
TSCAN.TXT: Informationen zum W95/CIH-Virus (3 bekannte Varianten)

Copyright (c) 1998 by GEGA-Software Andreas Marx, Virus Help Munich
(Weitere Informationen und Kontaktadressen am Ende dieser Datei.)


*** Windows-Viren? ***

Vor kurzem tauchte ein neuer Windows-Virus auf, der sich recht
schnell vom Ursprungsland Taiwan auch bis nach Deutschland ver-
breiten konnte. Das gefaehrliche an ihm: Er zerstoert am 26. jeden
Monats (Version 1.4) nicht nur saemtliche Daten auf der Festplatte
durch Ueberschreiben, sondern kann mitunter auch den Inhalt des
Flash-BIOS loeschen. Eine genaue Beschreibung des Virus kann man
unter -> http://www.chip.de/News/cih.html <- finden.


*** Virensuche ***

Das beiliegende Programm (TSCAN.EXE mit der Datendatei TSCAN.DAT)
ist eine Special Edition des ActiveAntiVirus-Virenscanners der
Firma GEGA Software. Er kann alle bisher bekannten Varianten des
W95/CIH-Virus finden und auch entfernen (Option: /REMOVE).

ACHTUNG: Setzen Sie das Programm nur auf der DOS-Ebene ein, sonst
kann es Ihnen passieren, dass dieses Programm den Virus zwar
entfernt, der Virus seinerseits aber wieder das Programm nach einer
Reinigung infiziert! Dieses Programm ist nicht in der Lage, den Virus
aus dem Speicher zu entfernen bzw. ihn dort ueberhaupt zu finden, da
der Virus sich direkt im Windows-Kernel versteckt.

Vor einer Such- oder Reinigungsaktion deshalb erst Windows auf DOS-
Ebene starten (ueber das Bootmenu oder "Start" -> "Beenden..." ->
"Im MS-DOS-Modus neu starten").


*** Reinigungsfunktion ***

Der Virus kann sich ueber mehrere Stuecke innerhalb einer EXE-
Datei verteilen. Dieses Programm kann nur den ersten Teil des Virus
entfernen, die restlichen, dann ungefaehrlichen Bruchstuecke, ver-
bleiben jedoch in der Datei. Das liegt daran, dass die Virusteile
nicht exakt lokalisiert werden koennen, auch der Virus kann dies
nicht und deshalb werden einige Dateien bei der Infektion mit dem
Virus zerstoert. Der Cleaner koennte die restlichen Teile auch
entfernen, allerdings kann er sie nicht 100%ig lokalisieren. Die
Folge waere, dass unter Umstaenden nicht nur Teile des Virus,
sondern auch Teile des Programmes 'mitgereinigt', also entfernt
wuerden. Zudem ueberschreibt der Virus einige Informationen unwieder-
ruflich. Setzen Sie die Reinigungsfunktion deshalb nur im Notfall ein.
Die Programme sind danach zwar meist voll funktionsfaehig, allerdings
nicht mehr im Originalzustand. Seien sie aber auch sehr vorsichtig
mit der Reinigungsfunktion von anderen Anti-Virus-Programmen: Die
meisten nehmen es noch nicht einmal so genau wie dieser Killer,
einige loeschen noch nicht einmal den ersten Teil des Virus! Die
bessere Methode zur restlosen Entfernung des Virus ist eine Neu-
installation des Systems bzw. eine Rekonstruktion von einem Backup.


*** Programminformationen ***

Das Virensuchprogramm ist rein DOS-basierend, benoetigt weniger als
200 KB freien unteren DOS-Speicher waehrend der Virensuche und ist
problemlos unter Betriebssystemen wie Windows 3.x, '95, '98 und NT
oder OS/2 einsetzbar. Das Programm ist netzwerkfaehig und kann auch
Dateien auf CD-ROMs untersuchen. Es unterstuetzt jedoch keine langen
Dateinamen und kann derzeit noch nicht in Archiven (ZIP, ARJ u.ae.)
scannen. Solche Archive muessen vorher entpackt werden!

Das Programm testet sich selbst beim Start auf Veraenderungen und
Virenbefall und gibt ggf. einen entsprechenden Hinweis aus.

Bei Aufruf des Programms wird automatisch nach dem zu durchsuchenden
Laufwerk gefragt, falls keines in der Kommandozeile eingegeben wurde.
Eine Auflistung aller Kommandozeilenparameter erhaelt man mit der
Option "/?" oder "/HELP". Es kann festgelegt werden, ob alle Dateien
durchsucht werden sollen ("/ALL"), eine Virenliste ("/VLIST")
angezeigt werden, was mit infizierten Datein geschehen soll u.v.a.m.

