home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip Hitware 7
/
Chip_Hitware_Vol_07.iso
/
chiphit7
/
_viren
/
fwin
/
fwin.txt
< prev
next >
Wrap
Text File
|
1996-12-01
|
45KB
|
888 lines
F / W I N 4 . 0
=================================
HEURISTISCHE ERKENNUNG VON WINDOWS-VIREN
(c) 1996 Stefan Kurtzhals
Stefan Kurtzhals
Dörrenberg 42
D-42899 Remscheid
Internet: kurtzhal@uni-wuppertal.de
Fido: 2:2480/8849.2
1. WAS IST F/WIN? .........................................................
2. INSTALLATION UND BENUTZUNG VON F/WIN ...................................
3. DIE VIRENERKENNUNG UND REINIGUNGSFUNKTION VON F/WIN ....................
4. MÖGLICHE FEHLALARME ....................................................
5. MAKRO- UND WINDOWS EXE-VIREN ...........................................
6. SHAREWARE, LIZENZBESTIMMUNGEN, GARANTIE ................................
1. WAS IST F/WIN?
============================================================================
F/WIN ist ein DOS-Virenscanner, der Word 6.0/7.0-Dokumente sowie
Windows-EXE-Programme nach Computer-Viren durchsucht.
Im Gegensatz zu herkömmlichen Virenscannern sucht F/WIN nicht nach
Virensignaturen von bekannten Viren, sondern verwendet einen regel-
basierenden Suchansatz. Dabei wird nach einer Anzahl von für Viren
typischem Programmcode oder Makrobefehlen gesucht und der Programm-
aufbau der Datei analysiert. F/WIN verwendet zur Analyse einen
Emulator/Tracer, mit dem jeder in Makros verwendete WordBasic-Befehl
untersucht wird. Durch diese Suchmethode ist F/WIN in der Lage, bekannte
und unbekannte Word Makro- bzw. Windows-Viren zu erkennen.
Als ein Beispiel kann hier <Concept.A> aufgeführt werden. F/WIN sucht
nicht nur die Viren-Makros
AAAZAO
AAAZFS
AutoOpen
Payload
sondern untersucht im Gegensatz zu anderen Virenscannern auch die
Makrodefinitionen nach den entsprechenden Befehlen wie "MakroKopieren",
"DateiSpeichernUnter" und ähnliche. Verändert man die Makronamen und
den Code von <Concept.A> geringfügig (was selbst ein Laie relativ leicht
bewerkstelligen kann!), findet der größte Teil der normalen Virenscanner
den veränderten Virus bereits nicht mehr. F/WIN zeigt weiterhin eine
detaillierte Analyse des Makrocodes an, anhand derer oft genau abgelesen
werden kann, welche Auswirkungen und Schadensfunktionen der gefundene
Makro-Virus enthält.
Beispiel einer F/WIN-Analyse anhand des <Concept.A>-Virus:
D:\VIRUS\CONCEPT.DOC
(...A 1.9.1995 13:21:06 17920 Bytes)
■ Bekannter Virus gefunden: "Concept.A"
■ Dieser Makro-Virus basiert auf "Concept"
■ Word 6.0/7.0-Dokumentstream gefunden (5100 Bytes)
■ Enthält 4 Makros (1968 Bytes)
■ Enthält Makros, hat aber trotzdem die Namensendung .DOC
■ Kopiert Makros auf virentypische Art
■ Kopiert Makros vom aktuellen Dokument in die globale Vorlage
■ Kopiert Makros von der globalen Vorlage in andere Dokumente
■ Makros greifen auf sich selber zu
■ Konvertiert Dokumente in Vorlagen
■ Benutzt den Befehl 'DateiSpeichernUnter'
■ Definiert Word-interne Befehle um
■ Verwendet Auto-Makros
■ Modifiziert Einstellungen in .INI-Dateien
■ Zeigt Meldungsfenster an
■ Enthält die folgenden Makros:
"AAAZAO"
(Größe: 742,Verdächtig,Zugriff vom Virus)
"AAAZFS"
(Größe: 435,Verdächtig,Zugriff vom Virus)
"PAYLOAD"
(Größe: 49,Verdächtig,Zugriff vom Virus)
"AUTOOPEN"
(Größe: 742,Verdächtig,Zugriff vom Virus)
Was kann F/WIN besser als andere Antiviren-Programme?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-> F/WIN erkennt mit seiner heuristischen Analyse bekannte und UNBEKANNTE
Makro-Viren für Word 6.0 und Word 7.0. Andere Antiviren-Programm
können lediglich bekannte Makro-Viren finden und bieten oft keine
Reinigungsfunktion an bzw. entfernen nur bekannte Makro-Viren.
-> F/WIN verwendet eine sehr fortschrittliche Heuristik, die Fehlalarme
zum größten Teil ausschließt. Andere Antiviren-Programme ignorieren
zum Teil die Möglichkeit solcher Fehlalarme völlig.
-> Von F/WIN gereinigte Word-Vorlagen werden wieder in normale Word-
Dokumente umgewandelt.
-> Enthält eine infizierte Vorlage neben dem Virus vorher installierte
Makros, bietet F/WIN die Option an, nur die Viren-Makros zu entfernen.
-> F/WIN untersucht den Makro-Code und gibt eine detaillierte Analyse aus.
-> F/WIN erkennt exotische Makro-Viren, wie z.B. Viren, die Shortcuts,
Formular-Links, On-the-Fly oder Companion-Infektionsmethoden
verwenden.
-> F/WIN besitzt eine sehr genaue Erkennung von bekannten Makro-Viren.
Selbst geringfügige Veränderungen am Viruscode werden erkannt.
-> F/WIN bietet eine vollständige OLE 2.0-Unterstützung und erkennt
Dokumente, die mit anderen Antiviren-Programmen nicht vollständig
gereinigt wurden. F/WIN benutzt nicht die extrem fehlerhafte
Systemdatei OLE2.DLL bzw. OLE32.DLL von Windows für den Dateizugriff,
sondern verwendet eine eigene Schnittstelle.
