ihre Diskette zurückgeschickt 
  636.   haben   wollen,  sollten  Sie  einen  ausreichend  frankierten  und  selbst- 
  637.   adressierten  Rückumschlag  beilegen. Haben Sie bitte Verständnis dafür, daß 
  638.   ich  zwar  gerne  bereit  bin,  meine  Freizeit mit der Analyse verdächtiger 
  639.   Programme oder Bootsektoren zu verbringen, daß ich aber bei der Vielzahl von 
  640.   Zuschriften NUR DANN ANTWORTEN kann, wenn RÜCKPORTO beigefügt wird.
  641.  
  642.   ACHTUNG:  Das  Zurückschreiben  eines Bootsektors auf eine Diskette, auf die 
  643.   dieser Bootsektor nicht gehört, kann zu Datenverlust führen!
  644.  
  645.   Sie  haben  bei  diesem  Menüpunkt  auch die Möglichkeit, einen HEX-Dump des 
  646.   Bootsektors auf den Drucker oder in eine Datei auszugeben.
  647.  
  648.   PFXPAK-Programme auspacken/nicht auspacken
  649.  
  650.   Dient  zur Auswahl, ob PFXPAK-Programme auch im entpackten Zustand überprüft 
  651.   werden sollen. Bedauerlicherweise kam es mit dieser Option kurz vor der Aus- 
  652.   lieferung  dieser  Version  zu rätselhaften Abstürzen, deren Ursache bislang 
  653.   nicht  geklärt  werden  konnte. Ich werde diese Funktion bis zur Version 3.2 
  654.   mit  Sicherheit  fehlerfrei  implementiert  haben.  Dann  können  nicht  nur 
  655.   PFXPAK-Programme,  sondern  auch  mit  dem  ICE-PACK  gepackte Programme auf 
  656.   Wunsch automatisch im entpackten Zustand überprüft werden. Ich bitte bis zum 
  657.   Erscheinen der Version 3.2 noch um ein wenig Geduld.
  658.  
  659.   Protokolldatei erzeugen:
  660.  
  661.   Wenn  Ihnen  Ihr  Rechner  Schwierigkeiten  macht,  sei es, daß irgendwelche 
  662.   Programme  nicht  funktionieren oder ständig Fehler auftreten, deren Ursache 
  663.   Sie   nicht  kennen,  dann  können  Sie  sich  mit  dem  VIRENDETEKTOR  eine 
  664.   Protokolldatei ausgeben lassen (Dateiname: VIRDPROT.INF), die alle wichtigen 
  665.   Systemvariablen  dokumentiert. Mit Hilfe dieser Datei kann man sich ein Bild 
  666.   über  den  momentanen  Status  des  Rechners machen, um so die Fehlerursache 
  667.   (unverträgliche   Accessories,   falsche   Treibersoft,   Virenbefall,  ...) 
  668.   festzustellen.  Insbesondere  wenn  der  VIRENDETEKTOR  einen Programmfehler 
  669.   meldet  oder  unmotiviert  abstürzt  (nobody  is perfect) benötige ich diese 
  670.   Datei,  um  dem  Fehler  auf  die Spur zu kommen. Die Protokolldatei wird im 
  671.   Startpfad des VIRENDETEKTORS erzeugt!
  672.  
  673.   Konfiguration sichern
  674.  
  675.   Alle  Einstellungen,  die  Sie im VIRENDETEKTOR vornehmen, können Sie in die 
  676.   Datei  VIRENDET.INF  sichern.  Dabei  werden auch die vier selbstdefinierten 
  677.   Extensionen  mit  abgespeichert.  Findet  der VIRENDETEKTOR beim Start diese 
  678.   Datei  auf  derselben  Ebene  wie das Programm, so werden die dort gewählten 
  679.   Einstellungen  übernommen.  Ansonsten  wird eine Defaulteinstellung gewählt. 
  680.   Sollte das gewählte Laufwerk in der Parameter-Datei bei einem erneuten Start 
  681.   des  VIRENDETEKTORS  nicht  mehr  vorhanden  sein,  so  wird  Laufwerk A als 
  682.   aktuelles Laufwerk vorgegeben. Verwenden Sie bitte keine VIRENDET.INF Datei, 
  683.   die  Sie  mit  Version  3.0  angelegt  haben,  da  diese  ein anderes Format 
  684.   aufweist, als die Konfigurationsdatei der aktuellen Version.
  685.  
  686.   Registrierte Version erzeugen...
  687.  
  688.   Mit  diesem  Menüpunkt  können Sie aus der unregistrierten eine registrierte 
  689.   Programmversion  erstellen. Dies funktioniert jedoch nur, wenn Sie im Besitz 
  690.   der  Originaldiskette  sind  -  die  wiederum  erhalten Sie nach Zahlung der 
  691.   Sharegebühr.  Sie sollten sich zunächst eine Kopie des Programms anfertigen, 
  692.   um nicht die Originalversion patchen zu müssen. Dies gilt auch deshalb, weil 
  693.   die  registrierte  Version ja nicht mehr weitergegeben werden darf. Wenn Sie 
  694.   registrierter Benutzer sind, legen Sie bitte Ihre Originaldisk in Laufwerk A 
  695.   und  halten Sie eine Kopie des VIREND31.PRG auf Disk oder Festplatte bereit. 
  696.   Die  Originaldiskette wird selbstverständlich _nur_ für die Installation der 
  697.   registrierten  Version benötigt. Diese kann - einmal erstellt - dann genauso 
  698.   auf  eine andere Diskette, die Festplatte oder eine RAM-Disk kopiert werden. 
  699.   Sie   ist  also  nicht  kopiergeschützt.  Nach  der  Installation  kann  die 
  700.   Originaldiskette  somit wieder in den Safe. Sicherheit vor einer unerlaubten 
  701.   Weitergabe   der   registrierten   Programmversion  gibt  eine  individuelle 
  702.   Seriennummer,  die  bei  der  Installation  von  der Originaldiskette in das 
  703.   VIREND31.PRG übertragen wird.
  704.  
  705.   Als  registrierter Anwender beachten Sie bitte auch die Datei PRIVAT.TXT auf 
  706.   der VIRENDETEKTOR-Originaldiskette.
  707.  
  708.   Programmende:  Beendet wird der VIRENDETEKTOR mit dem Button "Programmende", 
  709.   seit  der  Version  3.1f  reicht auch ein ^q (CONTROL-q) in einer beliebigen 
  710.   Menübox des Programms.
  711.  
  712.   Sie  haben  nun alle wichtigen Funktionen des Programms kennengelernt. Lesen 
  713.   Sie  auf jeden Fall noch die Datei NEWS.TXT, dort finden Sie die wichtigsten 
  714.   Veränderungen  der  letzten  Programmversionen und auch einen Abschnitt über 
  715.   Inkompatibilitäten  und bekannte Programmfehler. Beachten Sie bitte außerdem 
  716.   den  Anhang,  dort  stehen einige Antworten auf die am häufigsten gestellten 
  717.   Fragen  zum  VIRENDETEKTOR.  Dann  steht  einer erfolgreichen Arbeit mit dem 
  718.   VIRENDETEKTOR nichts mehr im Wege.
  719.  
  720.   Sollten  bei der Arbeit mit dem VIRENDETEKTOR Probleme auftreten oder sollte 
  721.   es gar zu Abstürzen kommen, so überprüfen Sie bitte zunächst, ob es an einem 
  722.   AUTO-Ordner-Programm  oder  Accessory  liegt.  Tritt  der  Fehler  auch  mit 
  723.   "nacktem"  Rechner (also _OHNE_ AUTO-Ordner-Programme oder Accessories) auf, 
  724.   so  teilen  Sie  mir  den  Fehler und die Art und Weise, wie Sie ihn erzeugt 
  725.   haben  mit. Legen Sie bitte auch das vom VIRENDETEKTOR erzeugt Protokollfile 
  726.   bei  (auf  Disk  oder  ausgedruckt).  Ich  werde  mich  schnellstens  an die 
  727.   Beseitigung des Fehlers machen.
  728.  
  729.   Wenn  Sie  ein  Accessory oder AUTO-Ordner-Programm haben, welches nicht mit 
  730.   dem  VIRENDETEKTOR  zusammenarbeitet, so sollten Sie mir auch das mitteilen. 
  731.   Ich werde dann - soweit möglich - für Abhilfe sorgen.
  732.  
  733.   Wenn  Sie  mehr  über  Computerviren  erfahren  wollen, wenn Sie an Tips zur 
  734.   Vorbeugung  vor  Virenbefall interessiert sind (ja, es gibt tatsächlich noch 
  735.   andere  Tips  als  die Verwendung des VIRENDETEKTORS) und wenn Sie bestimmte 
  736.   Punkte  (z.B.  die  verschiedenen  Immunisierungsarten) genauer kennenlernen 
  737.   wollen, dann lesen Sie doch einfach weiter...
  738.  
  739.  
  740.   I.              Einführung
  741.                   ¯¯¯¯¯¯¯¯¯¯
  742.  
  743.     a)            Was ist ein Computervirus?
  744.  
  745.   Der  Begriff  "Virus"  ist inzwischen in der Computerszene genauso geläufig, 
  746.   wie  in  der  Biologie  und  Medizin.  Für die ST-User, die noch nicht genau 
  747.   wissen,  was  es  mit diesen kleinen "elektronischen Tierchen" auf sich hat, 
  748.   ist diese Einführung gedacht:
  749.  
  750.   Computerviren   sind   keine  auf  EDV  umgeschulte  Grippeerreger,  sondern 
  751.   Programme  oder  Routinen,  die  fremde  Software  ohne Wissen des Benutzers 
  752.   manipulieren  und  diese  befähigen, die Verbreitung des Virus fortzusetzen. 
  753.   Computerviren  wären  noch  relativ  harmlos, würden sie sich ausschließlich 
  754.   vermehren  -  nein, sie richten meistens allerhand Unsinn und zum Teil sogar 
  755.   ernsthafte  Schäden  bis  hin zum kompletten Datenverlust der Festplatte an. 
  756.   Selbst Hardwareschäden können durch Computerviren hervorgerufen werden.
  757.  
  758.   Die   Bezeichnung   "Virus"   charakterisiert   also  die  beiden  typischen 
  759.   Eigenschaften  dieser  Programme:  Wie  ihre  biologischen  Vettern sind sie 
  760.   ansteckend und gefährlich. Konkret heißt das, daß es sich bei einem Virus um 
  761.   ein  kleines,  unauffälliges  Programm  handelt,  welches sich möglichst oft 
  762.   vervielfachen   soll   und   dann  eine  bestimmte  Aktion  ausführt,  deren 
  763.   Gefährlichkeit   ganz  von  der  Skrupellosigkeit  des  Virus-Programmierers 
  764.   abhängt.
  765.  
  766.   Auf  Home-  und  Personalcomputern  handelt es sich dabei meistens um Lösch- 
  767.   oder    Formatierbefehle,    Programmabstürze,    die   Verhinderung   eines 
  768.   Programmaufrufs  ohne  Passworteingabe  oder auch relativ harmlose Dinge wie 
  769.   z.B.  Bildschirmflackern,  ein  "Hackergruß"  auf  dem  Bildschirm, ein paar 
  770.   Geräusche  aus dem Soundchip, ... die Liste läßt sich beliebig erweitern und 
  771.   die  Entwicklung  neuer  Viren  geht  in  einem haarsträubenden Tempo voran. 
  772.   Welche  Viren  inzwischen  auf  dem  ST bekannt sind, wird in Kapitel IV und 
  773.   Kapitel V noch näher erläutert.
  774.  
  775.   Übrigens  werden  Disketten von Viren so gut wie nie vollständig formatiert. 
  776.   Das  würde  zuviel  Zeit  beanspruchen  und  dem  geplagten Opfer die Chance 
  777.   lassen, die Diskette mit einem verzweifelten Griff zum Laufwerk aus selbigem 
  778.   zu  entfernen.  Gewöhnlich  werden nur die Verwaltungssektoren, also FAT und 
  779.   Directory,  gelöscht.  Das  geht  blitzschnell und ist für die Daten auf der 
  780.   Diskette  fast  ebenso  tötlich  wie  das normale Formatieren. Zwar sind die 
  781.   Daten physikalisch noch vorhanden, die Suche nach einzelnen Sektoren, um sie 
  782.   wieder  den  entsprechenden  Dateien  zuzuordnen,  würde  jedoch  selbst der 
  783.   Kollege Sysiphus nicht gegen seine derzeitige Tätigkeit eintauschen wollen.
  784.  
  785.   An dieser Stelle möchte ich auch ein Wort an die Hobby-Germanisten unter den 
  786.   Lesern  richten.  Es  haben  nämlich  einige Anwender dieses Programms ihren 
  787.   Unmut  darüber  geäußert,  daß  ich  nicht durchgängig "DAS Virus" schreibe, 
  788.   sondern  (meistens)  "DER  Virus".  Tatsächlich erlaubt der Duden aber BEIDE 
  789.   Möglichkeiten  -  lediglich  in  der Medizin ist "DAS Virus" üblich - in der 
  790.   Umgangssprache  hat  sich hingegen "DER VIRUS" eingebürgert. Aber ich denke, 
  791.   diese  Frage  ist für die Bekämpfung von Computerviren auf dem ST von keiner 
  792.   großen  Bedeutung!  Ich  bitte  auch  darum, gelegentliche Rechtschreib- und 
  793.   Interpunktionsfehler   zu   entschuldigen.   Ich  bemühe  mich  zwar,  diese 
  794.   weitgehend auszumerzen, aber "nobody is perfect".
  795.  
  796.   Meistens  startet  der  Virus  seinen gefährlichen Hauptteil erst dann, wenn 
  797.   seine Überlebensfähigkeit durch eine ausreichende Menge befallener Disketten 
  798.   bzw. Programme gewährleistet ist.
  799.  
  800.   Als  Auslöser  dienen dabei je nach Art des Virus die verschiedensten Dinge. 
  801.   Möglicherweise  ein  bestimmtes Systemdatum, der aktuelle Zustand bestimmter 
  802.   Systemvariablen  (z.B.: Löschen der Festplatte, wenn ein bestimmter Füllgrad 
  803.   überschritten  wird)  oder  der  Virus  wird  mit  einer  beliebigen, vorher 
  804.   festgelegten  Wahrscheinlichkeit zufällig aktiv. Selbstverständlich kann man 
  805.   einen  Virus  auch  so  programmieren,  daß er erst startet, wenn er auf ein 
  806.   zuvor  bestimmtes  Programm  (oder eine Datei) trifft. Interessanter als die 
  807.   Frage,  WAS  der  Virus tut, ist für uns aber die Frage WIE er das tut (oder 
  808.   besser nicht mehr tut - wozu haben Sie denn sonst den VIRENDETEKTOR)!
  809.  
  810.  
  811.     b)            Woher kommen Computerviren?
  812.  
  813.   Die  ersten  Viren  tauchten  vor  einigen Jahren in Rechenzentren auf. Dort 
  814.   waren  die  Urheber  in  erster  Linie  Programmierer,  die  sich  ungerecht 
  815.   behandelt  fühlten  und  sich  so  an  ihrem  ehemaligen  Arbeitgeber rächen 
  816.   wollten.  Oft  waren  aber  auch  handfeste  finanzielle Interessen im Spiel 
  817.   (Erpressung,  Schädigung  von Konkurrenten u.ä.). Auch "Experimentierfreude" 
  818.   mag  zu  Anfang  den  einen  oder anderen Programmierer zur Produktion eines 
  819.   Viren-Programms bewogen haben.
  820.  
  821.   In  der  letzten  Zeit tritt dieses Problem jedoch auch verstärkt im PC- und 
  822.   Home-Computer-Bereich  auf  und  läßt  so  manchen Software-Sammler um seine 
  823.   Programmbestände bangen.
  824.  
  825.   Nun  scheint  es  tatsächlich  Leute  zu  geben,  die eine verstärkt um sich 
  826.   greifende Virenplage für ein geeignetes Mittel halten, um der Raubkopiererei 
  827.   Herr  zu  werden. Diese Vorstellung ist allerdings extrem blauäugig (und von 
  828.   der  Realität  längst  widerlegt),  denn  die  Verbreitung  von  verseuchten 
  829.   Disketten   ist  ja  keineswegs  auf  Raubkopien  beschränkt.  PD-Programme, 
  830.   Datendisketten  und  sogar  Originalsoftware renommierter Softwarehersteller 
  831.   können befallen sein.
  832.  
  833.   Letzteres  ist  bereits  mehrfach  vorgekommen,  inzwischen sind aber sowohl 
  834.   PD-Versender  als  auch  Softwarefirmen  deutlich vorsichtiger geworden. Die 
  835.   Gefahr von dieser Seite ist damit schon stark zurückgegangen.
  836.  
  837.   Im  übrigen  ist  es  aber  gleichgültig, ob jemand eine PD-Diskette tauscht 
  838.   (legal)  oder  eine  Raubkopie  (illegal),  die  Gefahr ist in beiden Fällen 
  839.   gleich.
  840.  
  841.   Trotz  allem  ist  auch  unter dem Aspekt der Virenplage (übrigens nicht nur 
  842.   unter  diesem)  die  Verteilung  von Raubkopien nicht ohne Risiko und sollte 
  843.   unterlassen werden.
  844.  
  845.   Die  Hacker  und  professionellen Raubkopierer trifft ein Computervirus aber 
  846.   sicher  am  allerwenigsten.  Wer  sich mit seinem Rechner sehr gut auskennt, 
  847.   wird  in  der  Regel  auch  mit  Viren  gut  fertig. Schlimmer trifft es die 
  848.   Anwender,    die    ihren    Computer    nur   für   Textverarbeitung   oder 
  849.   Tabellenkalkulation  nutzen,  vielleicht  gelegentlich  Pac-Man  spielen und 
  850.   immer  brav nur Originaldisketten verwenden, mit Begriffen wie "Bootsektor", 
  851.   "Disketten-Monitor"  und  ähnlichem  aber wenig anzufangen wissen. Wenn dann 
  852.   ein Virus (z.B. über eine PD-Disk eingeschleppt) die Festplatte mit der fast 
  853.   fertigen  Diplom-Arbeit  formatiert  und  das letzte Backup schon ein halbes 
  854.   Jahr alt ist, beginnt das große Heulen und Zähneklappern.
  855.  
  856.   Während  die  Virenprogrammierung  auf professionellen Mehrplatzsystemen wie 
  857.   schon   erwähnt   verschiedene  Gründe  haben  kann,  kommen  im  PC-Bereich 
  858.   eigentlich   nur   ein  übersteigertes  Geltungsbedürfnis  oder  chronischer 
  859.   Vandalismus als Motivation in Frage.
  860.  
  861.   Das  Programmieren  von  Virus-Programmen kann man ohne Übertreibung mit dem 
  862.   Zerstechen  von  Autoreifen,  dem  Beschädigen von Telefonzellen und ähnlich 
  863.   sinnlosen  Attacken auf fremdes Eigentum vergleichen. Diese Einstellung hält 
  864.   glücklicherweise auch nach und nach Einzug in die deutsche Rechtsprechung.
  865.  
  866.   Auf  dem  ATARI  ST  konnte  man  gegen Ende der achtziger Jahre eine starke 
  867.   Zunahme  von  Virus-Programmen  feststellen,  auch  wenn es sich vielfach um 
  868.   Viren handelte, die nicht zu der wirklich gefährlichen Sorte gehören.
  869.  
  870.   Nach  meinen  Erfahrungen  auf  Grund  vieler  Stichproben  sowohl in meinem 
  871.   Bekanntenkreis als auch bei den Benutzern des VIRENDETEKTOR, hat heute schon 
  872.   jeder  dritte ST-Besitzer auf irgendeine Art und Weise Erfahrungen mit Viren 
  873.   gesammelt oder hat sogar selbst verseuchtes Diskettenmaterial!
  874.  
  875.   Häufig  werden  diese Viren nicht einmal bemerkt, weil gelegentliches "DATEN 
  876.   AUF  DISK xy DEFEKT" oder ähnliche Effekte auf andere Ursachen zurückgeführt 
  877.   werden.  Damit  steigt  natürlich  die Gefahr, verseuchte Disketten über den 
  878.   Daten- oder Programmtausch ungewollt weiterzugeben.
  879.  
  880.  
  881.   II.             Viren im ST, wo sie stecken und wie sie sich vermehren
  882.                   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  883.  
  884.   Ein Computervirus kann sein Unwesen natürlich nur ungestört treiben, wenn es 
  885.   ihm   gelingt,   sich   vor  den  Augen  des  Benutzers  zu  verbergen.  Auf 
  886.   Großrechenanlagen  kann  man  Viren  leicht im Arbeitsspeicher verbergen, da 
  887.   diese Anlagen Tag und Nacht in Betrieb sind.
  888.  
  889.   Da  die wenigsten ST-User ihr Gerät 24 Stunden täglich eingeschaltet lassen, 
  890.   ist  der einzige Platz, an dem Viren überleben können, um sich bei günstiger 
  891.   Gelegenheit  zu  verbreiten,  der Massenspeicher. Das ist in aller Regel die 
  892.   Diskette  (bzw. Festplatte). Dort können sie die stromlose Zeit des Rechners 
  893.   überdauern und sich bei Inbetriebnahme des Systems wieder im Arbeitsspeicher 
  894.   einnisten.  Dazu müssen sie sich auf dem Massenspeicher so unterbringen, daß 
  895.   auch  ein aufmerksamer Benutzer sie nicht erkennt. Die erneute Installierung 
  896.   im   Arbeitsspeicher   darf   dabei   den   normalen   Arbeitsvorgang  nicht 
  897.   beeinflussen, um ihre ihre Anwesenheit nicht zu verraten.
  898.  
  899.   Berücksichtigt   man   diese   Vorgaben,   dann  gibt  es  prinzipiell  zwei 
  900.   Möglichkeiten für Computerviren, sich im ST breitzumachen:
  901.  
  902.  
  903.     a)            Bootsektorviren
  904.  
  905.   Man  sollte  zunächst  wissen,  was beim Einschalten des Rechners (bzw. beim 
  906.   Reset)  passiert:  Das Betriebssystem liest den Bootsektor, das ist generell 
  907.   der erste Sektor auf Track 0 / Seite 0, der in Laufwerk A liegenden Diskette 
  908.   und prüft ob er ausführbar ist. Ausführbar heißt, daß die Prüfsumme (das ist 
  909.   die  auf  16  Bit reduzierte Summe aller Words im Bootsektor) $1234 beträgt. 
  910.   Ist  das  der  Fall,  dann versucht TOS ein im Bootsektor liegendes Programm 
  911.   auszuführen,  indem  es  mittels  JSR an den Beginn des Bootsektors springt. 
  912.   Sollten   Sie  bei  den  Begriffen  "Bootsektor",  "Track"  u.ä.  schon  mit 
  913.   unwissendem Ausdruck die Stirne gerunzelt haben, dann sollten Sie vielleicht 
  914.   zunächst  ein  Buch  zur Hand nehmen, in dem diese Materie auch für Anfänger 
  915.   leicht  verdaulich aufbereitet ist. (Zum Beispiel das Buch "Scheibenkleister 
  916.   II"  von C. Brod und A. Stepper aus dem MAXON-Verlag.) Ich werde im weiteren 
  917.   nämlich  davon  ausgehen,  daß  Sie mit Ihrem Rechner und mit dem Aufbau von 
  918.   Disketten zumindest in Ansätzen vertraut sind.
  919.  
  920.   Dieses   Vorgehen,   also   das   Abarbeiten  eines  eventuell  ausführbaren 
  921.   Bootsektorprogramms,   welches   noch   vor   Ausführung  der  Programme  im 
  922.   AUTO-ORDNER  und  vor der Installierung der Accessories stattfindet, ist ein 
  923.   Relikt  aus  der  Zeit, als das TOS noch von Diskette ins RAM geladen werden 
  924.   mußte (dafür sorgte dann eine Lade-Routine in besagtem Bootsektor).
