home *** CD-ROM | disk | FTP | other *** search
/ Chip Hitware 7 / Chip_Hitware_Vol_07.iso / chiphit7 / _viren / fwin / fwin.txt < prev    next >
Encoding:
Text File  |  1996-12-01  |  43.5 KB  |  888 lines
  1.  
  2.  
  3.                      F  /   W   I   N        4   .   0
  4.                      =================================
  5.  
  6.                  HEURISTISCHE ERKENNUNG VON WINDOWS-VIREN
  7.  
  8.                         (c) 1996 Stefan Kurtzhals
  9.  
  10.                    Stefan Kurtzhals
  11.                    Dörrenberg 42
  12.                    D-42899 Remscheid
  13.                    Internet:  kurtzhal@uni-wuppertal.de
  14.                    Fido:      2:2480/8849.2
  15.  
  16.  
  17.  
  18. 1.  WAS IST F/WIN? .........................................................
  19.  
  20. 2.  INSTALLATION UND BENUTZUNG VON F/WIN ...................................
  21.  
  22. 3.  DIE VIRENERKENNUNG UND REINIGUNGSFUNKTION VON F/WIN ....................
  23.  
  24. 4.  MÖGLICHE FEHLALARME ....................................................
  25.  
  26. 5.  MAKRO- UND WINDOWS EXE-VIREN ...........................................
  27.  
  28. 6.  SHAREWARE, LIZENZBESTIMMUNGEN, GARANTIE ................................
  29.  
  30.  
  31.  
  32. 1.  WAS IST F/WIN?
  33. ============================================================================
  34.  
  35.     F/WIN ist ein DOS-Virenscanner, der Word 6.0/7.0-Dokumente sowie
  36.     Windows-EXE-Programme nach Computer-Viren durchsucht.
  37.  
  38.     Im Gegensatz zu herkömmlichen Virenscannern sucht F/WIN nicht nach
  39.     Virensignaturen von bekannten Viren, sondern verwendet einen regel-
  40.     basierenden Suchansatz. Dabei wird nach einer Anzahl von für Viren
  41.     typischem Programmcode oder Makrobefehlen gesucht und der Programm-
  42.     aufbau der Datei analysiert. F/WIN verwendet zur Analyse einen
  43.     Emulator/Tracer, mit dem jeder in Makros verwendete WordBasic-Befehl
  44.     untersucht wird. Durch diese Suchmethode ist F/WIN in der Lage, bekannte
  45.     und unbekannte Word Makro- bzw. Windows-Viren zu erkennen.
  46.  
  47.     Als ein Beispiel kann hier <Concept.A> aufgeführt werden. F/WIN sucht
  48.     nicht nur die Viren-Makros
  49.  
  50.        AAAZAO
  51.        AAAZFS
  52.        AutoOpen
  53.        Payload
  54.  
  55.     sondern untersucht im Gegensatz zu anderen Virenscannern auch die
  56.     Makrodefinitionen nach den entsprechenden Befehlen wie "MakroKopieren",
  57.     "DateiSpeichernUnter" und ähnliche. Verändert man die Makronamen und
  58.     den Code von <Concept.A> geringfügig (was selbst ein Laie relativ leicht
  59.     bewerkstelligen kann!), findet der größte Teil der normalen Virenscanner
  60.     den veränderten Virus bereits nicht mehr. F/WIN zeigt weiterhin eine
  61.     detaillierte Analyse des Makrocodes an, anhand derer oft genau abgelesen
  62.     werden kann, welche Auswirkungen und Schadensfunktionen der gefundene
  63.     Makro-Virus enthält.
  64.  
  65.     Beispiel einer F/WIN-Analyse anhand des <Concept.A>-Virus:
  66.  
  67.         D:\VIRUS\CONCEPT.DOC
  68.         (...A 1.9.1995 13:21:06 17920 Bytes)
  69.         ■ Bekannter Virus gefunden: "Concept.A"
  70.         ■ Dieser Makro-Virus basiert auf "Concept"
  71.         ■ Word 6.0/7.0-Dokumentstream gefunden (5100 Bytes)
  72.         ■ Enthält 4 Makros (1968 Bytes)
  73.         ■ Enthält Makros, hat aber trotzdem die Namensendung .DOC
  74.         ■ Kopiert Makros auf virentypische Art
  75.         ■ Kopiert Makros vom aktuellen Dokument in die globale Vorlage
  76.         ■ Kopiert Makros von der globalen Vorlage in andere Dokumente
  77.         ■ Makros greifen auf sich selber zu
  78.         ■ Konvertiert Dokumente in Vorlagen
  79.         ■ Benutzt den Befehl 'DateiSpeichernUnter'
  80.         ■ Definiert Word-interne Befehle um
  81.         ■ Verwendet Auto-Makros
  82.         ■ Modifiziert Einstellungen in .INI-Dateien
  83.         ■ Zeigt Meldungsfenster an
  84.         ■ Enthält die folgenden Makros:
  85.           "AAAZAO"
  86.           (Größe: 742,Verdächtig,Zugriff vom Virus)
  87.           "AAAZFS"
  88.           (Größe: 435,Verdächtig,Zugriff vom Virus)
  89.           "PAYLOAD"
  90.           (Größe:  49,Verdächtig,Zugriff vom Virus)
  91.           "AUTOOPEN"
  92.           (Größe: 742,Verdächtig,Zugriff vom Virus)
  93.  
  94.  
  95.  
  96.     Was kann F/WIN besser als andere Antiviren-Programme?
  97.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  98.     -> F/WIN erkennt mit seiner heuristischen Analyse bekannte und UNBEKANNTE
  99.        Makro-Viren für Word 6.0 und Word 7.0. Andere Antiviren-Programm
  100.        können lediglich bekannte Makro-Viren finden und bieten oft keine
  101.        Reinigungsfunktion an bzw. entfernen nur bekannte Makro-Viren.
  102.  
  103.     -> F/WIN verwendet eine sehr fortschrittliche Heuristik, die Fehlalarme
  104.        zum größten Teil ausschließt. Andere Antiviren-Programme ignorieren
  105.        zum Teil die Möglichkeit solcher Fehlalarme völlig.
  106.  
  107.     -> Von F/WIN gereinigte Word-Vorlagen werden wieder in normale Word-
  108.        Dokumente umgewandelt.
  109.  
  110.     -> Enthält eine infizierte Vorlage neben dem Virus vorher installierte
  111.        Makros, bietet F/WIN die Option an, nur die Viren-Makros zu entfernen.
  112.  
  113.     -> F/WIN untersucht den Makro-Code und gibt eine detaillierte Analyse aus.
  114.  
  115.     -> F/WIN erkennt exotische Makro-Viren, wie z.B. Viren, die Shortcuts,
  116.        Formular-Links, On-the-Fly oder Companion-Infektionsmethoden
  117.        verwenden.
  118.  
  119.     -> F/WIN besitzt eine sehr genaue Erkennung von bekannten Makro-Viren.
  120.        Selbst geringfügige Veränderungen am Viruscode werden erkannt.
  121.  