-> F/WIN unterstützt das Dokument-Dateiformat der asiatischen Word-
Version und Dokumente, die auf Macintosh-Systemen erstellt wurden.
Einige Antiviren-Programme scheitern an diesen Formaten oder bereits
an normalen Dokumenten mit komplexeren Makro-Kontrollstrukturen.
-> F/WIN ist selber kein Word-Makro (wie viele der herkömlichen Schutz-
Programme) und ist daher unabhängig von Winword. Als DOS-Programm
kann es von einer Startdiskette aus problemlos aufgerufen werden.
-> F/WIN erkennt bekannte und unbekannte Windows 3.x und Windows 95-
Programmviren, die auf dem häufig verwendeten Infektionsschema der
Viren <Winsurfer>, <AEP> und <Boza> basieren und kann diese auch aus
Windows-Programmen entfernen. Bekannte und stark verbreitete Viren
dieses Typs sind <Tentacle> und <Tentacle_II>.
2. INSTALLATION UND BENUTZUNG VON F/WIN
============================================================================
Die Installation erfolgt einfach, indem die Dateien von F/WIN in ein
Verzeichnis auf der Festplatte kopiert werden. F/WIN wird nicht speziell
konfiguriert und kann sofort aufgerufen werden. F/WIN ist ein DOS-
Programm, kann aber ohne Probleme unter Windows bzw. Windows95 gestartet
werden. Der Anwender kann sich bei Bedarf eine Referenz auf dem Desktop
erstellen, um den Aufruf zu beschleunigen.
Registrierte Benutzer erhalten einen Registrierungsschlüssel (FWIN.KEY),
der einfach in das gleiche Verzeichnis wie F4.EXE kopiert werden muß,
um die Funktionen der Vollversion freizuschalten. Als Update kann die
ganz normale Shareware-Version bezogen werden, die wieder durch die
Datei FWIN.KEY freigeschaltet wird. Der Registrierungsschüssel sollte
gut aufbewahrt werden. Das Anlegen eines Backups dieser Datei ist zu
empfehlen!
WICHTIG! Bevor F/WIN gestartet wird, muß Microsoft Word geschlossen
werden, da F/WIN sonst nicht die vollen Schreibzugriffe auf evtl.
geöffnete Dateien wie NORMAL.DOT erhält!
Wird F/WIN ohne weitere Parameter aufgerufen, wird ein Auswahlmenü
angezeigt. Die Schnellstartoption durchsucht sämtliche lokalen
Festplatten und entspricht der Angabe von "F4 /LOCAL".
Die sonstige Aufrufsyntax lautet wie folgt (die Angabe eines
Suchpfades bzw. Parameters sind optional):
F4 {Suchpfad} {/Parameter}
Suchpfad Ein Laufwerk oder Pfad, der von F/WIN mit sämtlichen
Unterverzeichnissen durchsucht wird. Es kann nur ein
Suchpfad pro Aufruf angegeben werden. F/WIN erlaubt
auch Angaben von langen Dateinamen (Windows 95),
allerdings darf die Angabe nicht länger als 128
Zeichen sein. Pfadangaben mit Leerzeichen müssen in
Anführungszeichen (") eingeklammert werden.
/? /H /HELP Es wird eine Hilfeseite mit allen Parametern angezeigt.
/REPORT=... F/WIN erzeugt eine Reportdatei, in der alle durch-
suchten Dateien, die verdächtige Strukturen oder
Programmcode enthalten, aufgelistet werden.
Hinter dem "="-Zeichen muß ein Dateiname angeben
werden, der als Name für die Logdatei verwendet
wird. Die Reportfunktion ist nur in der Vollversion
verfügbar!
/REPORT=+.. Wie /REPORT=..., F/WIN fügt den aktuellen Report der
bereits existierenden Logdatei hinzu oder erstellt
einen neuen Report, falls die Datei noch nicht
existiert.
/REPORT Wie /REPORT=, es wird lediglich die Vorgabe "FWIN.RPT"
für die Reportdatei verwendet.
/LOGALL Normalerweise enthält der Report von F/WIN nur die
Namen von Dateien mit verdächtigem Inhalt. Mit /LOGALL
werden sämtliche durchsuchte Dateien aufgelistet.
/NODETAIL Die ausführliche Analyse der erkannten Viren wird nicht
in der Reportdatei aufgeführt.
/ANALYSE F/WIN zeigt beim Erkennen einer verdächtigen Datei
/A sofort das Analysefenster an.
/MOVE=... Die von F/WIN angelegten Sicherheitskopien befinden
sich normalerweise im gleichen Verzeichnis wie die
Originaldatei. Mit /MOVE wird ein eigenes Verzeichnis
angelegt, in das alle Sicherheitskopien verschoben
werden. Unter Windows 95 können lange Verzeichnisnamen
angegeben werden, allerdings müssen diese dann in
Anführungszeichen eingeschlossen werden. Die Standard-
vorgabe ist "C:\VIRUS".
/MODE:n Einstellung der erweiterten Virenerkennung:
n = 1 : Extended
n = 2 : Paranoid
/MODE:1 Normalerweise versucht F/WIN, durch eine sorgfältige
/MODE:2 Analyse der Dateien Falschalarme zu vermeiden. Dadurch
kann es vorkommen, daß F/WIN z.B. nicht alle möglichen
Makro-Trojaner erkennt. Mit /MODE:n können zwei beson-
dere Suchmodi eingeschaltet werden, mit denen F/WIN
auch weniger oder nur teilweise verdächtige Dokumente
meldet. Allerdings steigt damit auch die Möglichkeit
von Fehlalarmen, besonders im "Paranoid"-Modus.
