Die Ultimative Software-Pakete CD-ROM fur Atari Collection 1996 & 1997

home *** CD-ROM | disk | FTP | other *** search

/ Die Ultimative Software-P…i Collection 1996 & 1997 / Die Ultimative Software-Pakete CD-ROM fur Atari Collection 1996 & 1997.iso / tt / virendet.3-1 / handbuch.txt next >

Wrap

Text File | 1996-09-18 | 170.7 KB | 2,813 lines

**************************************************************************** * 19.11.1992 * * Computerviren auf dem A T A R I S T * * ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ * * Dieses Textfile gehört zum Programm V I R E N D E T E K T O R 3.1 h, * * kopieren Sie es bitte nur mit diesem Programm zusammen weiter !!! * * * * Das Programm ist S H A R E W A R E ! Es darf und soll kopiert und * * weitergegeben werden, um der weiteren Virenverbreitung zu begegnen. * * Die Datei HINWEIS.TXT sollten Sie in Ihrem und in meinem Interesse * * bitte beachten. * * * * Zum Programm gehören folgende Files: * * VIREND31.PRG - Das Programm selbst * * REGISTER.TXT - Eine Registrierkarte zum Ausdrucken * * HINWEIS.TXT - Die Nutzungsbestimmungen und wichtige Hinweise * * zur Verbreitung des Programms * * HANDBUCH.TXT - Diese Datei * * NEWS.TXT - Eine Liste der Änderungen der letzten VIREN- * * DETEKTOR-Versionen und ein Ausblick auf weitere * * Verbesserungen in zukünftigen Versionen, sowie * * bekannte Programmfehler, Inkompatibilitäten und * * Unschönheiten. BITTE UNBEDINGT LESEN! * * * * sowie der Ordner WPROTECT mit den Dateien: * * WPROTECT.ACC - Accessory zum Schreibschützen von Festplatten * * und/oder RAM-Disks * * WPROTECT.PRG - Das gleiche für den AUTO-Ordner * * WPROTECT.TXT - Kurze Anleitung dazu * * WPROTECT.S - Assembler-Source zu WPROTECT.PRG * * WPRORSC.S - Resource-to-Source Datei * * WPROTECT.RSC - Resource-Datei * * WPROTECT.RSD * * * * Folgende Files werden bei Bedarf vom VIRENDETEKTOR erstellt, sind aber * * nicht unbedingt notwendig und müssen auch bei einer Weitergabe nicht * * mitkopiert werden: * * VIRENDET.INF - Parameter-Datei * * VIRENDET.CRC - Datei mit CRC-Prüfsummen * * * * Diese Dateien werden vom VIRENDETEKTOR erstellt und gehören NICHT zum * * Lieferumfang - bitte auch nicht mit Ihrer Version weitergeben: * * VIRENDET.HD - Datei mit Festplatten-Rootsektoren * * VIRDPROT.INF - Protokoll-Datei * * * * © Volker Söhnitz, Beginenstr. 17, 5100 Aachen * * Fax: ++49 241 - 40 40 70 * * EMAIL: volker_soehnitz@ac.maus.de (privat, keine binaries/UUEs) * * oder volker_soehnitz@solaris.hamm.sub.org * * * * © für WPROTECT und das Protokollfile: Christoph Conrad * * EMAIL: christoph_conrad@ac3.maus.de * * * **************************************************************************** Alle Rechte vorbehalten. Kein Teil dieses Textes darf in irgendeiner Form (Druck oder einem anderen Verfahren) ohne schriftliche Genehmigung des Autors reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. Eine Weitergabe dieses Textes in _unveränderter_ Form und nur zusammen mit den oben genannten Dateien unter Berücksichtigung der in HINWEIS.TXT festgehaltenen Nutzungs- bestimmungen ist ausdrücklich gestattet! Zum Ausdrucken dieses Textes ist es am günstigsten, den Drucker auf 12 cps (ELITE) und auf einen Rand von 6-8 Zeichen einzustellen. WICHTIG: Unbedingt zumindest NEWS.TXT und das Vorwort lesen! ¯¯¯¯¯¯¯¯ ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Ich weiß, niemand liest gerne lange Handbücher oder Anleitungen aber zumindest das Vorwort und die Datei NEWS.TXT sollten Sie sich durchlesen. Das heißt nicht, daß nicht auch der Rest lesenswert wäre, aber den können Sie sich ja an einem regnerischen Abend zu Gemüte führen. Ich habe mich bemüht, auf mögliche Bedienungsfehler, die bei der Arbeit mit dem VIRENDETEKTOR auftreten können, einzugehen. Wenn Sie dieses Kapitel nicht lesen, sind DATENVERLUSTE nicht auszuschließen! Registrierte Benutzer sollten auch die Datei PRIVAT.TXT, die auf der VIRENDETEKTOR-Originaldiskette zu finden ist, durchlesen. Dort ist auch die Installation der registrierten Version ausführlich erläutert. Inhalt: ¯¯¯¯¯¯¯ 0. Das (etwas längere) Vorwort a) Danksagungen b) Was ist der VIRENDETEKTOR? c) Hinweise zur Bedienung (WICHTIG!!!) I. Einführung (Allgemeines