  122.     -> F/WIN bietet eine vollständige OLE 2.0-Unterstützung und erkennt
  123.        Dokumente, die mit anderen Antiviren-Programmen nicht vollständig
  124.        gereinigt wurden. F/WIN benutzt nicht die extrem fehlerhafte
  125.        Systemdatei OLE2.DLL bzw. OLE32.DLL von Windows für den Dateizugriff,
  126.        sondern verwendet eine eigene Schnittstelle.
  127.  
  128.     -> F/WIN unterstützt das Dokument-Dateiformat der asiatischen Word-
  129.        Version und Dokumente, die auf Macintosh-Systemen erstellt wurden.
  130.        Einige Antiviren-Programme scheitern an diesen Formaten oder bereits
  131.        an normalen Dokumenten mit komplexeren Makro-Kontrollstrukturen.
  132.  
  133.     -> F/WIN ist selber kein Word-Makro (wie viele der herkömlichen Schutz-
  134.        Programme) und ist daher unabhängig von Winword. Als DOS-Programm
  135.        kann es von einer Startdiskette aus problemlos aufgerufen werden.
  136.  
  137.     -> F/WIN erkennt bekannte und unbekannte Windows 3.x und Windows 95-
  138.        Programmviren, die auf dem häufig verwendeten Infektionsschema der
  139.        Viren <Winsurfer>, <AEP> und <Boza> basieren und kann diese auch aus
  140.        Windows-Programmen entfernen. Bekannte und stark verbreitete Viren
  141.        dieses Typs sind <Tentacle> und <Tentacle_II>.
  142.  
  143.  
  144.  
  145. 2.  INSTALLATION UND BENUTZUNG VON F/WIN
  146. ============================================================================
  147.  
  148.     Die Installation erfolgt einfach, indem die Dateien von F/WIN in ein
  149.     Verzeichnis auf der Festplatte kopiert werden. F/WIN wird nicht speziell
  150.     konfiguriert und kann sofort aufgerufen werden. F/WIN ist ein DOS-
  151.     Programm, kann aber ohne Probleme unter Windows bzw. Windows95 gestartet
  152.     werden. Der Anwender kann sich bei Bedarf eine Referenz auf dem Desktop
  153.     erstellen, um den Aufruf zu beschleunigen.
  154.  
  155.     Registrierte Benutzer erhalten einen Registrierungsschlüssel (FWIN.KEY),
  156.     der einfach in das gleiche Verzeichnis wie F4.EXE kopiert werden muß,
  157.     um die Funktionen der Vollversion freizuschalten. Als Update kann die
  158.     ganz normale Shareware-Version bezogen werden, die wieder durch die
  159.     Datei FWIN.KEY freigeschaltet wird. Der Registrierungsschüssel sollte
  160.     gut aufbewahrt werden. Das Anlegen eines Backups dieser Datei ist zu
  161.     empfehlen!
  162.  
  163.     WICHTIG! Bevor F/WIN gestartet wird, muß Microsoft Word geschlossen
  164.     werden, da F/WIN sonst nicht die vollen Schreibzugriffe auf evtl.
  165.     geöffnete Dateien wie NORMAL.DOT erhält!
  166.  
  167.  
  168.     Wird F/WIN ohne weitere Parameter aufgerufen, wird ein Auswahlmenü
  169.     angezeigt. Die Schnellstartoption durchsucht sämtliche lokalen
  170.     Festplatten und entspricht der Angabe von "F4 /LOCAL".
  171.  
  172.     Die sonstige Aufrufsyntax lautet wie folgt (die Angabe eines
  173.     Suchpfades bzw. Parameters sind optional):
  174.  
  175.  
  176.     F4 {Suchpfad} {/Parameter}
  177.  
  178.           Suchpfad    Ein Laufwerk oder Pfad, der von F/WIN mit sämtlichen
  179.                       Unterverzeichnissen durchsucht wird. Es kann nur ein
  180.                       Suchpfad pro Aufruf angegeben werden. F/WIN erlaubt
  181.                       auch Angaben von langen Dateinamen (Windows 95),
  182.                       allerdings darf die Angabe nicht länger als 128
  183.                       Zeichen sein. Pfadangaben mit Leerzeichen müssen in
  184.                       Anführungszeichen (") eingeklammert werden.
  185.  
  186.           /? /H /HELP Es wird eine Hilfeseite mit allen Parametern angezeigt.
  187.  
  188.           /REPORT=... F/WIN erzeugt eine Reportdatei, in der alle durch-
  189.                       suchten Dateien, die verdächtige Strukturen oder
  190.                       Programmcode enthalten, aufgelistet werden.
  191.                       Hinter dem "="-Zeichen muß ein Dateiname angeben
  192.                       werden, der als Name für die Logdatei verwendet
  193.                       wird. Die Reportfunktion ist nur in der Vollversion
  194.                       verfügbar!
  195.           /REPORT=+.. Wie /REPORT=..., F/WIN fügt den aktuellen Report der
  196.                       bereits existierenden Logdatei hinzu oder erstellt
  197.                       einen neuen Report, falls die Datei noch nicht
  198.                       existiert.
  199.                      
  200.           /REPORT     Wie /REPORT=, es wird lediglich die Vorgabe "FWIN.RPT"
  201.                       für die Reportdatei verwendet.
  202.  
  203.           /LOGALL     Normalerweise enthält der Report von F/WIN nur die
  204.                       Namen von Dateien mit verdächtigem Inhalt. Mit /LOGALL
  205.                       werden sämtliche durchsuchte Dateien aufgelistet.
  206.  
  207.           /NODETAIL   Die ausführliche Analyse der erkannten Viren wird nicht
  208.                       in der Reportdatei aufgeführt.
  209.  
  210.           /ANALYSE    F/WIN zeigt beim Erkennen einer verdächtigen Datei
  211.           /A          sofort das Analysefenster an.
  212.  
  213.           /MOVE=...   Die von F/WIN angelegten Sicherheitskopien befinden
  214.                       sich normalerweise im gleichen Verzeichnis wie die
  215.                       Originaldatei. Mit /MOVE wird ein eigenes Verzeichnis
  216.                       angelegt, in das alle Sicherheitskopien verschoben
  217.                       werden. Unter Windows 95 können lange Verzeichnisnamen
  218.                       angegeben werden, allerdings müssen diese dann in
  219.                       Anführungszeichen eingeschlossen werden. Die Standard-
  220.                       vorgabe ist "C:\VIRUS".
  221.  
  222.           /MODE:n     Einstellung der erweiterten Virenerkennung:
  223.                         n = 1 : Extended
  224.                         n = 2 : Paranoid
  225.  
  226.           /MODE:1     Normalerweise versucht F/WIN, durch eine sorgfältige
  227.           /MODE:2     Analyse der Dateien Falschalarme zu vermeiden. Dadurch
  228.                       kann es vorkommen, daß F/WIN z.B. nicht alle möglichen
  229.                       Makro-Trojaner erkennt. Mit /MODE:n können zwei beson-
  230.                       dere Suchmodi eingeschaltet werden, mit denen F/WIN
  231.                       auch weniger oder nur teilweise verdächtige Dokumente
  232.                       meldet. Allerdings steigt damit auch die Möglichkeit
  233.                       von Fehlalarmen, besonders im "Paranoid"-Modus.