Wie der Name schon sagt, ist die Erkennung von F/WIN
in diesem Suchmodus ziemlich paranoid, allerdings
eignet sich dieser Suchmodus hervorragend für Systeme,
in denen nie Makros eingesetzt werden, da F/WIN
bereits Dokumente mit nur wenigen verdächtigen
Merkmalen meldet.
Der Extended-Modus ist nicht ganz so anfällig für
Fehlalarme wie der Paranoid-Modus, es werden aber auch
hier z.B. einige komplexe kommerzielle Makros als
verdächtig gemeldet. Im Extended-Modus werden zusätz-
lich auch Makros gemeldet, die zwar verdächtige Befehle,
aber keinen vollständigen Makro-Virus enthalten.
Die /MODE-Option ist nur in der Vollversion vorhanden!
/PARANOID Entspricht /MODE:2 und wurde aus Version 3.00 und 3.02
übernommen.
/DOC Es werden nur .DOC und .DOT Dateien überprüft. F/WIN
sucht damit ausschließlich nach Makro-Viren,
allerdings wird die Suchgeschwindigkeit durch die
Angabe von /DOC stark beschleunigt.
/NOHEUR F/WIN verwendet keine Heuristik, um Makro-Viren zu
erkennen. Es werden nur noch bekannte Viren anhand
von Signaturen erkannt. Allerdings arbeitet F/WIN
bei Angabe des Parameters /NOHEUR wesentlich schneller,
da nicht mehr alle vorhandenen Makros eingelesen und
überprüft werden müssen. /NOHEUR empfiehlt sich für den
Fall, wenn große Festplatten mit einem bekannten
Makro-Virus infiziert sind.
/NOSIG Zur Erkennung von Makro-Viren wird lediglich die
WordBasic-Heuristik verwendet.
/RENAMEALL Im Batch-Modus verlangt F/WIN keine Anwender-Eingaben
mehr, sondern benennt sofort jede als verdächtig
erkannte Datei in eine andere Dateierweiterung um
(.VIR, .VI1, .VI2 usw.). Wurde der Parameter /MOVE=...
benutzt, legt F/WIN die Sicherheitskopien im
angegebenen Verzeichnis an.
/CLEANALL Alle befallenen Dateien werden automatisch ohne Eingaben
des Anwenders gereinigt. Bei Makro-Viren wird, wenn
möglich, der Reinigungsmodus 1 verwendet und die Datei
wieder in ein Dokument zurückkonvertiert. Bevor die
infizierte Datei verändert wird, legt F/WIN eine
Sicherheitskopie an. Ist dies nicht möglich, wird
die infizierte Datei nicht verändert.
/CLEANALL erfordert die Angabe des Parameters /REPORT.
/IGNOREALL F/WIN wird in den Batchmodus geschaltet und hält nicht
mehr bei der Anzeige von verdächtigen Dateien an. Die
gemeldeten Dateien werden nicht umbenannt oder
gereinigt. /IGNOREALL ist nur zusammen mit /REPORT
einsetzbar und ist für den Betrieb über DOS-
Batchdateien gedacht.
/MOVEALL Alle verdächtigen Dateien werden automatisch in das
mit /MOVE=... angegebene Verzeichnis verschoben. Wird
kein Pfad vorgegeben verschiebt F/WIN die Dateien nach
"C:\VIRUS".
/CLEAN:n Bestimmt den Reinigungsmodus für Word Makro-Viren.
Im Modus 1 werden sämtliche vorhandenen Makros entfernt
/CLEAN:1 und falls die Datei die Endung ".DOC" aufweist, wieder
/CLEAN:2 in das normale Dokumentformat zurückkonvertiert.
/CLEAN:2 bewirkt, daß nur die Viren-Makros entfernt
werden. Erkennt F/WIN, daß sämtliche Makros innerhalb
einer Datei zum Virus gehören, wird automatisch der
Reinigungsmodus 1 für die betreffende Datei angewendet.
/LOCAL F/WIN durchsucht alle lokalen Laufwerke nach Viren.
Diskettenlaufwerke und CD-ROMs werden nicht überprüft.
/REMOTE F/WIN überprüft alle vorhandenen Netzwerklaufwerke, auf
die ein Zugriff möglich ist. Eine Kombination der
Parameter /LOCAL und /REMOTE ist möglich.
/BEEP F/WIN gibt ein Signalton aus, falls eine infizierte
Datei gefunden wird. Dieser Parameter wird im Batch-
modus (/IGNOREALL, /CLEANALL usw.) deaktiviert.
/NOBREAK Der Suchvorgang von F/WIN kann nicht mehr mit <ESC>
oder <STRG-C> unterbrochen werden.
/NOSUB F/WIN durchsucht keine Unterverzeichnisse.
/WAIT Nach Beendingung des Suchvorgangs wartet F/WIN noch
auf eine Bestätigung des Anwenders.
Hinweis:
~~~~~~~~
/RENAMEALL, /CLEANALL, /IGNOREALL und /WIPEALL schließen sich gegen-
seitig aus und können nicht zusammen verwendet werden.
Beispiele:
~~~~~~~~~~
F4 /LOCAL /DOC
(Alle Laufwerke werden von F/WIN durchsucht, wobei nur .DOC oder
.DOT-Dateien überprüft werden.)
F4 D:
(durchsucht das gesamte D: Laufwerk)
F4 "C:\MSOffice\WinWord\Vorlagen\Meine Texte"
(das Verzeichnis "Meine Texte" und alle seine Unterverzeichnisse
werden durchsucht. Wichtig ist die Angabe der Anführungs-
zeichen.)
F4 A:\ /REPORT=C:\FWIN.RPT /MODE:2
(durchsucht das gesamte A: Laufwerk und legt eine Logdatei
auf Laufwerk C mit dem Namen "FWIN.RPT" an. Dabei wird der
Paranoid-Suchmodus benutzt.)
F4 C:\*.DO?
(durchsucht das C:-Laufwerk nach Dateien mit der Endung ".DO?".)