  925.  
  926.   Heute,  wo  das  TOS  sich  im  ROM  befindet,  wird  diese  Eigenschaft des 
  927.   Betriebssystems  gelegentlich  genutzt,  um beim Start des Rechners kleinere 
  928.   Programme  automatisch  auszuführen,  z.B.  die Umschaltung auf 60Hz-Betrieb 
  929.   beim  Farbmonitor  oder die Eingabe des aktuellen Datums. Auch einige Spiele 
  930.   starten mit Hilfe einer Lade-Routine im Bootsektor.
  931.  
  932.   Der   Bootsektor   einer  normalen  Diskette  hat  beispielsweise  folgendes 
  933.   Aussehen:  (Diese  Diskette  wurde  mit  dem Programm HYPERFORMAT Vers. 3.26 
  934.   formatiert.)
  935.  
  936.   Ich  habe  dabei  die  Bootsektordaten  nur als HEX-Zahlen angegeben, da die 
  937.   entsprechenden ASCII-Zeichen nicht ohne weiteres dargestellt werden können.
  938.  
  939.                 1  2  3  4  5  6  7  8  9 10 11 12 13 14 15 16
  940.                 |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |
  941.                EB 34 90 49 42 4D 20 20 0F E2 B8 00 02 02 01 00
  942.  
  943.                17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
  944.                 |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |
  945.                02 70 00 A0 05 F9 03 00 09 00 02 00 00 00 00 00
  946.  
  947.   Anhand  dieses  Beispieleintrags  möchte  ich  erklären,  was  die einzelnen 
  948.   Einträge im Bootsektor bedeuten:
  949.  
  950.   -> Bytes 1+2: Branch to bootcode.
  951.   Wenn  der Bootsektor AUSFÜHRBAR ist, d.h. wenn seine Prüfsumme 1234 ist (die 
  952.   "Prüfsumme"  ist die auf 16 Bit reduzierte Summe aller Words im Bootsektor), 
  953.   so steht ein Bootprogramm im Bootsektor. Da die nächsten Bytes im Bootsektor 
  954.   jedoch  Daten  zur  Diskettenstruktur  enthalten,  muß  dieser  Datenbereich 
  955.   übersprungen  werden,  weil  das  Bootprogramm  erst HINTER den Daten stehen 
  956.   kann.   Daher  muß  in  den  ersten  beiden  Bytes  ein  68000er  BRA-Befehl 
  957.   (Sprungbefehl)  stehen,  der die Bootsektordaten überspringt. Wenn an dieser 
  958.   Stelle  ein  Eintrag  der  Art  "60  XX" steht, dann befindet sich in diesem 
  959.   Bootsektor  normalerweise  ein Bootprogramm (oder aber ein Virus). Ob dieses 
  960.   allerdings  ausgeführt  wird,  hängt wie schon gesagt noch von der Prüfsumme 
  961.   ab.  Dieser  Sprungbefehl  wird  aber auch gerne als "Immunisierung" auf die 
  962.   Diskette geschrieben, ohne daß ein Bootprogramm vorhanden wäre. Was es damit 
  963.   auf  sich  hat,  erfahren  Sie  weiter  unten. Auf MS-DOS Disketten steht an 
  964.   dieser Stelle meistens $EB34 gefolgt von $90 im 3. Byte; manche Kopier- bzw. 
  965.   Formatierprogramme  auf  dem  ST  schreiben  diese  Bytes  aus  Gründen  der 
  966.   Kompatibilität  mit  MS-DOS-Disketten ebenfalls an diese Stelle. So auch das 
  967.   Programm HYPERFORMAT. Doch auch dazu unten mehr.
  968.  
  969.   -> Bytes 3-8: Filler(OEM).
  970.   An  dieser Stelle steht nichts von Bedeutung. Die meisten Formatierprogramme 
  971.   legen  an  dieser  Stelle  irgend  eine  Kennung  ab, die jedoch nie vom TOS 
  972.   beachtet   wird.   Häufig  findet  man  die  Zeichenkette  "Loader".  Unsere 
  973.   Beispieldiskette  hat  an  dieser  Stelle nach dem Byte $90 (siehe oben) die 
  974.   Kennung  "IBM"  gefolgt  von  zwei Spaces stehen, auch eine Anlehnung an das 
  975.   MS-DOS Format.
  976.  
  977.   -> Bytes 9-11: 24-bit serial number.
  978.   An  dieser Stelle steht eine 24-Bit Seriennummer. Diese wird von den meisten 
  979.   Formatierprogrammen  sinnvollerweise  zufällig  gewählt, da die Seriennummer 
  980.   dazu herhalten muß, das TOS auf einen Diskettenwechsel aufmerksam zu machen.
  981.  
  982.   -> Bytes 12+13: Byte per sector.
  983.   Dieser  Eintrag  gibt  an,  wieviel Bytes in einem Sektor der Disk enthalten 
  984.   sind.  Normalerweise  sind  das 512, aber prinzipiell sind auch andere Werte 
  985.   möglich  (der  Floppycontroller  läßt  noch  128,  256  und 1024 zu). Dieser 
  986.   Eintrag  ist  im INTEL-Format gehalten. Das heißt, daß das höherwertige Byte 
  987.   erst  als  zweites angegeben ist. Um einen solchen Eintrag zu lesen, muß man 
  988.   also  die  Bytes  vertauschen. In unseren Beispiel: 00 02 vertauscht gibt 02 
  989.   00.  Und  $200  ist  genau 512 dezimal. Diese Schreibweise ist ebenfalls aus 
  990.   Gründen  der  Kompatibilität  zu  MS-DOS  gewählt worden. DER BOOTSEKTOR IST 
  991.   ÜBRIGENS IMMER 512 BYTE LANG!!!
  992.  
  993.   -> Byte 14: Sectors per cluster.
  994.   Anzahl der Sektoren pro Cluster (INTEL-Format). Die Diskettensektoren werden 
  995.   vom Atari intern zu CLUSTERN (Verwaltungseinheiten) zusammengefaßt. Und zwar 
  996.   im  Allgemeinen  je  zwei  Sektoren  zu  einem  Cluster.  Das Betriebssystem 
  997.   verteilt  den  Diskettenplatz  nur  in einzelnen Clustern. Jede Datei - auch 
  998.   wenn  Sie nur 1 Byte lang ist - belegt also mindestens einen Cluster auf der 
  999.   Diskette.
  1000.  
  1001.   -> Bytes 15+16: Reserved sectors.
  1002.   Reservierte  Sektoren auf der Disk (INTEL-Format). Beim ST gibt es nur einen 
  1003.   reservierten Sektor, nämlich den Bootsektor.
  1004.  
  1005.   -> Byte 17: Number of FAT.
  1006.   Das TOS verwendet normalerweise zwei FATs auf einer Diskette. Sozusagen eine 
  1007.   "Sicherheitskopie",  was  aber wenig nützt, da beide FATs meistens auf einer 
  1008.   Spur  liegen  und  daher  auch  zumeist  gleichzeitig den Sprung ins Nirwana 
  1009.   antreten.  In der FAT wird notiert, welche Cluster in welcher Reihenfolge zu 
  1010.   welcher Datei gehören. Wenn ein Virus diese FATs löscht, dann wird die Suche 
  1011.   der  zu einer Datei gehörenden Sektoren ähnlich amüsant, wie die berüchtigte 
  1012.   Suche nach der Nadel im Heuhaufen.
  1013.  
  1014.   -> Bytes 18+19: Number of directory entries.
  1015.   In  diesem  Word  (wieder  im  INTEL-Format)  steht  die maximale Anzahl der 
  1016.   Einträge   im  Wurzelverzeichnis.  Das  TOS  rundet  diese  Anzahl  auf  die 
  1017.   nächstkleinere  durch  16 ohne Rest teilbare Zahl ab. Die hier stehende Zahl 
  1018.   kann  also falsch sein; insbesondere frühere HYPERFORMAT-Versionen schrieben 
  1019.   gerne  "63",  obwohl der Platz nur für 48 ausreicht. Unsere Beispieldiskette 
  1020.   hat  Platz  für  $0070  =  112  Einträge  (der  normale Wert). Ordner können 
  1021.   natürlich  weit  mehr  Dateien  enthalten,  dieser  Wert  gilt  NUR  für das 
  1022.   Hauptdirectory.
  1023.  
  1024.   -> Bytes 20+21: Sectors per Disc.
  1025.   Hier steht die Gesamtzahl der physikalisch vorhandenen Sektoren auf der Disk 
  1026.   (einschließlich  der  reservierten).  Die  Beispieldiskette hat $05A0 = 1440 
  1027.   Sektoren.  Eine  normale, mit dem Desktop formatierte Disk hat 720 oder 1440 
  1028.   Sektoren, je nachdem ob sie einseitig oder doppelseitig ist.
  1029.  
  1030.   -> Byte 22: Media descriptor.
  1031.   Soll  das  Speichermedium näher beschreiben. Dieser Eintrag wird vom TOS nie 
  1032.   benutzt  und  ist  nur vorhanden, um die Kompatibilität zu MS-DOS zu wahren. 
  1033.   Dabei  heißt  $F8 einseitig/80 Tracks; $F9 heißt doppelseitig/80 Tracks; $FC 
  1034.   heißt  einseitig/40  Tracks  und FD heißt doppelseitig/40 Tracks. Obwohl das 
  1035.   TOS  diesen Eintrag nicht verwendet, legen die aktuellen TOS-Versionen - und 
  1036.   auch  viele  Formatierprogramme - diesen Wert ordnungsgemäß an, da ansonsten 
  1037.   die Diskette auf vielen MS-DOS kompatiblen PCs nicht gelesen werden kann.
  1038.  
  1039.   -> Bytes 23+24: Sectors per FAT.
  1040.   Hier  steht  die  Anzahl der Sektoren pro FAT. Bei der Beispieldisk sind das 
  1041.   drei  Sektoren  (die  normale FAT-Länge bei ATARI-Disks ist 5 Sektoren). Wie 
  1042.   man Byte 17 schon entnehmen konnte, befinden sich zwei FATs auf der Disk, so 
  1043.   daß  normalerweise  insgesamt  10  Sektoren  für  die FATs verbraten werden, 
  1044.   obwohl  sechs  ausreichend sind. Einige Formatierprogramme (wie zum Beispiel 
  1045.   HYPERFORMAT) kürzen die FATs deshalb auch um je zwei Sektoren.
  1046.  
  1047.   -> Bytes 25+26: Sectors per Track.
  1048.   Die  Anzahl  der  Sektoren  pro  Spur.  Normalerweise,  wie  auch in unserem 
  1049.   Beispiel  neun  Stück.  Jeder  Sektor  mehr pro Track bringt ca. 80 Kilobyte 
  1050.   Speicherplatz  zusätzlich auf der Diskette. Statt der normalerweise üblichen 
  1051.   9  Sektoren  lassen sich auch problemlos 10 Stück unterbringen, da die Lücke 
  1052.   zwischen   Sektor   9   und   Sektor   1   groß   genug   ist.  Die  meisten 
  1053.   Formatierprogramme  bieten  diese  Möglichkeit.  Einige bringen mit ein paar 
  1054.   "Tricks" auch 11 unter.
  1055.  
  1056.   -> Bytes 27+28: Number of sides.
  1057.   Die  Anzahl  der  Diskettenseiten. Im Beispiel zwei; sollten Sie mehr Seiten 
  1058.   formatieren  können,  dann schicken Sie mir doch mal eine derartige Diskette 
  1059.   für mein Gruselkabinett.
  1060.  
  1061.   -> Byte 29+30: Hidden sectors.
  1062.   Die Anzahl der verborgenen Sektoren auf der Disk. Wird vom TOS nicht benutzt 
  1063.   und  dürfte  daher  auch  nur aus Kompatibilitätsgründen vorhanden sein. Der 
  1064.   Eintrag ist bei ST-Disketten immer 0.
  1065.  
  1066.   Alle  weiteren  Bytes  im  Bootsektor gehören zu einem eventuell vorhandenen 
  1067.   Bootprogramm  und  sollen  hier  nicht  weiter  erörtert  werden.  Falls Ihr 
  1068.   Interesse  geweckt  wurde,  dann  sollten  Sie sich ein Buch zu diesem Thema 
  1069.   zulegen.
  1070.  
  1071.   ACHTUNG: Für Festplattenbesitzer ist wichtig zu wissen, daß beim Einschalten 
  1072.   des  Systems  (Kaltstart) zunächst in jedem Fall der Bootsektor der Diskette 
  1073.   in  Laufwerk A gelesen und gegebenenfalls ausgeführt wird. Das gilt auch bei 
  1074.   Auto-Boot-fähigen  Platten.  Auch  bei jedem nachfolgenden Reset (Warmstart) 
  1075.   wird  als erstes auf den Bootsektor der Diskette zugegriffen. (Diese Aussage 
  1076.   ist  lediglich für die alten TOS-Versionen 1.00 und 1.02 nicht richtig, hier 
  1077.   wird   nach  einem  Warmstart  der  Bootsektor  nicht  erneut  gelesen  bzw. 
  1078.   ausgeführt!)
  1079.  
  1080.   Naturgemäß  ist  die Länge solcher Bootprogramme beschränkt (auf maximal 480 
  1081.   Bytes),  da  von  dem  512  Byte  langen Bootsektor noch 32 Bytes für andere 
  1082.   Aufgaben   (die   oben   genannten  Diskettenstrukturinformationen  und  das 
  1083.   Prüfsummen-Ausgleichswort)   reserviert   sind.   480  Bytes  sind  für  ein 
  1084.   Virusprogramm  (selbstverständlich  in  Assembler  programmiert) aber völlig 
  1085.   ausreichend. Viele Bootsektorviren bringen es auf kaum mehr als 200 Bytes.
  1086.  
  1087.   Versteckt  sich  der  Virus  auf  dem  Bootsektor  der  Diskette, wo er ohne 
  1088.   Hilfsmittel  nicht  zu erkennen ist, so wird er bei jedem Bootvorgang in den 
  1089.   Arbeitspeicher  geladen  (ohne  das  der  Benutzer  etwas  davon  merkt) und 
  1090.   reserviert  sich  dort  ein  Plätzchen.  Der  Bootvorgang wird dadurch nicht 
  1091.   merkbar  verlangsamt, der Anwender merkt von diesem Vorgang wirklich nichts! 
  1092.   Dann versucht er sich auf jede erreichbare Diskette zu kopieren, die man ins 
  1093.   Laufwerk  legt.  Auf  diese  Weise  hat  man  nach  relativ kurzer Zeit alle 
  1094.   Disketten  verseucht.  Wenn der Virus dann seinen Hauptteil startet, hat man 
  1095.   ihn meistens auch schon durch Diskettentausch an Bekannte weitergegeben, die 
  1096.   ihn ihrerseits ebenfalls ungewollt weiterverbreitet haben.
  1097.  
  1098.   Dieser   Schneeballeffekt  kann  nur  durch  konsequente  Anwendung  einiger 
  1099.   Vorsichtsmaßregeln  gestoppt  werden,  auf  die ich im weiteren Verlauf noch 
  1100.   eingehen werde.
  1101.  
  1102.   Es  gibt  auch eine Möglichkeit, einen Bootsektorvirus im Arbeitsspeicher zu 
  1103.   installieren, OHNE daß der Bootsektor ausführbar sein muß! Wie das geschieht 
  1104.   erfahren  Sie  weiter  unten  im  Text.  Hier  sei  nur  angemerkt,  daß der 
  1105.   VIRENDETEKTOR  (ab Version 2.9e) auch solche Viren zuverlässig erkennt - und 
  1106.   zwar auch dann, wenn es sich um einen neuen, bisher unbekannten Virus dieser 
  1107.   Art  handelt!  Leider  sind  viele Virenkiller immer noch der Ansicht, nicht 
  1108.   ausführbare Bootsektoren seien prinzipiell unverdächtig.
  1109.  
  1110.   Übrigens  bleiben  viele  Viren auch nach einem Reset im Arbeitsspeicher des 
  1111.   Rechners.  Man sollte den Rechner für mindestens 15 Sekunden ausschalten, um 
  1112.   sicher  zu  sein,  daß sich kein Virus mehr im Speicher befindet. Ein kurzes 
  1113.   Aus-An  des  des  Rechners  reicht oft nicht, da die RAMs auch im stromlosen 
  1114.   Zustand noch ein kurzzeitiges Erinnerungsvermögen haben.
  1115.  
  1116.  
  1117.     b)            "Tarnkappen"-Viren
  1118.  
  1119.   Virenprogrammierer  sind  -  so  bedauerlich  dies  auch sein mag - wirklich 
  1120.   findige  Köpfe. Viele User sind inzwischen dazu übergegangen, ihre Disketten 
  1121.   zu  "immunisieren".  Was man darunter im einzelnen versteht, wird in Kapitel 
  1122.   VII.  genau  erläutert, hier soll nur soviel gesagt werden, daß eine Art der 
  1123.   Immunisierung  darin  besteht,  beim Booten mit einer derartig immunisierten 
  1124.   Diskette  einen  Text auf den Bildschirm auszugeben, der ausbleibt, wenn der 
  1125.   Bootsektor von einem Virus befallen ist.
  1126.  
  1127.   Viele  Anwender,  die  Ihre  Disketten  mit  einem Immunisierungs-Bootsektor 
  1128.   versehen  hatten,  fühlten  sich lange Zeit sicher, denn gleichgültig welche 
  1129.   Diskette bei einem Reset im Laufwerk lag - solange die Immunisierungsmeldung 
  1130.   erschien,  war  ja alles in Ordnung. Diesen Umstand machen sich seit einiger 
  1131.   Zeit  auch  die  Virenprogrammierer  zunutze!  Ein  Virus,  der  einfach die 
  1132.   entsprechende  Immunisierungsmeldung  eines  Virenkillers  ausgibt, wird vom 
  1133.   Benutzer   möglicherweise   für  einen  harmlosen  Immunisierungs-Bootsektor 
  1134.   gehalten.  Wenn  der Virus dann seinen bösartigen Absichten nachgeht, ist es 
  1135.   oftmals schon zu spät.
  1136.  
  1137.   Solche  "Tarnkappen"-Viren  gibt es inzwischen sowohl für das ANTI-VIREN-KIT 
  1138.   von  G-DATA,  als  auch  für  das Programm SAGROTAN. Beide Viren sind in der 
  1139.   Bootphase  nicht von den "echten" Immunisierungen zu unterscheiden. Der WOLF 
  1140.   Virus,  der  die  SAGROTAN-Meldung ("Kein Virus im Bootsektor") kopiert, ist 
  1141.   sogar  so  geschickt  codiert, daß viele Virenkiller ihn für einen harmlosen 
  1142.   Bootsektor   halten.   Auch   SAGROTAN   selbst   meldet   in   der  letzten 
  1143.   veröffentlichten   Version   4.17   bei   diesem   Virus   einen  harmlosen, 
  1144.   MS-DOS-kompatiblen Bootsektor! Der Virus geht darüber hinaus sehr sorgfältig 
  1145.   vor,  nach drei neuen Infizierungen verschwindet er wieder aus dem Speicher. 
  1146.   Sein eigentliches Ziel, die schrittweise Verkleinerung des Arbeitsspeichers, 
  1147.   nimmt  er  erst  in  Angriff,  nachdem er sich ausreichend oft vermehrt hat. 
  1148.   Angst um die RAM-Bausteine braucht nun aber niemand zu haben, der Virus kann 
  1149.   dem  Rechner  den  verringerten Speicher natürlich nur vortäuschen. Nach der 
  1150.   Beseitigung  des  unerwünschten  Eindringlings  ist  auch  das  vermeintlich 
  1151.   verschwundene RAM wieder da.
  1152.  
  1153.   Keine  Frage,  daß  Sie  mit  dem  VIRENDETEKTOR  auch  solche  Viren sicher 
  1154.   aufspüren können.
  1155.  
  1156.   Vielleicht  fragt  sich  der  eine oder andere, wann für die Immunisierungs- 
  1157.   meldung  des  VIRENDETEKTORS  ein  entsprechender  Virus  auftaucht, der die 
  1158.   Immunisierung kopiert, die vom VIRENDETEKTOR auf Wunsch erzeugt wird. Dieses 
  1159.   Problem  ist  letztlich  nie auszuschließen, da der VIRENDETEKTOR inzwischen 
  1160.   mit  Abstand  der beliebteste Virenkiller für den ST/TT im deutschsprachigen 
  1161.   Raum  ist, wäre ein solches Mimikry für einen Virenprogrammierer sicher eine 
  1162.   "lohnende" Sache.
  1163.  
  1164.   Dem   stehen   aber   zum   Glück  zwei  Dinge  entgegen:  Erstens  ist  die 
  1165.   Immunisierungsmeldung  des  VIRENDETEKTORS  so  lang, daß im Bootsektor kein 
  1166.   Platz  für  den  Virencode  übrigbleibt.  Dadurch  müßte  ein  solcher Virus 
  1167.   wesentlich  komplexer  aufgebaut sein, denn der Immunisierungstext müßte aus 
  1168.   einem  weiteren  Sektor  nachgeladen werden. Zweitens wird der VIRENDETEKTOR 
  1169.   mit  Sicherheit  jeden  Virus,  der  diese Meldung kopiert, sofort mit Hilfe 
  1170.   seiner Analyseroutine erkennen.
  1171.  
  1172.   Fazit:   Wenn   Sie   eine   Diskette   bekommen,   die   beim   Booten  die 
  1173.   VIRENDETEKTOR-Immunisierung  meldet,  dann  sollten  Sie  sich  darauf nicht 
  1174.   verlassen,  sondern  vorsichtshalber die Diskette - wie jede neue Diskette - 
  1175.   mit  dem  VIRENDETEKTOR  überprüfen.  Erst  dann ist auch der letzte Rest an 
  1176.   Unsicherheit  beseitigt. Wie gesagt, ein solcher Virus existiert - zumindest 
  1177.   zur  Zeit  - noch nicht, weil er nicht ganz so simpel zu erstellen wäre, wie 
  1178.   die Masse der "0815"-Viren. Dennoch ist es prinzipiell nicht auszuschließen, 
  1179.   daß  sich  jemand an einem solchen Exemplar versucht. Die Virenerkennung des 
  1180.   VIRENDETEKTORS wird damit aber niemals überlistet werden können.
  1181.  
  1182.  
  1183.     c)            Linkviren
  1184.  
  1185.   Es gibt noch einen zweiten etwas anders arbeitenden Virentyp:
  1186.  
  1187.   Sogenannte  "Linkviren"  sind  Virenprogramme,  die sich an andere Programme 
  1188.   oder   Dateien  anhängen  und  dann  den  Zeiger  der  Einsprungadresse  des 
  1189.   befallenen   Programms   so   verändern,  daß  dieser  auf  den  Anfang  der 
  1190.   Virusroutine zeigt.
  1191.  
  1192.   Der  Virus  wird dann aktiviert, sobald man das infizierte Programm startet. 
  1193.   Sodann  versucht  der  Replikationsteil des Virus alle erreichbaren und noch 
  1194.   nicht  infizierten  Programme  ebenfalls  mit dem Virus zu versehen. Bei den 
  1195.   meisten  Linkviren - z.B. dem Milzbrand Virus - wird pro Programmstart eines 
  1196.   verseuchten Programms nur EIN weiteres Programm infiziert.
  1197.  
