F / W I N 4 . 0 ================================= HEURISTISCHE ERKENNUNG VON WINDOWS-VIREN (c) 1996 Stefan Kurtzhals Stefan Kurtzhals D”rrenberg 42 D-42899 Remscheid Internet: kurtzhal@uni-wuppertal.de Fido: 2:2480/8849.2 1. WAS IST F/WIN? ......................................................... 2. INSTALLATION UND BENUTZUNG VON F/WIN ................................... 3. DIE VIRENERKENNUNG UND REINIGUNGSFUNKTION VON F/WIN .................... 4. M™GLICHE FEHLALARME .................................................... 5. MAKRO- UND WINDOWS EXE-VIREN ........................................... 6. SHAREWARE, LIZENZBESTIMMUNGEN, GARANTIE ................................ 1. WAS IST F/WIN? ============================================================================ F/WIN ist ein DOS-Virenscanner, der Word 6.0/7.0-Dokumente sowie Windows-EXE-Programme nach Computer-Viren durchsucht. Im Gegensatz zu herk”mmlichen Virenscannern sucht F/WIN nicht nach Virensignaturen von bekannten Viren, sondern verwendet einen regel- basierenden Suchansatz. Dabei wird nach einer Anzahl von fr Viren typischem Programmcode oder Makrobefehlen gesucht und der Programm- aufbau der Datei analysiert. F/WIN verwendet zur Analyse einen Emulator/Tracer, mit dem jeder in Makros verwendete WordBasic-Befehl untersucht wird. Durch diese Suchmethode ist F/WIN in der Lage, bekannte und unbekannte Word Makro- bzw. Windows-Viren zu erkennen. Als ein Beispiel kann hier aufgefhrt werden. F/WIN sucht nicht nur die Viren-Makros AAAZAO AAAZFS AutoOpen Payload sondern untersucht im Gegensatz zu anderen Virenscannern auch die Makrodefinitionen nach den entsprechenden Befehlen wie "MakroKopieren", "DateiSpeichernUnter" und „hnliche. Ver„ndert man die Makronamen und den Code von geringfgig (was selbst ein Laie relativ leicht bewerkstelligen kann!), findet der gr”áte Teil der normalen Virenscanner den ver„nderten Virus bereits nicht mehr. F/WIN zeigt weiterhin eine detaillierte Analyse des Makrocodes an, anhand derer oft genau abgelesen werden kann, welche Auswirkungen und Schadensfunktionen der gefundene Makro-Virus enth„lt. Beispiel einer F/WIN-Analyse anhand des -Virus: D:\VIRUS\CONCEPT.DOC (...A 1.9.1995 13:21:06 17920 Bytes) þ Bekannter Virus gefunden: "Concept.A" þ Dieser Makro-Virus basiert auf "Concept" þ Word 6.0/7.0-Dokumentstream gefunden (5100 Bytes) þ Enth„lt 4 Makros (1968 Bytes) þ Enth„lt Makros, hat aber trotzdem die Namensendung .DOC þ Kopiert Makros auf virentypische Art þ Kopiert Makros vom aktuellen Dokument in die globale Vorlage þ Kopiert Makros von der globalen Vorlage in andere Dokumente þ Makros greifen auf sich selber zu þ Konvertiert Dokumente in Vorlagen þ Benutzt den Befehl 'DateiSpeichernUnter' þ Definiert Word-interne Befehle um þ Verwendet Auto-Makros þ Modifiziert Einstellungen in .INI-Dateien þ Zeigt Meldungsfenster an þ Enth„lt die folgenden Makros: "AAAZAO" (Gr”áe: 742,Verd„chtig,Zugriff vom Virus) "AAAZFS" (Gr”áe: 435,Verd„chtig,Zugriff vom Virus) "PAYLOAD" (Gr”áe: 49,Verd„chtig,Zugriff vom Virus) "AUTOOPEN" (Gr”áe: 742,Verd„chtig,Zugriff vom Virus) Was kann F/WIN besser als andere Antiviren-Programme? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ -> F/WIN erkennt mit seiner heuristischen Analyse bekannte und UNBEKANNTE Makro-Viren fr Word 6.0 und Word 7.0. Andere Antiviren-Programm k”nnen lediglich bekannte Makro-Viren finden und bieten oft keine Reinigungsfunktion an bzw. entfernen nur bekannte Makro-Viren. -> F/WIN verwendet eine sehr fortschrittliche Heuristik, die Fehlalarme zum gr”áten Teil ausschlieát. Andere Antiviren-Programme ignorieren zum Teil die M”glichkeit solcher Fehlalarme v”llig. -> Von F/WIN gereinigte Word-Vorlagen werden wieder in normale Word- Dokumente umgewandelt. -> Enth„lt eine infizierte Vorlage neben dem Virus vorher installierte Makros, bietet F/WIN die Option an, nur die Viren-Makros zu entfernen. -> F/WIN untersucht den Makro-Code und gibt eine detaillierte Analyse aus. -> F/WIN erkennt exotische Makro-Viren, wie z.B. Viren, die Shortcuts, Formular-Links, On-the-Fly oder Companion-Infektionsmethoden verwenden. -> F/WIN besitzt eine sehr genaue Erkennung von bekannten Makro-Viren. Selbst geringfgige Ver„nderungen am Viruscode werden erkannt. -> F/WIN bietet eine vollst„ndige OLE 2.0-Untersttzung und erkennt Dokumente, die mit anderen Antiviren-Programmen nicht vollst„ndig gereinigt wurden. F/WIN benutzt nicht die extrem fehlerhafte Systemdatei OLE2.DLL bzw. OLE32.DLL von Windows fr den Dateizugriff, sondern verwendet