F4 D:\NEU /MOVE="C:\Sicherheitskopien" /REPORT=+C:\FWIN.RPT
(F/WIN durchsucht das Verzeichnis D:\NEU, fügt die Ergebnisse
der Reportdatei C:\FWIN.RPT hinzu und legt die Sicherheitskopien
im Verzeichnis "C:\Sicherheitskopien" an.)
F4 /LOCAL /REMOTE /MOVEALL /MOVE=C:\VIR /REPORT=C:\VIRUS.TXT
(Alle lokalen Festplatten und Netzwerklaufwerke werden durchsucht,
dabei werden alle verdächtigen Dateien automatisch in das
Verzeichnis "C:\VIR" verschoben und die Reportdatei
"C:\VIRUS.TXT" erzeugt.)
Errorlevel:
~~~~~~~~~~~
F/WIN gibt eine Anzahl von verschiedenen Errorlevels an DOS zurück,
die in einer Batch-Datei abgefragt werden können:
0 - Es wurden keine verdächtigen Dateien gefunden und die
Suche erfolgreich durchgeführt.
1 - F/WIN hat eine oder mehrere verdächtige Dateien gefunden.
250 - Eine ungültige Parameterkombination wurde angegeben.
253 - Das /MOVE=...-Verzeichnis kann nicht erzeugt werden
254 - Die Reportdatei kann nicht erzeugt werden.
Findet F/WIN beim Durchsuchen des angegebenen Verzeichnisses verdächtige
Dateien, unterbricht es den Suchvorgang und zeigt einige Informationen
über die verdächtige Datei und ein Auswahlmenü an. Dieses Menü kann
z.B. so aussehen:
CONCEPT .DOC - Infiziert mit: "Concept.A"
(Makros: 4, Größe: 1968)
[ Analyse Reinigen Umbenennen Verschieben Ignorieren Beenden Optionen ]
Die einzelnen Punkte können durch Auswahl mittels Cursortasten und
SPACE bzw. ENTER oder durch Eingabe des farblich hervorgehobenen
Buchstaben ausgewählt werden. ESC beendet den Suchvorgang.
Die Menüpunkte im einzelnen:
ANALYSE
~~~~~~~
F/WIN zeigt das Analyse-Fenster mit einer detaillierten Übersicht über
die Schadensfunktionen des erkannten Virus an. Der sichtbare Ausschnitt
des Analysefensters kann mit den Cursortasten verschoben werden.
REINIGEN
~~~~~~~~
Die gemeldete Datei wird gereinigt, wobei zuvor eine Sicherheitskopie
angelegt wird. Falls ein Word-Dokument neben dem Virus noch weitere
Makros enthält und der Reinigungsmodus nicht durch /CLEAN:1 oder /CLEAN:2
festgelegt wurde, bietet F/WIN ein Auswahlmenü an, in dem der Anwender
festlegen kann, ob F/WIN alle oder nur die verdächtigen Makros aus der
Datei entfernen soll.
UMBENENNEN
~~~~~~~~~~
Die verdächtige Datei wird in eine andere Dateiendung wie z.B.
.VIR, VI1, .VI2 usw. umbenannt. Wurde der Parameter /MOVE= angegeben,
werden die Sicherheitskopien in diesem Verzeichnis angelegt.
Beispiel:
TEXT.DOC -> TEXT.VIR
VERSCHIEBEN
~~~~~~~~~~~
F/WIN verschiebt die verdächtige Datei in ein spezielles Verzeichnis, das
mit /MOVE=... angegeben werden kann. Wurde kein Verzeichnis vorgegeben,
verwendet F/WIN automatisch die Vorgabe "C:\VIRUS".
IGNORIEREN
~~~~~~~~~~
Die verdächtige Datei wird übersprungen und bleibt unverändert.
BEENDEN
~~~~~~~
Der Suchvorgang wird beendet.
OPTIONEN
~~~~~~~~
F/WIN zeigt ein Auswahlfenster an, in dem der Anwender mittels
Cursortasten und SPACE bzw. ENTER verschiedene Automatik-Modi einstellen
kann.
Aktuelle Datei
Aktuelles Verzeichnis
Aktuelles Verzeichnis inkl. Unterverz.
Aktuelles Laufwerk
Alle weiteren verdächtigen Dateien
F/WIN wendet die von Ihnen angegebene Aktion wie Reinigen, Umbenennen,
Ignorieren usw. auf diese Angabe an. Wenn Sie also unter Optionen den
Punkt "Aktuelles Laufwerk" und danach die Option "Reinigung" anwählen,
reinigt F/WIN alle Dateien auf dem aktuellen Laufwerk.
3. DIE VIRENERKENNUNG UND REINIGUNGSFUNKTION VON F/WIN
============================================================================
In der jetzigen Version kann F/WIN infizierte Dokumente reinigen und
NE-EXE-Viren (Windows 3.x) sowie PE-EXE (Windows 95) entfernen.
Durch die Unterstützung des OLE 2.0-Dateiformats ist F/WIN in der
Lage, Word Makro-Viren zuverlässig zu erkennen und zu entfernen.
Dieses Dateiformat ist sehr komplex und einige Antiviren-Programme
sind nicht in der Lage, es korrekt zu bearbeiten.
Makro-Viren werden anhand von zwei Methoden erkannt:
1. Code-Heuristik
F/WIN untersucht innerhalb jedes Makros eines Word-Dokuments, ob
verdächtige Strukturen oder Befehle vorhanden sind. Durch diesen
regelbasierten Suchansatz ist F/WIN in der Lage, bekannte und
unbekannte Makro-Viren zu erkennen. Die komplexe Heuristik ist
ebenfalls in der Lage, so gut wie alle Fehlalarme zu erkennen
und zu vermeiden. F/WIN verwendet einen Emulator/Tracer, der jede
WordBasic-Befehlszeile genau untersucht.