  1198.   Vielleicht  fragen  Sie  sich,  warum  sich  der  Virus nicht gleich in alle 
  1199.   Programme   kopiert,  die  er  auf  der  Diskette  oder  RAM-Disk/Festplatte 
  1200.   erreichen  kann?  Der Grund für diese freundliche Zurückhaltung liegt in der 
  1201.   Zeit,   die   der  Linkvirus  für  die  Infizierung  benötigt.  Während  ein 
  1202.   Bootsektorvirus lediglich einen Sektor auf der Diskette manipulieren muß, um 
  1203.   sich  zu  verbreiten,  hat es ein Linkvirus weitaus schwerer. Er muß relativ 
  1204.   umfangreiche  Änderungen  an  der  Struktur  der  zu infizierenden Programme 
  1205.   vornehmen.  Zudem  muß  er  die  möglichen Opfer, also noch nicht infizierte 
  1206.   Programmfiles,  erst  einmal  finden.  Damit  sind auch relativ umfangreiche 
  1207.   Massenspeicherzugriffe notwendig. Um nicht aufzufallen, schließlich darf der 
  1208.   Start  eines  verseuchten  Programms  nicht wesentlich länger dauern als vor 
  1209.   seiner  Infizierung,  bleibt  nur  Zeit für eine weitere Infizierung. Dieses 
  1210.   Verhalten ist der eine Grund für die langsamere Verbreitung von Linkviren im 
  1211.   Gegensatz zu den Kollegen aus dem Bootsektor.
  1212.  
  1213.   Ein  zweiter  Faktor,  der die Ausbreitung von Linkviren behindert, liegt im 
  1214.   Zeitpunkt  der  Infizierung:  Da  die  weitere Infizierung zumindest bei den 
  1215.   nicht  speicherresidenten  Linkviren  gleich  beim Starten eines verseuchten 
  1216.   Programms  erfolgt, können neben den Programmen auf der Festplatte und einer 
  1217.   eventuell  vorhandenen  RAM-Disk nur die Programme auf den zu dieser Zeit in 
  1218.   Laufwerk  A  oder  B  liegenden Disketten befallen werden. Das erschwert die 
  1219.   Ausbreitung eines Virus auf Systemen, die nur über ein Diskettenlaufwerk und 
  1220.   keine  Festplatte  verfügen.  Der  Virus  kann  nur  die  Programme  auf der 
  1221.   Diskette,  von  der  das  verseuchte  Programm  gestartet  wurde, erreichen. 
  1222.   Allerdings  stellt  auch  auf solchen Systemen die RAM-Disk einen geeigneten 
  1223.   Übertragungsweg da.
  1224.  
  1225.   Derartige Viren sind also besonders für Festplattenbesitzer gefährlich, weil 
  1226.   sie   sich   dann  auf  Dauer  fast  genauso  lawinenartig  verbreiten,  wie 
  1227.   Bootsektorviren.
  1228.  
  1229.   ACHTUNG:  Es  gibt  auch  Linkviren, die sich (wie ihre Bootsektor-Kollegen) 
  1230.   resident  im  Arbeitsspeicher  einnisten  und von dort aus jedes erreichbare 
  1231.   Programm  infizieren.  "Jedes  erreichbare  Programm" heißt dabei, daß jedes 
  1232.   Programm  infiziert  werden  kann,  das  von  einem nicht schreibgeschützten 
  1233.   Medium  gestartet  wird,  während  der  Virus  im  Speicher  ist. Obwohl die 
  1234.   Mehrzahl   der   Linkviren   nicht   nach  diesem,  sondern  nach  dem  oben 
  1235.   beschriebenen   Schema   arbeiten,  sind  die  speicherresidenten  Linkviren 
  1236.   besonders  gefährlich, da ihre Verbreitungsgeschwindigkeit wesentlich größer 
  1237.   ist!
  1238.  
  1239.   Natürlich  sind  von  Linkviren befallene Programme plötzlich länger als vor 
  1240.   der  Infizierung;  einige  Viren  befallen  deshalb  nur Programme, die eine 
  1241.   bestimmte Mindestlänge haben, um so weniger schnell aufzufallen. Einige VCS- 
  1242.   Viren  arbeiten  beispielsweise  so. Auch der Milzbrand Virus läßt Programme 
  1243.   unter 10 Kilobyte Länge unbehelligt.
  1244.  
  1245.   Auch der Start eines befallenen Programms benötigt plötzlich mehr Zeit. Aber 
  1246.   wer merkt schon, ob die Textverarbeitung statt nach 12 Sekunden erst nach 16 
  1247.   Sekunden geladen ist.
  1248.  
  1249.   Es  gibt  auch  Virusprogramme,  die  zu  keiner Vergrößerung der befallenen 
  1250.   Programme  führen! Im einfachsten Fall überschreibt der Virus einen Teil des 
  1251.   infizierten  Programms  mit  dem  Virusprogramm. Das infizierte Programm hat 
  1252.   seine  Länge  dann  natürlich  nicht  verändert, es ist aber auch nicht mehr 
  1253.   vollständig  vorhanden,  so  daß es beim Start normalerweise abstürzen wird. 
  1254.   Sehr  große  Programme können aber in wesentlichen Bereichen auch nach einer 
  1255.   Infektion   durch   einen   überschreibenden   Virus   noch   funktionieren. 
  1256.   Geschicktere  Viren  lagern  einen  Teil  des infizierten Programms in einen 
  1257.   unbenutzten Massenspeicher-Bereich aus und laden ihn später nach. Auf dem ST 
  1258.   kämen  dafür  z.  B. der Track 80 und 81 in Frage. Der Virus macht sich also 
  1259.   durch  einen  zusätzlichen  Disketten/Festplattenzugriff  bei  Aufruf  einen 
  1260.   Programmes  bemerkbar.  Auch  dadurch verlängert sich das Programm natürlich 
  1261.   nicht. Ein Virus mit einer derartigen Arbeitsweise ist allerdings auf dem ST 
  1262.   (noch) nicht bekannt.
  1263.  
  1264.   Noch  geschickter ist es, wenn der Virus einen Teil des befallenen Programms 
  1265.   komprimiert,  um so für sich selbst Platz zu schaffen. Beim Starten wird der 
  1266.   entsprechende  Programmteil  dann  wieder entkomprimiert. Auch solche Viren, 
  1267.   auf MS-DOS-Rechnern bereits im Umlauf, haben den ST bisher verschont.
  1268.  
  1269.   Viren  können  sich  im Prinzip überall dahin schreiben, wo die Hardware ein 
  1270.   Ablegen  von  Daten  erlaubt.  Also hauptsächlich in RAM und Massenspeicher. 
  1271.   Ungefährdet   sind   dagegen   ROM,   EPROM,   CPU,   Monitor  und  ähnliche 
  1272.   Hardware-Erweiterungen (nicht jedoch deren Treibersoftware!!!).
  1273.  
  1274.   Die  batteriegepufferte  Uhr im ST kann einem Virus nicht als Aufenthaltsort 
  1275.   dienen,  da  dort  zum  einen  nicht  einmal 128 Byte Speicher zur Verfügung 
  1276.   stehen  und  zum  anderen  keine  Möglichkeit  existiert,  mit  der sich ein 
  1277.   Programm  aus  dem  RAM  des  Uhrchips  wieder im Hauptspeicher installieren 
  1278.   könnte. Wer glaubt, es gehe doch und absolut sicher gehen will, der entfernt 
  1279.   die Batterien für etwa 20 Sekunden und setzt sie dann wieder ein.
  1280.  
  1281.  
  1282.     d)            Linkviren in gepackten Programmen
  1283.  
  1284.   "Was sind gepackte Programme", werden vermutlich einige Leser wissen wollen. 
  1285.   "Packen" bedeutet in diesem Zusammenhang "komprimieren". Seit langem bekannt 
  1286.   sind  die  Standardpacker ARC, LHARC, ZIP, ZOO und andere. Diese archivieren 
  1287.   beliebige  Files  in  eine  einzige  komprimierte  Datei.  Besonders für die 
  1288.   Datenübertragung mittels Modem und Telefonleitung ist diese Methode beliebt, 
  1289.   da  eine Komprimierung hier Zeit und damit Geld spart. Aber auch für Backups 
  1290.   oder  ähnliches  sind  solche  Programme  zu  gebrauchen. Ihr Nachteil liegt 
  1291.   darin,  daß  mit diesen gepackten Dateien nicht gearbeitet werden kann. Wenn 
  1292.   man  sie  braucht,  müssen  sie  zunächst  wieder  entpackt  werden. Für die 
  1293.   tägliche Arbeit ist dieses Verfahren also nicht zu gebrauchen.
  1294.  
  1295.   Einige  Programmierer  haben  sich  nun  überlegt,  wie  man diesen Nachteil 
  1296.   umgehen   könnte.   Sie   entwickelten   Programme  wie  PFX-PAK,  ICE-PACK, 
  1297.   TURBO-PACKER+  oder PACK2. Was diese Programme machen? - Ganz einfach: Diese 
  1298.   Programme  erstellen aus einem Programm ein gepacktes Programm, welches aber 
  1299.   nach  wie  vor  ausführbar  bleibt  und  sich  beim  Programmstart  zunächst 
  1300.   blitzschnell  selbst entpackt! Der Vorteil liegt auf der Hand, die Programme 
  1301.   belegen nur noch 50-60% des Speicherplatzes auf der Diskette oder Festplatte 
  1302.   und werden zudem von Diskette schneller gestartet, da der Zeitbedarf für das 
  1303.   Entpacken  durch  die  verkürzte  Ladezeit  mehr  als  wettgemacht wird. Der 
  1304.   geringfügig  erhöhte  Zeitbedarf  für das Laden von Festplatte oder RAM-Disk 
  1305.   wird angesichts des eingesparten Platzbedarfs in Kauf genommen.
  1306.  
  1307.   Ich möchte an dieser Stelle einen häufig vorkommenden Irrtum klarstellen: Es 
  1308.   besteht  anscheinend  die  weit  verbreitete  Annahme,  daß  ein  Packen von 
  1309.   Programmfiles  einen  zusätzlichen  Schutz vor Linkviren darstellt. Dies ist 
  1310.   aber nicht der Fall.
  1311.  
  1312.   Auch  wenn  das Packen von Programmen einige Vorteile bietet, ein Schutz vor 
  1313.   Linkviren  ist dadurch NICHT gegeben. Zwar kann das gepackte Programm selbst 
  1314.   nicht  mehr  befallen werden, aber statt dessen ist die Entpack-Routine, die 
  1315.   ja  bei  jedem  Programmstart  ausgeführt  wird,  nun  Ziel  des  Virus. Die 
  1316.   Ausbreitung von Linkviren wird also weder verhindert noch verlangsamt!
  1317.  
  1318.   Richtig   gefährlich   wird   es,   wenn  ein  bereits  befallenes  Programm 
  1319.   nachträglich  gepackt wird. Entweder, weil der Befall nicht bekannt ist oder 
  1320.   weil  jemand auf diese Weise Viren "unter die Leute" bringen will. Letzteres 
  1321.   ist  tatsächlich  ein  ernstes  Problem!  Auf diese Weise gepackte Programme 
  1322.   werden  nämlich  beim  Starten für den Benutzer unbemerkt im Arbeitsspeicher 
  1323.   entpackt.  Wird  ein mit einem Linkvirus befallenes Programm nach dem Befall 
  1324.   mit  einem  dieser  Packer eingepackt, so erkennt keines der bislang auf dem 
  1325.   Markt  befindlichen  Virenkillerprogramme diesen Linkvirus, da dann auch der 
  1326.   Virencode  in  gepackter  Form  auf  dem  Massenspeicher  vorliegt  und  der 
  1327.   Virenkiller  nicht  mehr in der Lage ist, solche Virencodeteile zu erkennen, 
  1328.   obwohl  der  Virus beim Starten eines gepackten Programms nach wie vor aktiv 
  1329.   wird.
  1330.  
  1331.   Leider  haben  einige  "Spaßvögel"  diese Art der Virenverteilung inzwischen 
  1332.   entdeckt.  Sie  sollten  also  solche  Programme  vor  dem Überprüfen wieder 
  1333.   entpacken.  Da  der  Anwender  bei  einem neuen Programm i.a. nicht erkennen 
  1334.   kann, ob es gepackt vorliegt, meldet der VIRENDETEKTOR seit der Version 3.1, 
  1335.   ob  ein  Programm  gepackt  vorliegt  und mit welchem Packer es ggf. gepackt 
  1336.   wurde.  Der  VIRENDETEKTOR erkennt in der aktuellen Version folgende Packer: 
  1337.   PFX-PAK,  Turbo-Packer+,  ICE-Pack, DCSquish, BA-Packer, PACK 2.0, JAM-Pack, 
  1338.   Automation  Compacter  und  CRUNCHER.TTP. In Deutschland ist der PFX-PAK von 
  1339.   Thomas  Quester  das  beliebteste  und  am häufigsten verwendendete Programm 
  1340.   dieser Art, nicht zuletzt weil es als SHAREWARE-Programm sehr preiswert ist.
  1341.  
  1342.   Für  den  im  deutschsprachigen  Raum  am stärksten verbreiteten Packer (den 
  1343.   PFX-PAK)  sollte  der  VIRENDETEKTOR  sogar  die  Möglichkeit  vorsehen, ein 
  1344.   gepacktes   Programm  zu  entpacken  und  in  seiner  ausgepackten  Form  zu 
  1345.   überprüfen.  Diese Möglichkeit war in der Beta-Version auch schon eingebaut, 
  1346.   ich  mußte sie allerdings kurzfristig wieder ausbauen, da es gelegentlich zu 
  1347.   unerklärlichen  Abstürzen  kam, die nicht eindeutig reproduzierbar waren und 
  1348.   deren Ursache ich nicht klären konnte. Bis zur Version 3.2 wird diese Option 
  1349.   mit  Sicherheit  realisiert  werden.  Da  der Entpackvorgang im RAM abläuft, 
  1350.   führt  dieser  zusätzliche  Prüfvorgang  (der abschaltbar ist) kaum zu einer 
  1351.   Verlangsamung  der  Überprüfung.  Auch  für  den  ICE-PACK  (der z.B. in den 
  1352.   Niederlanden  und  in  GB  weit  verbreitet  ist) ist eine solche Prüfung im 
  1353.   ungepackten Zustand in Vorbereitung.
  1354.  
  1355.   Für  die  anderen  Packer  (die  aber  zusammen weniger als 20 % Marktanteil 
  1356.   haben)  besteht  leider auch nach dem nächsten Update noch keine Möglichkeit 
  1357.   des  automatischen Entpackens durch den VIRENDETEKTOR. Hier muß der Benutzer 
  1358.   diese  Programme  manuell entpacken und dann erneut überprüfen. Da sechs der 
  1359.   oben  genannten acht Packer PD/Freeware/Shareware sind, ist es kein Problem, 
  1360.   sich  diese  Packer zu besorgen. Sollten Sie diese Packer nicht besitzen und 
  1361.   keine   anderweitige   Bezugsquelle   haben,   dann   sollten  Sie  bei  der 
  1362.   Registrierung  die  drei  Utility-Disketten  gegen einen Unkostenbeitrag von 
  1363.   10,-  DM  mitbestellen.  Auf  einer dieser Diskette finden Sie die genannten 
  1364.   Packer,  so  daß  Sie  verdächtige  Programme  vor  der  Überprüfung  selbst 
  1365.   entpacken  können. Davon abgesehen werden Sie feststellen, daß einige dieser 
  1366.   Packer  sehr  nützliche  Werkzeuge  sind,  wenn  es  darum  geht,  Platz auf 
  1367.   Disketten  oder auf der Festplatte zu sparen. Für ATARI-User ohne Festplatte 
  1368.   kommt  hinzu,  daß  gepackte  Programme  von  Diskette  wesentlich schneller 
  1369.   gestartet werden können.
  1370.  
  1371.   Die  Erstellung  der  CRC-Prüfsumme  hilft natürlich auch bei der Bekämpfung 
  1372.   solcher Viren.
  1373.  
  1374.  
  1375.     e)            Viren in CPX-Modulen
  1376.  
  1377.   Keine  Panik! Hier werden Sie nichts von "CPX-Viren" lesen, denn diese Viren 
  1378.   gibt  es  zum  Glück noch nicht. Falls Sie beim Lesen des letzten Satzes nur 
  1379.   verständnislos  mit  dem  Kopf  geschüttelt haben, dann lassen Sie sich kurz 
  1380.   erläutern, was ein CPX-Modul ist:
  1381.  
  1382.   Das  neue,  modulare  Kontrollfeld XCONTROL von Atari ist ein Accessory, das 
  1383.   sogenannte  "CPX-Module" nachladen kann. Diese CPX-Module sind wiederum eine 
  1384.   Art  Accessory  und  dienen i.a. zu Konfigurationszwecken. Ein solches Modul 
  1385.   besteht   aus   einem   512   Byte   langen   Header   und   einer  normalen 
  1386.   GEMDOS-Programmdatei.
  1387.  
  1388.   Die  bekannten  Linkviren  können solche CPX-Module nicht infizieren. Es ist 
  1389.   aber  durchaus möglich, daß in Zukunft auch Linkviren auftauchen, die solche 
  1390.   CPX-Module  infizieren.  Daher  werden  ab  Version  3.1c  diese  CPX-Module 
  1391.   ebenfalls in die CRC-Prüfung (sofern eingeschaltet) einbezogen.
  1392.  
  1393.  
  1394.     f)            Neue, bisher unbekannte Linkviren
  1395.  
  1396.   Der  beste  Schutz  vor  unbekannten Linkviren ist ein ständiges Updaten des 
  1397.   VIRENDETEKTORS.  Es  erübrigt sich darauf hinzuweisen, daß die Versionen aus 
  1398.   den diversen PD-Serien _nicht_ aktuell sein können. Bis eine neue Version in 
  1399.   eine  PD-Serie  kommt,  vergehen 6-8 Wochen. Dazu kommt noch, daß ein großer 
  1400.   Teil  der  PD-Versender  die Programme nicht updaten, so daß über diesen Weg 
  1401.   oft uralte Versionen im Umlauf sind. Wer registrierter Anwender ist, bekommt 
  1402.   natürlich   umgehend   die   aktuellen  Programmversionen,  die  ständig  an 
  1403.   eventuelle neue Linkviren angepaßt werden.
  1404.  
  1405.   Glücklicherweise hält sich der Fortgang bei der  Entwicklung neuer Linkviren 
  1406.   in  erträglichen  Grenzen.  Diese sind nicht so leicht zu programmieren, wie 
  1407.   die  Kollegen  im Bootsektor und verbreiten sich zudem wesentlich langsamer. 
  1408.   Oft  handelt  es  sich  bei  neuen  Linkviren  um  alte  Bekannte,  die  nur 
  1409.   geringfügig  manipuliert  wurden. Je nach Umfang und Art dieser Manipulation 
  1410.   kann  es  aber durchaus sein, daß der VIRENDETEKTOR diesen veränderten Virus 
  1411.   nicht  mehr erkennt. Um aber ein weiteres Stück Sicherheit zu bieten, werden 
  1412.   alle  überprüften  Programme  auf  typische  Hinweise  für  den Befall durch 
  1413.   Linkviren  analysiert.  Ein  erkannter Verdacht wird dann gemeldet. Wenn Sie 
  1414.   mir  ein  solches  verdächtiges  Programm zuschicken, kann ich eine genauere 
  1415.   Analyse  mittels  eines  Disassemblers  vornehmen,  die diesen Verdacht dann 
  1416.   entweder  bestätigt  oder  entkräftet.  Die  vom  VIRENDETEKTOR vorgenommene 
  1417.   Analyse  kann  aber  unmöglich  alle  denkbaren neuen Linkviren finden, eine 
  1418.   zusätzliche  Verwendung  der  CRC-Prüfsummenbildung  ist  in  jedem  Fall zu 
  1419.   empfehlen.
  1420.  
  1421.   Bei  mehr  als 3.000 testweise überprüften Programmen hat sich diese Analyse 
  1422.   bislang  bewährt  und  ist  sehr  sicher  gegen  Fehlalarme.  Dennoch ist es 
  1423.   möglich,  daß diese Funktion zu einem Fehlalarm führt. In der Datei NEWS.TXT 
  1424.   finden  Sie  eine  Liste,  in  der  sich  die bisher bekannten unverseuchten 
  1425.   Originalprogramme   befinden,  bei  denen  ein  "Virenverdacht"  unbegründet 
  1426.   gemeldet wird.
  1427.  
  1428.  
  1429.     g)            Alle Link- und Bootsektorviren im Überblick
  1430.  
  1431.   Eine  ausführliche  Liste mit allen bekannten Link- und Bootsektorviren, die 
  1432.   sowohl  Verbreitungsweise  als  auch Wirkung der einzelnen Viren beschreibt, 
  1433.   werden  sie  an dieser Stelle nicht finden. Allerdings nicht etwa, weil eine 
  1434.   solche  Liste  nicht existiert, sondern weil diese Infos bereits im Programm 
  1435.   selbst  integriert  sind.  Unter  dem Menüpunkt "Viren-Datenbank" finden Sie 
  1436.   genaue Details zu fast 50 verschiedenen Viren.
  1437.  
  1438.   Da  diese  Datenbank  nicht  notwendig  ist,  um  während  der Testphase die 
  1439.   Tauglichkeit  des  VIRENDETEKTORS beurteilen zu können, ist dieser Menüpunkt 
  1440.   in  der  unregistrierten  Version gesperrt. Wenn Sie sich dazu entschließen, 
  1441.   dieses  Programm  regelmäßig  zu  nutzen  und dann auch den Sharewarebeitrag 
  1442.   entrichten,    erhalten    Sie   eine   Diskette   mit   der   vollständigen 
  1443.   Programmversion,  in  der  eine Beschreibung jedes einzelnen Virus zu finden 
  1444.   ist.  Dies ist eine kleine Erinnerung daran, daß dieses Programm - auch wenn 
  1445.   es frei kopiert werden darf - nicht ganz "umsonst" ist.
  1446.  
  1447.  
  1448.   III.            Wie beugt man Virenbefall vor?
  1449.                   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  1450.   Wie  schützt  man sich vor Viren? Scheinbar weiß es fast jeder, das beweisen 
  1451.   die  gestiegenen  Verkaufszahlen diverser Virenkiller. Trotzdem ist Vorsicht 
  1452.   geboten,  denn  in  den  Programmierern  von  Computerviren  schlummert  ein 
  1453.   skrupelloser  Ehrgeiz.  Aus ihrem zerstörerischen Engagement entwickeln sich 
  1454.   immer geschicktere Viren, zumal diese Programmierer ständig nach neuen Wegen 
  1455.   suchen, um das Heer der Virenkiller zu überlisten.
  1456.  
  1457.   Will  man  sich vor ihnen schützen, so ist es nützlich, sich zumindest einen 
  1458.   Überblick   über   die   verschiedenen   Typen   und   ihre   Arbeits-   und 
  1459.   Verbreitungsweise  zu  verschaffen. Wenn Sie diesen Text bis hierher gelesen 
  1460.   haben,  dann haben sie die prinzipielle Arbeitsweise von Viren auf dem ST/TT 
  1461.   hoffentlich etwas besser kennengelernt.
  1462.  
  1463.   Aber  auch bei Computerviren gilt der oft strapazierte Spruch "Vorbeugen ist 
  1464.   besser  als  heilen".  (Toll,  wie  sich  immer  neue  Beziehungen  zwischen 
  1465.   Informatik und Medizin finden lassen.)
  1466.  
  1467.   Mit  "Vorbeugen"  ist  dabei das Befolgen einiger elementarer Regel gemeint, 
  1468.   die hier kurz erwähnt werden sollen:
  1469.  
  1470.            Die 10 goldenen Regeln zum Schutz vor Virusprogrammen:
  1471.            ======================================================
  1472.  
  1473.     1. Nie  mit  Originalen  sondern  nur  mit  Sicherheitskopien  arbeiten!
  1474.        (Die Unart, Software mit einem Diskettenkopierschutz zu versehen, ist
  1475.        zum Glück fast nur noch bei Spiele-Software verbreitet.)