eine eigene Schnittstelle. -> F/WIN untersttzt das Dokument-Dateiformat der asiatischen Word- Version und Dokumente, die auf Macintosh-Systemen erstellt wurden. Einige Antiviren-Programme scheitern an diesen Formaten oder bereits an normalen Dokumenten mit komplexeren Makro-Kontrollstrukturen. -> F/WIN ist selber kein Word-Makro (wie viele der herk”mlichen Schutz- Programme) und ist daher unabh„ngig von Winword. Als DOS-Programm kann es von einer Startdiskette aus problemlos aufgerufen werden. -> F/WIN erkennt bekannte und unbekannte Windows 3.x und Windows 95- Programmviren, die auf dem h„ufig verwendeten Infektionsschema der Viren , und basieren und kann diese auch aus Windows-Programmen entfernen. Bekannte und stark verbreitete Viren dieses Typs sind und . 2. INSTALLATION UND BENUTZUNG VON F/WIN ============================================================================ Die Installation erfolgt einfach, indem die Dateien von F/WIN in ein Verzeichnis auf der Festplatte kopiert werden. F/WIN wird nicht speziell konfiguriert und kann sofort aufgerufen werden. F/WIN ist ein DOS- Programm, kann aber ohne Probleme unter Windows bzw. Windows95 gestartet werden. Der Anwender kann sich bei Bedarf eine Referenz auf dem Desktop erstellen, um den Aufruf zu beschleunigen. Registrierte Benutzer erhalten einen Registrierungsschlssel (FWIN.KEY), der einfach in das gleiche Verzeichnis wie F4.EXE kopiert werden muá, um die Funktionen der Vollversion freizuschalten. Als Update kann die ganz normale Shareware-Version bezogen werden, die wieder durch die Datei FWIN.KEY freigeschaltet wird. Der Registrierungsschssel sollte gut aufbewahrt werden. Das Anlegen eines Backups dieser Datei ist zu empfehlen! WICHTIG! Bevor F/WIN gestartet wird, muá Microsoft Word geschlossen werden, da F/WIN sonst nicht die vollen Schreibzugriffe auf evtl. ge”ffnete Dateien wie NORMAL.DOT erh„lt! Wird F/WIN ohne weitere Parameter aufgerufen, wird ein Auswahlmen angezeigt. Die Schnellstartoption durchsucht s„mtliche lokalen Festplatten und entspricht der Angabe von "F4 /LOCAL". Die sonstige Aufrufsyntax lautet wie folgt (die Angabe eines Suchpfades bzw. Parameters sind optional): F4 {Suchpfad} {/Parameter} Suchpfad Ein Laufwerk oder Pfad, der von F/WIN mit s„mtlichen Unterverzeichnissen durchsucht wird. Es kann nur ein Suchpfad pro Aufruf angegeben werden. F/WIN erlaubt auch Angaben von langen Dateinamen (Windows 95), allerdings darf die Angabe nicht l„nger als 128 Zeichen sein. Pfadangaben mit Leerzeichen mssen in Anfhrungszeichen (") eingeklammert werden. /? /H /HELP Es wird eine Hilfeseite mit allen Parametern angezeigt. /REPORT=... F/WIN erzeugt eine Reportdatei, in der alle durch- suchten Dateien, die verd„chtige Strukturen oder Programmcode enthalten, aufgelistet werden. Hinter dem "="-Zeichen muá ein Dateiname angeben werden, der als Name fr die Logdatei verwendet wird. Die Reportfunktion ist nur in der Vollversion verfgbar! /REPORT=+.. Wie /REPORT=..., F/WIN fgt den aktuellen Report der bereits existierenden Logdatei hinzu oder erstellt einen neuen Report, falls die Datei noch nicht existiert. /REPORT Wie /REPORT=, es wird lediglich die Vorgabe "FWIN.RPT" fr die Reportdatei verwendet. /LOGALL Normalerweise enth„lt der Report von F/WIN nur die Namen von Dateien mit verd„chtigem Inhalt. Mit /LOGALL werden s„mtliche durchsuchte Dateien aufgelistet. /NODETAIL Die ausfhrliche Analyse der erkannten Viren wird nicht in der Reportdatei aufgefhrt. /ANALYSE F/WIN zeigt beim Erkennen einer verd„chtigen Datei /A sofort das Analysefenster an. /MOVE=... Die von F/WIN angelegten Sicherheitskopien befinden sich normalerweise im gleichen Verzeichnis wie die Originaldatei. Mit /MOVE wird ein eigenes Verzeichnis angelegt, in das alle Sicherheitskopien verschoben werden. Unter Windows 95 k”nnen lange Verzeichnisnamen angegeben werden, allerdings mssen diese dann in Anfhrungszeichen eingeschlossen werden. Die Standard- vorgabe ist "C:\VIRUS". /MODE:n Einstellung der erweiterten Virenerkennung: n = 1 : Extended n = 2 : Paranoid /MODE:1 Normalerweise versucht F/WIN, durch eine sorgf„ltige /MODE:2 Analyse der Dateien Falschalarme zu vermeiden. Dadurch kann es vorkommen, daá F/WIN z.B. nicht alle m”glichen Makro-Trojaner erkennt. Mit /MODE:n k”nnen zwei beson- dere Suchmodi eingeschaltet werden, mit denen F/WIN auch weniger oder nur teilweise verd„chtige Dokumente meldet. Allerdings steigt damit auch die M”glichkeit von Fehlalarmen, besonders im "Paranoid"-Modus. Wie der Name schon sagt, ist die Erkennung