über Computerviren) a) Was ist ein Computervirus? b) Woher kommen Computerviren? II. Viren im ST, wo sie stecken und wie sie sich vermehren a) Bootsektorviren b) "Tarnkappen"-Viren c) Linkviren d) Linkviren in gepackten Programmen e) Viren in CPX-Modulen f) Neue, bisher unbekannte Linkviren g) Alle Link- und Bootsektorviren im Überblick III. Wie beugt man Virenbefall vor? IV. An welchen Effekten erkennt man Computerviren? V. Neues von der Virenfront VI. So funktioniert der VIRENDETEKTOR VII. "Immunisierung" - Schutz vor Bootsektorviren??? VIII. Was ist im Fall des (Be)falls zu tun? IX. Das SHAREWARE-Vertriebskonzept X. Hinweise für kommerzielle Nutzer und PD-Versender XI. Schlußwort Anhang: Antworten auf die am häufigsten gestellten Fragen zum VIRENDETEKTOR (bitte erst lesen, bevor Sie sich mit Fragen an mich wenden) Einige Soft- und Hardwarebezeichnungen, die in diesem Text erwähnt werden, sind eingetragene Warenzeichen und sollten als solche betrachtet werden. 0. Das (etwas längere) Vorwort ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ a) Danksagungen Für die Unterstützung bei der Erstellung dieses Programms bedanke ich mich insbesondere bei: Christoph Conrad, ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ der nicht nur mit einigen genialen Hacks die Effizienz des VIRENDETEKTORS stark verbessert hat, sondern dem vor allem zu verdanken ist, daß der VIRENDETEKTOR seit der Version 3.0 auflösungsunabhängig und absolut LINE-A frei läuft. Außerdem bedanke ich mich für das Programm WPROTECT und die Routinen zur Erstellung des Protokollfiles, die Christoph freundlicherweise für den VIRENDETEKTOR zur Verfügung gestellt hat. Richard Karsmakers, ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ dem niederländischen Virenkiller-Programmierer (UVK), für die fruchtbare Zusammenarbeit, die für die Weiterentwicklung des Programms wichtige Impulse gegeben hat. Bernhard Artz und Gregor Tielsch, ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ den Autoren des Virenkillers Poison! für die Zusammenarbeit. H.-D. Jankowski, J.F. Reschke und D. Rabich, ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ für das ATARI ST PROFIBUCH (Sybex). C. Brod und A. Stepper, ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ für das Buch SCHEIBENKLEISTER II (MAXON). Mein Dank geht auch an die vielen User des VIRENDETEKTORS, die mit detaillierten Fehlermeldungen und der Zusendung neuer Viren und neuer Bootprogramme an der Weiterentwicklung des Programms beteiligt waren. (Hallo Dirk, hallo Anton-Jürgen, hallo Oliver!) Mein ganz besonders herzlicher Dank geht an alle registrierten User, die durch die Zahlung der Sharegebühr meinen Glauben an das SHAREWARE-Konzept aufrechterhalten haben und die mich motivieren, den VIRENDETEKTOR auch in Zukunft weiterzuentwickeln. Last but not least bedanke ich mich bei meiner Frau Sabine für die unendliche Geduld mit einem Ehemann, der nächtelang vor seinen Computern sitzt und bereits im Schlaf von Viren brabbelt ;-) Sollte ich jemanden bei dieser Aufzählung vergessen haben, so geschah dies nicht aus böser Absicht. Er möge sich als hier aufgeführt betrachten. b) Was ist der VIRENDETEKTOR? Der VIRENDETEKTOR entstand vor mehr als fünf Jahren, als die ersten Computerviren auf dem ST auftauchten. Zunächst als "Quick and dirty"-Hack gegen Bootsektorviren, doch mit der Zeit kam eine ansprechende Benutzeroberfläche hinzu, die Erkennung der ersten Linkviren, die sich auf dem ST breit machten, die Anpassung an verschiedene Auflösungen und vieles mehr. Seit der Version 3.0 ist nun auch eine CRC-Prüfsummenbildung eingebaut, so daß auch die Gefahr eines Befalls mit bislang unbekannten Viren nahezu ausgeschlossen werden kann. Auch zukünftige Versionen werden wieder Neuheiten zu bieten haben und der VIRENDETEKTOR bleibt - auch wenn er manchem kommerziellen Virenkiller durchaus überlegen ist und obwohl mir mehrere Angebote zur kommerziellen Vermarktung vorliegen - weiterhin SHAREWARE. Was SHAREWARE ist und warum dieses Konzept sowohl dem Benutzer als auch dem Programmautor viele Vorteile bietet, erfahren Sie in Kapitel IX. Mit dem Programm VIRENDETEKTOR haben Sie nun das geeignete Mittel in der Hand, um jede Art von