  1476.  
  1477.     2. Booten Sie immer mit einer eigenen,  stets  schreibgeschützten  Disk!
  1478.        (Denken  Sie daran, daß auch bei autobootfähigen Festplatten zunächst
  1479.        der Bootsektor der Diskette in Laufwerk A gelesen wird!)
  1480.  
  1481.     3. Aktivieren Sie wenn  möglich  den  Schreibschutz  der  Diskette!  Sie
  1482.        sollten  für  RAM-Disk  und Festplatte gegebenenfalls das beiliegende
  1483.        Accessory verwenden.
  1484.  
  1485.     4. Bei  fremden Disketten die Harddisk ausschalten und das Zweitlaufwerk
  1486.        leer lassen. Nach Beendigung des Programms den Rechner ausschalten!
  1487.  
  1488.     5. Wenn  möglich zwischen Programm- und  Daten-Disketten  unterscheiden,
  1489.        erstere stets schreibschützen!
  1490.  
  1491.     6. Auf Raubkopien verzichten! (Naja, das sollte wohl  selbstverständlich
  1492.        sein...)
  1493.  
  1494.     7. Ein Reset ist kein sicherer Schutz vor Viren im RAM, nur  AUSSCHALTEN
  1495.        (mind. 15 Sekunden) beseitigt auch resetfeste Viren!
  1496.  
  1497.     8. Neue Software zunächst mit  dem  VIRENDETEKTOR  überprüfen!  (Mehrere
  1498.        PD-Versender,  aber  auch  bekannte  Firmen haben schon versehentlich
  1499.        verseuchte Disketten ausgeliefert!)
  1500.  
  1501.     9. Den VIRENDETEKTOR regelmäßig updaten lassen, damit Sie immer mit  der
  1502.        neusten Version, die regelmäßig an die aktuelle Virenentwicklung  an-
  1503.        gepasst wird, arbeiten! Virenprogrammierer kommen  ständig  auf  neue
  1504.        Ideen,  wie zum Beispiel  die  Entwicklung  von  Bootsektorviren  auf
  1505.        NICHT ausführbaren  Bootsektoren  gezeigt  hat.  Bei  keiner  anderen
  1506.        Programmsparte sind regelmäßige Updates so wichtig,  wie  bei  Viren-
  1507.        killern! Bedenken Sie, daß die Versionen, die auf den  Disketten  von
  1508.        PD-Versendern erscheinen, NIE den aktuellen Stand des  VIRENDETEKTORS
  1509.        widerspiegeln - und damit zumeist auch nicht den aktuellen Stand  der
  1510.        Virenentwicklung!  Wie  Sie  registrierter  Benutzer  werden  und  so
  1511.        regelmäßig in den Besitz der neusten Version gelangen,  erfahren  Sie
  1512.        am Schluß dieses Textes.
  1513.  
  1514.    10. Wenn sich doch ein Virus bei Ihnen  eingeschlichen  hat,  informieren
  1515.        Sie alle, an die Sie den Virus eventuell weitergegeben haben könnten;
  1516.        kopieren  Sie  Ihnen  den   VIRENDETEKTOR   (natürlich  nur die   un-
  1517.        registrierte Version im kompletten Ordner) am besten gleich mit!
  1518.  
  1519.   Eine  weitere  Art  der  Vorbeugung gegen Bootsektorviren ist die sogenannte 
  1520.   "Immunisierung"  von  Bootsektoren.  Darauf  werde  ich  weiter  unten  noch 
  1521.   ausführlich eingehen.
  1522.  
  1523.   Leider  gibt  es  bei  Computerviren  wie  auch  bei  ihren Kollegen aus der 
  1524.   Biologie  kein  Allheilmittel.  Selbst  das strenge Befolgen dieser Tips ist 
  1525.   keine  Garantie,  daß  es  nicht doch irgendwann einmal einem Virus gelingt, 
  1526.   Ihre Disketten oder die Festplatte zu infizieren und Schaden anzurichten. So 
  1527.   hat   man   beispielsweise   bis  vor  kurzer  Zeit  angenommen,  ein  nicht 
  1528.   ausführbarer  Bootsektor  sei  in  jedem  Fall  als harmlos einzustufen. Wie 
  1529.   inzwischen bekannt ist, war dies eine krasse Fehleinschätzung!
  1530.  
  1531.   Diese Tips sind allerdings zum jetzigen Zeitpunkt gegen alle bekannten Viren 
  1532.   auf dem ATARI ST ein absolut sicherer Schutz.
  1533.  
  1534.  
  1535.   IV.             An welchen Effekten erkennt man Computerviren?
  1536.                   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  1537.  
  1538.   Ich  habe schon einige prinzipielle Effekte, die von Viren verursacht werden 
  1539.   können,  in Kapitel I erwähnt. Es gibt aber noch viel bösartigere Viren, sie 
  1540.   können  teilweise sogar Schäden an der Hardware verursachen, indem sie z. B. 
  1541.   den  Schreib-/Lesekopf  des  Laufwerks/Festplatte laufend gegen den Anschlag 
  1542.   bewegen  oder  (bei  IBM-Kompatiblen mit Hercules-Karte) die Graphikkarte so 
  1543.   programmieren, daß diese irreparablen Schaden nehmen kann.
  1544.  
  1545.   Besitzer  von Farbmonitoren droht auch noch eine andere Gefahr! Man kann den 
  1546.   ST  dazu  bewegen, auch im Farbbetrieb auf die (monochrome) Bildfrequenz von 
  1547.   71  Hz  umzuschalten. Damit ändert sich die Zeilenfrequenz von 16 MHz auf 36 
  1548.   MHz. Den "Notreset", den der ST normalerweise bei solcherlei Unfug ausführt, 
  1549.   kann  man  softwaremäßig  sperren.  Wenn Sie einmal ein dutzend Farbmonitore 
  1550.   übrig haben, sollten Sie ruhig ausprobieren, wie lange der Farbmonitor diese 
  1551.   Prozedur   überlebt.  Derzeitige  Hochrechnungen  schwanken  zwischen  einer 
  1552.   Sekunde und wenigen Minuten. Sicher ist jedenfalls, daß Ihr Farbmonitor nach 
  1553.   recht  kurzer  Zeit  jede weitere Mitarbeit für alle Zeiten verweigern wird. 
  1554.   (Letzte  Tests  mit dem Original-ATARI-Farbmonitor haben gezeigt, daß einige 
  1555.   Bildschirme dieser Prozedur durchaus fast eine halbe Stunde gewachsen sind.) 
  1556.   Ein  Virus,  der  es auf die Zerstörung Ihrer Hardware abgesehen hat, könnte 
  1557.   sich  diesen  Umstand  zunutze  machen.  Das  bisher  kein  derartiger Virus 
  1558.   aufgetaucht ist, liegt wahrscheinlich an der schwierigen programmtechnischen 
  1559.   Umsetzung des soeben gesagten.
  1560.  
  1561.   Sie  sehen  also,  daß auch die Hardware einem potentiellen Virus jede Menge 
  1562.   Angriffspunkte bietet.
  1563.  
  1564.   Glücklicherweise  sind  nicht  alle  Viren auf dem ST dermaßen bösartig. Ein 
  1565.   paar Beispiele sollen das verdeutlichen:
  1566.  
  1567.   Ein  (Bootsektor-)Virus  dreht,  nachdem er sich fünf mal weiterkopiert hat, 
  1568.   die  vertikale  Bewegungsrichtung  der  Maus um 180 Grad. Dieser Virus stört 
  1569.   also "nur" Ihren normalen Arbeitsfluß, ohne das es zu Datenverlust kommt.
  1570.  
  1571.   Ein  anderer  Virus schreibt, nachdem man drei Stunden am Rechner gearbeitet 
  1572.   hat,  die  Meldung  "Ihr  Computer  hat AIDS" auf den Monitor und stoppt den 
  1573.   Prozessor.  Abgesehen  davon,  daß  dies  ein  ausgesprochen  geschmackloser 
  1574.   "Scherz"  ist,  wird jemand, der drei Stunden einen Text eingegeben hat ohne 
  1575.   abzuspeichern, über diesen Virus wenig lachen können.
  1576.  
  1577.   Ein  weiterer  Virus  überschreibt  in  jedem VBL-Interrupt, also nach jedem 
  1578.   Bildaufbau  (d.h.  71 mal pro Sekunde beim Monochrom- und 50 bzw. 60 mal pro 
  1579.   Sek.  beim  Farbmonitor)  ein  beliebiges  Byte im Arbeitsspeicher mit einem 
  1580.   Zufallswert.
  1581.  
  1582.   Die  Folge  ist ein Absturz des Rechners, sobald wichtige Programmteile oder 
  1583.   ein Teil des Betriebssystems getroffen werden.
  1584.  
  1585.   Wenn  Sie  bei  der Arbeit mit dem ST feststellen, daß einige Programme beim 
  1586.   Starten  deutlich  länger  brauchen  als  vorher,  dann  ist größte Vorsicht 
  1587.   angezeigt.  Es  ist sehr wahrscheinlich ein Linkvirus, der diese Verzögerung 
  1588.   beim Start verursacht. Sollten Sie bei der Überprüfung mit dem VIRENDETEKTOR 
  1589.   keinen  Befall  feststellen,  dann  bedeutet  dies  noch  nicht  die völlige 
  1590.   Entwarnung!  Denn  auch dann, wenn Sie mit der neusten VIRENDETEKTOR-Version 
  1591.   arbeiten, ist es möglich, daß bei Ihnen ein neuer Linkvirus aufgetaucht ist, 
  1592.   der  bislang noch nicht erkannt wird. Hier greift als zusätzlicher Schutz in 
  1593.   erster Linie die CRC-Prüfsummenbildung, die ich Ihnen nochmals wärmstens ans 
  1594.   Herz  legen  möchte.  Sind  Sie sich nicht sicher, ob sich ein Linkvirus bei 
  1595.   Ihnen  eingenistet  hat,  dann  schicken  Sie  mir  eine  Diskette  mit  dem 
  1596.   möglicherweise  verseuchten  Programm. Ich werde Ihnen die Diskette umgehend 
  1597.   zurückschicken  und  sofern  es  sich  tatsächlich  um einen neuen Linkvirus 
  1598.   handelt, bekommen Sie auch gleich eine Version des VIRENDETEKTOR, die diesen 
  1599.   neuen   Virus  erkennt.  Selbstverständlich  gilt  dieses  Angebot  nur  für 
  1600.   registrierte  Benutzer,  schon deshalb, weil nur diese immer mit der neusten 
  1601.   Version arbeiten!
  1602.  
  1603.   Wenn  Sie bisher noch nichts von Computerviren bemerkt haben, so gehören Sie 
  1604.   entweder   zu   denen,  deren  Disketten  noch  "virenfrei"  sind  oder  Sie 
  1605.   beherbergen  auf  Ihren Disketten nur "harmlose" Bootsektorviren. Gerade auf 
  1606.   dem  ST  gibt  es einige Virenprogramme, die sich nur auf jeden erreichbaren 
  1607.   Bootsektor  kopieren,  ohne  überhaupt  eine bösartige Wirkung zu entfalten. 
  1608.   Jedoch  auch  solche Viren können Schaden anrichten, weil z.B. manche Spiele 
  1609.   den   Bootsektor   als   Lader   oder  als  Kopierschutz  benutzen  und  ein 
  1610.   Bootsektorvirus  das Programm somit unbrauchbar macht. Auch MS-DOS-Disketten 
  1611.   (PC-Ditto/PC-Speed) mögen einen Virus im Bootsektor überhaupt nicht.
  1612.  
  1613.   Manchmal  werden Viren aber auch nicht als solche erkannt, weil Effekte, die 
  1614.   nur  gelegentlich  auftreten, oft auf Programmfehler, defekte Disketten oder 
  1615.   ähnliches geschoben werden.
  1616.  
  1617.   In   der   im   Programm   integrierten   Viren-Datenbank  finden  Sie  alle 
  1618.   Informationen  zu  den bislang bekannten Viren übersichtlich nach Virennamen 
  1619.   sortiert.
  1620.  
  1621.   Allerdings   sollte   man   auch   nicht   gleich  bei  jedem  Absturz  oder 
  1622.   Programmfehler einen Virus für den Übeltäter halten! Denn leider gibt es für 
  1623.   den  ST  zum  Teil so besch...eidene Software, daß überhaupt kein Virus mehr 
  1624.   nötig  ist,  um  den  Anwender  zum  Wahnsinn zu treiben! Auch das TOS hatte 
  1625.   zumindest  in  den  ersten  Versionen  einige  Eigenschaften, die den Schluß 
  1626.   nahelegten,  ATARI  wollte eigentlich kein Betriebssystem, sondern einen 192 
  1627.   KByte großen Mammutvirus programmieren. ;-)
  1628.  
  1629.   Schließlich  können  sowohl  defekte  Disketten  als  auch  ein beschädigter 
  1630.   Rechner  als Ursache für diverse Probleme in Erscheinung treten. Neben einem 
  1631.   Virenkiller  sind  daher  auch ein Diskprüfprogramm und ein Memorytester zur 
  1632.   Lokalisierung  von  Fehlern  nützlich.  Wer  nicht  über derartige Utilities 
  1633.   verfügt,  der kann bei mir drei (doppelseitige) Disketten mit insgesamt etwa 
  1634.   4,5  MB  (!)  der  wichtigsten  Hilfsprogramme  (PD/Freeware/Shareware)  und 
  1635.   Online-Packer erhalten.
  1636.  
  1637.   Auf   diesen   Disketten   finden   Sie   unter  anderem  ein  Programm  zur 
  1638.   Funktionsüberprüfung  der  RAM-Chips,  ein  Programm, das Ihre Disketten auf 
  1639.   physikalische  Defekte  überprüft  (und rettet, was noch zu retten ist), ein 
  1640.   Programm  zur  Wiederherstellung  versehentlich gelöschter Dateien und viele 
  1641.   weitere nützliche Kleinigkeiten.
  1642.  
  1643.   Diese  Disketten können Sie als registrierter Benutzer (und nur als solcher) 
  1644.   bei  mir  erhalten!  Dazu erhöht sich Ihre Registrierungsgebühr lediglich um 
  1645.   10,- DM Unkostenbeitrag. Näheres dazu finden Sie in Kapitel IX.
  1646.  
  1647.   Mit  dem  Programm  VIRENDETEKTOR  haben Sie nun das geeignete Mittel in der 
  1648.   Hand,  um einen Virus zu entdecken, bevor er Unheil anrichten kann oder sich 
  1649.   über die gesamten Datenbestände verbreitet hat.
  1650.  
  1651.   Eine genaue Beschreibung der bekannten Viren für den ST/TT finden Sie in der 
  1652.   Viren-Datenbank,  in der auch auf Verbreitungsweise und Manipulationsaufgabe 
  1653.   jedes  einzelnen  Virus  eingegangen  wird.  Daß dieser Menüpunkt nur in der 
  1654.   registrierten Programmversion des VIRENDETEKTORS zugänglich ist, dient nicht 
  1655.   zuletzt als kleiner Anreiz, die Sharegebühr zu zahlen.
  1656.  
  1657.  
  1658.   V.              Neues von der Virenfront
  1659.                   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  1660.  
  1661.   Die Entwicklung neuer Viren für den ST scheint nicht mehr in dem Tempo voran 
  1662.   zu schreiten, wie noch vor einigen Jahren. Das kann zum einen am gestiegenen 
  1663.   Verantwortungsbewußtsein  der  Virenprogrammierer liegen (wer's glaubt ...), 
  1664.   oder  aber  an  der  gestiegenen  Vorsicht  der  Anwender (wohl eher). Zudem 
  1665.   verfügen  die meisten ST-Besitzer inzwischen über einen Virenkiller, mit dem 
  1666.   Sie Ihre Disketten überprüfen können.
  1667.  
  1668.   Lediglich  die  Gerüchteküche  köchelt  weiter  vor  sich  hin.  Für  einige 
  1669.   Zeitschriften   ist  das  Thema  "Computerviren"  inzwischen  zum  beliebten 
  1670.   Seitenfüller geworden. Mit der Angst vor Computerviren läßt sich die Auflage 
  1671.   anscheinend  deutlich steigern. Man bietet den Lesern ein paar drittklassige 
  1672.   Virenkiller  Marke  "Bootsektor-Ex"  zum abtippen und bringt ein paar "echte 
  1673.   Insidertips".  Da  kommt  dann ab und zu die Nachricht von einem Supervirus, 
  1674.   das  sogar  schreibgeschützte  Disketten  befallen soll (absoluter Blödsinn, 
  1675.   weil  physikalisch nicht möglich), man hört von Original-Software, die einen 
  1676.   Virus verbreitet, wenn Sie unrechtmäßig kopiert wird (noch blödsinniger) und 
  1677.   ähnlichen Gruselmärchen.
  1678.  
  1679.   Eine  wichtige Neuigkeit - die inzwischen schon gar nicht mehr besonders neu 
  1680.   ist - möchte ich Ihnen aber nicht vorenthalten: Es gibt Bootsektorviren, die 
  1681.   sich im Arbeitsspeicher installieren, OBWOHL der Bootsektor NICHT AUSFÜHRBAR 
  1682.   ist!!!
  1683.  
  1684.   Wie das geht? - Sehen Sie selbst:
  1685.  
  1686.   Das  Betriebssystem  des  STs hat ein undokumentiertes Feature, mit dem sich 
  1687.   Programme  resetfest  im  Speicher  installieren können. Nach dem Booten von 
  1688.   Diskette  oder Platte, aber noch vor Ausführung der Programme im AUTO-Ordner 
  1689.   durchsucht  das  Betriebssystem  den  gesamten  Arbeitsspeicher  nach  einer 
  1690.   Speicher-Doppelseite  (mit  gerader Seitennummer, also $400, $600, ...), die 
  1691.   folgende Eigenschaften erfüllt:
  1692.  
  1693.   - erstes Long-Word ist die Magic-Number $12123456
  1694.   - in den zweiten vier Bytes steht ein Zeiger auf den  Anfang  der  Speicher-
  1695.     seite
  1696.   - Die (Word-)Summe aller Bytes in diesem 512 Bytes langen Bereich ist $5678
  1697.  
  1698.   Die  Suche  läuft von PHYSTOP abwärts bis $600. Sollte der ST fündig werden, 
  1699.   so   wird   ein   dort  befindliches  Programm  ausgeführt.  Zuvor  hat  das 
  1700.   Betriebssystem  den  Bootsektor der Diskette in den Arbeitsspeicher geladen, 
  1701.   um  zu  prüfen,  ob  der  Bootsektor  ausführbar  ist.  Dort  verbleibt  der 
  1702.   Bootsektor  als  "Daten-Leiche",  auch  wenn  er  NICHT ausgeführt wird. Nun 
  1703.   braucht  ein  Bootsektorvirus nur die entsprechenden Magics an den richtigen 
  1704.   Stellen  zu  enthalten und der Virus wird installiert, OBWOHL der Bootsektor 
  1705.   eigentlich  nicht  ausführbar  ist!  Derartige Viren können dann - einmal im 
  1706.   Speicher  installiert  - durchaus noch Code-Teile nachladen. Diese sind dann 
  1707.   auf  normalerweise  unbenutzten  Bereichen  (z.B.  Sektor 4 und 5 der beiden 
  1708.   FATs)  gespeichert,  so  daß  der  zusätzliche  Platzbedarf  des Virus nicht 
  1709.   auffällt.
  1710.  
  1711.   Die  meisten Virenkiller (auch der VIRENDETEKTOR bis 2.9d) sind diesen Viren 
  1712.   bislang auf den Leim gegangen, da nicht ausführbare Bootsektoren als harmlos 
  1713.   klassifiziert wurden. Damit ist nun allerdings Schluß!
  1714.  
  1715.   Zu  erwähnen  bleibt  noch,  daß  diese Viren nicht TOS-unabhängig sind. Sie 
  1716.   laufen  also  nur  auf  jeweils einer einzigen TOS-Version, da die absoluten 
  1717.   Adressen  des  Diskettenpuffers,  das ist der Teil des Speichers, in den der 
  1718.   Bootsektor  eingelesen  wird, sich von TOS-Version zu TOS-Version verschoben 
  1719.   haben.  Somit  stimmt  die  Lage  des Magics immer nur für eine TOS-Version, 
  1720.   wobei  allerdings 1.04 und 1.06 die gleiche Diskettenpufferadresse besitzen. 
  1721.   Ein  Virenprogrammierer  muß  somit  mehrere  leicht  modifizierte Versionen 
  1722.   seines   Virus   in   Umlauf  bringen,  um  alle  TOS-Versionen  abzudecken. 
  1723.   Glücklicherweise  gibt's ja jetzt auch schon 2.05 und 2.06 und 3.01 und 3.05 
  1724.   und  ...  sollte  sich die Adresse des Diskettenpuffers bei diesen Versionen 
  1725.   jeweils  verschoben  haben,  dann laufen die "alten" Viren, die sich auf das 
  1726.   beschriebene Feature stüzen, nicht mehr auf den neuen TOS-Versionen. Es wird 
  1727.   aber nur eine Frage der Zeit sein, bis es auch für diese TOS-Versionen einen 
  1728.   entsprechend arbeitenden Virus gibt.
  1729.  
  1730.   Vor  einiger  Zeit gab es außerdem ein "Update" des Virus-Construction-Sets. 
  1731.   Zur Zeit wird diese Version aber meines Wissens nirgendwo vertrieben. Es ist 
  1732.   ohnehin   erstaunlich,  daß  gegen  ein  derartiges  Programm,  welches  auf 
  1733.   Knopfdruck  nahezu  beliebige  Linkviren  erzeugt,  noch  nicht  gerichtlich 
  1734.   vorgegangen   worden   ist.  Zumal  einige  Softwarehäuser  fast  ebensoviel 
  1735.   Rechtsanwälte wie Programmierer beschäftigen.
  1736.  
  1737.   Seit  der Version 3.0 hat sich nicht mehr viel getan, neue Linkviren gibt es 
  1738.   nicht, lediglich ein paar neue Bootsektorviren haben sich angefunden.
  1739.  
  1740.   Daß  die  Virenprogrammierer  sich  dennoch  nicht  völlig vom ST abgewendet 
  1741.   haben, zeigen immer wieder neue Versuche, Computerviren so zu programmieren, 
  1742.   daß   diese   dem   Anwender   möglichst   lange   verborgen   bleiben.  Die 
  1743.   "Tarnkappen"-Viren,  die  ja  schon  erwähnt  wurden,  sind auch ein solcher 
  1744.   Versuch.
  1745.  
  1746.   Doch  nicht  immer  sind  es  neue  oder  besonders geschickte Viren, die zu 
  1747.   zweifelhaftem  Ruhm  gelangen.  Ein besonders aktuelles Beispiel der letzten 
  1748.   Monate,  bei  der ein Virus auf einer Heftdiskette im ganzen Land verbreitet 
  1749.   wurde, betrifft einen alten Bekannten: Auf der Diskette zur Septemberausgabe 
  1750.   92 der ST-Zeitschrift "TOS" befand sich nämlich der SIGNUM/BPL Virus. Er ist 
  1751.   wohl  der  am  weitesten  verbreitete  Bootsektorvirus auf dem Atari ST. Man 
  1752.   schätzt,  daß weltweit etwa 1,5 Millionen Kopien davon existieren. Da er nun 
  1753.   wieder  einmal  Thema  der aktuellen Diskussion ist, soll seine Arbeitsweise 
  1754.   hier kurz erwähnt werden:
  1755.  
  1756.   Mit  der  bekannten  Textverarbeitung  gleichen  Namens  hat der Virus trotz 
  1757.   gegenteiliger  Gerüchte  nichts  zu tun. Wie alle Bootsektorviren kopiert er 
  1758.   sich  in  den Speicher, sofern von einer infizierten Diskette gebootet wird. 