von F/WIN in diesem Suchmodus ziemlich paranoid, allerdings eignet sich dieser Suchmodus hervorragend fr Systeme, in denen nie Makros eingesetzt werden, da F/WIN bereits Dokumente mit nur wenigen verd„chtigen Merkmalen meldet. Der Extended-Modus ist nicht ganz so anf„llig fr Fehlalarme wie der Paranoid-Modus, es werden aber auch hier z.B. einige komplexe kommerzielle Makros als verd„chtig gemeldet. Im Extended-Modus werden zus„tz- lich auch Makros gemeldet, die zwar verd„chtige Befehle, aber keinen vollst„ndigen Makro-Virus enthalten. Die /MODE-Option ist nur in der Vollversion vorhanden! /PARANOID Entspricht /MODE:2 und wurde aus Version 3.00 und 3.02 bernommen. /DOC Es werden nur .DOC und .DOT Dateien berprft. F/WIN sucht damit ausschlieálich nach Makro-Viren, allerdings wird die Suchgeschwindigkeit durch die Angabe von /DOC stark beschleunigt. /NOHEUR F/WIN verwendet keine Heuristik, um Makro-Viren zu erkennen. Es werden nur noch bekannte Viren anhand von Signaturen erkannt. Allerdings arbeitet F/WIN bei Angabe des Parameters /NOHEUR wesentlich schneller, da nicht mehr alle vorhandenen Makros eingelesen und berprft werden mssen. /NOHEUR empfiehlt sich fr den Fall, wenn groáe Festplatten mit einem bekannten Makro-Virus infiziert sind. /NOSIG Zur Erkennung von Makro-Viren wird lediglich die WordBasic-Heuristik verwendet. /RENAMEALL Im Batch-Modus verlangt F/WIN keine Anwender-Eingaben mehr, sondern benennt sofort jede als verd„chtig erkannte Datei in eine andere Dateierweiterung um (.VIR, .VI1, .VI2 usw.). Wurde der Parameter /MOVE=... benutzt, legt F/WIN die Sicherheitskopien im angegebenen Verzeichnis an. /CLEANALL Alle befallenen Dateien werden automatisch ohne Eingaben des Anwenders gereinigt. Bei Makro-Viren wird, wenn m”glich, der Reinigungsmodus 1 verwendet und die Datei wieder in ein Dokument zurckkonvertiert. Bevor die infizierte Datei ver„ndert wird, legt F/WIN eine Sicherheitskopie an. Ist dies nicht m”glich, wird die infizierte Datei nicht ver„ndert. /CLEANALL erfordert die Angabe des Parameters /REPORT. /IGNOREALL F/WIN wird in den Batchmodus geschaltet und h„lt nicht mehr bei der Anzeige von verd„chtigen Dateien an. Die gemeldeten Dateien werden nicht umbenannt oder gereinigt. /IGNOREALL ist nur zusammen mit /REPORT einsetzbar und ist fr den Betrieb ber DOS- Batchdateien gedacht. /MOVEALL Alle verd„chtigen Dateien werden automatisch in das mit /MOVE=... angegebene Verzeichnis verschoben. Wird kein Pfad vorgegeben verschiebt F/WIN die Dateien nach "C:\VIRUS". /CLEAN:n Bestimmt den Reinigungsmodus fr Word Makro-Viren. Im Modus 1 werden s„mtliche vorhandenen Makros entfernt /CLEAN:1 und falls die Datei die Endung ".DOC" aufweist, wieder /CLEAN:2 in das normale Dokumentformat zurckkonvertiert. /CLEAN:2 bewirkt, daá nur die Viren-Makros entfernt werden. Erkennt F/WIN, daá s„mtliche Makros innerhalb einer Datei zum Virus geh”ren, wird automatisch der Reinigungsmodus 1 fr die betreffende Datei angewendet. /LOCAL F/WIN durchsucht alle lokalen Laufwerke nach Viren. Diskettenlaufwerke und CD-ROMs werden nicht berprft. /REMOTE F/WIN berprft alle vorhandenen Netzwerklaufwerke, auf die ein Zugriff m”glich ist. Eine Kombination der Parameter /LOCAL und /REMOTE ist m”glich. /BEEP F/WIN gibt ein Signalton aus, falls eine infizierte Datei gefunden wird. Dieser Parameter wird im Batch- modus (/IGNOREALL, /CLEANALL usw.) deaktiviert. /NOBREAK Der Suchvorgang von F/WIN kann nicht mehr mit oder unterbrochen werden. /NOSUB F/WIN durchsucht keine Unterverzeichnisse. /WAIT Nach Beendingung des Suchvorgangs wartet F/WIN noch auf eine Best„tigung des Anwenders. Hinweis: ~~~~~~~~ /RENAMEALL, /CLEANALL, /IGNOREALL und /WIPEALL schlieáen sich gegen- seitig aus und k”nnen nicht zusammen verwendet werden. Beispiele: ~~~~~~~~~~ F4 /LOCAL /DOC (Alle Laufwerke werden von F/WIN durchsucht, wobei nur .DOC oder .DOT-Dateien berprft werden.) F4 D: (durchsucht das gesamte D: Laufwerk) F4 "C:\MSOffice\WinWord\Vorlagen\Meine Texte" (das Verzeichnis "Meine Texte" und alle seine Unterverzeichnisse werden durchsucht. Wichtig ist die Angabe der Anfhrungs- zeichen.) F4 A:\ /REPORT=C:\FWIN.RPT /MODE:2 (durchsucht das gesamte A: Laufwerk und legt eine Logdatei auf Laufwerk C mit dem Namen "FWIN.RPT" an. Dabei wird der Paranoid-Suchmodus benutzt.) F4 C:\*.DO? (durchsucht das C:-Laufwerk nach Dateien mit der Endung ".DO?".) F4 D:\NEU /MOVE="C:\Sicherheitskopien" /REPORT=+C:\FWIN.RPT (F/WIN durchsucht das Verzeichnis D:\NEU, fgt die Ergebnisse der Reportdatei C:\FWIN.RPT hinzu und legt die Sicherheitskopien im Verzeichnis "C:\Sicherheitskopien" an.) F4 /LOCAL /REMOTE /MOVEALL /MOVE=C:\VIR /REPORT=C:\VIRUS.TXT (Alle lokalen Festplatten und Netzwerklaufwerke werden durchsucht, dabei werden alle verd„chtigen Dateien automatisch in das Verzeichnis "C:\VIR" verschoben und die Reportdatei "C:\VIRUS.TXT" erzeugt.) Errorlevel: ~~~~~~~~~~~ F/WIN gibt eine Anzahl von verschiedenen Errorlevels an DOS zurck, die in einer Batch-Datei abgefragt werden k”nnen: 0 - Es wurden keine verd„chtigen Dateien gefunden und die Suche erfolgreich durchgefhrt. 