  234.                       Wie der Name schon sagt, ist die Erkennung von F/WIN
  235.                       in diesem Suchmodus ziemlich paranoid, allerdings
  236.                       eignet sich dieser Suchmodus hervorragend für Systeme,
  237.                       in denen nie Makros eingesetzt werden, da F/WIN
  238.                       bereits Dokumente mit nur wenigen verdächtigen
  239.                       Merkmalen meldet.
  240.                       Der Extended-Modus ist nicht ganz so anfällig für
  241.                       Fehlalarme wie der Paranoid-Modus, es werden aber auch
  242.                       hier z.B. einige komplexe kommerzielle Makros als
  243.                       verdächtig gemeldet. Im Extended-Modus werden zusätz-
  244.                       lich auch Makros gemeldet, die zwar verdächtige Befehle,
  245.                       aber keinen vollständigen Makro-Virus enthalten.
  246.                       Die /MODE-Option ist nur in der Vollversion vorhanden!
  247.  
  248.           /PARANOID   Entspricht /MODE:2 und wurde aus Version 3.00 und 3.02
  249.                       übernommen.
  250.  
  251.           /DOC        Es werden nur .DOC und .DOT Dateien überprüft. F/WIN
  252.                       sucht damit ausschließlich nach Makro-Viren,
  253.                       allerdings wird die Suchgeschwindigkeit durch die
  254.                       Angabe von /DOC stark beschleunigt.
  255.  
  256.           /NOHEUR     F/WIN verwendet keine Heuristik, um Makro-Viren zu
  257.                       erkennen. Es werden nur noch bekannte Viren anhand
  258.                       von Signaturen erkannt. Allerdings arbeitet F/WIN
  259.                       bei Angabe des Parameters /NOHEUR wesentlich schneller,
  260.                       da nicht mehr alle vorhandenen Makros eingelesen und
  261.                       überprüft werden müssen. /NOHEUR empfiehlt sich für den
  262.                       Fall, wenn große Festplatten mit einem bekannten
  263.                       Makro-Virus infiziert sind.
  264.  
  265.           /NOSIG      Zur Erkennung von Makro-Viren wird lediglich die
  266.                       WordBasic-Heuristik verwendet.
  267.  
  268.           /RENAMEALL  Im Batch-Modus verlangt F/WIN keine Anwender-Eingaben
  269.                       mehr, sondern benennt sofort jede als verdächtig
  270.                       erkannte Datei in eine andere Dateierweiterung um
  271.                       (.VIR, .VI1, .VI2 usw.). Wurde der Parameter /MOVE=...
  272.                       benutzt, legt F/WIN die Sicherheitskopien im
  273.                       angegebenen Verzeichnis an.
  274.  
  275.           /CLEANALL   Alle befallenen Dateien werden automatisch ohne Eingaben
  276.                       des Anwenders gereinigt. Bei Makro-Viren wird, wenn
  277.                       möglich, der Reinigungsmodus 1 verwendet und die Datei
  278.                       wieder in ein Dokument zurückkonvertiert. Bevor die
  279.                       infizierte Datei verändert wird, legt F/WIN eine
  280.                       Sicherheitskopie an. Ist dies nicht möglich, wird
  281.                       die infizierte Datei nicht verändert.
  282.                       /CLEANALL erfordert die Angabe des Parameters /REPORT.
  283.  
  284.           /IGNOREALL  F/WIN wird in den Batchmodus geschaltet und hält nicht
  285.                       mehr bei der Anzeige von verdächtigen Dateien an. Die
  286.                       gemeldeten Dateien werden nicht umbenannt oder
  287.                       gereinigt. /IGNOREALL ist nur zusammen mit /REPORT
  288.                       einsetzbar und ist für den Betrieb über DOS-
  289.                       Batchdateien gedacht.
  290.  
  291.           /MOVEALL    Alle verdächtigen Dateien werden automatisch in das
  292.                       mit /MOVE=... angegebene Verzeichnis verschoben. Wird
  293.                       kein Pfad vorgegeben verschiebt F/WIN die Dateien nach
  294.                       "C:\VIRUS".
  295.  
  296.           /CLEAN:n    Bestimmt den Reinigungsmodus für Word Makro-Viren.
  297.                       Im Modus 1 werden sämtliche vorhandenen Makros entfernt
  298.           /CLEAN:1    und falls die Datei die Endung ".DOC" aufweist, wieder
  299.           /CLEAN:2    in das normale Dokumentformat zurückkonvertiert.
  300.                       /CLEAN:2 bewirkt, daß nur die Viren-Makros entfernt
  301.                       werden. Erkennt F/WIN, daß sämtliche Makros innerhalb
  302.                       einer Datei zum Virus gehören, wird automatisch der
  303.                       Reinigungsmodus 1 für die betreffende Datei angewendet.
  304.  
  305.           /LOCAL      F/WIN durchsucht alle lokalen Laufwerke nach Viren.
  306.                       Diskettenlaufwerke und CD-ROMs werden nicht überprüft.
  307.  
  308.           /REMOTE     F/WIN überprüft alle vorhandenen Netzwerklaufwerke, auf
  309.                       die ein Zugriff möglich ist. Eine Kombination der
  310.                       Parameter /LOCAL und /REMOTE ist möglich.
  311.  
  312.           /BEEP       F/WIN gibt ein Signalton aus, falls eine infizierte
  313.                       Datei gefunden wird. Dieser Parameter wird im Batch-
  314.                       modus (/IGNOREALL, /CLEANALL usw.) deaktiviert.
  315.                       
  316.           /NOBREAK    Der Suchvorgang von F/WIN kann nicht mehr mit <ESC>
  317.                       oder <STRG-C> unterbrochen werden.
  318.  
  319.           /NOSUB      F/WIN durchsucht keine Unterverzeichnisse.
  320.  
  321.           /WAIT       Nach Beendingung des Suchvorgangs wartet F/WIN noch
  322.                       auf eine Bestätigung des Anwenders.
  323.  
  324.  
  325.        Hinweis:
  326.        ~~~~~~~~
  327.  
  328.        /RENAMEALL, /CLEANALL, /IGNOREALL und /WIPEALL schließen sich gegen-
  329.        seitig aus und können nicht zusammen verwendet werden.
  330.  
  331.  
  332.        Beispiele:
  333.        ~~~~~~~~~~
  334.  
  335.           F4 /LOCAL /DOC
  336.  
  337.             (Alle Laufwerke werden von F/WIN durchsucht, wobei nur .DOC oder
  338.              .DOT-Dateien überprüft werden.)
  339.  
  340.           F4 D:
  341.  
  342.             (durchsucht das gesamte D: Laufwerk)
  343.  
  344.  
  345.           F4 "C:\MSOffice\WinWord\Vorlagen\Meine Texte"
  346.  
  347.             (das Verzeichnis "Meine Texte" und alle seine Unterverzeichnisse
  348.              werden durchsucht. Wichtig ist die Angabe der Anführungs-
  349.              zeichen.)
  350.  
  351.  