Es gibt nach der Suche eine Statistik ueber durchsuchte und befallene
Dateien aus. Folgende Errorlevels gibt das Programm nach der
Ausfuehrung zurueck, die z.B. in BAT-Dateien weiterverarbeitet
werden koennen:  0   --> Alles OK, keine Viren gefunden.
                 1   --> Viren gefunden!
                 255 --> Fehler aufgetreten, z.B. TSCAN.DAT unauffindbar


*** Allgemeine Hinweise zu TSCAN ***

Die Engine Version 2.x ist derzeit in Planung und Entwicklung.
Es wird sie nur als 32-Bit-Version fuer DOS (spaeter: Windows '95)
geben, die Hardwarevorraussetzungen steigen also etwas: 386er mit
min. 2 MB RAM (was hoffentlich kein Problem mehr darstellt ;-) ).

Hinweis: Ich suche nach Fehlern und Fehlalarmen aller Art. Falls
Sie einen Virus haben sollten - egal, ob er von TSCAN bereits erkannt
werden kann oder nicht - schicken Sie ihn mir bitte zur Analyse zu.
Vielen Dank fuer Ihre Hilfe!

Fuer das Programm gelten die gleichen Lizenzbestimmungen wie fuer die
Vollversion des Programms CGL (siehe dort 'lizenz.txt'). Das bedeutet
u.a. einen kompletten Haftungsausschluss fuer die Verwendbarkeit
und/oder Nichtverwendbarkeit des Programmes und eventuell durch die
Benutzung entstehende Schaeden! Die Special Edition von TSCAN ist
Freeware und darf kostenlos genutzt werden. Sie unterliegt aber
allen Bestimmungen des Urheberrechtes!

Alle im Programm und in diesem Text genannten Warenzeichen und
Firmemnamen sind durch ihre jeweiligen Eigentuemer/Inhaber geschuetzt.


*** Neue Versionen - woher? ***

Das Programm ist u.a. in folgenden Mailboxen verfuegbar:
o Virus Help Munich (VHM), Freising,         V.34  unter 08161 / 93 82 20
o SunnyBBS Magdeburg,      Magdeburg, ISDN & V.34+ unter  0391 / 62 30 399
o Anti-Virus-News (AVN),   Oldenburg, ISDN & V.34  unter  0441 / 97 36 289
o Sowie allen VirNet-Systemen (kommt durch das Fileecho VIR_GER)

Ausserdem ist das Programm im Internet und Online-Diensten erhaeltlich.


*** Autor, Kontaktadresse ***

TSCAN-Engine (allgemein):

Virenforschung, Konzeption und Programmierung: Andreas Marx (VHM)
Tel: 0391/613303 * E-Mail (privat): amarx@boerde.de * Fax: 0391/6218501
Fido: 2:2480/8849.17 (Virus Help Munich)
 oder 2:2426/2240.14 (AVN BBS)
Snail-Mail: Andreas Marx, F”rderstedter Str. 11, 39112 Magdeburg

Technische Unterstuetzung: Stefan Kurtzhals (VHM) und Ralph Roth (VHM)
Beta-Tester: Ralf Borgmann, Marc Schneider und Thomas Moenkemeier
Vielen Dank an: Felix Mannewitz (VHM) und Lukas-Fabian Moser (VHM)
Danke auch an: Thomas Sahlmann, Dennis Schmedtje und Heiko Schoenfeld
Gruesse an: Toralv Dirro (VHM), Gerald Scheidl (VHM), Raimund
Genes (VHM), Rainer Link (VHM), Dr. Dirk Hochstrate, Petr Odehnal,
Petr Zahradnicek und alle, die ich jetzt vergessen habe... ;-)


Fuer diese Spezial-Version gegen den W95/CIH-Virus:

Autor: Andreas Marx (VHM)
Beta-Test: Dr. Karlhorst Klotz (Redaktion CHIP)
Danke an: Oliver Marx, Stefan Kurtzhals (VHM), Raimund Genes (VHM),
          Toralv Dirro (VHM)


*** PGP-Key des Autors ***

Typ  Bits/ID       Datum      Benutzer
”ff  1024/3410BB65 1995/08/21 Andreas Marx <amarx@boerde.de>

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.3i

mQCNAzA46O4AAAEEAOq2GWnkCfWJ0jiyB7rfmXfrUxdI8XrPsVazP4ZTVuqfSjES
svOaVORKifYudi7ThfpbwXwxSeVQJhUK+QcaCRCtefskew9qlOJKJc8LxN0BixMy
XnuEKIW+hIjBPcyUVT3bRn6PuLJogRdzJzBB7nT5knVXppELsE+5IGs0ELtlAAUT
tB5BbmRyZWFzIE1hcnggPGFtYXJ4QGJvZXJkZS5kZT6JAJUDBRA0GbCKT7kgazQQ
u2UBAWFMBADpGHLu1JEgrFVx7iSaxO3Ha3wDqeWL80QnHPDbSbnEtOSyDJWY7w6K
maJ4yGTkoZJT/lvZl5nA4K0J6TI8yQ8ET7oebZy8Q45nqsqANIr1AN78PlqJivAD
LLC9C5Y1S+nJN615bYWulGdiN0cH+fCQNvIEYN/YD3hOP4JFmHpwDA==
=6+0g
-----END PGP PUBLIC KEY BLOCK-----


*** Ende der Datei ***