1 - F/WIN hat eine oder mehrere verd„chtige Dateien gefunden. 250 - Eine ungltige Parameterkombination wurde angegeben. 253 - Das /MOVE=...-Verzeichnis kann nicht erzeugt werden 254 - Die Reportdatei kann nicht erzeugt werden. Findet F/WIN beim Durchsuchen des angegebenen Verzeichnisses verd„chtige Dateien, unterbricht es den Suchvorgang und zeigt einige Informationen ber die verd„chtige Datei und ein Auswahlmen an. Dieses Men kann z.B. so aussehen: CONCEPT .DOC - Infiziert mit: "Concept.A" (Makros: 4, Gr”áe: 1968) [ Analyse Reinigen Umbenennen Verschieben Ignorieren Beenden Optionen ] Die einzelnen Punkte k”nnen durch Auswahl mittels Cursortasten und SPACE bzw. ENTER oder durch Eingabe des farblich hervorgehobenen Buchstaben ausgew„hlt werden. ESC beendet den Suchvorgang. Die Menpunkte im einzelnen: ANALYSE ~~~~~~~ F/WIN zeigt das Analyse-Fenster mit einer detaillierten šbersicht ber die Schadensfunktionen des erkannten Virus an. Der sichtbare Ausschnitt des Analysefensters kann mit den Cursortasten verschoben werden. REINIGEN ~~~~~~~~ Die gemeldete Datei wird gereinigt, wobei zuvor eine Sicherheitskopie angelegt wird. Falls ein Word-Dokument neben dem Virus noch weitere Makros enth„lt und der Reinigungsmodus nicht durch /CLEAN:1 oder /CLEAN:2 festgelegt wurde, bietet F/WIN ein Auswahlmen an, in dem der Anwender festlegen kann, ob F/WIN alle oder nur die verd„chtigen Makros aus der Datei entfernen soll. UMBENENNEN ~~~~~~~~~~ Die verd„chtige Datei wird in eine andere Dateiendung wie z.B. .VIR, VI1, .VI2 usw. umbenannt. Wurde der Parameter /MOVE= angegeben, werden die Sicherheitskopien in diesem Verzeichnis angelegt. Beispiel: TEXT.DOC -> TEXT.VIR VERSCHIEBEN ~~~~~~~~~~~ F/WIN verschiebt die verd„chtige Datei in ein spezielles Verzeichnis, das mit /MOVE=... angegeben werden kann. Wurde kein Verzeichnis vorgegeben, verwendet F/WIN automatisch die Vorgabe "C:\VIRUS". IGNORIEREN ~~~~~~~~~~ Die verd„chtige Datei wird bersprungen und bleibt unver„ndert. BEENDEN ~~~~~~~ Der Suchvorgang wird beendet. OPTIONEN ~~~~~~~~ F/WIN zeigt ein Auswahlfenster an, in dem der Anwender mittels Cursortasten und SPACE bzw. ENTER verschiedene Automatik-Modi einstellen kann. Aktuelle Datei Aktuelles Verzeichnis Aktuelles Verzeichnis inkl. Unterverz. Aktuelles Laufwerk Alle weiteren verd„chtigen Dateien F/WIN wendet die von Ihnen angegebene Aktion wie Reinigen, Umbenennen, Ignorieren usw. auf diese Angabe an. Wenn Sie also unter Optionen den Punkt "Aktuelles Laufwerk" und danach die Option "Reinigung" anw„hlen, reinigt F/WIN alle Dateien auf dem aktuellen Laufwerk. 3. DIE VIRENERKENNUNG UND REINIGUNGSFUNKTION VON F/WIN ============================================================================ In der jetzigen Version kann F/WIN infizierte Dokumente reinigen und NE-EXE-Viren (Windows 3.x) sowie PE-EXE (Windows 95) entfernen. Durch die Untersttzung des OLE 2.0-Dateiformats ist F/WIN in der Lage, Word Makro-Viren zuverl„ssig zu erkennen und zu entfernen. Dieses Dateiformat ist sehr komplex und einige Antiviren-Programme sind nicht in der Lage, es korrekt zu bearbeiten. Makro-Viren werden anhand von zwei Methoden erkannt: 1. Code-Heuristik F/WIN untersucht innerhalb jedes Makros eines Word-Dokuments, ob verd„chtige Strukturen oder Befehle vorhanden sind. Durch diesen regelbasierten Suchansatz ist F/WIN in der Lage, bekannte und unbekannte Makro-Viren zu erkennen. Die komplexe Heuristik ist ebenfalls in der Lage, so gut wie alle Fehlalarme zu erkennen und zu vermeiden. F/WIN verwendet einen Emulator/Tracer, der jede WordBasic-Befehlszeile genau untersucht. 