2. Signatur-Vergleich
Diese Suchmethode ist eigentlich nur ein zusätzlicher "Bonus", da
die Heuristik bereits alle bisher bekannten Viren erkennt. Anhand
des Signatur-Vergleichs kann lediglich festgestellt werden, ob es
sich bei dem Virus um einen bereits bekannten Makro-Virus handelt
und ob dieser Virus modifiziert wurde. F/WIN verwendet eine sehr
präzise Vergleichsmethode und vergleicht jedes Byte der
Virenmakros.
Die erkannten Makro-Viren können entfernt werden, egal ob es sich
dabei um einen bekannten oder unbekannten Virus handelt.
F/WIN verwendet mehrere Methoden, um festzustellen, welche Makros
innerhalb eines Dokuments zum Virus gehören und bietet die Option an,
nur diese Makros zu entfernen und ursprünglich vorhandene Makros
zu erhalten. Normalerweise erkennt F/WIN automatisch, welcher
Reinigungsmodus verwendet werden muß, im Zweifelsfall wird ein
Auswahlmenü angezeigt.
F/WIN entfernt den Virus aus der Datei, indem der Viruscode
vollständig überschrieben und das betreffende Makro innerhalb der
Dokumentstruktur gelöscht wird. Eine Reaktivierung des Virus, wie
es leider nach der zum Teil unvollständigen Reinigung mit einigen
anderen Antiviren-Programmen passieren kann, ist nicht möglich.
Infizierte Dateien mit der Endung ".DOC" werden nach der Reinigung,
falls möglich, wieder in das normale Dokumentformat zurückkonvertiert.
Windows 3.x-Viren können dann entfernt werden, wenn sie sich an das
VLAD-Infektionsschema halten und einen Relokationseintrag am Datei-
ende angefügt haben. Anhand dieses Eintrags kann F/WIN den alten
Programmeinsprung feststellen und die Datei reparieren. F/WIN kann
z.B. folgende Viren entfernen: Ph33r, Wintiny, Winlame und Tentacle.
Dabei ist es egal, ob der Virus verschlüsselt oder gar polymorph ist.
Viren wie Cyberriot benutzen andere Methoden, um den alten
Programmeinsprung zu speichern und können daher nicht entfernt
werden.
Hinweise:
~~~~~~~~~
Dokumente, die mit einem Passwort geschützt sind, können nicht
überprüft oder gereinigt werden! Makro-Viren, die sich innerhalb
eines solchen Dokuments befinden, werden erst nach Angabe des
Passworts aktiv. F/WIN meldet Dokumente, die mit einem Passwort
geschützt sind und zeigt eine Warnung an, falls zusätzlich noch
Makros vorhanden sind. Eine Entschlüsselung über Word ist hier
extrem gefährlich, da dabei ein evtl. vorhandener Virus sofort
aktiviert wird!
F/WIN kann nur Viren in Microsoft Word 6.0 oder 7.0 Dokumenten
erkennen und entfernen. Es wird ein Hinweis angezeigt, falls
F/WIN Word 2.0-Dateien mit der Endung .DOC findet, die Makros
enthalten. Diese Makros werden allerdings nicht genauer von F/WIN
analysiert.
Windows EXE-Viren werden auf eine ganz andere Art erkannt, als die
Microsoft Word Makro-Viren. F/WIN analysiert dabei den Programmkopf
von NE-EXE (Windows 3.x) und PE-EXE (Windows 95 und Windows NT) auf
verdächtige Segmente und deren Anordnungen. Da Windows-Programme so
gut wie immer in Hochsprachen programmiert werden, besitzen sie einen
quasi fest definierten Programmkopf und weitere voraussagbare
Strukturen. Die Windows EXE-Viren manipulieren diesen Programmkopf
während der Infektion auf eine sehr auffällige Art und Weise, die
F/WIN erkennen kann. Damit ist klar, daß F/WIN nicht den eigentlichen
Codeinhalt der Segmente überprüft, sondern nur die externe Anordnung.
Aufgrund der geringen Anzahl von Windows EXE-Viren ist es noch nicht
möglich, zuverlässige Code-Heuristiken zu erstellen. F/WIN erkennt
alle Windows EXE-Viren, die auf dem Infektionsschema der Viren
<NE.Winsurfer>, <NE.AEP> und <PE.Boza> basieren. Mit diesen Windows-
Viren wurde jeweils ein neues Infektionsschema eingeführt, das allen
bisherigen Methoden eindeutig überlegen ist und daher wahrscheinlich
von anderen Virenprogrammierern in zukünftigen Viren übernommen wird.
Besonders stark verbreitet sind die Windows 3.x-Viren <Tentacle> und
<Tentacle_II>.
Hinweis:
~~~~~~~~
F/WIN erkennt keine sogenannten "Generation-1"-Samples der Windows
3.x oder 95-Viren! Oft finden sich solche "Generation-1"-Samples in
Sammlungen von Computer-Virenforschern. Normal infizierte Dateien
werden ohne Probleme erkannt.
4. MÖGLICHE FEHLALARME
============================================================================
Wie jede andere Heuristik, so ist auch der von F/WIN benutzte Such-
ansatz nicht immun gegen Fehlalarme. Das Problem bei der Erstellung
einer Heuristik ist, daß möglichst viele Viren erkannt, aber gleich-
zeitig möglichst wenig Fehlalarme produziert werden sollen. Da die
Anzahl der Windows EXE-Viren bisher noch recht begrenzt ist, kann die
Heuristik von F/WIN für diesen Virustyp noch nicht besonders "fein"
ausgewogen werden. Fehlalarme sind daher eher möglich, als bei
Heuristiken für DOS-Viren.
Die Heuristik der Version 4.00 wurde gegenüber den Vorgängern stark
verbessert und produziert keinen der bis dahin bekannten Fehlalarme
mehr. Besonders die Fehlalarme wegen Antiviren Makros wie SCANPROT
treten nicht mehr auf.
Allerdings kann es bei besonders großen und komplexen Makros
noch vorkommen, daß ein unbekannter Makro-Virus gemeldet wird.