  1759.   Dort  wartet er, bis auf eine nicht schreibgeschützte Diskette in Laufwerk A 
  1760.   oder  B  zugegriffen  wird. Sind die ersten beiden Byte im Bootsektor dieser 
  1761.   Diskette  nicht  $6038  (der  typische Sprungbefehl BRA $38 am Anfang dieses 
  1762.   Virus  und vieler Bootprogramme), dann kopiert er sich auf diesen Bootsektor 
  1763.   (er infiziert also die eingelegte Diskette) und tut zunächst nichts weiter.
  1764.  
  1765.   Dies  ändert  sich,  wenn der Virus auf einen Bootsektor trifft, bei dem die 
  1766.   ersten  beiden  Byte  $6038  sind und bei dem an einer bestimmten Stelle der 
  1767.   Wert  $1092  (dezimal übrigens 4242 (42-Crew???)) steht. Ist dann zudem noch 
  1768.   ein  Zähler  des  Virus kleiner als ein entsprechender Zähler im überprüften 
  1769.   Bootsektor,  dann  wird dieser Bootsektor ausgeführt, gleichgültig ob er für 
  1770.   das Betriebssystem tatsächlich ausführbar ist.
  1771.  
  1772.   Der  SIGNUM/BPL  Virus  könnte  also  eine  Art  "Hilfsvirus" für einen ganz 
  1773.   anderen Virus sein, der mangels Ausführbarkeit von den meisten Usern erstens 
  1774.   nicht  gefunden und zweitens, falls bemerkt wird, daß da etwas im Bootsektor 
  1775.   steht,   trotzdem   nicht   weiter   beachtet  wird.  Dieser  Virus  verfügt 
  1776.   höchstwahrscheinlich über einen Zähler.
  1777.  
  1778.   Dieser  "zweite  Teil"  ist  aber  bislang  nirgendwo  aufgetaucht.  Da  der 
  1779.   SIGNUM/BPL  Virus  ohne  diesen zweiten Teil keine Aktionen startet, die dem 
  1780.   Anwender  auffallen  könnten,  ist  seine  weite  Verbreitung  nicht  weiter 
  1781.   verwunderlich.    Auch    ausführbare    Bootsektoren   (Spiele-Lader   oder 
  1782.   Immunisierungs-Bootsektoren)  werden nicht überschrieben, sofern sie mit dem 
  1783.   üblichen $6038 beginnen - allerdings trifft das nicht auf alle Bootprogramme 
  1784.   zu. Zudem gibt es von diesem Virus bereits Mutationen, die sich generell auf 
  1785.   jeden Bootsektor kopieren.
  1786.  
  1787.   Doch  auch ohne den bislang unbekannten zweiten Teil kann der Virus Probleme 
  1788.   bereiten,   da  zum  Beispiel  zuvor  MS-DOS-kompatible  Disketten  nun  von 
  1789.   MS-DOS-Rechnern   nicht   mehr  gelesen  werden  können.  Zudem  führt  eine 
  1790.   infizierte  Diskette  auf  einem TOS 2.05, zu dem der Virus nicht kompatibel 
  1791.   ist, zu Abstürzen beim Bootvorgang.
  1792.  
  1793.  
  1794.   VI.             So funktioniert der VIRENDETEKTOR
  1795.                   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  1796.  
  1797.   Der  VIRENDETEKTOR ist, wie schon im Vorwort beschrieben, äußerst einfach in 
  1798.   der  Handhabung!  Das  Programm  ist  auf allen STs lauffähig; benötigt wird 
  1799.   allerdings  ein  Monitor  (bzw.  eine  Grafikkarte),  die mindestens 640*400 
  1800.   Punkte  liefert. Wer nur einen ST mit Farbmonitor hat, braucht sich nun aber 
  1801.   nicht  enttäuscht abzuwenden. Es gibt zwar keine Version des VIRENDETEKTORS, 
  1802.   die  auf  dem  ST  mit  Farbmonitor läuft, da beispielsweise die Darstellung 
  1803.   eines  kompletten  Bootsektors in Hex und ASCII in der mittleren oder gar in 
  1804.   der  niedrigen ST-Monitorauflösung nicht vernünftig zu realisieren ist, aber 
  1805.   mit einem kleinen Trick kommen auch Farbmonitor-Besitzer in den Genuß dieses 
  1806.   Programms:
  1807.  
  1808.   Der  Trick  heißt  MONOCHROM-EMULATOR!  Dabei handelt es sich um ein kleines 
  1809.   Programm, daß auf dem ST-Farbmonitor die hohe Auflösung darstellt. Natürlich 
  1810.   kann man von diesem Programm keine Wunder erwarten, d.h. die Bildschärfe und 
  1811.   Auflösung  erreicht  natürlich nicht die eines SM 124, es stehen schließlich 
  1812.   auch  nur  halb soviel Bildschirmpunkte zur Verfügung. Ein längeres Arbeiten 
  1813.   z.B.  mit  Signum  wird mit diesem Emulator deshalb auch kaum zum Vergnügen. 
  1814.   Für  die  Virenjagd  mit  dem  VIRENDETEKTOR  ist  der Emulator aber auf dem 
  1815.   Farbmonitor eine halbwegs akzeptable Lösung, da zumindest die Meldungen, die 
  1816.   das Programm ausgibt, einigermaßen lesbar sind. Trotzdem ist die Anschaffung 
  1817.   eines SM 124 unbedingt zu empfehlen.
  1818.  
  1819.   Wer  lediglich einen Farbmonitor am ST betreibt und keinen Emulator besitzt, 
  1820.   kann  einen  solchen  bei  mir  erhalten! Registrierte Benutzer schicken mir 
  1821.   einfach   eine  formatierte  Disk  und  einen  ausreichend  (!)  frankierten 
  1822.   Rückumschlag.  Wer  noch  nicht  registriert ist, gibt bei der Registrierung 
  1823.   (näheres  dazu  in  Kapitel VIII) bitte an, daß er den Emulator benötigt. Er 
  1824.   wird dann kostenlos beigelegt.
  1825.  
  1826.   Im  großen  und ganzen sind die Funktionen der einzelnen Menüpunkte ja schon 
  1827.   erläutert  worden,  hier  finden  Sie zu dem einen oder anderen Punkt einige 
  1828.   ergänzende Erläuterungen:
  1829.  
  1830.   
  1831.   Der   Startbildschirm  enthält  neben  der  Angabe  von  TOS-,  GEMDOS-  und 
  1832.   GEM-Version,  dem  TOS-Datum und der Anfangsadresse des Betriebssystems eine 
  1833.   Liste von sieben Systemvariablen.
  1834.   
  1835.  
  1836.   Dies  sind TRAP #1 (zeigt auf den Dispatcher für die GEMDOS-Traps), TRAP #13 
  1837.   (zeigt  auf  den  Dispatcher  für  die  BIOS-Traps), TRAP #14 (zeigt auf den 
  1838.   Dispatcher  für die XBIOS-Traps), resvektor, hdv_bpb (zeigt auf die Routine, 
  1839.   die  den  Bios  Parameter  Block  eines  logischen Laufwerks zurückliefert), 
  1840.   hdv_rw  (zeigt  auf  die  Routine  zum  Lesen/Schreiben  von Laufwerken) und 
  1841.   hdv_mediach  (zeigt  auf die Routine zur Bestimmung des Medienwechsel-Status 
  1842.   eines logischen Laufwerks).
  1843.  
  1844.   Normalerweise  zeigen diese Systemvariablen ins Betriebssystem, es sei denn, 
  1845.   ein  speicherresidentes Programm hat sie auf eine eigene Adresse "verbogen". 
  1846.   Dies   ist   z.B.   für  Hardisk-Treiber  notwendig.  Auch  das  beiliegende 
  1847.   Accessory/Programm  WPROTECT verbiegt hdv_rw, denn WPROTECT muß ja irgendwie 
  1848.   mitbekommen,   wenn   ein   schreibender   Zugriff   auf  ein  softwaremäßig 
  1849.   schreibgeschütztes  Medium  versucht  wird, um diesen mit der entsprechenden 
  1850.   Meldung  zurückzuweisen.  Diese  sieben  Systemvektoren werden aber auch von 
  1851.   Viren  in der Regel verändert. Dabei ändert natürlich nicht jeder Virus auch 
  1852.   jede dieser sieben Systemvariablen.
  1853.  
  1854.   Weil  sich  inzwischen  eine  große  Zahl  von  Programmen  an  den diversen 
  1855.   Systemvektoren  zu  schaffen machen, gibt es das sogenannte "XBRA-Protokoll" 
  1856.   (eXtended BRAner). Es geht auf den amerikanischen Programmierer Moshe Braner 
  1857.   zurück  und  wurde  von  Julian  F. Reschke erweitert (siehe auch ST-Magazin 
  1858.   10/88, S. 66 und 4/90, S. 58 f.).
  1859.  
  1860.   Mit  Hilfe  dieses  Protokolls,  bei  dem  neben dem ursprünglichen Wert der 
  1861.   Systemvariablen  auch  eine  4-Byte-Kennung  des Programms gespeichert wird, 
  1862.   (bei  WPROTECT  ist die Kennung z.B. "WPRO") kann sich ein "Vektorverbieger" 
  1863.   auch  nachträglich  wieder  aus  der  Kette  aushängen,  die ja von mehreren 
  1864.   Programmen  verändert  werden  kann. Zudem kann ein Programm erkennen, ob es 
  1865.   bereits in diesem Vektor installiert ist. Verwenden alle Programme, die sich 
  1866.   in  einen  Systemvektor  einhängen,  dieses  XBRA-Protokoll, so kann man die 
  1867.   Kette  verfolgen,  bis man letztlich im Betriebssystem endet. Dies zeigt der 
  1868.   VIRENDETEKTOR  auch  an,  es  werden  jeweils  die Programmkennungen und die 
  1869.   Adresse, auf die der Vektor umgebogen wurde, ausgegeben. Letztlich endet die 
  1870.   Liste  mit  der  Pseudokennung  "->BS",  die  anzeigt,  daß  man  wieder  im 
  1871.   Betriebssystem  angekommen  ist.  Leider halten sich wie schon erwähnt nicht 
  1872.   alle  Programme  an diesen Standard. Somit kann es sein, daß diese Kette mit 
  1873.   einem "????" endet. Dann wurde der Systemvektor von einem Programm verbogen, 
  1874.   welches  das  XBRA-Protokoll  nicht  befolgt.  Dies  könnte also auch darauf 
  1875.   hindeuten, daß sich an dieser Stelle ein Virus eingeklinkt hat.
  1876.  
  1877.   Damit  nicht zwei Programme die gleiche 4-Byte-Kennung verwenden, werden die 
  1878.   bereits  an andere Programme vergebenen XBRA-Kennungen von Julian F. Reschke 
  1879.   (EMail: julian@math.uni-muenster.de oder jr@ms.maus.de) gesammelt.
  1880.  
  1881.   Bei  der  Funktion 'Bootsektor überprüfen' wird der Bootsektor des gewählten 
  1882.   Laufwerks (A oder B) eingelesen. Dann überprüft das Programm zunächst ob der 
  1883.   gelesene  Bootsektor  ausführbar ist. Falls das der Fall ist, so wird er mit 
  1884.   allen  Bootsektoren,  die  das  Programm  kennt  (in dieser Version sind das 
  1885.   immerhin  über  70  Stück),  verglichen.  Kann  VIRENDETEKTOR den Bootsektor 
  1886.   identifizieren, so wird festgestellt, ob es sich um einen Virus handelt oder 
  1887.   um   einen   legalerweise   ausführbaren   Bootsektor   (z.B.   Aladin-Disk, 
  1888.   60Hz-Bootsektor,  TOS-Bootsektor,  Lader  für  ein Spiel, ...). Das wird dem 
  1889.   Benutzer  natürlich  mitgeteilt  (z.B.  "Diese  Disk ist eine ALADIN-Disk"). 
  1890.   Diese  Mitteilungen  können  unter  dem  Menüpunkt  "Weitere  Optionen"  mit 
  1891.   "Info-Meldungen  ein/ausschalten" auch unterdrückt werden. Damit ist bei der 
  1892.   Überprüfung  einer  großen  Zahl von Disketten ein noch schnelleres Arbeiten 
  1893.   möglich. Wenn das Bootprogramm nicht zwingend erforderlich ist, kann es auch 
  1894.   auf Wunsch entfernt werden.
  1895.  
  1896.   Falls es sich um einen Virus handelt, wird das ebenfalls gemeldet (natürlich 
  1897.   auch  bei  abgeschalteten  Info-Meldungen)  und zwar sowohl mit seinem Namen 
  1898.   (für  Viren, deren Herkunft im Dunkeln liegt, ist dieser Name allerdings von 
  1899.   mir  erfunden  und somit wenig aussagekräftig) sowie mit dem Hinweis, in der 
  1900.   wievielten Generation er vorliegt (natürlich nur bei mutierenden Viren, also 
  1901.   Viren, die ein oder mehrere Bytes als Zähler verwenden).
  1902.  
  1903.   Dann kann der Virus auf Knopfdruck gelöscht werden, d.h. der Bootsektor wird 
  1904.   unter  Aussparung  der Seriennummer und der Diskettenstruktur-Information im 
  1905.   Bereich  $08-$1D  vollständig  genullt.  Gegebenenfalls  wird  die  gewählte 
  1906.   Immunisierung aufgebracht.
  1907.  
  1908.   Sollte  das  Programm  einen  ausführbaren  Bootsektor  nicht identifizieren 
  1909.   können, so wird auch das gemeldet und der Benutzer hat die Möglichkeit, eine 
  1910.   Routine   aufzurufen,  die  das  Bootprogramm  auf  bestimmte  Virenmerkmale 
  1911.   untersucht.   Das   Bootprogramm  wird  dann  als  gefährlich  oder  harmlos 
  1912.   klassifiziert.
  1913.  
  1914.   Der  dafür  verwendete  Algorithmus  hat  sich  bis heute in allen Tests als 
  1915.   absolut  zuverlässig erwiesen! Es gibt nur eine einzige Möglichkeit, daß ein 
  1916.   Virus  diese  Überprüfung  (und die ähnlich arbeitender Anti-Virenprogramme) 
  1917.   unerkannt übersteht. Ich werde mich dazu aber nicht näher äußern, da ich den 
  1918.   Programmierern von Computerviren nicht auch noch Hilfestellung geben möchte. 
  1919.   Bisher  ist  jedenfalls  allem  Anschein  nach  ein solcher Virus noch nicht 
  1920.   aufgetaucht.
  1921.  
  1922.   Sollte dennoch einmal die Meldung erscheinen "Keine exakte Aussage möglich", 
  1923.   so  ist  es  am  einfachsten,  wenn  Sie mit den in eine Datei geschriebenen 
  1924.   Bootsektor  zur  genaueren  Analyse  zuschicken. Ansonsten bleibt Ihnen noch 
  1925.   folgender  Test,  um  festzustellen, ob es sich möglicherweise doch um einen 
  1926.   Virus handelt:
  1927.  
  1928.   Nehmen Sie zwei leere Disketten, die ich im folgenden mit A und B bezeichnen 
  1929.   werden.  Falls Sie eine Festplatte besitzen, so schalten Sie diese unbedingt 
  1930.   ab!
  1931.  
  1932.   Sorgen  Sie zunächst dafür, daß Ihr Rechner frei von Viren ist, d.h. Rechner 
  1933.   ausschalten und mit garantiert sauberer oder ganz ohne Diskette booten.
  1934.  
  1935.   Kopieren  Sie  nun die gesamte Diskette mit dem unbekannten Bootprogramm auf 
  1936.   Disk  A.  Verwenden  Sie  dazu ein Kopierprogramm (z.B. FCopy oder Bitte ein 
  1937.   Bit), damit auch der Bootsektor übertragen wird. Formatieren Sie dann Disk B 
  1938.   neu.  Nun  booten  Sie  von  Disk  A und legen, nachdem das gewohnte Desktop 
  1939.   erschienen  ist,  Disk B ein. Falls es sich bei dem unbekannten Bootprogramm 
  1940.   auf  Disk  A  um  einen  Virus  handelt,  so wird dieser sich bei der ersten 
  1941.   Gelegenheit  auf  den  Bootsektor  der  frisch formatierten Disk B kopieren. 
  1942.   Diese  Gelegenheit  schaffen  Sie  nun, indem Sie Disk B ins Laufwerk legen, 
  1943.   sich  das Inhaltsverzeichnis anzeigen lassen und 'Arbeit sichern' im Desktop 
  1944.   anwählen.
  1945.  
  1946.   Schalten Sie Ihren Rechner einen Augenblick aus und dann wieder ein - um ein 
  1947.   eventuellen  Virus  aus dem RAM zu verjagen, natürlich ohne Disk A oder B im 
  1948.   Laufwerk!  Nun  können  Sie  den Bootsektor von Disk B mit dem VIRENDETEKTOR 
  1949.   überprüfen.
  1950.  
  1951.   Sollte der Bootsektor von Disk B nun ein unbekanntes Bootprogramm enthalten, 
  1952.   dann kann das nur ein Virus sein!
  1953.  
  1954.   Diese  Vorgehensweise  ist  leider  etwas umständlich, dafür sollte sie aber 
  1955.   auch  so  gut  wie  nie notwendig werden! Wesentlich einfacher können Sie es 
  1956.   sich  machen,  wenn Sie mir einen verdächtigen Bootsektor, den Sie zuvor mit 
  1957.   dem  VIRENDETEKTOR in eine Datei geschrieben haben, auf Diskette zur Analyse 
  1958.   zuschicken.   Sie   erhalten  ihre  Diskette  selbstverständlich  mit  einer 
  1959.   aktualisierten Version des VIRENDETEKTORS zurück. Wer meine Virensammlung um 
  1960.   ein  neues  Exemplar bereichert, kommt zudem noch in den Genuß einer kleinen 
  1961.   Belohnung!
  1962.  
  1963.   Wenn der untersuchte Bootsektor nicht ausführbar ist, so wird geprüft, ob es 
  1964.   sich  um  einen ganz normalen Bootsektor handelt oder ob Daten im Bootsektor 
  1965.   stehen.  Das  können  z.B. ein Copyright sein, Reste eines ehemaligen Virus, 
  1966.   der mit einem fremden Viren-Killer bearbeitet worden ist oder ähnliches. Wer 
  1967.   möchte,  kann  auch  diese Daten löschen, obwohl davon keine Gefahr ausgehen 
  1968.   kann.
  1969.  
  1970.   Bei  der  Überprüfung  einer  gesamten  Partition  oder  eines Laufwerks auf 
  1971.   Linkviren  werden seit Version 2.9d auch alle "versteckten" Files überprüft. 
  1972.   Das  sind Dateien, bei denen das "hidden"-Attribut im Directory gesetzt ist. 
  1973.   Diese   Files   werden   im   Directory   (und  AUCH  in  der  systemeigenen 
  1974.   Fileselect-Box)   nicht  angezeigt.  Gleiches  gilt  auch  für  Dateien  mit 
  1975.   gesetztem "system"-Attribut.
  1976.  
  1977.   Die  Überprüfung  auf  Linkviren  kann durch Drücken der ESCAPE-Taste (bitte 
  1978.   eine Weile gedrückt halten) vorzeitig abgebrochen werden. Sollten Sie einmal 
  1979.   aus   Versehen   die   ESCAPE-Taste  gedrückt  haben,  wiederholen  Sie  die 
  1980.   Überprüfung einfach noch einmal.
  1981.  
  1982.   Bei  der  Überprüfung werden alle Dateien mit den Extensionen PR*, AC*, APP, 
  1983.   TOS,   GTP  und  TTP,  sowie  mit  den  vier  selbstdefinierten  Extensionen 
  1984.   berücksichtigt.  Damit  werden  zum  Beispiel  auch Programme im Auto-Ordner 
  1985.   erfaßt, die in *.PRX oder *.PR umbenannt wurden.
  1986.  
  1987.   Mit  der  Funktion  "Einzelne  Programme überprüfen" können Sie auch Dateien 
  1988.   anwählen, die keine ausführbaren Programme sind. Natürlich ist es vollkommen 
  1989.   sinnlos,  beispielsweise  eine  Bildschirmgrafik  oder  eine ASCII-Datei auf 
  1990.   Virenbefall zu untersuchen. Der VIRENDETEKTOR meldet dies entsprechend, wenn 
  1991.   es  sich  nicht  um  eine Programmdatei handelt und erstellt dann auch keine 
  1992.   CRC-Prüfsumme.
  1993.  
  1994.   Ich    werde    oft    gefragt,    weshalb   der   VIRENDETEKTOR   bei   der 
  1995.   Linkvirenüberprüfung  so  schnell  arbeitet.  Der Begriff "schnell" ist zwar 
  1996.   relativ unbestimmt, aber wer über eine schnelle Festplatte verfügt, oder die 
  1997.   Überprüfung   auf   einer   RAM-Disk  vornimmt,  wird  tatsächlich  von  der 
  1998.   Geschwindigkeit  des  VIRENDETEKTORS angenehm überrascht oder sogar erstaunt 
  1999.   sein. Leider ist die Geschwindigkeit von der Version 3.0 auf die Version 3.1 
  2000.   (bzw.  3.1a)  etwas  zurückgegangen,  ich werde in nächster Zeit noch einige 
  2001.   Optimierungen  vornehmen.  Seit der Version 3.1b ist die Geschwindigkeit der 
  2002.   Überprüfung    von    Programmen    auf    Linkviren   mit   eingeschalteter 
  2003.   CRC-Prüfsummenbildung  schon  wieder  um  etwas mehr als 25% gestiegen. Dies 
  2004.   macht  sich  allerdings  nur  bei Festplatten oder RAM-Disks bemerkbar, beim 
  2005.   Zugriff  auf  Disketten macht der relativ langsame Massenspeicherzugriff den 
  2006.   Löwenanteil  der  verbrauchten Zeit aus. Bisweilen wird der eine oder andere 
  2007.   Anwender  ein  wenig  misstrauisch, ob denn bei dieser Geschwindigkeit alles 
  2008.   mit  rechten  Dingen  zugehe  oder  ob  nicht vielleicht die Überprüfung nur 
  2009.   deswegen  so  schnell sei, weil eben schlampig gearbeitet werde. Nun, diesen 
  2010.   Befürchtungen möchte ich energisch entgegentreten!
  2011.  
  2012.   Um  einmal  zu  verdeutlichen,  warum der VIRENDETEKTOR so schnell arbeitet, 
  2013.   werde   ich  kurz  erläutern,  was  bei  der  Überprüfung  einer  Datei  auf 
  2014.   Linkvirenbefall  geschieht.  Zunächst  einmal  wird  anhand des Dateianfangs 
  2015.   überprüft,  ob  es  sich  überhaupt um ein ausführbares Programm handelt. Es 
  2016.   bleibt  Ihnen  unbenommen,  Ihre  Lieblingsbilder mit der Extension *.PRG zu 
  2017.   versehen,  der  VIRENDETEKTOR  erkennt,  daß  es  sich  nicht um ausführbare 
  2018.   Programme  handelt  und meldet dann, daß ein Virenbefall einer solchen Datei 
  2019.   somit  nicht  möglich  ist.  (Ein  Starten  dieser  Datei  im  Desktop führt 
  2020.   natürlich  auch zu einer Fehlermeldung.) Für diesen Fall ist die Überprüfung 
  2021.   somit bereits beendet.
  2022.  