2. Signatur-Vergleich Diese Suchmethode ist eigentlich nur ein zus„tzlicher "Bonus", da die Heuristik bereits alle bisher bekannten Viren erkennt. Anhand des Signatur-Vergleichs kann lediglich festgestellt werden, ob es sich bei dem Virus um einen bereits bekannten Makro-Virus handelt und ob dieser Virus modifiziert wurde. F/WIN verwendet eine sehr pr„zise Vergleichsmethode und vergleicht jedes Byte der Virenmakros. Die erkannten Makro-Viren k”nnen entfernt werden, egal ob es sich dabei um einen bekannten oder unbekannten Virus handelt. F/WIN verwendet mehrere Methoden, um festzustellen, welche Makros innerhalb eines Dokuments zum Virus geh”ren und bietet die Option an, nur diese Makros zu entfernen und ursprnglich vorhandene Makros zu erhalten. Normalerweise erkennt F/WIN automatisch, welcher Reinigungsmodus verwendet werden muá, im Zweifelsfall wird ein Auswahlmen angezeigt. F/WIN entfernt den Virus aus der Datei, indem der Viruscode vollst„ndig berschrieben und das betreffende Makro innerhalb der Dokumentstruktur gel”scht wird. Eine Reaktivierung des Virus, wie es leider nach der zum Teil unvollst„ndigen Reinigung mit einigen anderen Antiviren-Programmen passieren kann, ist nicht m”glich. Infizierte Dateien mit der Endung ".DOC" werden nach der Reinigung, falls m”glich, wieder in das normale Dokumentformat zurckkonvertiert. Windows 3.x-Viren k”nnen dann entfernt werden, wenn sie sich an das VLAD-Infektionsschema halten und einen Relokationseintrag am Datei- ende angefgt haben. Anhand dieses Eintrags kann F/WIN den alten Programmeinsprung feststellen und die Datei reparieren. F/WIN kann z.B. folgende Viren entfernen: Ph33r, Wintiny, Winlame und Tentacle. Dabei ist es egal, ob der Virus verschlsselt oder gar polymorph ist. Viren wie Cyberriot benutzen andere Methoden, um den alten Programmeinsprung zu speichern und k”nnen daher nicht entfernt werden. Hinweise: ~~~~~~~~~ Dokumente, die mit einem Passwort geschtzt sind, k”nnen nicht berprft oder gereinigt werden! Makro-Viren, die sich innerhalb eines solchen Dokuments befinden, werden erst nach Angabe des Passworts aktiv. F/WIN meldet Dokumente, die mit einem Passwort geschtzt sind und zeigt eine Warnung an, falls zus„tzlich noch Makros vorhanden sind. Eine Entschlsselung ber Word ist hier extrem gef„hrlich, da dabei ein evtl. vorhandener Virus sofort aktiviert wird! F/WIN kann nur Viren in Microsoft Word 6.0 oder 7.0 Dokumenten erkennen und entfernen. Es wird ein Hinweis angezeigt, falls F/WIN Word 2.0-Dateien mit der Endung .DOC findet, die Makros enthalten. Diese Makros werden allerdings nicht genauer von F/WIN analysiert. Windows EXE-Viren werden auf eine ganz andere Art erkannt, als die Microsoft Word Makro-Viren. F/WIN analysiert dabei den Programmkopf von NE-EXE (Windows 3.x) und PE-EXE (Windows 95 und Windows NT) auf verd„chtige Segmente und deren Anordnungen. Da Windows-Programme so gut wie immer in Hochsprachen programmiert werden, besitzen sie einen quasi fest definierten Programmkopf und weitere voraussagbare Strukturen. Die Windows EXE-Viren manipulieren diesen Programmkopf w„hrend der Infektion auf eine sehr auff„llige Art und Weise, die F/WIN erkennen kann. Damit ist klar, daá F/WIN nicht den eigentlichen Codeinhalt der Segmente berprft, sondern nur die externe Anordnung. Aufgrund der geringen Anzahl von Windows EXE-Viren ist es noch nicht m”glich, zuverl„ssige Code-Heuristiken zu erstellen. F/WIN erkennt alle Windows EXE-Viren, die auf dem Infektionsschema der Viren , und basieren. Mit diesen Windows- Viren wurde jeweils ein neues Infektionsschema eingefhrt, das allen bisherigen Methoden eindeutig berlegen ist und daher wahrscheinlich von anderen Virenprogrammierern in zuknftigen Viren bernommen wird. Besonders stark verbreitet sind die Windows 3.x-Viren und . Hinweis: ~~~~~~~~ F/WIN erkennt keine sogenannten "Generation-1"-Samples der Windows 3.x oder 95-Viren! Oft finden sich solche "Generation-1"-Samples in Sammlungen von Computer-Virenforschern. Normal infizierte Dateien werden ohne Probleme erkannt. 4. M™GLICHE FEHLALARME ============================================================================ Wie jede andere Heuristik, so ist auch der von F/WIN benutzte Such- ansatz nicht immun gegen Fehlalarme. Das Problem bei der Erstellung einer Heuristik ist, daá m”glichst viele Viren erkannt, aber gleich- zeitig m”glichst wenig Fehlalarme produziert werden sollen. Da die Anzahl der Windows EXE-Viren bisher noch recht begrenzt ist, kann die Heuristik von F/WIN fr diesen Virustyp noch nicht besonders "fein" ausgewogen werden. Fehlalarme sind daher eher m”glich, als bei Heuristiken fr DOS-Viren. Die Heuristik der Version 4.00 wurde gegenber den Vorg„ngern stark verbessert und produziert keinen der bis dahin bekannten Fehlalarme mehr. Besonders die Fehlalarme wegen Antiviren Makros wie SCANPROT treten nicht mehr auf. Allerdings kann es bei