Bei Windows EXE-Viren sieht das Problem mit Fehlalarmen anders
aus. Die Strukturen, nach denen F/WIN sucht, sind so atypisch, daß
eigentlich keine Fehlalarme auftreten sollten. Allerdings ist die
Anzahl der Viren, aus denen die Heuristik abgeleitet wurde, auch sehr
gering und die Heuristik daher noch nicht hundertprozentig
ausgereift.
Wenn Sie bei einer Meldung von F/WIN unsicher sind, ob wirklich eine
Infektion vorliegt, sollten Sie die Datei auf jeden Fall dem Autor
zur Analyse vorlegen. Eine solche Analyse ist schnell erledigt und
gleichzeitig kann F/WIN weiter verbessert werden und, falls es sich
wirklich um einen neuen Virus handelt, wird dieser an andere Viren-
forscher weitergeleitet. Wenn Sie dem Autor Viren zuschicken
möchten, sollte dies möglichst als verschlüsselte PGP-Nachricht über
das Internet oder direkt per Post erfolgen. Auf keinen Fall sollten
potentielle Viren ohne Sicherungen verschickt werden! Der
notwendige Public PGP-Schlüssel und die Adresse befinden sich in der
Datei KURTZHAL.PGP bzw. REGISTER.TXT und am Ende dieser Anleitung.
5. MAKRO- UND WINDOWS EXE-VIREN
============================================================================
Makro-Viren sind keine neue Erfindung, die Idee besteht schon seit
Jahren. Aber erst 1994 untersuchte ein amerikanischer Sicherheits-
techniker die Gefahr von Makro-Viren speziell für Microsoft Word und
Microsoft Excel. Seine sehr ausführliche Analyse enthielt unter
anderem zwei Demonstrations-Viren, <WordMacro.DMV> und <Excel.DMV>,
wobei DMV für "Demo Macro Virus" steht. Trotz dieser Warnungen
reagierten die Hersteller der Antiviren-Programme nicht, wie es
leider in der AV-Branche so oft üblich ist. Erst als Mitte 1995
der erste Microsoft Word Makro-Virus in freier Wildbahn gefunden
wurde, brach bei den Anwendern Panik und bei den Antiviren-Firmen
große Hektik aus; es galt, schnell eine Lösung zu finden.
<WordMacro.Concept.A> war dieser erste verbreitete Makro-Virus, sein
genauer Ursprung ist unbekannt. <Concept> breitete sich sehr schnell
aus und gilt heute international als sehr verbreitet (ITW). <Concept>
ist an sich harmlos, er zeigt lediglich ein Fenster mit einer "1"
bei seiner ersten Aktivierung an. Das Makro mit dem bezeichnenden
Namen "Payload" blieb offenbar absichtlich leer. Der Virus enthält
den Text "That's enough to prove my point", der allerdings nicht
angezeigt wird. Der Virus wurde unter anderem von Microsoft selber
unbeabsichtigt auf einer CD verschickt.
Weitere Makro-Viren ließen nicht lange auf sich warten, als nächstes
erschienen <WordMacro.Nuclear> und <WordMacro.Colors>. Beide sind
fortschrittlicher als <Concept> und benutzen Execute-Only Makros, um
ihre Analyse zu erschweren. <Nuclear> enthält einen normalen DOS-
Virus, der aus dem Dokument ins System eingeschleust wird bzw.
eingeschleust werden soll; der Virus hat einen Bug, der dies
verhindert. Zu bestimmten Uhrzeiten fügt dieser Virus beim Versenden
von Dokumenten den Text "And finally I would like to say - STOP ALL
FRENCH NUCLEAR TESTING IN THE PACIFIC!" hinzu. <Colors> ist nicht so
fehlerhaft wie die beiden vorherigen Makro-Viren programmiert und
ändert die Bildschirmfarben von Windows.
Da in der deutschen Version von Microsoft Word neben den normalen
Anzeigen auch die Makro-Namen übersetzt wurden, funktionieren die
englischen Makro-Viren in Deutschland nicht richtig; nur NORMAL.DOT
wird infiziert, ansonsten bleiben die Viren inaktiv. Es ist
allerdings relativ leicht, unverschlüsselte Viren wie <Concept> zu
"übersetzen", damit sie mit der deutschen Version von Microsoft Word
funktionieren.
Mittlerweile sind mehrere deutsche Makro-Viren bekannt, z.B.
<Xenixos>, der unter anderem den DOS-Virus <Neuroquila> enthält und
ins System einschleust, <NOP>, <PCW>, <NF>, <Clock>, <Boom>, <Lbynj>,
<Dietzel>, <Friendly>, <Satanic>, <Buero>, <Stryx> oder <Outlaw>.
Es wurden sogar schon zwei Makro-Virus-Construction-Kits gefunden,
mit denen sich ohne Probleme neue Makro-Viren erstellen lassen (wobei
eins der Kits deutsche und das andere englische Makro-Viren erzeugt).
Besonders stark in Deutschland verbreitet sind zur Zeit <NOP>,
<Wazzu>, <MDMA>, <Buero>, <NF> und <Concept>. In den meisten
Fällen handelt es sich dabei um die ".A"-Variante des Virus.
Windows EXE-Viren sind relativ schwierig zu programmieren, erstens
weil das Windows-Programmformat sich erheblich vom DOS-Format unter-
scheidet (und kaum dokumentiert ist) und zweitens, weil nicht die
herkömmlichen DOS-Funktionen für den Dateizugriff benutzt werden
können (oder nur teilweise über DPMI). Es gab vor <NE.Winsurfer>
eine Reihe von Windows EXE-Viren, wie etwa <WinVir>, <Twitch> oder
<WinVik>. Alle diese Viren beherrschen allerdings das Windows EXE-
Dateiformat (NE-EXE) nicht besonders gut und waren zum Teil fehler-
haft. Diese Windows EXE-Viren galten als reine Laborviren, bis 1995
ein australischer Virenprogrammierer einen Windows EXE-Virus schrieb,
der diese Programme "effektiv" und voll funktionsfähig infizeren
konnte. Die Infektionsmethode von <NE.Winsurfer> ist den bisherigen
Windows EXE-Viren überlegen und wird vermutlich weiter von anderen
Virenprogrammierern kopiert werden. Es gibt zwei Viren, die dieses
Infektionsschema (bzw. eine Abwandlung davon) verwenden und die in
Deutschland verbreitet sind: <Tentacle> und <Tentacle_II>.