  352.           F4 A:\ /REPORT=C:\FWIN.RPT /MODE:2
  353.  
  354.             (durchsucht das gesamte A: Laufwerk und legt eine Logdatei
  355.              auf Laufwerk C mit dem Namen "FWIN.RPT" an. Dabei wird der
  356.              Paranoid-Suchmodus benutzt.)
  357.  
  358.  
  359.           F4 C:\*.DO?
  360.  
  361.             (durchsucht das C:-Laufwerk nach Dateien mit der Endung ".DO?".)
  362.  
  363.  
  364.           F4 D:\NEU /MOVE="C:\Sicherheitskopien" /REPORT=+C:\FWIN.RPT
  365.  
  366.             (F/WIN durchsucht das Verzeichnis D:\NEU, fügt die Ergebnisse
  367.              der Reportdatei C:\FWIN.RPT hinzu und legt die Sicherheitskopien
  368.              im Verzeichnis "C:\Sicherheitskopien" an.)
  369.  
  370.  
  371.           F4 /LOCAL /REMOTE /MOVEALL /MOVE=C:\VIR /REPORT=C:\VIRUS.TXT
  372.  
  373.             (Alle lokalen Festplatten und Netzwerklaufwerke werden durchsucht,
  374.              dabei werden alle verdächtigen Dateien automatisch in das
  375.              Verzeichnis "C:\VIR" verschoben und die Reportdatei
  376.              "C:\VIRUS.TXT" erzeugt.)
  377.  
  378.  
  379.        Errorlevel:
  380.        ~~~~~~~~~~~
  381.           F/WIN gibt eine Anzahl von verschiedenen Errorlevels an DOS zurück,
  382.           die in einer Batch-Datei abgefragt werden können:
  383.  
  384.             0   -   Es wurden keine verdächtigen Dateien gefunden und die
  385.                     Suche erfolgreich durchgeführt.
  386.             1   -   F/WIN hat eine oder mehrere verdächtige Dateien gefunden.
  387.  
  388.           250   -   Eine ungültige Parameterkombination wurde angegeben.
  389.  
  390.           253   -   Das /MOVE=...-Verzeichnis kann nicht erzeugt werden
  391.           254   -   Die Reportdatei kann nicht erzeugt werden.
  392.  
  393.  
  394.  
  395.     Findet F/WIN beim Durchsuchen des angegebenen Verzeichnisses verdächtige
  396.     Dateien, unterbricht es den Suchvorgang und zeigt einige Informationen
  397.     über die verdächtige Datei und ein Auswahlmenü an. Dieses Menü kann
  398.     z.B. so aussehen:
  399.  
  400.     CONCEPT .DOC  - Infiziert mit: "Concept.A"
  401.                     (Makros: 4, Größe: 1968)
  402.  
  403.     [ Analyse Reinigen Umbenennen Verschieben Ignorieren Beenden Optionen ]
  404.  
  405.     Die einzelnen Punkte können durch Auswahl mittels Cursortasten und
  406.     SPACE bzw. ENTER oder durch Eingabe des farblich hervorgehobenen
  407.     Buchstaben ausgewählt werden. ESC beendet den Suchvorgang.
  408.  
  409.     Die Menüpunkte im einzelnen:
  410.  
  411.     ANALYSE
  412.     ~~~~~~~
  413.     F/WIN zeigt das Analyse-Fenster mit einer detaillierten Übersicht über
  414.     die Schadensfunktionen des erkannten Virus an. Der sichtbare Ausschnitt
  415.     des Analysefensters kann mit den Cursortasten verschoben werden.
  416.  
  417.  
  418.     REINIGEN
  419.     ~~~~~~~~
  420.     Die gemeldete Datei wird gereinigt, wobei zuvor eine Sicherheitskopie
  421.     angelegt wird. Falls ein Word-Dokument neben dem Virus noch weitere
  422.     Makros enthält und der Reinigungsmodus nicht durch /CLEAN:1 oder /CLEAN:2
  423.     festgelegt wurde, bietet F/WIN ein Auswahlmenü an, in dem der Anwender
  424.     festlegen kann, ob F/WIN alle oder nur die verdächtigen Makros aus der
  425.     Datei entfernen soll.
  426.  
  427.  
  428.     UMBENENNEN
  429.     ~~~~~~~~~~
  430.     Die verdächtige Datei wird in eine andere Dateiendung wie z.B.
  431.     .VIR, VI1, .VI2 usw. umbenannt. Wurde der Parameter /MOVE= angegeben,
  432.     werden die Sicherheitskopien in diesem Verzeichnis angelegt.
  433.  
  434.     Beispiel:
  435.  
  436.        TEXT.DOC   ->  TEXT.VIR
  437.  
  438.  
  439.     VERSCHIEBEN
  440.     ~~~~~~~~~~~
  441.     F/WIN verschiebt die verdächtige Datei in ein spezielles Verzeichnis, das
  442.     mit /MOVE=... angegeben werden kann. Wurde kein Verzeichnis vorgegeben,
  443.     verwendet F/WIN automatisch die Vorgabe "C:\VIRUS".
  444.  
  445.  
  446.     IGNORIEREN
  447.     ~~~~~~~~~~
  448.     Die verdächtige Datei wird übersprungen und bleibt unverändert.
  449.  
  450.  
  451.     BEENDEN
  452.     ~~~~~~~
  453.     Der Suchvorgang wird beendet.
  454.  
  455.  
  456.     OPTIONEN
  457.     ~~~~~~~~
  458.     F/WIN zeigt ein Auswahlfenster an, in dem der Anwender mittels
  459.     Cursortasten und SPACE bzw. ENTER verschiedene Automatik-Modi einstellen
  460.     kann.
  461.  
  462.         Aktuelle Datei
  463.         Aktuelles Verzeichnis
  464.         Aktuelles Verzeichnis inkl. Unterverz.
  465.         Aktuelles Laufwerk
  466.         Alle weiteren verdächtigen Dateien
  467.  
  468.     F/WIN wendet die von Ihnen angegebene Aktion wie Reinigen, Umbenennen,
  469.     Ignorieren usw. auf diese Angabe an. Wenn Sie also unter Optionen den
  470.     Punkt "Aktuelles Laufwerk" und danach die Option "Reinigung" anwählen,
  471.     reinigt F/WIN alle Dateien auf dem aktuellen Laufwerk.
  472.  
  473.  
  474.  
  475. 3.  DIE VIRENERKENNUNG UND REINIGUNGSFUNKTION VON F/WIN
  476. ============================================================================
  477.  
  478.        In der jetzigen Version kann F/WIN infizierte Dokumente reinigen und
  479.        NE-EXE-Viren (Windows 3.x) sowie PE-EXE (Windows 95) entfernen.
  480.  
  481.        Durch die Unterstützung des OLE 2.0-Dateiformats ist F/WIN in der
  482.        Lage, Word Makro-Viren zuverlässig zu erkennen und zu entfernen.
  483.        Dieses Dateiformat ist sehr komplex und einige Antiviren-Programme
  484.        sind nicht in der Lage, es korrekt zu bearbeiten.
  485.  
  486.        Makro-Viren werden anhand von zwei Methoden erkannt:
  487.  