besonders groáen und komplexen Makros noch vorkommen, daá ein unbekannter Makro-Virus gemeldet wird. Bei Windows EXE-Viren sieht das Problem mit Fehlalarmen anders aus. Die Strukturen, nach denen F/WIN sucht, sind so atypisch, daá eigentlich keine Fehlalarme auftreten sollten. Allerdings ist die Anzahl der Viren, aus denen die Heuristik abgeleitet wurde, auch sehr gering und die Heuristik daher noch nicht hundertprozentig ausgereift. Wenn Sie bei einer Meldung von F/WIN unsicher sind, ob wirklich eine Infektion vorliegt, sollten Sie die Datei auf jeden Fall dem Autor zur Analyse vorlegen. Eine solche Analyse ist schnell erledigt und gleichzeitig kann F/WIN weiter verbessert werden und, falls es sich wirklich um einen neuen Virus handelt, wird dieser an andere Viren- forscher weitergeleitet. Wenn Sie dem Autor Viren zuschicken m”chten, sollte dies m”glichst als verschlsselte PGP-Nachricht ber das Internet oder direkt per Post erfolgen. Auf keinen Fall sollten potentielle Viren ohne Sicherungen verschickt werden! Der notwendige Public PGP-Schlssel und die Adresse befinden sich in der Datei KURTZHAL.PGP bzw. REGISTER.TXT und am Ende dieser Anleitung. 5. MAKRO- UND WINDOWS EXE-VIREN ============================================================================ Makro-Viren sind keine neue Erfindung, die Idee besteht schon seit Jahren. Aber erst 1994 untersuchte ein amerikanischer Sicherheits- techniker die Gefahr von Makro-Viren speziell fr Microsoft Word und Microsoft Excel. Seine sehr ausfhrliche Analyse enthielt unter anderem zwei Demonstrations-Viren, und , wobei DMV fr "Demo Macro Virus" steht. Trotz dieser Warnungen reagierten die Hersteller der Antiviren-Programme nicht, wie es leider in der AV-Branche so oft blich ist. Erst als Mitte 1995 der erste Microsoft Word Makro-Virus in freier Wildbahn gefunden wurde, brach bei den Anwendern Panik und bei den Antiviren-Firmen groáe Hektik aus; es galt, schnell eine L”sung zu finden. war dieser erste verbreitete Makro-Virus, sein genauer Ursprung ist unbekannt. breitete sich sehr schnell aus und gilt heute international als sehr verbreitet (ITW). ist an sich harmlos, er zeigt lediglich ein Fenster mit einer "1" bei seiner ersten Aktivierung an. Das Makro mit dem bezeichnenden Namen "Payload" blieb offenbar absichtlich leer. Der Virus enth„lt den Text "That's enough to prove my point", der allerdings nicht angezeigt wird. Der Virus wurde unter anderem von Microsoft selber unbeabsichtigt auf einer CD verschickt. Weitere Makro-Viren lieáen nicht lange auf sich warten, als n„chstes erschienen und . Beide sind fortschrittlicher als und benutzen Execute-Only Makros, um ihre Analyse zu erschweren. enth„lt einen normalen DOS- Virus, der aus dem Dokument ins System eingeschleust wird bzw. eingeschleust werden soll; der Virus hat einen Bug, der dies verhindert. Zu bestimmten Uhrzeiten fgt dieser Virus beim Versenden von Dokumenten den Text "And finally I would like to say - STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!" hinzu. ist nicht so fehlerhaft wie die beiden vorherigen Makro-Viren programmiert und „ndert die Bildschirmfarben von Windows. Da in der deutschen Version von Microsoft Word neben den normalen Anzeigen auch die Makro-Namen bersetzt wurden, funktionieren die englischen Makro-Viren in Deutschland nicht richtig; nur NORMAL.DOT wird infiziert, ansonsten bleiben die Viren inaktiv. Es ist allerdings relativ leicht, unverschlsselte Viren wie zu "bersetzen", damit sie mit der deutschen Version von Microsoft Word funktionieren. Mittlerweile sind mehrere deutsche Makro-Viren bekannt, z.B. , der unter anderem den DOS-Virus enth„lt und ins System einschleust, , , , , , , , , , , oder . Es wurden sogar schon zwei Makro-Virus-Construction-Kits gefunden, mit denen sich ohne Probleme neue Makro-Viren erstellen lassen (wobei eins der Kits deutsche und das andere englische Makro-Viren erzeugt). Besonders stark in Deutschland verbreitet sind zur Zeit , , , , und . In den meisten F„llen handelt es sich dabei um die ".A"-Variante des Virus. Windows EXE-Viren sind relativ schwierig zu programmieren, erstens weil das Windows-Programmformat sich erheblich vom DOS-Format unter- scheidet (und kaum dokumentiert ist) und zweitens, weil nicht die herk”mmlichen DOS-Funktionen fr den Dateizugriff benutzt werden k”nnen (oder nur teilweise ber DPMI). Es gab vor eine Reihe von Windows EXE-Viren, wie etwa , oder . Alle diese Viren beherrschen allerdings das Windows EXE- Dateiformat (NE-EXE) nicht besonders gut und waren