Anfang Februar 1996 ging die Meldung über den ersten WIN95-Virus
durch die Presse.
<PE.Boza> stammt von der gleichen Programmierergruppe aus
Australien wie <Winsurfer> und <Ph33r> und ist ein nicht-residenter
Windows95 EXE-Virus. Der Virus sorgte für einiges Aufsehen, obwohl
er bis heute nur in den Virensammlungen der Virenforscher zu finden
ist (oder sein sollte) und aufgrund technischer Mängel sich
vermutlich nie weit verbreiten wird. Ähnlich wie bei den Windows EXE-
Programmen ist das Windows95 EXE-Format erheblich schwieriger zu
infizieren, als die alten DOS EXE-Programme. Genau wie <Winsurfer>
benutzt <Boza> eine recht "markante" Methode, Programme zu
infizieren. Der Virus ist zudem fehlerhaft und vergrößert unter
Umständen Programme bis zu einigen Megabytes, ansonsten ist er
harmlos und zeigt gelegentlich ein Fenster mit Texten an, in denen
die Virenprogrammierer mit ihrer "Leistung" angeben.
Die bisher bekannten Windows 95 (PE-EXE)-Viren sind in Deutschland
nicht verbreitet, aber denoch besteht die Gefahr, daß andere Viren-
programmierer die bestehenden Viren als Vorlage benutzen und weitere
Windows EXE-Viren schreiben werden; vor allem deswegen, weil
die australischen Virenprogrammierer die Sourcecodes der Viren mit
genauen Beschreibungen der Infektionsmethoden veröffentlicht haben.
Mitte 1996 wurde der erste Excel-Virus bei Anwendern in Südafrika
entdeckt. Der Virus <Laroux> arbeitet ähnlich wie die bekannten
Word-Viren und wird durch Automakros wie etwa "Auto_Open" oder
"Auto_Close" aktiviert. Excel enthält ein spezielles Verzeichnis,
wobei es beim Start alle Vorlagen und Dateien automatisch
aktiviert, die sich in diesem Verzeichnis befinden. <Laroux> erzeugt
eine infizierte Datei in diesem Verzeichnis (das meistens XLSTART
heißt) und wird so von Excel automatisch aktiviert. Beim Zugriff
auf andere Dokumente überträgt der Virus dann seine beiden Makros
in die Datei. Im Gegensatz zu Word-Viren kann eine Excel-Datei VBA-
Projekte und Makros enthalten und muß nicht vom Virus vorher
konvertiert werden.
6. SHAREWARE, LIZENZBESTIMMUNGEN, GARANTIE
============================================================================
F/WIN ist SHAREWARE. Das bedeutet, daß Sie die SHAREWARE-Version
30 Tage lang testen dürfen. Wollen Sie das Programm nach dieser
Testzeit weiterhin benutzen, müssen Sie sich registrieren und eine
Nutzungslizenz erwerben. Ansonsten müssen Sie nach den 30 Tagen
das Programm von Ihrem Computer entfernen.
Die SHAREWARE-Version darf beliebig kopiert und vervielfältigt
werden, solange die Programme und zugehörigen Dateien von F/WIN
unverändert und vollständig bleiben. Es ist ausdrücklich erlaubt
und erwünscht, daß F/WIN in Mailboxen oder anderen Online-Diensten
verbreitet wird.
Als registrierter Anwender erhalten Sie eine Nutzungslizenz, die
Ihnen das Recht gibt, F/WIN auf jeweils einem System einzusetzen.
F/WIN kann auf mehrere Systeme kopiert werden, es darf aber nur
auf einem Computer zeitgleich benutzt werden und es muß sicher-
gestellt werden, daß keine weiteren Personen die Vollversion
benutzen oder sich den Registrierungsschüssel aneignen können.
Die Nutzungslizenz ist exklusiv und kann nicht verkauft, übertragen,
vermietet, verpachtet oder verliehen werden, egal ob zeitweise oder
dauerhaft. Es ist nicht gestattet, den Registrierungsschlüssel der
Vollversion in irgendeiner Weise zu vervielfältigen, kopieren oder
zu verändern. Allerdings darf der Registrierungsschlüssel zu
Sicherungszwecken (Backup) kopiert werden.
Für das Programm F/WIN hat der Autor Stefan Kurtzhals das Urheber-
recht. Alle Rechte bleiben vorbehalten. Es ist untersagt, das
Programm auf irgendeine Art zu verändern, disassemblieren, zu
debuggen oder auf andere Weise intern auszuwerten.
------------------------------------------------------------------
Der Autor übernimmt keinerlei Garantie oder Haftung für Schäden,
die direkt oder indirekt auf einen Gebrauch oder durch die Nicht-
verwendbarkeit von F/WIN zurückzuführen sind. Das gilt auch dann,
wenn der Autor über die Möglichkeit solcher Schäden informiert war
oder ist. Das verwendete Such- und Reinigungsverfahren (Heuristik)
erkennt und reinigt Viren nicht in jedem Fall hundertprozentig.
------------------------------------------------------------------
Informationen über die Shareware-Version:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Die Shareware-Version hat gegenüber der Vollversion folgende
Beschränkungen:
1) Die Reinigungsfunktion enthält eine Verzögerung mit einem
Shareware-Hinweis.
2) Die Funktion /REPORT ist nicht verfügbar.