  488.        1. Code-Heuristik
  489.           F/WIN untersucht innerhalb jedes Makros eines Word-Dokuments, ob
  490.           verdächtige Strukturen oder Befehle vorhanden sind. Durch diesen
  491.           regelbasierten Suchansatz ist F/WIN in der Lage, bekannte und
  492.           unbekannte Makro-Viren zu erkennen. Die komplexe Heuristik ist
  493.           ebenfalls in der Lage, so gut wie alle Fehlalarme zu erkennen
  494.           und zu vermeiden. F/WIN verwendet einen Emulator/Tracer, der jede
  495.           WordBasic-Befehlszeile genau untersucht.
  496.  
  497.        2. Signatur-Vergleich
  498.           Diese Suchmethode ist eigentlich nur ein zusätzlicher "Bonus", da
  499.           die Heuristik bereits alle bisher bekannten Viren erkennt. Anhand
  500.           des Signatur-Vergleichs kann lediglich festgestellt werden, ob es
  501.           sich bei dem Virus um einen bereits bekannten Makro-Virus handelt
  502.           und ob dieser Virus modifiziert wurde. F/WIN verwendet eine sehr
  503.           präzise Vergleichsmethode und vergleicht jedes Byte der
  504.           Virenmakros.
  505.  
  506.        Die erkannten Makro-Viren können entfernt werden, egal ob es sich
  507.        dabei um einen bekannten oder unbekannten Virus handelt.
  508.        F/WIN verwendet mehrere Methoden, um festzustellen, welche Makros
  509.        innerhalb eines Dokuments zum Virus gehören und bietet die Option an,
  510.        nur diese Makros zu entfernen und ursprünglich vorhandene Makros
  511.        zu erhalten. Normalerweise erkennt F/WIN automatisch, welcher
  512.        Reinigungsmodus verwendet werden muß, im Zweifelsfall wird ein
  513.        Auswahlmenü angezeigt.
  514.        F/WIN entfernt den Virus aus der Datei, indem der Viruscode
  515.        vollständig überschrieben und das betreffende Makro innerhalb der
  516.        Dokumentstruktur gelöscht wird. Eine Reaktivierung des Virus, wie
  517.        es leider nach der zum Teil unvollständigen Reinigung mit einigen
  518.        anderen Antiviren-Programmen passieren kann, ist nicht möglich.
  519.        Infizierte Dateien mit der Endung ".DOC" werden nach der Reinigung,
  520.        falls möglich, wieder in das normale Dokumentformat zurückkonvertiert.
  521.  
  522.        Windows 3.x-Viren können dann entfernt werden, wenn sie sich an das
  523.        VLAD-Infektionsschema halten und einen Relokationseintrag am Datei-
  524.        ende angefügt haben. Anhand dieses Eintrags kann F/WIN den alten
  525.        Programmeinsprung feststellen und die Datei reparieren. F/WIN kann
  526.        z.B. folgende Viren entfernen: Ph33r, Wintiny, Winlame und Tentacle.
  527.        Dabei ist es egal, ob der Virus verschlüsselt oder gar polymorph ist.
  528.        Viren wie Cyberriot benutzen andere Methoden, um den alten
  529.        Programmeinsprung zu speichern und können daher nicht entfernt
  530.        werden.
  531.  
  532.  
  533.        Hinweise:
  534.        ~~~~~~~~~
  535.        Dokumente, die mit einem Passwort geschützt sind, können nicht
  536.        überprüft oder gereinigt werden! Makro-Viren, die sich innerhalb
  537.        eines solchen Dokuments befinden, werden erst nach Angabe des
  538.        Passworts aktiv. F/WIN meldet Dokumente, die mit einem Passwort
  539.        geschützt sind und zeigt eine Warnung an, falls zusätzlich noch
  540.        Makros vorhanden sind. Eine Entschlüsselung über Word ist hier
  541.        extrem gefährlich, da dabei ein evtl. vorhandener Virus sofort
  542.        aktiviert wird!
  543.  
  544.        F/WIN kann nur Viren in Microsoft Word 6.0 oder 7.0 Dokumenten
  545.        erkennen und entfernen. Es wird ein Hinweis angezeigt, falls
  546.        F/WIN Word 2.0-Dateien mit der Endung .DOC findet, die Makros
  547.        enthalten. Diese Makros werden allerdings nicht genauer von F/WIN
  548.        analysiert.
  549.  
  550.        Windows EXE-Viren werden auf eine ganz andere Art erkannt, als die
  551.        Microsoft Word Makro-Viren. F/WIN analysiert dabei den Programmkopf
  552.        von NE-EXE (Windows 3.x) und PE-EXE (Windows 95 und Windows NT) auf
  553.        verdächtige Segmente und deren Anordnungen. Da Windows-Programme so
  554.        gut wie immer in Hochsprachen programmiert werden, besitzen sie einen
  555.        quasi fest definierten Programmkopf und weitere voraussagbare
  556.        Strukturen. Die Windows EXE-Viren manipulieren diesen Programmkopf
  557.        während der Infektion auf eine sehr auffällige Art und Weise, die
  558.        F/WIN erkennen kann. Damit ist klar, daß F/WIN nicht den eigentlichen
  559.        Codeinhalt der Segmente überprüft, sondern nur die externe Anordnung.
  560.        Aufgrund der geringen Anzahl von Windows EXE-Viren ist es noch nicht
  561.        möglich, zuverlässige Code-Heuristiken zu erstellen. F/WIN erkennt
  562.        alle Windows EXE-Viren, die auf dem Infektionsschema der Viren
  563.        <NE.Winsurfer>, <NE.AEP> und <PE.Boza> basieren. Mit diesen Windows-
  564.        Viren wurde jeweils ein neues Infektionsschema eingeführt, das allen
  565.        bisherigen Methoden eindeutig überlegen ist und daher wahrscheinlich
  566.        von anderen Virenprogrammierern in zukünftigen Viren übernommen wird.
  567.        Besonders stark verbreitet sind die Windows 3.x-Viren <Tentacle> und
  568.        <Tentacle_II>.
  569.  
  570.        Hinweis:
  571.        ~~~~~~~~
  572.        F/WIN erkennt keine sogenannten "Generation-1"-Samples der Windows
  573.        3.x oder 95-Viren! Oft finden sich solche "Generation-1"-Samples in
  574.        Sammlungen von Computer-Virenforschern. Normal infizierte Dateien
  575.        werden ohne Probleme erkannt.
  576.  
  577.  
  578.  
  579. 4.  MÖGLICHE FEHLALARME
  580. ============================================================================
  581.  
  582.        Wie jede andere Heuristik, so ist auch der von F/WIN benutzte Such-
  583.        ansatz nicht immun gegen Fehlalarme. Das Problem bei der Erstellung
  584.        einer Heuristik ist, daß möglichst viele Viren erkannt, aber gleich-
  585.        zeitig möglichst wenig Fehlalarme produziert werden sollen. Da die
  586.        Anzahl der Windows EXE-Viren bisher noch recht begrenzt ist, kann die
  587.        Heuristik von F/WIN für diesen Virustyp noch nicht besonders "fein"
  588.        ausgewogen werden. Fehlalarme sind daher eher möglich, als bei
  589.        Heuristiken für DOS-Viren.
  590.  
