PC World Komputer 1998 November

home *** CD-ROM | disk | FTP | other *** search

/ PC World Komputer 1998 November / pcwk_11_98a.iso / AV / Chivirus / TSCAN.TXT < prev

Wrap

Text File | 1998-07-10 | 8KB | 172 lines

TSCAN.TXT: Informationen zum W95/CIH-Virus (3 bekannte Varianten) Copyright (c) 1998 by GEGA-Software Andreas Marx, Virus Help Munich (Weitere Informationen und Kontaktadressen am Ende dieser Datei.) *** Windows-Viren? *** Vor kurzem tauchte ein neuer Windows-Virus auf, der sich recht schnell vom Ursprungsland Taiwan auch bis nach Deutschland ver- breiten konnte. Das gefaehrliche an ihm: Er zerstoert am 26. jeden Monats (Version 1.4) nicht nur saemtliche Daten auf der Festplatte durch Ueberschreiben, sondern kann mitunter auch den Inhalt des Flash-BIOS loeschen. Eine genaue Beschreibung des Virus kann man unter -> http://www.chip.de/News/cih.html <- finden. *** Virensuche *** Das beiliegende Programm (TSCAN.EXE mit der Datendatei TSCAN.DAT) ist eine Special Edition des ActiveAntiVirus-Virenscanners der Firma GEGA Software. Er kann alle bisher bekannten Varianten des W95/CIH-Virus finden und auch entfernen (Option: /REMOVE). ACHTUNG: Setzen Sie das Programm nur auf der DOS-Ebene ein, sonst kann es Ihnen passieren, dass dieses Programm den Virus zwar entfernt, der Virus seinerseits aber wieder das Programm nach einer Reinigung infiziert! Dieses Programm ist nicht in der Lage, den Virus aus dem Speicher zu entfernen bzw. ihn dort ueberhaupt zu finden, da der Virus sich direkt im Windows-Kernel versteckt. Vor einer Such- oder Reinigungsaktion deshalb erst Windows auf DOS- Ebene starten (ueber das Bootmenu oder "Start" -> "Beenden..." -> "Im MS-DOS-Modus neu starten"). *** Reinigungsfunktion *** Der Virus kann sich ueber mehrere Stuecke innerhalb einer EXE- Datei verteilen. Dieses Programm kann nur den ersten Teil des Virus entfernen, die restlichen, dann ungefaehrlichen Bruchstuecke, ver- bleiben jedoch in der Datei. Das liegt daran, dass die Virusteile nicht exakt lokalisiert werden koennen, auch der Virus kann dies nicht und deshalb werden einige Dateien bei der Infektion mit dem Virus zerstoert. Der Cleaner koennte die restlichen Teile auch entfernen, allerdings kann er sie nicht 100%ig lokalisieren. Die Folge waere, dass unter Umstaenden nicht nur Teile des Virus, sondern auch Teile des Programmes 'mitgereinigt', also entfernt wuerden. Zudem ueberschreibt der Virus einige Informationen unwieder- ruflich. Setzen Sie die Reinigungsfunktion deshalb nur im Notfall ein. Die Programme sind danach zwar meist voll funktionsfaehig, allerdings nicht mehr im Originalzustand. Seien sie aber auch sehr vorsichtig mit der Reinigungsfunktion von anderen Anti-Virus-Programmen: Die meisten nehmen es noch nicht einmal so genau wie dieser Killer, einige loeschen noch nicht einmal den ersten Teil des Virus! Die bessere Methode zur restlosen Entfernung des Virus ist eine Neu- installation des Systems bzw. eine Rekonstruktion von einem Backup. *** Programminformationen *** Das Virensuchprogramm ist rein DOS-basierend, benoetigt weniger als 200 KB freien unteren DOS-Speicher waehrend der Virensuche und ist problemlos unter Betriebssystemen wie Windows 3.x, '95, '98 und NT oder OS/2 einsetzbar. Das Programm ist netzwerkfaehig und kann auch Dateien auf CD-ROMs untersuchen. Es unterstuetzt jedoch keine langen Dateinamen und kann derzeit noch nicht in Archiven (ZIP, ARJ u.ae.) scannen. Solche Archive muessen vorher entpackt werden! Das Programm testet sich selbst beim Start auf Veraenderungen und Virenbefall und gibt ggf. einen entsprechenden Hinweis aus. Bei Aufruf des Programms wird automatisch nach dem zu durchsuchenden Laufwerk gefragt, falls keines in der Kommandozeile eingegeben wurde. Eine Auflistung aller Kommandozeilenparameter erhaelt man mit der Option "/?" oder "/HELP". Es kann festgelegt werden, ob alle Dateien durchsucht werden sollen ("/ALL"), eine Virenliste ("/VLIST") angezeigt werden, was mit infizierten Datein geschehen soll u.v.a.m. Es gibt nach der Suche eine Statistik ueber durchsuchte und befallene Dateien aus. Folgende Errorlevels gibt das Programm nach der Ausfuehrung zurueck, die z.B. in BAT-Dateien weiterverarbeitet werden koennen: 0 --> Alles OK, keine Viren gefunden. 