(und damit sämtliche Batch-Modi)
3) Der Parameter /MODE:n (erweiterte Suchmodi) ist nicht verfügbar.
Die Shareware-Version darf 30 Tage lang getestet werden, danach
muß der Anwender entweder die Vollversion erwerben oder das
Programm von seinem Computer entfernen.
Um die Vollversion zu bestellen, füllen Sie bitte das Formular
in der Datei REGISTER.TXT aus und schicken Sie es an die unten
angegebene Adresse. Falls der Registrierungsschlüssel als PGP-
Mail über das Internet verschickt werden soll, wird unbedingt Ihr
Public PGP Key benötigt!
Es gibt zwei Arten der Registrierung:
■ Einfache Registrierung (ohne Update-Service) : 30 DM
■ Gewerbliche Registrierung (mit Update-Service) : 100 DM
Wenn Sie F/WIN nur zu privaten Zwecken einsetzen, können Sie die
private Nutzungslizenz erwerben. Schützen Sie allerdings ihre ge-
werblichen Daten oder setzen Sie F/WIN in einen gewerblich bzw.
kommerziell genutzten Rechnersystem ein, müssen Sie die gewerbliche
Nutzungslizenz erwerben. Die gewerbliche Registrierung umfaßt einen
Update-Service mit vier Updates innerhalb eines Jahres.
HINWEIS FÜR REGISTRIERTE ANWENDER DER VERSION 3.xx:
Registrierte Anwender der Version 3.xx ohne Update-Service können
einen neuen Schlüssel erhalten, indem sie den alten Schlüssel auf
einer Diskette mit einem ausreichend frankierten Rückumschlag an den
Autor schicken. Anwender mit Update-Service erhalten automatisch
die neuste Version inkl. des aktuellen Registrierungsschlüssels.
Falls Sie verdächtige Dateien oder Programme finden und diese
auf Virenbefall untersuchen lassen möchten, sollten Sie diese
Dateien mit PKZIP, ARJ oder RAR komprimieren, mit PGP ver-
schlüsseln (z.B. PGP -esa DATEI.ZIP) und ebenfalls an die unten
angegebene Adresse schicken.
Anschrift:
Stefan Kurtzhals
Dörrenberg 42
42899 Remscheid
E-Mail: kurtzhal@uni-wuppertal.de
Tel.: 02191/55126 (15:00 bis 22:00 Uhr)
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.2i
mQCNAi4XHkkAAAEEALTiHszMExp438UEmjJ1g7I6In1DbZW3uOWH97rD1d+h2MaX
kyIdav/2rF8MlmK2rsc/YdlfeWNeNTrGH7EISnVBsgqT3H/hGp3ypkzOMZ2neOEN
fbu7be+cHtFs9HYXZTg5vkO0J4gqLUbnBEVDVbdcKLJW9p5IJBQJonPBt/hRAAUR
tDZTdGVmYW4gS3VydHpoYWxzIDxrdXJ0emhhbEB3cmNzMy51cnoudW5pLXd1cHBl
cnRhbC5kZT60NlN0ZWZhbiBLdXJ0emhhbHMgPGt1cnR6aGFsQHdyY3MxLnVyei51
bmktd3VwcGVydGFsLmRlPokAlQIFEC4XHn4UCaJzwbf4UQEBAggD/2ir4yfJtOMD
GdSynA8zBrrszmh/N8OSKMWtcv65Htje5nPmHvecJlhKUtl17/HBEnMtf3vvBpEL
RXrH9qs3u9v23VBrUHl6JLuWIOUBTPP8rhoOCHt9Kcafczr0LtGxKwI6N6brcgHk
zVIx+XKkdFZ7EnaSHoHi+iHeGtvy1o7o
=QE9d
-----END PGP PUBLIC KEY BLOCK-----
Um die Vollversion per PGP-Email verschicken zu können, müssen Sie
das Freeware-Programm PGP besitzen und mir zuvor Ihren Public-PGP-Key
per E-Mail zuschicken. Dieser Public-Key kann mit "PGP -kxa"
extrahiert werden.
Das Archiv FWINnnnG.ZIP enthält eine PGP-Prüfsumme, anhand derer
die Authentizität von F/WIN überprüft werden kann. Dazu muß PGP
wie folgt gestartet werden:
"PGP f4.asc f4.exe"
PGP sollte dann folgenden Text ausgeben:
"Good signature from user Stefan Kurtzhals <...>"
Sollte das Archiv keine Datei mit dem Namen F4.ASC enthalten oder
die Prüfsummen nicht korrekt sein, wurde die Datei F4.EXE höchst-
wahrscheinlich manipuliert und sollte auf keinen Fall mehr eingesetzt
werden!
Um neue Versionen von F/WIN zu erhalten, können Sie sich die jeweils
neueste Shareware-Version über Mailboxen, Internet oder direkt vom
Autor besorgen. Durch Ihren Registrierungsschlüssel wird diese dann
in eine voll funktionsfähige Version umgewandelt. Die Shareware-
Version von F/WIN ist z.B. bei folgenden Adressen unter dem Namen
"FWINnnnG.ZIP" (nnn für die Versionsnummer, z.B FWIN401G.ZIP) zu
beziehen:
■ www.gen.com/fwin (Homepage, Englisch)
■ www.geocities.com/SiliconValley/Heights/7538 (Homepage, Deutsch)
■ www.cyberbox.north.de
■ www.psnw.com/~joe
■ CYBERBOX - Sascha Klose <2:2426/2031-34> (Magic: FWIN)
■ CYBERBOX BBS (v32b: 0441-3990032, v34: -3990033, ISDN: -9396977)
■ VHM II - Martin Roesler <2:2480/8849> (Magic: FWIN)
■ VHM II BBS (v32 und ISDN: 08638/881108>
■ CEUS BBS (089-448-17-60)
*
F/WIN - Copyright (c) 1996 by Stefan Kurtzhals