zum Teil fehler- haft. Diese Windows EXE-Viren galten als reine Laborviren, bis 1995 ein australischer Virenprogrammierer einen Windows EXE-Virus schrieb, der diese Programme "effektiv" und voll funktionsf„hig infizeren konnte. Die Infektionsmethode von ist den bisherigen Windows EXE-Viren berlegen und wird vermutlich weiter von anderen Virenprogrammierern kopiert werden. Es gibt zwei Viren, die dieses Infektionsschema (bzw. eine Abwandlung davon) verwenden und die in Deutschland verbreitet sind: und . Anfang Februar 1996 ging die Meldung ber den ersten WIN95-Virus durch die Presse. stammt von der gleichen Programmierergruppe aus Australien wie und und ist ein nicht-residenter Windows95 EXE-Virus. Der Virus sorgte fr einiges Aufsehen, obwohl er bis heute nur in den Virensammlungen der Virenforscher zu finden ist (oder sein sollte) und aufgrund technischer M„ngel sich vermutlich nie weit verbreiten wird. Žhnlich wie bei den Windows EXE- Programmen ist das Windows95 EXE-Format erheblich schwieriger zu infizieren, als die alten DOS EXE-Programme. Genau wie benutzt eine recht "markante" Methode, Programme zu infizieren. Der Virus ist zudem fehlerhaft und vergr”áert unter Umst„nden Programme bis zu einigen Megabytes, ansonsten ist er harmlos und zeigt gelegentlich ein Fenster mit Texten an, in denen die Virenprogrammierer mit ihrer "Leistung" angeben. Die bisher bekannten Windows 95 (PE-EXE)-Viren sind in Deutschland nicht verbreitet, aber denoch besteht die Gefahr, daá andere Viren- programmierer die bestehenden Viren als Vorlage benutzen und weitere Windows EXE-Viren schreiben werden; vor allem deswegen, weil die australischen Virenprogrammierer die Sourcecodes der Viren mit genauen Beschreibungen der Infektionsmethoden ver”ffentlicht haben. Mitte 1996 wurde der erste Excel-Virus bei Anwendern in Sdafrika entdeckt. Der Virus arbeitet „hnlich wie die bekannten Word-Viren und wird durch Automakros wie etwa "Auto_Open" oder "Auto_Close" aktiviert. Excel enth„lt ein spezielles Verzeichnis, wobei es beim Start alle Vorlagen und Dateien automatisch aktiviert, die sich in diesem Verzeichnis befinden. erzeugt eine infizierte Datei in diesem Verzeichnis (das meistens XLSTART heiát) und wird so von Excel automatisch aktiviert. Beim Zugriff auf andere Dokumente bertr„gt der Virus dann seine beiden Makros in die Datei. Im Gegensatz zu Word-Viren kann eine Excel-Datei VBA- Projekte und Makros enthalten und muá nicht vom Virus vorher konvertiert werden. 6. SHAREWARE, LIZENZBESTIMMUNGEN, GARANTIE ============================================================================ F/WIN ist SHAREWARE. Das bedeutet, daá Sie die SHAREWARE-Version 30 Tage lang testen drfen. Wollen Sie das Programm nach dieser Testzeit weiterhin benutzen, mssen Sie sich registrieren und eine Nutzungslizenz erwerben. Ansonsten mssen Sie nach den 30 Tagen das Programm von Ihrem Computer entfernen. Die SHAREWARE-Version darf beliebig kopiert und vervielf„ltigt werden, solange die Programme und zugeh”rigen Dateien von F/WIN unver„ndert und vollst„ndig bleiben. Es ist ausdrcklich erlaubt und erwnscht, daá F/WIN in Mailboxen oder anderen Online-Diensten verbreitet wird. Als registrierter Anwender erhalten Sie eine Nutzungslizenz, die Ihnen das Recht gibt, F/WIN auf jeweils einem System einzusetzen. F/WIN kann auf mehrere Systeme kopiert werden, es darf aber nur auf einem Computer zeitgleich benutzt werden und es muá sicher- gestellt werden, daá keine weiteren Personen die Vollversion benutzen oder sich den Registrierungsschssel aneignen k”nnen. Die Nutzungslizenz ist exklusiv und kann nicht verkauft, bertragen, vermietet, verpachtet oder verliehen werden, egal ob zeitweise oder dauerhaft. Es ist nicht gestattet, den Registrierungsschlssel der Vollversion in irgendeiner Weise zu vervielf„ltigen, kopieren oder zu ver„ndern. Allerdings darf der Registrierungsschlssel zu Sicherungszwecken (Backup) kopiert werden. Fr das Programm F/WIN hat der Autor Stefan Kurtzhals das Urheber- recht. Alle Rechte bleiben vorbehalten. Es ist untersagt, das Programm auf irgendeine Art zu ver„ndern, disassemblieren, zu debuggen oder auf andere Weise intern auszuwerten. ------------------------------------------------------------------ Der Autor bernimmt keinerlei Garantie oder Haftung fr Sch„den, die direkt oder indirekt auf einen Gebrauch oder durch die Nicht- verwendbarkeit von F/WIN zurckzufhren sind. Das gilt auch dann, wenn der Autor ber die M”glichkeit solcher Sch„den informiert war oder ist. Das verwendete Such- und Reinigungsverfahren (Heuristik) erkennt und reinigt Viren nicht in jedem Fall hundertprozentig. ------------------------------------------------------------------ Informationen ber die Shareware-Version: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die Shareware-Version hat gegenber der Vollversion folgende Beschr„nkungen: 1) Die Reinigungsfunktion enth„lt eine Verz”gerung mit einem Shareware-Hinweis. 