  2023.   Falls  es sich aber um ein ausführbares Programm handelt, so wird nicht etwa 
  2024.   die  gesamte  Datei  in den Arbeitsspeicher geladen (das würde viel zu lange 
  2025.   dauern  und  ist  völlig  unnötig),  sondern  nur  der  Teil,  der von einem 
  2026.   eventuell  vorhandenen  Linkvirus  tatsächlich  verändert  würde.  Insgesamt 
  2027.   müssen  nur knapp 300 Bytes gelesen werden, was auch von einer Diskette noch 
  2028.   in  akzeptabler Zeit zu machen ist. Danach werden die eingelesenen Teile der 
  2029.   Datei  auf  eine  Veränderung durch einen der bekannten Linkviren überprüft. 
  2030.   Falls  der  CRC-Check  eingeschaltet  ist,  wird  zudem  über  den  Teil des 
  2031.   Programmes,   der  sich  bei  einem  Linkvirenbefall  verändern  MUSS,  eine 
  2032.   CRC-Prüfsumme  gebildet. Damit ist bei späteren Überprüfungen gewährleistet, 
  2033.   daß  auch  ein Befall durch bislang unbekannte Linkviren zuverlässig erkannt 
  2034.   wird,   selbst   wenn   die   Analyse  auf  unbekannte  Linkviren,  die  der 
  2035.   VIRENDETEKTOR durchführt, keinen Befall meldet.
  2036.  
  2037.   Sie  sehen  also,  daß  der  VIRENDETEKTOR nur relativ wenig Massenspeicher- 
  2038.   zugriffe   benötigt.   Gerade   diese   sind   aber   im  allgemeinen  dafür 
  2039.   verantwortlich,  wenn ein Virenkiller ein "Schlaftablettenfeeling" aufkommen 
  2040.   läßt.  Es  ist  völlig  unsinnig, ein Programm von mehreren hundert Kilobyte 
  2041.   komplett in den Arbeitsspeicher zu laden, auch die Berechnung der Checksumme 
  2042.   über  eine  komplette  Programmdatei  ist  nervtötend  langsam  und  absolut 
  2043.   unsinnig.   Ich   bin   sogar  sicher,  daß  sich  die  Geschwindigkeit  des 
  2044.   VIRENDETEKTORS  noch  um  ein paar Prozent steigern läßt, viel ist aber wohl 
  2045.   nicht  mehr  herauszuholen. Immerhin hat sich die Arbeitsgeschwindigkeit von 
  2046.   Update  zu  Update  bis  zur Version 3.0g kontinuierlich gesteigert und das, 
  2047.   obwohl sich die Anzahl der Viren, die das Programm erkennt, ebenfalls erhöht 
  2048.   hat!  Der  geringe  Geschwindigkeitsrückgang mit Einführung der Version 3.1, 
  2049.   den  Sie  bei der Überprüfung von Disketten überhaupt nicht bemerken werden, 
  2050.   ist  auf  die  neuen Programmfunktionen zurückzuführen (insbesondere darauf, 
  2051.   daß  nun  mehr CRC-Prüfsummen pro Programmnamen möglich sind und darauf, daß 
  2052.   auch nach gepackten Programmen gesucht wird).
  2053.  
  2054.   Wenn  Ihnen  der  Aufbau  der Dialogboxen auf dem Bildschirm zu langsam ist, 
  2055.   dann sollten Sie einen sogenannten "Software-Blitter" verwenden (NVDI, TURBO 
  2056.   ST  oder QUICK ST). Ich kann hier aus Kompatibilitätsgründen nicht mehr viel 
  2057.   herauskitzeln,   schließlich   soll   der   VIRENDETEKTOR  auf  allen  ATARI 
  2058.   ST/STE/TT/FALCON 030 Rechnern und mit diversen Grafikkarten laufen.
  2059.  
  2060.   Ein  wichtiger  Punkt  bei der Beurteilung eines Anti-Virenprogramms ist die 
  2061.   Anfälligkeit  für  Fehlalarme.  D.h.  wie  häufig  kommt  es  vor,  daß eine 
  2062.   vermeintliche  Infizierung  durch  einen  Virus  diagnostiziert wird, die in 
  2063.   Wahrheit nicht vorhanden ist. Der VIRENDETEKTOR verhält sich in diesem Punkt 
  2064.   relativ  unproblematisch.  Wird  ein  unbekannter  Bootsektor  als infiziert 
  2065.   gekennzeichnet,  so kann man tatsächlich zu beinahe 100% davon ausgehen, daß 
  2066.   es  sich  um  einen bislang unbekannten Virus handelt. Es ist jedenfalls bis 
  2067.   heute  kein  harmloses  Bootprogramm  aufgetaucht, welches vom VIRENDETEKTOR 
  2068.   irrtümlich  für  einen  Virus gehalten worden wäre. Bei Linkviren ist es so, 
  2069.   daß die bekannten Linkviren immer erkannt werden - wird ein Befall gemeldet, 
  2070.   so  kann  es  sich  nicht  um  einen  Fehlalarm handeln. Die Überprüfung der 
  2071.   CRC-Prüfsumme  ist  allerdings mit einer gewissen Unsicherheit behaftet. Zum 
  2072.   einen  kann  nicht ausgeschlossen werden, daß ein Programm zum Zeitpunkt der 
  2073.   Prüfsummenerstellung  bereits  von  einem bislang unbekannten Virus befallen 
  2074.   ist,  zum  anderen  kann es zu Veränderungen an Programmen kommen, die nicht 
  2075.   durch  Virenbefall  verursacht  worden  sind, die aber durch eine veränderte 
  2076.   CRC-Prüfsumme den Verdacht auf Virenbefall nahelegen.
  2077.  
  2078.   Nun  noch  einige Zeilen zum Ordner WPROTECT: WPROTECT.ACC und WPROTECT.PRG, 
  2079.   sowie  die  weiteren  Dateien  in  diesem  Ordner  sind  ein Bestandteil des 
  2080.   Lieferumfangs  des  VIRENDETEKTOR.  Eine  Weitergabe  dieser Dateien und des 
  2081.   Quellcodes   ist  auch  ohne  die  weiteren  Files  dieses  SHAREWARE-Pakets 
  2082.   zulässig,  nicht jedoch umgekehrt! WPROTECT ist seit der Version 1.02 wieder 
  2083.   Public  Domain,  der  Autor  gestattet  die  Weitergabe  jedoch  nur  in der 
  2084.   unveränderten Version.
  2085.  
  2086.   Das   Accessory   muß   auf  das  Hauptdirectory  Ihrer  Bootpartition  oder 
  2087.   Bootdiskette  kopiert  werden und wird dann beim nächsten Reset installiert, 
  2088.   das Programm gehört in den AUTO-Ordner. Übrigens sind Programm und Accessory 
  2089.   identisch.  Sie  brauchen es nur umzubenennen. Der Einfachheit halber ist es 
  2090.   im VIRENDETEKTOR-Ordner doppelt vorhanden.
  2091.  
  2092.   Das  Accessory  ermöglicht  es Ihnen, beliebige Partitionen Ihrer Festplatte 
  2093.   oder  Ihre  RAM-Disk  vor  Schreibzugriffen  zu  schützen.  Nach  Aufruf des 
  2094.   Accessories  erscheint  eine Dialog-Box, in der Sie mit der Maus unter allen 
  2095.   angemeldeten   Laufwerken   anwählen   können.   Sie   können  die  gewählte 
  2096.   Konfiguration  auch  abspeichern.  Näheres zur Bedienung von WPROTECT finden 
  2097.   Sie in der Datei WPROTECT.TXT.
  2098.  
  2099.   Eine  mit  WPROTECT  schreibgeschützte  Partition oder RAM-Disk verhält sich 
  2100.   genau  wie  eine schreibgeschützte Diskette. Beim Versuch etwas zu schreiben 
  2101.   oder zu löschen erscheint die von dort bekannte Alert-Box. Der Schreibschutz 
  2102.   kann  auch  von  den  zur  Zeit  im Umlauf befindlichen Viren nicht umgangen 
  2103.   werden,    dennoch    bietet   er   nicht   den   absoluten   Schutz   eines 
  2104.   Hardware-Schreibschutzes!
  2105.  
  2106.   Das  Accessory  wurde  auf den TOS-Versionen 1.00, 1.02 1.04, 2.05, 3.01 und 
  2107.   3.05,  mit  diversen  RAM-Disks  sowie  mit  den  Festplatten  SH204, SH205, 
  2108.   Megafile  30  und  einigen  SCSI-Platten getestet. Es läuft mit dem AHDI von 
  2109.   Atari  ebenso  zusammen,  wie  mit  dem CBHD vom Scheibenkleister und Julian 
  2110.   Reschkes  HUSHI.  TROTZDEM  empfehlen  wir  bei der Verwendung eines anderen 
  2111.   Treibers (insbesondere bei VORTEX-Treibern) Vorsicht walten zu lassen.
  2112.  
  2113.   Die  Bedienung  des  Accessories  ist  seit der Version 1.0 sehr komfortabel 
  2114.   geworden.   Das   Auto-Ordnerprogramm   belegt  weniger  als  ein   Kilobyte 
  2115.   Hauptspeicher, das Accessory begnügt sich immerhin noch mit deutlich weniger 
  2116.   als 10 Kilobyte Hauptspeicher. Damit ist seine Verwendung auch auf einem 0,5 
  2117.   MB  Rechner  kein Problem! Genaueres erfahren Sie in der Datei WPROTECT.TXT. 
  2118.   Für  die  Programmierung des Accessories geht mein Dank an Christoph Conrad, 
  2119.   der auch sonst einiges zum VIRENDETEKTOR beigetragen hat.
  2120.  
  2121.   Als  letzten  Hinweis  möchte  ich  Sie noch daran erinnern, daß Sie vor der 
  2122.   Arbeit   mit   VIRENDETEKTOR   dafür   sorgen,   daß   sich  kein  Virus  im 
  2123.   Arbeitsspeicher  aufhält. Das würde sich nämlich sonst nach Restaurieren des 
  2124.   Bootsektors  gleich  wieder  dort einnisten. VIRENDETEKTOR überprüft zwar zu 
  2125.   Beginn, ob sich ein Virus im Speicher aufhält und meldet sich, wenn es einen 
  2126.   Virus findet, ich kann jedoch nicht dafür garantieren, daß diese Überprüfung 
  2127.   wirklich  jeden Virus im Arbeitsspeicher entdeckt. Dies gilt besonders dann, 
  2128.   wenn noch weitere Programme im Speicher resident sind, die sich ebenfalls an 
  2129.   diversen Systemvektoren zu schaffen machen (Harddisk-Treiber, u.ä. ...)!
  2130.  
  2131.   Deshalb ist dringend zu empfehlen, vor dem Start von VIRENDETEKTOR mit einer 
  2132.   garantiert sauberen Diskette zu booten! (Sollten Sie sich nicht sicher sein, 
  2133.   ob  Sie  überhaupt  noch  eine unverseuchte Diskette besitzen, so booten Sie 
  2134.   einfach ohne Diskette, das dauert zwar etwa 40 Sekunden, ist dafür aber auch 
  2135.   totsicher.)
  2136.  
  2137.  
  2138.   VII.            "Immunisierung" - Schutz vor Bootsektorviren???
  2139.                   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  2140.  
  2141.   Viele  Anti-Virenprogramme  versprechen eine "Immunisierung" des Bootsektors 
  2142.   zum  Schutz  vor  Bootsektorviren. Diese "Immunisierung" soll den Bootsektor 
  2143.   vor  dem  Zugriff  eines  Virus schützen oder den Befall zumindest erkennbar 
  2144.   machen, bevor der Virus sich weiter verbreitet und Schaden anrichtet.
  2145.  
  2146.   Um dieses Ziel zu erreichen sind zwei Methoden verbreitet:
  2147.  
  2148.   Zum  einen  kann  man  an  den  Beginn  des Bootsektors die Kombination 9656 
  2149.   ($6038)  schreiben,  das  ist im Maschinencode ein BRA +$38, also ein Sprung 
  2150.   zum Beginn eines Bootprogramms.
  2151.  
  2152.   Dieses  zunächst unsinnig erscheinende Vorgehen, schließlich existiert weder 
  2153.   ein Bootprogramm, noch ist der Bootsektor überhaupt ausführbar, hat durchaus 
  2154.   einen   Sinn.   Viele  Bootsektorviren  schauen  freundlicherweise  vor  der 
  2155.   Infizierung  eines Bootsektors nach, ob sich schon ein ausführbares Programm 
  2156.   im  Bootsektor  befindet  und  verzichten  dann auf eine Infizierung. Dieses 
  2157.   Nachschauen  besteht  aus  einer  Kontrolle  der  beiden  ersten  Bytes  des 
  2158.   Bootsektors,  findet  sich  dort  ein $6038, so nimmt der Virus die Existenz 
  2159.   eines  Bootprogramm  an  und  läßt  die  Finger  vom  Bootsektor. Damit sind 
  2160.   solchermaßen  immunisierte  Disketten  tatsächlich  vor  dem Zugriff einiger 
  2161.   Viren sicher.
  2162.  
  2163.   Allerdings hat dieses Verfahren auch seine Schattenseiten, da es erstens nur 
  2164.   vor  Viren  schützt,  die  freundlicherweise  die  oben erwähnte Überprüfung 
  2165.   vornehmen   (wie   es   z.B.   der  SIGNUM/BPL  Virus  oder  der  Virus  der 
  2166.   Bayrischen-Hackerpost tun) und somit keinen sicheren Schutz darstellt, sowie 
  2167.   zweitens  -  und  das ist sicher ein ebenso schwerwiegender Nachteil - einen 
  2168.   eventuellen  MS-DOS  kompatibelen  Bootsektor  (z.B.  für  den PC-Ditto) für 
  2169.   MS-DOS ungenießbar macht.
  2170.  
  2171.   TOS  und  MS-DOS  haben nämlich ein sehr ähnliches Diskettenformat, man kann 
  2172.   MS-DOS  Disketten  deshalb  problemlos mit einem ATARI ST lesen und auch auf 
  2173.   dem umgekehrten Weg ist das möglich, wenn beim Formatieren einige Feinheiten 
  2174.   beachtet  werden. (Einige Formatierprogramme - wie z.B. HYPERFORMAT 3.xx tun 
  2175.   das  bereits.) Eine dieser Feinheiten ist die Bytefolge $EB 34 90 (8086-Code 
  2176.   für  einen relativen Sprung und ein NOP) mit welcher der Bootsektor beginnen 
  2177.   muß,  wenn  er von einer MS-DOS Maschine gelesen werden soll. TOS ist es bei 
  2178.   nicht  ausführbaren  Bootsektoren  völlig egal was dort steht, MS-DOS ist da 
  2179.   leider etwas empfindlich.
  2180.  
  2181.   Über  den  Sinn  einer  solchen  Immunisierung  kann also gestritten werden; 
  2182.   einige  Anti-Virenprogramme  führen sie durch (z.B. G-DATA ANTI-VIREN-KIT I, 
  2183.   VDU, ...) andere nicht (SAGROTAN, ANTIBIOTUKUM, ...)!
  2184.  
  2185.   Eine  Unverschämtheit ist allerdings die Behauptung, diese Immunisierung sei 
  2186.   ein  zuverlässiger  Schutz  vor allen bekannten Bootsektorviren, wie sie zum 
  2187.   Beispiel  von  G-DATA  in  Bezug auf ihr Anti-Viren-Kit I aufgestellt wurde. 
  2188.   Entweder diente diese Behauptung der bewußten Käufertäuschung, um das eigene 
  2189.   Produkt  geldbeutelfüllenderweise  an  den  Mann/die  Frau  zu bringen (sehr 
  2190.   wahrscheinlich)  oder  sie  war  ein Zeichen völliger Unkenntnis (eigentlich 
  2191.   genauso  wahrscheinlich),  denn  tatsächlich  gibt  es  bereits  seit langem 
  2192.   mehrere(!) Bootsektorviren die diese "Immunisierung" völlig kalt läßt.
  2193.  
  2194.   Die  zweite  Immunisierungsmethode wurde aus der Erkenntnis geboren, daß die 
  2195.   oben  genannte Methode nicht der Weisheit letzter Schluß sein kann. Die Idee 
  2196.   ist  recht einfach: Man schreibe ein Bootprogramm in den Bootsektor, welches 
  2197.   sich  beim  Booten  mit einer Meldung auf dem Bildschirm bemerkbar macht. Es 
  2198.   schreibt  zum  Beispiel  "Diskette  OK."  auf den Bildschirm. Sollte nun ein 
  2199.   Virus  diese Diskette befallen (und somit unser Bootprogramm überschreiben), 
  2200.   so  fehlt beim nächsten Booten diese Meldung und der Benutzer weiß, daß sich 
  2201.   ein  Virus  im  Bootsektor  befindet.  Dieser  Virus  kann  dann  mit  einem 
  2202.   Anti-Virenprogramm vernichtet werden.
  2203.  
  2204.   Mit  dieser  Art  der  Immunisierung wird inzwischen recht häufig gearbeitet 
  2205.   (SAGROTAN,  ANTIVIR,  G-DATA  ANTI-VIREN-KIT III ...). Natürlich verrät sich 
  2206.   jeder Virus durch das Ausbleiben der Schutzmeldung, allerdings ist neben der 
  2207.   Unverträglichkeit   mit   MS-DOS   (siehe  oben)  zu  beachten,  daß  dieses 
  2208.   Schutzprogramm  nur  bei  Disketten  verwendet  werden  kann,  die noch kein 
  2209.   (nützliches)  Bootsektorprogramm enthalten. Zudem müssen dann natürlich alle 
  2210.   Disketten,  von  denen eventuell mal gebootet wird mit diesem Schutzprogramm 
  2211.   versehen werden, denn ein Ausbleiben der Meldung beim Booten wird ja als ein 
  2212.   Zeichen für Virenbefall interpretiert.
  2213.  
  2214.   Geben  Sie  eine  solchermaßen  behandelte  Diskette an jemanden weiter, der 
  2215.   diese  Art  von  Schutzbootsektor  noch  nicht  kennt,  so  kann er zu allem 
  2216.   Überfluß noch für einen neuen Virus gehalten werden.
  2217.  
  2218.   An  dieser  Stelle hatte ich in einer älteren Version dieses Textes zu einer 
  2219.   vorherigen  Version  des  VIRENDETEKTORS geschrieben: "Auf den ersten Virus, 
  2220.   der  sich  mit  "Bootsektor OK" meldet warte ich noch...". Nun, dieses Thema 
  2221.   scheint  jemand  aufgegriffen  zu haben, denn inzwischen gibt es tatsächlich 
  2222.   mehrere  Viren, die beim Booten eine ähnliche Meldung ausgeben und damit dem 
  2223.   Benutzer einen Immunisierungs-Bootsektor vorgaukeln. Ich habe diese Viren ja 
  2224.   bereits  im Kapitel über "Tarnkappen"-Viren erwähnt. Sie sehen also, was von 
  2225.   solchen  Meldungen  zu  halten ist. Denn neben diesem kurzen Text bietet der 
  2226.   Bootsektor dann noch ausreichend Platz für den Virencode.
  2227.  
  2228.   Dennoch  ist diese Art der "Immunisierung" besser, als die Immunisierung mit 
  2229.   dem  Pseudobranch  ($6038).  Für  Festplattenbesitzer, die immer die gleiche 
  2230.   (schreibgeschützte)  Diskette im Laufwerk haben, aber von der Platte booten, 
  2231.   kann Sie sogar empfohlen werden.
  2232.  
  2233.   Eine  weitere Masche ist ein Schutzprogramm der letztgenannten Art, das sich 
  2234.   selbst  wie ein Virus auf jeden noch nicht ausführbaren Bootsektor schreibt! 
  2235.   Dieses  Bootprogramm  meldet  sich  beim  Booten  mit dem Kommentar, daß der 
  2236.   Bootsektor  nicht  verseucht ist. Ursprung ist ein Anti-Virenprogramm namens 
  2237.   VIRUS-DESTRUCTION-UTILITY (VDU) 3.2 aus den Niederlanden.
  2238.  
  2239.   Ich  halte  das für eine äußerst üble Sache, denn ob ich meine Disketten mit 
  2240.   einem   solchen   Bootprogramm   versehe,  möchte  ich  schon  gerne  selbst 
  2241.   entscheiden.  Es  darf  nicht  dazu  kommen,  daß  jeder Programmierer seine 
  2242.   Programme, nur weil er sie für eine segensreiche Entwicklung hält, auf diese 
  2243.   Weise  unkontrolliert verbreitet! Diese Erkenntnis ist glücklicherweise auch 
  2244.   dem  Autor  dieses Virenkillers gekommen, denn in den neuen Versionen seines 
  2245.   Programmes ist diese Art der "Immunisierung" nicht mehr enthalten.
  2246.  
  2247.   Nach  meiner  Ansicht  sind  alle diese Immunisierungs-Bemühungen eigentlich 
  2248.   unnötig.  Wer  seine  Programme  und Disketten einmal komplett überprüft und 
  2249.   gegebenenfalls  von  Viren  befreit  hat,  desweiteren  jedes  neue Programm 
  2250.   zunächst mit dem VIRENDETEKTOR überprüft (das gleiche bei Disketten, die man 
  2251.   verliehen  hat),  dazu die oben genannten Vorsichtsmaßregeln befolgt, sollte 
  2252.   in Zukunft keinen Ärger mehr mit Computerviren haben.
  2253.  
  2254.   Da  man  über  die  Immunisierung  von  Bootsektoren  aber  wohl auch anders 
  2255.   urteilen  kann  und  ich  jedem Anwender die Möglichkeit offenlassen möchte, 
  2256.   nach  eigener  Fasson glücklich zu werden, bietet der VIRENDETEKTOR ab Vers. 
  2257.   2.9  auch  die  Möglichkeit  zur  Erzeugung  eines solchen "Immunisierungs"- 
  2258.   Bootsektors.   Damit   komme   ich   den   Wünschen   einiger  Anwender  des 
  2259.   VIRENDETEKTORS   nach   -   wie  Sie  sehen  lohnt  es  sich  durchaus,  als 
  2260.   (registrierter)  Anwender  Verbesserungsvorschläge  zu  machen. Wenn möglich 
  2261.   werden diese in der nächsten Programmversion berücksichtigt. Und da ich mich 
  2262.   nicht  entscheiden  konnte,  welcher  der  beiden  erwähnten Immunisierungs- 
  2263.   Methoden  ich  den  Vorzug geben sollte, dürfen Sie sich entscheiden, welche 
  2264.   Methode Sie anwenden wollen, sofern Sie ein Freund solcher Maßnahmen sind.
  2265.  
  2266.   Ich  habe es mir aber nicht verkneifen können, noch eine kleine Verbesserung 
  2267.   an   der  Methode  mit  dem  ausführbaren  Bootsektor-Immunisierungsprogramm 
  2268.   vorzunehmen.  Wenn  Sie  mit dem VIRENDETEKTOR einen solchen Immunisierungs- 
  2269.   bootsektor   auf   die   Diskette   schreiben,  DANN  BLEIBT  DIESE  DENNOCH 
  2270.   MS-DOS-kompatibel  (selbst  wenn  sie es vorher nicht war). Probieren Sie es 
  2271.   ruhig auf einem PC einmal aus.
  2272.  
  2273.   Als   dritte   Immunisierung   besteht   noch   die  Möglichkeit,  sich  vom 
  2274.   VIRENDETEKTOR  ein  kleines  Programm in den Autoordner schreiben zu lassen, 
  2275.   das  den  Bootsektor  bei  jedem  Booten  auf  Veränderungen überprüft. Dazu 
  2276.   braucht  der  Bootsektor  nicht  manipuliert  zu werden, er wird einfach zum 
  2277.   Vergleich  in  eine  Datei  auf  die Diskette geschrieben. Der große Vorteil 
  2278.   dieser  Methode  ist  die  absolute  Sicherheit,  denn  der  Bootsektor kann 
  2279.   jederzeit  bei  Befall  wieder durch den Originalbootsektor, der ja in einer 
  2280.   Datei  vorliegt,  ersetzt  werden.  Allerdings  ist dieses Verfahren nur für 
  2281.   diejenigen  von  Interesse,  die  von  Disketten booten. Festplattenbesitzer 
  2282.   sollten - wenn überhaupt - eine der beiden erstgenannten Immunisierungsarten 
  2283.   verwenden.