1 --> Viren gefunden! 255 --> Fehler aufgetreten, z.B. TSCAN.DAT unauffindbar *** Allgemeine Hinweise zu TSCAN *** Die Engine Version 2.x ist derzeit in Planung und Entwicklung. Es wird sie nur als 32-Bit-Version fuer DOS (spaeter: Windows '95) geben, die Hardwarevorraussetzungen steigen also etwas: 386er mit min. 2 MB RAM (was hoffentlich kein Problem mehr darstellt ;-) ). Hinweis: Ich suche nach Fehlern und Fehlalarmen aller Art. Falls Sie einen Virus haben sollten - egal, ob er von TSCAN bereits erkannt werden kann oder nicht - schicken Sie ihn mir bitte zur Analyse zu. Vielen Dank fuer Ihre Hilfe! Fuer das Programm gelten die gleichen Lizenzbestimmungen wie fuer die Vollversion des Programms CGL (siehe dort 'lizenz.txt'). Das bedeutet u.a. einen kompletten Haftungsausschluss fuer die Verwendbarkeit und/oder Nichtverwendbarkeit des Programmes und eventuell durch die Benutzung entstehende Schaeden! Die Special Edition von TSCAN ist Freeware und darf kostenlos genutzt werden. Sie unterliegt aber allen Bestimmungen des Urheberrechtes! Alle im Programm und in diesem Text genannten Warenzeichen und Firmemnamen sind durch ihre jeweiligen Eigentuemer/Inhaber geschuetzt. *** Neue Versionen - woher? *** Das Programm ist u.a. in folgenden Mailboxen verfuegbar: o Virus Help Munich (VHM), Freising, V.34 unter 08161 / 93 82 20 o SunnyBBS Magdeburg, Magdeburg, ISDN & V.34+ unter 0391 / 62 30 399 o Anti-Virus-News (AVN), Oldenburg, ISDN & V.34 unter 0441 / 97 36 289 o Sowie allen VirNet-Systemen (kommt durch das Fileecho VIR_GER) Ausserdem ist das Programm im Internet und Online-Diensten erhaeltlich. *** Autor, Kontaktadresse *** TSCAN-Engine (allgemein): Virenforschung, Konzeption und Programmierung: Andreas Marx (VHM) Tel: 0391/613303 * E-Mail (privat): amarx@boerde.de * Fax: 0391/6218501 Fido: 2:2480/8849.17 (Virus Help Munich) oder 2:2426/2240.14 (AVN BBS) Snail-Mail: Andreas Marx, Förderstedter Str. 11, 39112 Magdeburg Technische Unterstuetzung: Stefan Kurtzhals (VHM) und Ralph Roth (VHM) Beta-Tester: Ralf Borgmann, Marc Schneider und Thomas Moenkemeier Vielen Dank an: Felix Mannewitz (VHM) und Lukas-Fabian Moser (VHM) Danke auch an: Thomas Sahlmann, Dennis Schmedtje und Heiko Schoenfeld Gruesse an: Toralv Dirro (VHM), Gerald Scheidl (VHM), Raimund Genes (VHM), Rainer Link (VHM), Dr. Dirk Hochstrate, Petr Odehnal, Petr Zahradnicek und alle, die ich jetzt vergessen habe... ;-) Fuer diese Spezial-Version gegen den W95/CIH-Virus: Autor: Andreas Marx (VHM) Beta-Test: Dr. Karlhorst Klotz (Redaktion CHIP) Danke an: Oliver Marx, Stefan Kurtzhals (VHM), Raimund Genes (VHM), Toralv Dirro (VHM) *** PGP-Key des Autors *** Typ Bits/ID Datum Benutzer öff 1024/3410BB65 1995/08/21 Andreas Marx <amarx@boerde.de> -----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.6.3i mQCNAzA46O4AAAEEAOq2GWnkCfWJ0jiyB7rfmXfrUxdI8XrPsVazP4ZTVuqfSjES svOaVORKifYudi7ThfpbwXwxSeVQJhUK+QcaCRCtefskew9qlOJKJc8LxN0BixMy XnuEKIW+hIjBPcyUVT3bRn6PuLJogRdzJzBB7nT5knVXppELsE+5IGs0ELtlAAUT tB5BbmRyZWFzIE1hcnggPGFtYXJ4QGJvZXJkZS5kZT6JAJUDBRA0GbCKT7kgazQQ u2UBAWFMBADpGHLu1JEgrFVx7iSaxO3Ha3wDqeWL80QnHPDbSbnEtOSyDJWY7w6K maJ4yGTkoZJT/lvZl5nA4K0J6TI8yQ8ET7oebZy8Q45nqsqANIr1AN78PlqJivAD LLC9C5Y1S+nJN615bYWulGdiN0cH+fCQNvIEYN/YD3hOP4JFmHpwDA== =6+0g -----END PGP PUBLIC KEY BLOCK----- *** Ende der Datei ***