2) Die Funktion /REPORT ist nicht verfgbar. (und damit s„mtliche Batch-Modi) 3) Der Parameter /MODE:n (erweiterte Suchmodi) ist nicht verfgbar. Die Shareware-Version darf 30 Tage lang getestet werden, danach muá der Anwender entweder die Vollversion erwerben oder das Programm von seinem Computer entfernen. Um die Vollversion zu bestellen, fllen Sie bitte das Formular in der Datei REGISTER.TXT aus und schicken Sie es an die unten angegebene Adresse. Falls der Registrierungsschlssel als PGP- Mail ber das Internet verschickt werden soll, wird unbedingt Ihr Public PGP Key ben”tigt! Es gibt zwei Arten der Registrierung: þ Einfache Registrierung (ohne Update-Service) : 30 DM þ Gewerbliche Registrierung (mit Update-Service) : 100 DM Wenn Sie F/WIN nur zu privaten Zwecken einsetzen, k”nnen Sie die private Nutzungslizenz erwerben. Schtzen Sie allerdings ihre ge- werblichen Daten oder setzen Sie F/WIN in einen gewerblich bzw. kommerziell genutzten Rechnersystem ein, mssen Sie die gewerbliche Nutzungslizenz erwerben. Die gewerbliche Registrierung umfaát einen Update-Service mit vier Updates innerhalb eines Jahres. HINWEIS FšR REGISTRIERTE ANWENDER DER VERSION 3.xx: Registrierte Anwender der Version 3.xx ohne Update-Service k”nnen einen neuen Schlssel erhalten, indem sie den alten Schlssel auf einer Diskette mit einem ausreichend frankierten Rckumschlag an den Autor schicken. Anwender mit Update-Service erhalten automatisch die neuste Version inkl. des aktuellen Registrierungsschlssels. Falls Sie verd„chtige Dateien oder Programme finden und diese auf Virenbefall untersuchen lassen m”chten, sollten Sie diese Dateien mit PKZIP, ARJ oder RAR komprimieren, mit PGP ver- schlsseln (z.B. PGP -esa DATEI.ZIP) und ebenfalls an die unten angegebene Adresse schicken. Anschrift: Stefan Kurtzhals D”rrenberg 42 42899 Remscheid E-Mail: kurtzhal@uni-wuppertal.de Tel.: 02191/55126 (15:00 bis 22:00 Uhr) -----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.6.2i mQCNAi4XHkkAAAEEALTiHszMExp438UEmjJ1g7I6In1DbZW3uOWH97rD1d+h2MaX kyIdav/2rF8MlmK2rsc/YdlfeWNeNTrGH7EISnVBsgqT3H/hGp3ypkzOMZ2neOEN fbu7be+cHtFs9HYXZTg5vkO0J4gqLUbnBEVDVbdcKLJW9p5IJBQJonPBt/hRAAUR tDZTdGVmYW4gS3VydHpoYWxzIDxrdXJ0emhhbEB3cmNzMy51cnoudW5pLXd1cHBl cnRhbC5kZT60NlN0ZWZhbiBLdXJ0emhhbHMgPGt1cnR6aGFsQHdyY3MxLnVyei51 bmktd3VwcGVydGFsLmRlPokAlQIFEC4XHn4UCaJzwbf4UQEBAggD/2ir4yfJtOMD GdSynA8zBrrszmh/N8OSKMWtcv65Htje5nPmHvecJlhKUtl17/HBEnMtf3vvBpEL RXrH9qs3u9v23VBrUHl6JLuWIOUBTPP8rhoOCHt9Kcafczr0LtGxKwI6N6brcgHk zVIx+XKkdFZ7EnaSHoHi+iHeGtvy1o7o =QE9d -----END PGP PUBLIC KEY BLOCK----- Um die Vollversion per PGP-Email verschicken zu k”nnen, mssen Sie das Freeware-Programm PGP besitzen und mir zuvor Ihren Public-PGP-Key per E-Mail zuschicken. Dieser Public-Key kann mit "PGP -kxa" extrahiert werden. Das Archiv FWINnnnG.ZIP enth„lt eine PGP-Prfsumme, anhand derer die Authentizit„t von F/WIN berprft werden kann. Dazu muá PGP wie folgt gestartet werden: "PGP f4.asc f4.exe" PGP sollte dann folgenden Text ausgeben: "Good signature from user Stefan Kurtzhals <...>" Sollte das Archiv keine Datei mit dem Namen F4.ASC enthalten oder die Prfsummen nicht korrekt sein, wurde die Datei F4.EXE h”chst- wahrscheinlich manipuliert und sollte auf keinen Fall mehr eingesetzt werden! Um neue Versionen von F/WIN zu erhalten, k”nnen Sie sich die jeweils neueste Shareware-Version ber Mailboxen, Internet oder direkt vom Autor besorgen. Durch Ihren Registrierungsschlssel wird diese dann in eine voll funktionsf„hige Version umgewandelt. Die Shareware- Version von F/WIN ist z.B. bei folgenden Adressen unter dem Namen "FWINnnnG.ZIP" (nnn fr die Versionsnummer, z.B FWIN401G.ZIP) zu beziehen: þ www.gen.com/fwin (Homepage, Englisch) þ www.geocities.com/SiliconValley/Heights/7538 (Homepage, Deutsch) þ www.cyberbox.north.de þ www.psnw.com/~joe þ CYBERBOX - Sascha Klose <2:2426/2031-34> (Magic: FWIN) þ CYBERBOX BBS (v32b: 0441-3990032, v34: -3990033, ISDN: -9396977) þ VHM II - Martin Roesler <2:2480/8849> (Magic: FWIN) þ VHM II BBS (v32 und ISDN: 08638/881108> þ CEUS BBS (089-448-17-60) * F/WIN - Copyright (c) 1996 by Stefan Kurtzhals