  591.        Die Heuristik der Version 4.00 wurde gegenüber den Vorgängern stark
  592.        verbessert und produziert keinen der bis dahin bekannten Fehlalarme
  593.        mehr. Besonders die Fehlalarme wegen Antiviren Makros wie SCANPROT
  594.        treten nicht mehr auf.
  595.  
  596.        Allerdings kann es bei besonders großen und komplexen Makros
  597.        noch vorkommen, daß ein unbekannter Makro-Virus gemeldet wird.
  598.  
  599.        Bei Windows EXE-Viren sieht das Problem mit Fehlalarmen anders
  600.        aus. Die Strukturen, nach denen F/WIN sucht, sind so atypisch, daß
  601.        eigentlich keine Fehlalarme auftreten sollten. Allerdings ist die
  602.        Anzahl der Viren, aus denen die Heuristik abgeleitet wurde, auch sehr
  603.        gering und die Heuristik daher noch nicht hundertprozentig
  604.        ausgereift.
  605.  
  606.        Wenn Sie bei einer Meldung von F/WIN unsicher sind, ob wirklich eine
  607.        Infektion vorliegt, sollten Sie die Datei auf jeden Fall dem Autor
  608.        zur Analyse vorlegen. Eine solche Analyse ist schnell erledigt und
  609.        gleichzeitig kann F/WIN weiter verbessert werden und, falls es sich
  610.        wirklich um einen neuen Virus handelt, wird dieser an andere Viren-
  611.        forscher weitergeleitet. Wenn Sie dem Autor Viren zuschicken
  612.        möchten, sollte dies möglichst als verschlüsselte PGP-Nachricht über
  613.        das Internet oder direkt per Post erfolgen. Auf keinen Fall sollten
  614.        potentielle Viren ohne Sicherungen verschickt werden! Der
  615.        notwendige Public PGP-Schlüssel und die Adresse befinden sich in der
  616.        Datei KURTZHAL.PGP bzw. REGISTER.TXT und am Ende dieser Anleitung.
  617.  
  618.  
  619.  
  620. 5.  MAKRO- UND WINDOWS EXE-VIREN
  621. ============================================================================
  622.  
  623.        Makro-Viren sind keine neue Erfindung, die Idee besteht schon seit
  624.        Jahren. Aber erst 1994 untersuchte ein amerikanischer Sicherheits-
  625.        techniker die Gefahr von Makro-Viren speziell für Microsoft Word und
  626.        Microsoft Excel. Seine sehr ausführliche Analyse enthielt unter
  627.        anderem zwei Demonstrations-Viren, <WordMacro.DMV> und <Excel.DMV>,
  628.        wobei DMV für "Demo Macro Virus" steht. Trotz dieser Warnungen
  629.        reagierten die Hersteller der Antiviren-Programme nicht, wie es
  630.        leider in der AV-Branche so oft üblich ist. Erst als Mitte 1995
  631.        der erste Microsoft Word Makro-Virus in freier Wildbahn gefunden
  632.        wurde, brach bei den Anwendern Panik und bei den Antiviren-Firmen
  633.        große Hektik aus; es galt, schnell eine Lösung zu finden.
  634.        <WordMacro.Concept.A> war dieser erste verbreitete Makro-Virus, sein
  635.        genauer Ursprung ist unbekannt. <Concept> breitete sich sehr schnell
  636.        aus und gilt heute international als sehr verbreitet (ITW). <Concept>
  637.        ist an sich harmlos, er zeigt lediglich ein Fenster mit einer "1"
  638.        bei seiner ersten Aktivierung an. Das Makro mit dem bezeichnenden
  639.        Namen "Payload" blieb offenbar absichtlich leer. Der Virus enthält
  640.        den Text "That's enough to prove my point", der allerdings nicht
  641.        angezeigt wird. Der Virus wurde unter anderem von Microsoft selber
  642.        unbeabsichtigt auf einer CD verschickt.
  643.        Weitere Makro-Viren ließen nicht lange auf sich warten, als nächstes
  644.        erschienen <WordMacro.Nuclear> und <WordMacro.Colors>. Beide sind
  645.        fortschrittlicher als <Concept> und benutzen Execute-Only Makros, um
  646.        ihre Analyse zu erschweren. <Nuclear> enthält einen normalen DOS-
  647.        Virus, der aus dem Dokument ins System eingeschleust wird bzw.
  648.        eingeschleust werden soll; der Virus hat einen Bug, der dies
  649.        verhindert. Zu bestimmten Uhrzeiten fügt dieser Virus beim Versenden
  650.        von Dokumenten den Text "And finally I would like to say - STOP ALL
  651.        FRENCH NUCLEAR TESTING IN THE PACIFIC!" hinzu. <Colors> ist nicht so
  652.        fehlerhaft wie die beiden vorherigen Makro-Viren programmiert und
  653.        ändert die Bildschirmfarben von Windows.
  654.        Da in der deutschen Version von Microsoft Word neben den normalen
  655.        Anzeigen auch die Makro-Namen übersetzt wurden, funktionieren die
  656.        englischen Makro-Viren in Deutschland nicht richtig; nur NORMAL.DOT
  657.        wird infiziert, ansonsten bleiben die Viren inaktiv. Es ist
  658.        allerdings relativ leicht, unverschlüsselte Viren wie <Concept> zu
  659.        "übersetzen", damit sie mit der deutschen Version von Microsoft Word
  660.        funktionieren.
  661.        Mittlerweile sind mehrere deutsche Makro-Viren bekannt, z.B.
  662.        <Xenixos>, der unter anderem den DOS-Virus <Neuroquila> enthält und
  663.        ins System einschleust, <NOP>, <PCW>, <NF>, <Clock>, <Boom>, <Lbynj>,
  664.        <Dietzel>, <Friendly>, <Satanic>, <Buero>, <Stryx> oder <Outlaw>.
  665.        Es wurden sogar schon zwei Makro-Virus-Construction-Kits gefunden,
  666.        mit denen sich ohne Probleme neue Makro-Viren erstellen lassen (wobei
  667.        eins der Kits deutsche und das andere englische Makro-Viren erzeugt).
  668.  
  669.        Besonders stark in Deutschland verbreitet sind zur Zeit <NOP>,
  670.        <Wazzu>, <MDMA>, <Buero>, <NF> und <Concept>. In den meisten
  671.        Fällen handelt es sich dabei um die ".A"-Variante des Virus.
  672.  
  673.  