  2284.  
  2285.   Bei  der  Immunisierung mittels Autoordnerprogramms ist zu beachten, daß Sie 
  2286.   eine  solche  Diskette  nach Möglichkeit nicht als einzelne Dateien, sondern 
  2287.   mit  einem  Kopieroprogramm  (oder  mit  der  Diskcopy-Funktion  im Desktop) 
  2288.   kopieren.  Denn  nur  in  diesem  Fall  wird auch eine Kopie des Bootsektors 
  2289.   erstellt.  Kopieren  Sie  alle Dateien einzeln auf eine andere Diskette oder 
  2290.   ändern  Sie  beim  Kopieren  mit  einem  Kopierprogramm die Formatierung der 
  2291.   Diskette   (z.B.   Umkopieren   einer  einseitigen  auf  eine  doppelseitige 
  2292.   Diskette),  dann  wird  der Bootsektor der Zieldiskette im allgemeinen nicht 
  2293.   mit  dem  Bootsektor  der  Quelldiskette identisch sein. Dies wird bei einem 
  2294.   Bootvorgang von der Zieldiskette dazu führen, daß das Immunisierungsprogramm 
  2295.   im  Autoordner  den  vermeintlich  "manipulierten"  Bootsektor anmeckert. In 
  2296.   diesem   Fall  dürfen  Sie  UNTER  KEINEN  UMSTÄNDEN  den  alten  Bootsektor 
  2297.   "restaurieren"  -  denn  dann haben Sie den Bootsektor der Quelldiskette auf 
  2298.   der  Zieldiskette.  Und  wenn  das  Format  dieser  beiden  Disketten  nicht 
  2299.   identisch  war,  werden Sie Ihren Daten auf dieser Diskette wohl Adieu sagen 
  2300.   müssen,  sofern  Sie  den  Bootsektor  nicht mittels eines Diskettenmonitors 
  2301.   wieder mit den ursprünglichen Formatinformationen füttern können.
  2302.  
  2303.   Kopieren  Sie  also  beim "Filecopy" die Datei mit dem Bootsektorduplikat im 
  2304.   Autoordner  NICHT mit auf die Zieldiskette. Nach dem nächsten Booten von der 
  2305.   Zieldiskette  erstellt  das  Immunisierungsprogramm  im Autoordner sich eine 
  2306.   neue Kopie des Bootsektors und alles ist in bester Ordnung.
  2307.  
  2308.   Beim  Programmstart  ist  die  Immunisierung  abgeschaltet,  wird  also  ein 
  2309.   Bootsektor neu geschrieben weil er z.B. von Viren befallen war, dann wird er 
  2310.   gelöscht  (bis auf die Disketten-Strukturinformationen und die Seriennummer) 
  2311.   und  MS-DOS-kompatibel gemacht. Haben allerdings "Immunisierung durch $6038" 
  2312.   gewählt,   dann  wird  diese  Bytefolge  in  die  beiden  ersten  Bytes  des 
  2313.   Bootsektors   geschrieben   und  der  Rest  des  Bootsektors  gelöscht.  Als 
  2314.   Alternative   bietet   sich   noch   die  Möglichkeit  "Immunisierung  durch 
  2315.   Bootprogramm"  an,  bei  der ein ausführbares Bootprogramm in den Bootsektor 
  2316.   geschrieben  wird.  Dieses  Programm  meldet sich dann beim Booten mit einem 
  2317.   Glockenton  und  dem  Hinweis, daß der Bootsektor nicht befallen ist. Dieser 
  2318.   Text  ist  im  Unterschied  zu  den Meldungen anderer Anti-Virenprogramme so 
  2319.   lang,  daß  sich  jeder  davon  überzeugen  kann,  daß  dieses  Bootprogramm 
  2320.   tatsächlich  nichts anderes machen kann, als diesen Text über Cconws (Gemdos 
  2321.   9) auszugeben. Für andere Routinen ist da wirklich kein Plätzchen mehr frei. 
  2322.   Abgesehen   davon   ist  dieser  Bootsektor  TROTZ  der  Immunisierung  noch 
  2323.   MS-DOS-kompatibel.
  2324.  
  2325.   Dieses Bootprogramm gibt es inzwischen in verschiedenen Varianten, da einige 
  2326.   PD-Händler,   die  Ihre  Disketten  mit  dem  VIRENDETEKTOR  überprüfen  und 
  2327.   immunisieren,  von  mir  eine "Spezialversion" mit ihrer Geschäftsadresse im 
  2328.   Bootsektor  erhalten  haben.  Selbstverständlich  erkennt  der VIRENDETEKTOR 
  2329.   jeden dieser Bootsektoren als "eigenes" Produkt und meldet ihn entsprechend.
  2330.  
  2331.   Ich  möchte  noch  anmerken,  daß  die  gewählte Immunisierung in jedem Fall 
  2332.   aufgebracht  wird,  wenn  ein neuer Bootsektor erzeugt wird. Also nicht nur, 
  2333.   wenn  ein  Virus  vernichtet  wird,  sondern auch dann, wenn sie ein anderes 
  2334.   Bootprogramm  von  der  Diskette  entfernen  wollen.  Wollen  Sie  also eine 
  2335.   Immunisierung   gleich   welcher  Art  wieder  entfernen,  dann  muß  "Keine 
  2336.   Immunisierung" gewählt sein.
  2337.  
  2338.  
  2339.   VIII.           Was tun im Fall des (Be)falls?
  2340.                   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  2341.  
  2342.   Bei  Bootsektorviren ist die Rettung der Software meistens kein Problem. Mit 
  2343.   Anti-Viren-Programmen,   z.B.   mit   dem   VIRENDETEKTOR   ist  ein  einmal 
  2344.   identifizierter  Virus  im Bootsektor schnell beseitigt. Denn gleichen Zweck 
  2345.   erfüllt   ein   Disk-Monitor,  allerdings  muß  man  dann  wissen,  wie  ein 
  2346.   Virusprogramm  aussieht,  welche  Bytes  im  Bootsektor nicht genullt werden 
  2347.   dürfen  (Diskettenstruktur-Information im Bereich $08-$1D) und umständlicher 
  2348.   ist es außerdem.
  2349.  
  2350.   Bei  Viren die sich direkt in Programme einklinken ist die ganze Sache nicht 
  2351.   so  einfach.  Man benötigt schon hervorragende Assemblerkenntnisse und einen 
  2352.   guten  Debugger,  um  ein  Programm  zu  retten.  Oft ist es auch dann nicht 
  2353.   möglich, mit einem Anti-Viren-Programm "auf Knopfdruck" jedenfalls bis heute 
  2354.   noch nicht. Gegenteilige Behauptungen einiger Virenkiller haben sich im Test 
  2355.   bislang  noch  alle  als heiße Luft herausgestellt. Lediglich die Entfernung 
  2356.   des "Milzbrand Virus" ist bereits erfolgreich gelungen.
  2357.  
  2358.   Wenn  sich  also  ein Linkvirus in Ihre Programmsammlung eingeschlichen hat, 
  2359.   dann   sollten   Sie   alle   verseuchten   Programme   löschen   und  durch 
  2360.   Sicherheitskopien  ersetzen.  Wenn  Sie  keine Sicherheitskopien angefertigt 
  2361.   haben, können Sie die befallenen Programme auf die Verlustliste setzen; aber 
  2362.   wer arbeitet schon mit Originalen ohne Sicherheitskopie!?!
  2363.  
  2364.   Sollten  Sie  einmal  von  einem  wichtigen Programm keine Kopie angefertigt 
  2365.   haben  (na, na,...) oder sollte auch das Original verseucht sein (wohl nich' 
  2366.   im  Panzerschrank  aufbewahrt, wa?), dann können Sie das Programm, sofern es 
  2367.   noch   einwandfrei   läuft,   auf   eine   separate  Diskette  kopieren  und 
  2368.   weiterbenutzen.  Das  kann jedoch nur eine absolute "Notlösung" sein und die 
  2369.   folgenden Regeln müssen Sie  u n b e d i n g t  beachten:
  2370.  
  2371.     1. Starten Sie ein infiziertes  Programm  nur  wenn  keine  Diskette  im
  2372.        Zweitlaufwerk  liegt  und  lassen  Sie  Ihre   Festplatte   unbedingt
  2373.        ausgeschaltet.
  2374.  
  2375.     2. Kopieren Sie nie verseuchte  mit  sauberen  Programmen  zusammen  auf
  2376.        eine Diskette.
  2377.  
  2378.     3. Geben Sie Datum und  Uhrzeit  beim  Systemstart  nicht  ein,  sondern
  2379.        belassen Sie das Systemdatum als aktuelles Datum (manche Viren werden
  2380.        erst ab einem bestimmten Datum aktiv).
  2381.  
  2382.     4. Kennzeichnen Sie die Diskette mit dem verseuchten Programm!!!
  2383.  
  2384.     5. Geben Sie  n i e  verseuchte Programme weiter!
  2385.  
  2386.     6. Rechner nach Benutzung des Programms  a u s s c h a l t e n !!!
  2387.  
  2388.   Besser ist natürlich, wenn Sie rechtzeitig eine Sicherheitskopie angefertigt 
  2389.   haben  und  das  infizierte  Programm  löschen können. Glücklicherweise sind 
  2390.   Linkviren  auf  Grund ihrer Verbreitungsweise (noch) weit weniger häufig als 
  2391.   ihre Kollegen im Bootsektor.
  2392.  
  2393.   Falls Sie bei Ihrer Software Virenbefall festgestellt haben, informieren Sie 
  2394.   umgehend alle, an die Sie eventuell verseuchte Disketten weitergegeben haben 
  2395.   könnten!!!
  2396.  
  2397.   Hoffentlich  wissen  Sie  nun  in  etwa  was  ein  Computervirus ist, wie er 
  2398.   arbeitet  und  wie  man  sich vor diesen ungebetenen Gästen schützt. Weitere 
  2399.   Informationen  finden  Sie  vor  allem  in  einschlägigen Fachzeitschriften. 
  2400.   (Erwähnenswert  erscheinen  mir  folgende Ausgaben: c't 4/87 und 7/88, Happy 
  2401.   Computer  5/88, Atari Special 4/87 und 1/89, Chip 9/87, ST-Magazin (68000er) 
  2402.   9/88  und  3/89,  TOS  11/90 u.s.w ...! Die Liste erhebt keinen Anspruch auf 
  2403.   Vollständigkeit, denn ich kann schließlich nicht alles lesen.
  2404.  
  2405.   Zum Ende noch eine Anmerkung:
  2406.  
  2407.   Falls  Sie  zu den Fanatikern gehören, die selbst Viren schreiben oder falls 
  2408.   Sie  mit  dem  Gedanken  spielen  selbiges  zu versuchen - denken Sie an die 
  2409.   Folgen  für  andere  User. Aber auch für den Viren-Programmierer selbst kann 
  2410.   seine Tätigkeit unangenehme Folgen haben. Im Strafgesetzbuch heißt es:
  2411.  
  2412.   "Wer   rechtswidrig   Daten  löscht,  unterdrückt,  unbrauchbar  macht  oder 
  2413.   verändert,  wird  mit  Freiheitsstrafen  bis  zu zwei Jahren oder Geldstrafe 
  2414.   bestraft. Der Versuch ist strafbar."
  2415.  
  2416.   Daneben  sind  auch  die zivilrechtlichen Folgen nicht unerheblich. Wenn der 
  2417.   von  Ihnen  programmierte  Virus  einem  anderen  einen finanziellen Schaden 
  2418.   zufügt  und  Sie als Verursacher ausfindig gemacht werden können, werden Sie 
  2419.   unter Umständen mit hohen Schadenersatzforderungen zu rechnen haben.
  2420.  
  2421.   Gegebenenfalls    können    zudem   weitere   Paragraphen   des   StGB   auf 
  2422.   Virenprogrammierer in Anwendung gebracht werden.
  2423.  
  2424.   Auch wenn Sie meinen, Ihr Virus füge niemandem Schaden zu - Finger weg!!!
  2425.  
  2426.   Es  gibt  z.B.  einen  Bootsektorvirus auf dem ST, der eigentlich nichts tun 
  2427.   sollte,  als  sich  nur  zu verbreiten. Der Schöpfer dieses Virus hat sicher 
  2428.   keinen  Schaden  anrichten  wollen,  durch  einen  Programmierfehler(!) kann 
  2429.   dieser Virus jedoch den Rootsektor der Festplatte zerstören! Dieses Beispiel 
  2430.   zeigt,  daß  man  von  der Virenprogrammierung besser die Finger läßt. Zudem 
  2431.   gibt es wahrlich genug nützliche Dinge zu programmieren!
  2432.  
  2433.  
  2434.   IX.             Das SHAREWARE-Vertriebskonzept
  2435.                   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  2436.  
  2437.   Das  Programm  VIRENDETEKTOR ist  S H A R E W A R E .  Falls Sie nicht genau 
  2438.   wissen, was der Begriff "SHAREWARE" bedeutet, hier eine kurze Erläuterung:
  2439.  
  2440.   Mit "SHAREWARE" bezeichnet man Programme, die frei kopiert und weitergegeben 
  2441.   werden  dürfen,  sofern  sie  weder  verändert  noch  kommerziell vertrieben 
  2442.   werden.  Wer  mit  einem  SHAREWARE-Programm  regelmäßig arbeitet, zahlt dem 
  2443.   Autor eine Registrierungsgebühr. Deren Höhe hängt sowohl von der Komplexität 
  2444.   des  Programms  ab,  als  auch davon, was nach der Registrierung an weiterer 
  2445.   Anwender-Unterstützung erfolgt.
  2446.  
  2447.   Diese  Gebühr  kann  bei  einigen  Programmen  durchaus dreistellige Beträge 
  2448.   ausmachen,  liegt aber immer wesentlich niedriger, als man für vergleichbare 
  2449.   kommerzielle  Produkte  ausgeben müßte. Nach Zahlung dieses Betrages ist man 
  2450.   "legaler"  Anwender  und  erhält  dann weitere Leistungen, wie z.B. Updates, 
  2451.   gedruckte  Manuals,  Unterstützung  falls  Fragen  oder Schwierigkeiten beim 
  2452.   Einsatz des Programms auftauchen, ... usw.!
  2453.  
  2454.   SHAREWARE-Programme   sind   KEINE   Frei-Programme   (Public-Domain),   die 
  2455.   Urheberrechte  an  diesen  Programmen  bleiben  bestehen,  allerdings dürfen 
  2456.   Kopien  der  Disketten  frei  weitergegeben werden, damit andere potentielle 
  2457.   Anwender  die  Programme  prüfen  können.  Das  Nutzungsrecht  wird erst mit 
  2458.   Zahlung  der Registrierungsgebühr erworben. Um es nochmals klar zum Ausdruck 
  2459.   zu  bringen:  Die  Benutzung  des  Programms  durch  nicht registrierte User 
  2460.   verstößt  gegen  geltendes  Recht!  Lediglich  eine  kurze Testphase ist bei 
  2461.   SHAREWARE-Programmen  gestattet.  Natürlich  kann  niemand kontrollieren, ob 
  2462.   jemand  das Programm benutzt ohne sich registrieren zu lassen. SHAREWARE ist 
  2463.   eben Vertrauenssache!
  2464.  
  2465.   Das  SHAREWARE-Konzept  bietet  sowohl  dem  Autor als auch dem Benutzer des 
  2466.   Programms Vorteile:
  2467.  
  2468.   Der  Autor  hat  keine Unkosten für Vertrieb und Werbung - der Benutzer kann 
  2469.   das  Programm  testen  und zahlt den vergleichsweise geringen Betrag für die 
  2470.   Registrierung  nur  dann, wenn ihm das Programm zusagt. Im deutschsprachigen 
  2471.   Raum   hat  sich  deshalb  auch  der  Begriff  "PRÜF-VOR-KAUF-Software"  für 
  2472.   SHAREWARE etabliert.
  2473.  
  2474.   Würde  der VIRENDETEKTOR als kommerzielles Programm vertrieben, dann blieben 
  2475.   mir  (dem  Programmautor)  vom  Verkaufspreis  bestenfalls 10-20% übrig. Das 
  2476.   würde heißen, daß der VIRENDETEKTOR ca. 100 DM kosten müßte, damit mir (nach 
  2477.   Abzug  der  Kosten  für  Versand,  etc.) der gleiche Betrag übrigbliebe, wie 
  2478.   jetzt  als  SHAREWARE-Programm.  Damit  dürfte  der  Vorteil  von  SHAREWARE 
  2479.   augenfällig werden!
  2480.  
  2481.   Public-Domain Programme sind dagegen Programme, bei denen der Autor auf alle 
  2482.   Rechte  verzichtet  (im  Gegensatz  zu  SHAREWARE)  und die somit z. B. auch 
  2483.   verändert  werden  dürfen,  sofern  das  Copyrightvermerk  des  Autors nicht 
  2484.   entfernt  wird.  Beim ST wird allerdings vielfach nicht so genau zwischen PD 
  2485.   und  SHAREWARE  unterschieden.  Im  übrigen  hat der Begriff "Public-Domain" 
  2486.   selbst  keine  Rechtsverbindlichkeit.  Oft  wird auch bei PD-Programmen eine 
  2487.   Veränderung  des Programms ausdrücklich untersagt und um eine Spende für den 
  2488.   Autor  gebeten. Im Gegensatz zu SHAREWARE-Programmen ist diese Spende jedoch 
  2489.   freiwillig.
  2490.  
  2491.   Wichtig  ist jedenfalls, daß Sie bei SHAREWARE mit dem Kauf der Diskette bei 
  2492.   einem  PD-Versender  noch  nicht  für  das  Programm  bezahlt haben, sondern 
  2493.   lediglich  für  dessen  Dienstleistung!  Preiswerte PD-Händler verlangen für 
  2494.   eine  Diskette  3-5  DM,  mehr  als  10 DM sollten Sie keinesfalls bezahlen. 
  2495.   Natürlich  hängt  der  Diskettenpreis auch sehr vom Service des Händlers ab, 
  2496.   das  Einsortieren  von  Updates  und  die Anfertigung eines aussagekräftigen 
  2497.   Katalogs  wollen  schließlich  auch  bezahlt  werden. Eine andere Quelle für 
  2498.   SHAREWARE  und  PD-Software  sind Mailboxen und Diskettentausch mit Freunden 
  2499.   und Bekannten. Bei Sharewareprogrammen erwerben Sie das Nutzungsrecht an dem 
  2500.   Programm erst durch Zahlung der Registrierungsgebühr an den Programmautor!
  2501.  
  2502.   Leider ist die Zahlungsmoral bei vielen ST-Besitzern (wie übrigens auch beim 
  2503.   Amiga)  nicht  sonderlich  ausgeprägt.  Dabei  ist dieses Verhalten ziemlich 
  2504.   kurzsichtig.    Auf    dem    amerikanischen    PC-Softwaremarkt   ist   das 
  2505.   Sharewareangebot   inzwischen  nicht  zuletzt  deshalb  so  umfangreich  und 
  2506.   qualitativ hochwertig, weil die Autoren dieser Programme mit der Ehrlichkeit 
  2507.   der  Anwender rechnen können. Wer in Europa SHAREWARE für den ST entwickelt, 
  2508.   wird  jedoch  auf Grund der mangelnden Resonanz schnell entmutigt. Das führt 
  2509.   dazu,  daß  der  Anteil guter PD- und Sharewareprogramme weiter sinkt. Jedes 
  2510.   gute  Programm  wird  nur  noch  kommerziell  vermarktet,  der  Vertrieb als 
  2511.   SHAREWARE funktioniert nur sehr beschränkt. Als Folge zahlt der Anwender für 
  2512.   ein  kommerzielles  Programm  das  vier- bis fünffache im Vergleich zu einem 
  2513.   gleichwertigen Sharewareprogramm.
  2514.  
  2515.   Natürlich  gibt  es  auf  dem  PD-Markt  auch eine Menge Schrott, so manches 
  2516.   Programm  ist  die Diskette nicht wert, auf der es gespeichert ist. Aber Sie 
  2517.   gehen  im  Unterschied zu kommerzieller Software keinerlei Risiko ein. Bevor 
  2518.   Sie für ein Programm zahlen, können Sie es auf Herz und Nieren testen. Diese 
  2519.   Möglichkeit  besteht  bei  kommerziellen  Programmen  nicht, hier müssen Sie 
  2520.   oftmals die berühmte Katze im Sack kaufen.
  2521.  
  2522.   Jeder,  der  sich  bei  den  Autoren, deren Sharewareprogramme er regelmäßig 
  2523.   nutzt,   registrieren   läßt,  fördert  und  belebt  die  Entwicklung  guter 
  2524.   SHAREWARE-Programme für den ST.
  2525.  
  2526.   Doch  nun  zurück  zum  VIRENDETEKTOR.  Wenn  Sie  das  Programm  regelmäßig 
  2527.   verwenden,  dann  sollten  Sie  sich  registrieren lassen. Wer einen Drucker 
  2528.   besitzt,  hat  es  am  einfachsten,  in  dem  er sich die Datei REGISTER.TXT 
  2529.   ausdrucken  läßt.  Ich  denke  nach  einer  vierwöchigen  Testphase kann man 
  2530.   entscheiden,  ob  man  den  VIRENDETEKTOR  bezahlen  will,  oder  ob man das 
  2531.   Programm nicht weiter benutzen will, weil es einem nicht zusagt.
  2532.  
  2533.   Die   Registrierungsgebühr   für   den   VIRENDETEKTOR   beträgt   30,-  DM! 
  2534.   (Beziehungsweise  40,-  DM  incl.  der  drei  Utility-Disketten - dazu siehe 
  2535.   unten.)
  2536.  
  2537.   Schicken  Sie  diesen  Betrag  bitte als Verrechnungsscheck (oder in Bar) an 
  2538.   meine Adresse:
  2539.                                Volker Söhnitz
  2540.                                Beginenstr. 17
  2541.                                D-5100  Aachen
  2542.  
  2543.   Für diesen Betrag erhalten Sie:
  2544.  
  2545.     1. Sofort die gerade aktuelle Version  des  VIRENDETEKTORS  zugeschickt.
  2546.        Mit der Originaldiskette können Sie dann aus dem  VIRENDETEKTOR  (den
  2547.        Sie natürlich auch weiterkopieren dürfen) eine  registrierte  Version
  2548.        mit Ihrer persönlichen Seriennummer erstellen. Diese Version  erlaubt
  2549.        dann auch den Zugriff auf die Viren-Datenbank und enthält keine  "Er-
  2550.        innerungen" an die Zahlungsmoral mehr, darf in dieser Form dann  aber
  2551.        auch nicht mehr weiterkopiert werden.
  2552.  
  2553.     2. Eine aktualisierte Fassung dieses Textes,  der  auch  auf  eventuelle
  2554.        neue ST-Viren eingeht.
  2555.  
  2556.     3. Alle zukünftigen Updates des VIRENDETEKTORS gegen eine geringe Gebühr
  2557.        für Porto, Diskette und Verpackung!
  2558.  
  2559.     4. Auf Wunsch (bitte angeben) ein Beispiel-Listing in Assembler für  die
  2560.        Arbeitsweise eines (relativ harmlosen) Virus.
  2561.  
  2562.     5. Falls Sie nur einen ST mit Farbmonitor besitzen, können Sie  bei  mir
  2563.        einen  MONOCHROM-EMULATOR  erhalten.  Dabei handelt es  sich  um  ein
  2564.        kleines Programm, welches auf dem Farbmonitor die hohe Auflösung dar-
  2565.        stellt.  Die Qualität dieses Emulators läßt  zwar  sehr  zu  wünschen
  2566.        übrig, da ein Farbmonitor/Fernseher nicht über die Möglichkeiten  des
  2567.        SM 124 verfügt, für die  Virenjagd  mit  dem  VIRENDETEKTOR  ist  der
  2568.        Emulator aber auf dem Farbmonitor gerade noch akzeptabel.
  2569.        Geben  Sie  bitte  bei  der  Registrierung  an,  ob  Sie den Emulator
  2570.        benötigen!
  2571.  
  2572.     6. Viele Probleme,  die  sich  ähnlich  wie  Virenbefall  äußern,  gehen
  2573.        tatsächlich auf andere Ursachen zurück. Neben  Hardwaredefekten  sind
  2574.        hauptsächlich  schlechte  Disketten  als  Schuldige  auszumachen.  Um
  2575.        solchen Dingen auf den Grund zu gehen, benötigt man neben einem guten
  2576.        Virenkiller  auch  einige  weitere  Utilities,  mit  denen  man  z.B.
  2577.        Hardwarefehler  findet  oder beschädigte Disketten erkennt. Wer nicht
  2578.        über  derartige  Utilities   verfügt,   der   kann   bei   mir   drei
  2579.        (doppelseitige)  Disketten mit ca. 4,5 Megabyte (!)  der  wichtigsten
  2580.        Hilfsprogramme  erhalten. Auf einer dieser  drei  Disketten  befinden
  2581.        sich zudem die Online-Packer, die der VIRENDETEKTOR  erkennt  (soweit
  2582.        diese frei kopierbar sind). Der Inhalt der Disketten ist  komprimiert
  2583.        und  kann problemlos innerhalb weniger Minuten  automatisch  entpackt
  2584.        werden.  Auf diesen Disketten finden Sie unter anderem  ein  Programm
  2585.        zur  Funktionsüberprüfung der RAM-Chips, ein Programm, um  Ihre  Dis-
  2586.        ketten  auf  physikalische Defekte zu überprüfen (und zu retten,  was
  2587.        noch  zu  retten ist),  ein  Programm  zur   Wiederherstellung   ver-
  2588.        sehentlich gelöschter Dateien und vieles mehr.
  2589.        Als  registrierter Benutzer erhalten Sie diese  nützlichen  Disketten
  2590.        für  einen  Unkostenbeitrag  von  10,-  DM!  Schicken  Sie  bei   der
  2591.        Registrierung  zehn Mark mehr, dann fallen keine weiteren Kosten  für
  2592.        Porto  und Verpackung an, Sie erhalten die Utility-Disketten zusammen
  2593.        mit  Ihrem  neuen  Exemplar  des  VIRENDETEKTOR.  Wenn  Sie   bereits
  2594.        registriert  sind,  und die Disketten separat bestellen, kommen  noch
  2595.        2,- DM für Porto und Verpackung hinzu. Für 12,- DM (Scheck oder Zehn-
  2596.        markschein  +  2,-  in Briefmarken) erhalten Sie dann  umgehend  eine
  2597.        Menge nützlicher Software.
  2598.  
  2599.   Sollten Sie mit Ihrer Hard- oder Software Probleme haben, die in irgendeiner 
  2600.   Weise  mit  Viren zusammenhängen, so stehe ich Ihnen gerne mit Rat (und Tat) 
  2601.   zur Seite!
  2602.  
  2603.   Sie  sehen  also,  daß  sich  eine  Registrierung in jedem Fall lohnt (unter 
  2604.   Umständen auch finanziell - siehe 1.)!
  2605.  
  2606.   Ich will auch nicht verschweigen, was es bei einer Registrierung NICHT gibt: 
  2607.   Es gibt KEINE aufwendige Verpackung - dies würde die Sharegebühr nur unnötig 
  2608.   in die Höhe treiben. Zur Zeit gibt es auch noch KEIN gedrucktes Handbuch. Im 
  2609.   Moment  erstelle  ich  aber ein komplett überarbeitetes bebildertes und sehr 
  2610.   umfangreiches  Handbuch,  daß in gedruckter und gebundener Form zusammen mit 
  2611.   der  Version  3.2 erscheinen wird. Dieses Handbuch wird den Umfang der Datei 
  2612.   HANDBUCH.TXT  bei  weitem  übersteigen  und  auch  mit  einem  ausführlichen 
  2613.   Stichwortverzeichnis   versehen   sein.   Neben   detaillierten   Infos   zu 
  2614.   Computerviren  wird  auch  der VIRENDETEKTOR in allen Funktionen über das in 
  2615.   dieser Datei beschrieben Maß hinaus beschrieben werden. Es ist klar, daß ich 
  2616.   dieses  Handbuch  nicht kostenlos mitliefern kann, die Druckkosten liegen zu 
  2617.   hoch,   um   diese  auch  noch  mit  dem  Sharewarebeitrag  zu  finanzieren. 
  2618.   Registrierte  User  werden  bei  Erscheinen des Handbuchs benachrichtigt und 
  2619.   können  das  Handbuch dann auf Wunsch bei mir beziehen. Der Preis steht noch 
  2620.   nicht fest, da ich die genauen Druckkosten noch nicht kenne.
  2621.  
  2622.   Vorläufig  empfehle  ich Ihnen, diesen Text auszudrucken. Dann haben Sie ein 
  2623.   Handbuch,  nach  dem  sich viele andere SHAREWARE-Programmautoren die Finger 
  2624.   schlecken  würden.  Zum  Ausdrucken dieses Textes ist es am günstigsten, den 
  2625.   Drucker auf 12 cps (ELITE) und auf einen Rand von 6-8 Zeichen einzustellen.
  2626.  
  2627.   Um  den  Aufwand  und die Kosten so klein wie möglich zu halten, werden auch 
  2628.   keine  Registrierungen  per Nachnahme abgewickelt. Rechnungen oder ähnliches 
  2629.   stelle ich nur auf ausdrücklichen Wunsch aus. Lediglich kommerzielle Nutzer, 
  2630.   die  eine  "Spezialversion"  des  VIRENDETEKTORS  bestellen  möchten  (siehe 
  2631.   Kapitel X) erhalten diese selbstverständlich ohne einen zusätzlichen Hinweis 
  2632.   gegen Rechnung.
  2633.  
  2634.   Sollten  Sie  auch  einen  MS-DOS-kompatiblen  Rechner besitzen - oder einen 
  2635.   PC-Emulator  (PC-Speed, AT-Speed, AT-Once, ...), dann benötigen Sie auch für 
  2636.   dieses  System einen Virenkiller, denn der VIRENDETEKTOR läuft natürlich nur 
  2637.   unter  TOS.  Ich  kopiere  Ihnen auf Wunsch gerne die aktuellste Version des 
  2638.   McAfee-VirusScan  mit  auf die VIRENDETEKTOR-Diskette (natürlich kostenlos). 
  2639.   Dieser SHAREWARE-Virenkiller ist ohne Zweifel das leistungsfähigste Programm 
  2640.   dieser  Art  unter  MS-DOS. Ich habe ständig die aktuellste Version - direkt 
  2641.   aus den USA - vorrätig. Beachten Sie, daß auch dieses Programm SHAREWARE ist 
  2642.   und Sie es bei regelmäßiger Benutzung bezahlen müssen.
  2643.  
  2644.  
  2645.   X.              Hinweise für kommerzielle Nutzer und PD-Versender
  2646.                   ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
  2647.  
  2648.   Wenn  Sie  dieses  Programm zu kommerziellen Zwecken einsetzen (zum Beispiel 
  2649.   zur Überprüfung aller von Ihnen vertriebenen Disketten oder ähnlichem), dann 
  2650.   können Sie von mir eine "Spezialversion" bekommen. Damit ist es zum Beispiel 
  2651.   möglich,  alle Disketten mit einem Immunisierungsbootsektor zu versehen, der 
  2652.   beim Booten einen Text IHRER WAHL (ca. 380 Bytes) ausgibt. Ein Beispiel:
  2653.  
  2654.                       VIRENDETEKTOR sagt:
  2655.                       *************************************
  2656.                       *                                   *
  2657.                       *      Diese Diskette wurde von     *
  2658.                       *            XYZ-Software           *
  2659.                       *            Hampelweg 69           *
  2660.                       *            1234  A-Dorf           *
  2661.                       *     auf Virenbefall überprüft     *
  2662.                       *                                   *
  2663.                       *************************************
  2664.  
  2665.   Es  ist  jeder  Text möglich, dessen Zeilenlänge nicht größer als 40 Zeichen 
  2666.   ist und der nicht mehr als ca. 400 Zeichen (incl. Leerzeichen) enthält.
  2667.  
  2668.   Der Text oder Teile des Textes können auf Wunsch invers dargestellt werden.
  2669.  
  2670.   Dies  ist  nicht  nur  eine  gute  Werbung  für  Sie, schließlich bleibt der 
  2671.   Bootsektor  auch erhalten, wenn PD-Disketten privat weiterkopiert werden, es 
  2672.   zeigt  auch,  daß  Sie  diese  Diskette  mit  einem  der  leistungsfähigsten 
  2673.   Virenkiller  auf  Virenfreiheit  überprüft  haben.  Damit hat der Käufer die 
  2674.   Gewissheit, auch tatsächlich virenfreie Software zu bekommen.
  2675.  
  2676.   Außerdem  ist  der  VIRENDETEKTOR zur Zeit der einzige Virenkiller, der Ihre 
  2677.   Disketten  trotz  der  Immunisierung  in  einem  MS-DOS-kompatiblen  Zustand 
  2678.   beläßt.
  2679.  
  2680.   Für   eine   derartige   Anpassung   des   VIRENDETEKTORS  erhöht  sich  die 
  2681.   Registrierungsgebühr  um  50,-  DM;  falls  Sie noch nicht registriert sind, 
  2682.   erhalten Sie eine solche Version also für 80,- DM.
  2683.  
  2684.   Eine Änderung des Textes (wenn sich z.B. Ihre Geschäftsanschrift ändert) ist 
  2685.   jederzeit gegen eine Gebühr von 10,- DM möglich.
  2686.  
  2687.   Schreiben  Sie  den  gewünschten  Text  bitte deutlich und geben Sie inverse 
  2688.   Bereiche durch unterstreichen oder Fettdruck an.
  2689.  
  2690.   Ich  bin  auch gerne bereit, andere Sonderwünsche zu berücksichtigen, sofern 
  2691.   der Aufwand dafür in einem angemessenen Rahmen bleibt.
  2692.  
  2693.   Bitte  beachten  Sie  folgendes:  Alle Rechte an diesem Programm liegen beim 
  2694.   Autor,  daher darf das Programm ohne meine Zustimmung nicht verkauft werden, 
  2695.   keinem  kommerziellen  Produkt  beigelegt  werden  (Verbot  der  Zugabe  zum 
  2696.   Warenverkauf) und nicht in Mailboxen angeboten werden, in denen der Download 
  2697.   gebührenpflichtig ist!
  2698.  
  2699.   Die  für  die  Versionen 3.1 bis 3.1f eingeführte "Sperrfrist" für Mailboxen 
  2700.   habe ich (zumindest vorläufig) wieder fallengelassen.
  2701.  
  2702.   EIN  VERTRIEB  ÜBER CHANNEL VIDEODAT ODER VERGLEICHBARE SYSTEME IST SEIT DER 
  2703.   3.0 AUSDRÜCKLICH UNTERSAGT!
  2704.  
  2705.   Die  Weitergabe  des  VIRENDETEKTORS  durch  PD-Anbieter  ist  aber durchaus 
  2706.   gestattet, sofern dem Kunden nur die Kosten für die Dienstleistung (also das 
  2707.   Kopieren  der  Diskette)  und  damit  zusammenhängende  Kosten  in  Rechnung 
  2708.   gestellt  werden.  Sollte  der  Preis  für  den  VIRENDETEKTOR  (incl. einer 
  2709.   Diskette)   eine   Summe  von  10,-  DM  übersteigen,  gehe  ich  von  einer 
  2710.   kommerziellen    Vermarktung    des    Programms    aus,    die   nach   dem 
  2711.   Urheberschutzgesetz ohne meine Zustimmung nicht gestattet ist!
  2712.  
  2713.   Alle  PD-Serien,  in die der VIRENDETEKTOR ab Version 3.1 aufgenommen werden 
  2714.   soll,  dürfen  keinen  weitergehenden  Einschränkungen  unterliegen, was die 
  2715.   Anfertigung  und  Weitergabe  sowohl von privaten wie  auch von gewerbsmäßig 
  2716.   vertriebenen  Kopien  betrifft,  sofern  diese Einschränkungen nicht ohnehin 
  2717.   inhaltlicher Bestandteil der Datei HINWEIS.TXT sind.
  2718.  
  2719.   Daraus  ergibt sich, daß die Übernahme von VIRENDETEKTOR-Versionen ab 3.1 in 
  2720.   die  sogenannte  PD-POOL  Serie,  für  deren  Disketten  ab  Disk  2231  ein 
  2721.   sogenanntes  "Autorenhonorar"  gezahlt  wird und deren gewerblicher Vertrieb 
  2722.   PD-POOL  Mitgliedern  vorbehalten  bleibt,  UNTERSAGT ist. Gleiches gilt für 
  2723.   andere PD-Serien, die vergleichbaren Bedingungen unterliegen.
  2724.  
  2725.   Solche  "Autorenbeteiligungen"  haben  meiner Ansicht nach mit Public Domain 
  2726.   oder  SHAREWARE nichts zu tun! SHAREWARE bedeutet, daß man ein Programm eben 
  2727.   gerade  NICHT  VORHER,  sondern  erst  dann  bezahlt, wenn man es regelmäßig 
  2728.   benutzt!  Daß  PD-Händler  für  ihre  Arbeit eine kleine Gebühr pro Diskette 
  2729.   verlangen müssen, ist selbstverständlich. Doch abgesehen von den 3-4 DM, die 
  2730.   man  bei  preiswerten Händlern pro Diskette zahlt, ist das Programm zunächst 
  2731.   einmal  kostenlos.  Ich  will auch kein Geld von Leuten, denen mein Programm 
  2732.   nach einer Testphase dann doch nicht gefällt.
  2733.  
  2734.   Um  es  nochmals zu betonen: Eine Weitergabe des Programms durch PD-Anbieter 
  2735.   ist  dann  gestattet,  wenn die Gebühr für das Kopieren (incl. der Diskette) 
  2736.   einen Betrag von 10,- DM nicht übersteigt!
  2737.  
  2738.   Es  wäre schön, wenn Sie als PD-Anbieter sich auch dann bei mir als Anwender 
  2739.   registrieren  ließen,  wenn  Sie  dieses  Programm  NICHT  selbst verwenden! 
  2740.   Schließlich   liefern   die  PD-  und  SHAREWARE-Autoren  Ihnen  quasi  Ihre 
  2741.   "Lebensgrundlage".  Und  ein  wenig  Resonanz würde manche SHAREWARE-Autoren 
  2742.   vielleicht  davon abhalten, Ihre Programme über andere Kanäle zu verbreiten. 
  2743.   Bei  vielen  SHAREWARE-Programmen  gehen die Autoren nämlich inzwischen dazu 
  2744.   über,  den  PD-Versendern  die  Weitergabe  Ihrer  Programme  zu untersagen. 
  2745.   Aktuelle  Beispiele  sind die Programme GEMINI, RUFUS, SYSMON und eine große 
  2746.   Zahl an weiteren erstklassigen SHAREWARE-Programmen.
  2747.  
  2748.   Ich  habe  allerdings auch Verständnis, wenn sich ein PD-Versender nicht bei 
  2749.   jedem  SHAREWARE-Autor, dessen Programm er vertreibt, registrieren läßt. Die 
  2750.   Kosten wären in diesem Falle viel zu hoch. Aber überlegen Sie einmal, ob Sie 
  2751.   sich  nicht  wenigstens jeden Monat bei EINIGEN Autoren registrieren lassen. 
  2752.   Schließlich  profitieren  auch  SIE  von  der Bereitschaft der Autoren, Ihre 
  2753.   Programme als SHAREWARE oder Public-Domain zu verbreiten.
  2754.  
  2755.   Der  kommerzielle  Vertrieb  von  Disketten  (also  auch  der  Vertrieb  von 
  2756.   PD-Disketten),  auf  denen  der  Immunisierungs-Bootsektor des VIRENDETEKTOR 
  2757.   aufgebracht wurde, ist nur registrierten Benutzern gestattet!
  2758.  
  2759.  
  2760.   XI.             Schlußwort
  2761.                   ¯¯¯¯¯¯¯¯¯¯
  2762.  
  2763.   Ich  hoffe,  dieser Text hat Ihnen einen kleinen Einblick in die Lage an der 
  2764.   "Virenfront"  auf  dem  Atari  ST gegeben und der VIRENDETEKTOR hat Ihnen im 
  2765.   Kampf  gegen Computerviren gute Dienste geleistet. Ich würde mich freuen von 
  2766.   Ihnen zu hören - für Anregungen und Kritik habe ich immer ein offenes Ohr.
  2767.  
  2768.   Selbstverständlich habe ich alle Sorgfalt walten lassen, um ein fehlerfreies 
  2769.   Programm  zu  erstellen.  Trotzdem  sind  Fehler  nie  ganz auszuschliessen. 
  2770.   Deshalb kann weder die juristische Verantwortung noch irgendeine Haftung von 
  2771.   Seiten  des  Autors  für  eventuelle  Schäden  an Daten oder Programmen, die 
  2772.   direkt oder indirekt auf die Benutzung dieses Programms zurückzuführen sind, 
  2773.   übernommen werden!
  2774.  
  2775.   Viel Spaß bei der Arbeit mit dem ST und wenig Ärger mit Viren wünscht Ihnen
  2776.  
  2777.                              Volker Söhnitz
  2778.  
  2779.  
  2780.   Anhang:
  2781.   ¯¯¯¯¯¯¯
  2782.   Hier finden Sie eine Reihe von Antworten zu Fragen, die mir bislang mehrfach 
  2783.   zum VIRENDETEKTOR gestellt wurden.
  2784.  
  2785.   Sollten  Sie  noch  irgend  etwas  von  mir wissen wollen, sollten Sie nicht 
  2786.   sicher  sein,  ob  ein  Problem auf Virenbefall oder auf eine andere Ursache 
  2787.   zurückzuführen  ist  oder  falls Sie mir eine Diskette zur genaueren Analyse 
  2788.   zuschicken wollen, dann beachten Sie bitte folgendes: Ich antworte gerne auf 
  2789.   Fragen von registrierten Benutzern, ich bin auch gerne bereit, Hilfestellung 
  2790.   bei Problemen rund um den ST/TT zu geben, ich möchte Sie jedoch um folgendes 
  2791.   bitten:  Legen  Sie  ausreichend  Rückporto bei, wenn Sie eine Antwort haben 
  2792.   wollen  oder  wenn Sie Ihre Diskette zurückgeschickt haben möchten. Ich kann 
  2793.   Anfragen ohne Rückporto leider in Zukunft nicht mehr beantworten.
  2794.  
  2795.  
  2796.   FRAGE:  Bei  einigen  Spieledisketten meldet der VIRENDETEKTOR ein oder zwei 
  2797.   "virentypische  Eigenschaften",  kommt aber dennoch zu dem richtigen Schluß, 
  2798.   daß  es  sich höchstwahrscheinlich nicht um einen Virus handelt. Wie ist das 
  2799.   zu erklären?
  2800.  
  2801.   ANTWORT: Auch harmlose Bootsektoren können das eine oder andere Virenmerkmal 
  2802.   enthalten, je nachdem was das Bootprogramm tut. Der VIRENDETEKTOR erkennt an 
  2803.   Anzahl  und  Art der gefundenen Merkmale, die auch unterschiedlich gewichtet 
  2804.   werden,  ob  es  sich  um einen Virus handelt oder nicht. Wenn Sie mir einen 
  2805.   unbekannten   Spielebootsektor   als   Datei   zuschicken,  werde  ich  eine 
  2806.   entsprechende  Erkennung  in die nächste Programmversion einfügen. Geben Sie 
  2807.   bitte den Namen des Spiels ebenfalls an.
  2808.  
  2809.  
  2810.   FRAGE:  Manchmal  wird  deutlich  hörbar  auf  meine Festplatte zugegriffen, 
  2811.   obwohl  das  gerade  laufende  Programm  keine  Lade-  oder Speichervorgänge 
  2812.   durchführt.  Der  VIRENDETEKTOR  findet  aber auch keinen Virus. Woran liegt 
  2813.   das?
  2814.  
  2815.   ANTWORT:  Einige  Festplatten führen in gewissen Zeitabständen selbstständig 
  2816.   eine automatische Rekalibrierung der Spurlage durch. Diese Rekalibrierungen, 
  2817.   die  je  nach Temperatur und Plattentyp in Abständen von ca. 40 Sekunden bis 
  2818.   zu  einer  halben  Stunde  erfolgen können, werden oft fälschlicherweise für 
  2819.   Schreib-  oder  Lesezugriffe  durch  einen  Virus  gehalten.  Somit  ist das 
  2820.   beschriebene Verhalten also völlig normal und kein Grund zur Besorgnis.
  2821.  
  2822.  
  2823.   FRAGE:  Wenn  man  mit  einem  Diskettenmonitor einige Bytes eines Programms 
  2824.   verändert, meldet der VIRENDETEKTOR trotz dieser Veränderung keine geänderte 
  2825.   CRC-Prüfsumme, obwohl die Datei doch verändert wurde. Woran liegt das?
  2826.  
  2827.   ANTWORT:  Nun,  der  VIRENDETEKTOR  bezieht  nur  die Programmteile in seine 
  2828.   CRC-Berechnung  ein, die ein Linkvirus verändern _muß_, wenn er ein Programm 
  2829.   infiziert.  Es  ist  also durchaus möglich, daß ein zum Teil überschriebenes 
  2830.   Programm  nicht  angemeckert  wird, weil eben keine relevanten Programmteile 
  2831.   betroffen  sind.  Sinn  der  CRC-Prüfsummenbildung  ist  es also nicht, jede 
  2832.   Veränderung  am  Programm  zu  erkennen,  sondern ausschließlich eine solche 
  2833.   Veränderung, die durch die Infektion mit einem neuen Linkvirus hervorgerufen 
  2834.   wurde.
  2835.  
  2836.  
  2837.   FRAGE:   Gibt   es  auf  dem  ST  (Link)-Viren,  die  die  Directoryeinträge 
  2838.   manipulieren,  also  dem  Benutzer  vorgaukeln,  daß  eine  Datei immer noch 
  2839.   genausolang  ist,  wie  vor  dem  Befall  (siehe  verschiedene Viren aus dem 
  2840.   PC-Bereich)?
  2841.  
  2842.   ANTWORT:  Nein, die gibt es nicht. Bei VCS-Viren kann der "Konstrukteur" des 
  2843.   Virus allerdings problemlos eigene Assemblerroutinen hinzulinken. Damit wäre 
  2844.   es   wohl   möglich,   daß   ein   solcher   Virus   auf   der   Basis   des 
  2845.   Virus-Construction-Sets etwas derartiges tun könnte. Bekannt ist ein solcher 
  2846.   Virus  allerdings  nicht  und  ein  Problem  wäre  er  auch  nicht,  da  der 
  2847.   VIRENDETEKTOR  jeden  Virus  erkennt, der mit diesem Programm erzeugt wurde, 
  2848.   gleichgültig was der Virus letztlich anstellt.
  2849.  
  2850.  
  2851.   ****************************************************************************
  2852.  
  2853.   Bitte ändern Sie weder dieses File noch das dazugehörige Programm! Falls Sie 
  2854.   diese  Diskette  oder  das Programm VIRENDETEKTOR weiterkopieren, dann bitte 
  2855.   mit allen Files (außer den Dateien VDET-HD.* und VIRDPROT.INF)!
  2856.