  674.        Windows EXE-Viren sind relativ schwierig zu programmieren, erstens
  675.        weil das Windows-Programmformat sich erheblich vom DOS-Format unter-
  676.        scheidet (und kaum dokumentiert ist) und zweitens, weil nicht die
  677.        herkömmlichen DOS-Funktionen für den Dateizugriff benutzt werden
  678.        können (oder nur teilweise über DPMI). Es gab vor <NE.Winsurfer>
  679.        eine Reihe von Windows EXE-Viren, wie etwa <WinVir>, <Twitch> oder
  680.        <WinVik>. Alle diese Viren beherrschen allerdings das Windows EXE-
  681.        Dateiformat (NE-EXE) nicht besonders gut und waren zum Teil fehler-
  682.        haft. Diese Windows EXE-Viren galten als reine Laborviren, bis 1995
  683.        ein australischer Virenprogrammierer einen Windows EXE-Virus schrieb,
  684.        der diese Programme "effektiv" und voll funktionsfähig infizeren
  685.        konnte. Die Infektionsmethode von <NE.Winsurfer> ist den bisherigen
  686.        Windows EXE-Viren überlegen und wird vermutlich weiter von anderen
  687.        Virenprogrammierern kopiert werden. Es gibt zwei Viren, die dieses
  688.        Infektionsschema (bzw. eine Abwandlung davon) verwenden und die in
  689.        Deutschland verbreitet sind: <Tentacle> und <Tentacle_II>.
  690.  
  691.        Anfang Februar 1996 ging die Meldung über den ersten WIN95-Virus
  692.        durch die Presse.
  693.  
  694.        <PE.Boza> stammt von der gleichen Programmierergruppe aus
  695.        Australien wie <Winsurfer> und <Ph33r> und ist ein nicht-residenter
  696.        Windows95 EXE-Virus. Der Virus sorgte für einiges Aufsehen, obwohl
  697.        er bis heute nur in den Virensammlungen der Virenforscher zu finden
  698.        ist (oder sein sollte) und aufgrund technischer Mängel sich
  699.        vermutlich nie weit verbreiten wird. Ähnlich wie bei den Windows EXE-
  700.        Programmen ist das Windows95 EXE-Format erheblich schwieriger zu
  701.        infizieren, als die alten DOS EXE-Programme. Genau wie <Winsurfer>
  702.        benutzt <Boza> eine recht "markante" Methode, Programme zu
  703.        infizieren. Der Virus ist zudem fehlerhaft und vergrößert unter
  704.        Umständen Programme bis zu einigen Megabytes, ansonsten ist er
  705.        harmlos und zeigt gelegentlich ein Fenster mit Texten an, in denen
  706.        die Virenprogrammierer mit ihrer "Leistung" angeben.
  707.  
  708.        Die bisher bekannten Windows 95 (PE-EXE)-Viren sind in Deutschland
  709.        nicht verbreitet, aber denoch besteht die Gefahr, daß andere Viren-
  710.        programmierer die bestehenden Viren als Vorlage benutzen und weitere
  711.        Windows EXE-Viren schreiben werden; vor allem deswegen, weil
  712.        die australischen Virenprogrammierer die Sourcecodes der Viren mit
  713.        genauen Beschreibungen der Infektionsmethoden veröffentlicht haben.
  714.  
  715.        Mitte 1996 wurde der erste Excel-Virus bei Anwendern in Südafrika
  716.        entdeckt. Der Virus <Laroux> arbeitet ähnlich wie die bekannten
  717.        Word-Viren und wird durch Automakros wie etwa "Auto_Open" oder
  718.        "Auto_Close" aktiviert. Excel enthält ein spezielles Verzeichnis,
  719.        wobei es beim Start alle Vorlagen und Dateien automatisch
  720.        aktiviert, die sich in diesem Verzeichnis befinden. <Laroux> erzeugt
  721.        eine infizierte Datei in diesem Verzeichnis (das meistens XLSTART
  722.        heißt) und wird so von Excel automatisch aktiviert. Beim Zugriff
  723.        auf andere Dokumente überträgt der Virus dann seine beiden Makros
  724.        in die Datei. Im Gegensatz zu Word-Viren kann eine Excel-Datei VBA-
  725.        Projekte und Makros enthalten und muß nicht vom Virus vorher
  726.        konvertiert werden.
  727.  
  728.  
  729.  
  730. 6.  SHAREWARE, LIZENZBESTIMMUNGEN, GARANTIE
  731. ============================================================================
  732.  
  733.        F/WIN ist SHAREWARE. Das bedeutet, daß Sie die SHAREWARE-Version
  734.        30 Tage lang testen dürfen. Wollen Sie das Programm nach dieser
  735.        Testzeit weiterhin benutzen, müssen Sie sich registrieren und eine
  736.        Nutzungslizenz erwerben. Ansonsten müssen Sie nach den 30 Tagen
  737.        das Programm von Ihrem Computer entfernen.
  738.  
  739.        Die SHAREWARE-Version darf beliebig kopiert und vervielfältigt
  740.        werden, solange die Programme und zugehörigen Dateien von F/WIN
  741.        unverändert und vollständig bleiben. Es ist ausdrücklich erlaubt
  742.        und erwünscht, daß F/WIN in Mailboxen oder anderen Online-Diensten
  743.        verbreitet wird.
  744.  
  745.        Als registrierter Anwender erhalten Sie eine Nutzungslizenz, die
  746.        Ihnen das Recht gibt, F/WIN auf jeweils einem System einzusetzen.
  747.        F/WIN kann auf mehrere Systeme kopiert werden, es darf aber nur
  748.        auf einem Computer zeitgleich benutzt werden und es muß sicher-
  749.        gestellt werden, daß keine weiteren Personen die Vollversion
  750.        benutzen oder sich den Registrierungsschüssel aneignen können.
  751.        Die Nutzungslizenz ist exklusiv und kann nicht verkauft, übertragen,
  752.        vermietet, verpachtet oder verliehen werden, egal ob zeitweise oder
  753.        dauerhaft. Es ist nicht gestattet, den Registrierungsschlüssel der
  754.        Vollversion in irgendeiner Weise zu vervielfältigen, kopieren oder
  755.        zu verändern. Allerdings darf der Registrierungsschlüssel zu
  756.        Sicherungszwecken (Backup) kopiert werden.
  757.  
  758.        Für das Programm F/WIN hat der Autor Stefan Kurtzhals das Urheber-
  759.        recht. Alle Rechte bleiben vorbehalten. Es ist untersagt, das
  760.        Programm auf irgendeine Art zu verändern, disassemblieren, zu
  761.        debuggen oder auf andere Weise intern auszuwerten.
  762.  
  763.        ------------------------------------------------------------------
  764.        Der Autor übernimmt  keinerlei Garantie oder  Haftung für Schäden,
  765.        die direkt oder indirekt auf  einen Gebrauch oder durch die Nicht-
  766.        verwendbarkeit von F/WIN zurückzuführen sind.  Das gilt auch dann,
  767.        wenn der Autor über die Möglichkeit solcher Schäden informiert war
  768.        oder ist. Das verwendete Such- und Reinigungsverfahren (Heuristik)
  769.        erkennt und reinigt Viren nicht in jedem Fall hundertprozentig.
  770.        ------------------------------------------------------------------
  771.  
  772.  
  773.        Informationen über die Shareware-Version:
  774.        ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  775.        Die Shareware-Version hat gegenüber der Vollversion folgende
  776.        Beschränkungen:
  777.  
  778.          1) Die Reinigungsfunktion enthält eine Verzögerung mit einem
  779.             Shareware-Hinweis.
  780.          2) Die Funktion /REPORT ist nicht verfügbar.
  781.             (und damit sämtliche Batch-Modi)
  782.          3) Der Parameter /MODE:n (erweiterte Suchmodi) ist nicht verfügbar.
  783.  
  784.        Die Shareware-Version darf 30 Tage lang getestet werden, danach
  785.        muß der Anwender entweder die Vollversion erwerben oder das
  786.        Programm von seinem Computer entfernen.
  787.  
  788.        Um die Vollversion zu bestellen, füllen Sie bitte das Formular
  789.        in der Datei REGISTER.TXT aus und schicken Sie es an die unten
  790.        angegebene Adresse. Falls der Registrierungsschlüssel als PGP-
  791.        Mail über das Internet verschickt werden soll, wird unbedingt Ihr
  792.        Public PGP Key benötigt!
  793.  
  794.        Es gibt zwei Arten der Registrierung:
  795.  
  796.        ■ Einfache Registrierung (ohne Update-Service)       : 30 DM
  797.        ■ Gewerbliche Registrierung (mit Update-Service)     : 100 DM
  798.  
  799.        Wenn Sie F/WIN nur zu privaten Zwecken einsetzen, können Sie die
  800.        private Nutzungslizenz erwerben. Schützen Sie allerdings ihre ge-
  801.        werblichen Daten oder setzen Sie F/WIN in einen gewerblich bzw.
  802.        kommerziell genutzten Rechnersystem ein, müssen Sie die gewerbliche
  803.        Nutzungslizenz erwerben. Die gewerbliche Registrierung umfaßt einen
  804.        Update-Service mit vier Updates innerhalb eines Jahres.
  805.  
  806.        HINWEIS FÜR REGISTRIERTE ANWENDER DER VERSION 3.xx:
  807.        Registrierte Anwender der Version 3.xx ohne Update-Service können
  808.        einen neuen Schlüssel erhalten, indem sie den alten Schlüssel auf
  809.        einer Diskette mit einem ausreichend frankierten Rückumschlag an den
  810.        Autor schicken. Anwender mit Update-Service erhalten automatisch
  811.        die neuste Version inkl. des aktuellen Registrierungsschlüssels.
  812.  
  813.        Falls Sie verdächtige Dateien oder Programme finden und diese
  814.        auf Virenbefall untersuchen lassen möchten, sollten Sie diese
  815.        Dateien mit PKZIP, ARJ oder RAR komprimieren, mit PGP ver-
  816.        schlüsseln (z.B. PGP -esa DATEI.ZIP) und ebenfalls an die unten
  817.        angegebene Adresse schicken.
  818.  
  819.        Anschrift:
  820.  
  821.        Stefan Kurtzhals
  822.        Dörrenberg 42
  823.        42899 Remscheid
  824.        E-Mail: kurtzhal@uni-wuppertal.de
  825.        Tel.: 02191/55126 (15:00 bis 22:00 Uhr)
  826.  
  827.  
  828.        -----BEGIN PGP PUBLIC KEY BLOCK-----
  829.        Version: 2.6.2i
  830.  
  831.        mQCNAi4XHkkAAAEEALTiHszMExp438UEmjJ1g7I6In1DbZW3uOWH97rD1d+h2MaX
  832.        kyIdav/2rF8MlmK2rsc/YdlfeWNeNTrGH7EISnVBsgqT3H/hGp3ypkzOMZ2neOEN
  833.        fbu7be+cHtFs9HYXZTg5vkO0J4gqLUbnBEVDVbdcKLJW9p5IJBQJonPBt/hRAAUR
  834.        tDZTdGVmYW4gS3VydHpoYWxzIDxrdXJ0emhhbEB3cmNzMy51cnoudW5pLXd1cHBl
  835.        cnRhbC5kZT60NlN0ZWZhbiBLdXJ0emhhbHMgPGt1cnR6aGFsQHdyY3MxLnVyei51
  836.        bmktd3VwcGVydGFsLmRlPokAlQIFEC4XHn4UCaJzwbf4UQEBAggD/2ir4yfJtOMD
  837.        GdSynA8zBrrszmh/N8OSKMWtcv65Htje5nPmHvecJlhKUtl17/HBEnMtf3vvBpEL
  838.        RXrH9qs3u9v23VBrUHl6JLuWIOUBTPP8rhoOCHt9Kcafczr0LtGxKwI6N6brcgHk
  839.        zVIx+XKkdFZ7EnaSHoHi+iHeGtvy1o7o
  840.        =QE9d
  841.        -----END PGP PUBLIC KEY BLOCK-----
  842.  
  843.  
  844.        Um die Vollversion per PGP-Email verschicken zu können, müssen Sie
  845.        das Freeware-Programm PGP besitzen und mir zuvor Ihren Public-PGP-Key
  846.        per E-Mail zuschicken. Dieser Public-Key kann mit "PGP -kxa"
  847.        extrahiert werden.
  848.  
  849.        Das Archiv FWINnnnG.ZIP enthält eine PGP-Prüfsumme, anhand derer
  850.        die Authentizität von F/WIN überprüft werden kann. Dazu muß PGP
  851.        wie folgt gestartet werden:
  852.  
  853.          "PGP f4.asc f4.exe"
  854.  
  855.        PGP sollte dann folgenden Text ausgeben:
  856.  
  857.          "Good signature from user Stefan Kurtzhals <...>"
  858.  
  859.        Sollte das Archiv keine Datei mit dem Namen F4.ASC enthalten oder
  860.        die Prüfsummen nicht korrekt sein, wurde die Datei F4.EXE höchst-
  861.        wahrscheinlich manipuliert und sollte auf keinen Fall mehr eingesetzt
  862.        werden!
  863.  
  864.        Um neue Versionen von F/WIN zu erhalten, können Sie sich die jeweils
  865.        neueste Shareware-Version über Mailboxen, Internet oder direkt vom
  866.        Autor besorgen. Durch Ihren Registrierungsschlüssel wird diese dann
  867.        in eine voll funktionsfähige Version umgewandelt. Die Shareware-
  868.        Version von F/WIN ist z.B. bei folgenden Adressen unter dem Namen
  869.        "FWINnnnG.ZIP" (nnn für die Versionsnummer, z.B FWIN401G.ZIP) zu
  870.        beziehen:
  871.  
  872.        ■ www.gen.com/fwin                                (Homepage, Englisch)
  873.        ■ www.geocities.com/SiliconValley/Heights/7538    (Homepage, Deutsch)
  874.        ■ www.cyberbox.north.de
  875.        ■ www.psnw.com/~joe
  876.  
  877.        ■ CYBERBOX - Sascha Klose <2:2426/2031-34> (Magic: FWIN)
  878.        ■ CYBERBOX BBS (v32b: 0441-3990032, v34: -3990033, ISDN: -9396977)
  879.        ■ VHM II - Martin Roesler <2:2480/8849> (Magic: FWIN)
  880.        ■ VHM II BBS (v32 und ISDN: 08638/881108>
  881.        ■ CEUS BBS (089-448-17-60)
  882.  
  883.  
  884.                                      *
  885.  
  886.  
  887.               F/WIN - Copyright (c) 1996 by Stefan Kurtzhals
  888.