Virus zu entdecken, bevor er Unheil anrichten kann und sich über die gesamten Datenbestände verbreitet. c) Hinweise zur Bedienung Der VIRENDETEKTOR ist denkbar einfach zu bedienen. Auch Einsteiger auf dem ST/STE/TT sollten mit diesem Programm problemlos auf "Virenjagd" gehen können. Dennoch sind mit zunehmender Anzahl an Optionen, die das Programm bietet, auch einige Erläuterungen nützlich. Hier nun ein paar wichtige Hinweise zur Bedienung. Auf einige spezielle Punkte wird an späterer Stelle in diesem Text noch eingegangen. Versuchen Sie bitte nicht, den PFX-PAK, den ICE-PACK oder einen anderen Packer, der Programme mit einem Laufzeitentpacker versieht, auf den VIRENDETEKTOR los zu lassen. Erstens werden diese Packer im günstigsten Fall die Programmdatei um lächerliche 5-10% verkleinern können, es lohnt also nicht. Zweitens wird der VIRENDETEKTOR dies als Manipulation an seiner Programmdatei empfinden und beim Versuch, das Programm zu starten, mit einer wütenden Meldung nebst Warmstart (Reset) antworten. Wenn Sie das Programm vom Desktop oder aus einer Shell heraus starten, wird zunächst ein Speichertest durchgeführt. Dabei erscheint auf dem Bildschirm eine Übersicht über verschiedene Systemvariablen, in die sich ein Virus, sofern er resident im Arbeitsspeicher lauert, in der Regel einklinkt. Dieser Ausgabe brauchen Sie keine weitere Beachtung zu schenken, die Bedeutung der XBRA-Kennungen ist im Kapitel VI erläutert. Sollte ein speicherresidenter Virus gefunden werden, bricht das Programm mit einer entsprechenden Warnbox ab. Leider arbeitet ein solcher Speichertest prinzipbedingt nicht 100% sicher. Vor allem dann nicht, wenn sich ein oder mehrere Programme im Arbeitsspeicher befinden, die Systemvektoren ohne XBRA-Kennung verbiegen. Sie sollten also vor der Benutzung des VIRENDETEKTORS im Zweifel den Rechner aus- und wieder einschalten, ohne daß sich eine Diskette im Laufwerk befindet. Die dauert zwar etwa eine halbe Minute (der ST wird zunächst verzweifelt nach einer Diskette fahnden), ist aber der sicherste Weg, falls Sie nicht sicher sind, ob Sie überhaupt im Besitz einer "sauberen" Diskette sind. Die vom VIRENDETEKTOR angezeigte Liste der einzelnen XBRA-Verkettungen sollte im Idealfall mit einem Pseudoeintrag "->BS" enden. Damit wird angezeigt, daß der Vektor nun ins Betriebssystem zeigt. Steht dort ein "????", so ist dafür ein Programm verantwortlich, das sich nicht an die XBRA-Konvention hält. Dabei muß es sich nun aber keineswegs um einen Virus handeln, denn trotz der relativ großen Verbreitung des XBRA-Verfahrens gibt es immer noch eine Menge Programme und Accessories, die ohne Verwendung der XBRA-Struktur Vektoren verbiegen. Eine kurze Erklärung zum den ausgegebenen Systemvariablen erhalten Sie auch im Programm, wenn Sie die "Help"-Taste drücken. Jede andere Taste oder ein Mausklick führen zum "Hauptmenü" des VIRENDETEKTORS. Dabei handelt es sich um eine große Dialogbox, in der Sie mit der Maus, mit den Funktionstasten oder mit der RETURN-Taste einzelne Punkte auswählen können. Der stark umrandete Button kann jeweils mit der Return-Taste gewählt werden. Bei der Auswahl einiger Menüpunkte erscheint wiederum eine ähnliche Dialogbox. F1: (Kurzanleitung/Programminfo) Wie der Name vermuten läßt, handelt es sich bei diesem Punkt um eine kurze Anleitung, die das wichtigste aus diesem Kapitel zusammenfaßt. Damit haben Sie auch im VIRENDETEKTOR die Möglichkeit, die Arbeitsweise einzelner Funktionen nachschauen zu können. Zunächst erscheint aber noch eine kleine "Danksagung" an verschiedene Leute, die direkt oder indirekt bei der Entstehung dieses Programms mitgewirkt haben. Diese Kurzanleitung umfaßt 12 Seiten, durch Drücken der ESCAPE-Taste kommen Sie jederzeit ins Programm zurück. F2: (Laufwerk wählen) Dient zur Auswahl der Diskettenstation/RAM-Disk/Festplattenpartitionen, die als aktuelles Laufwerk gelten soll. Bei der Überprüfung von Programmen arbeitet der VIRENDETEKTOR immer auf dem Laufwerk, das hier angewählt wurde. Es können nur tatsächlich vorhandene Laufwerke selektiert werden. Bei mehr als 8 Laufwerken/Partitionen/RAM-Disks erscheint diese Auswahlbox zweigeteilt. Mit den Pfeilboxen kann zwischen den beiden Teilen hin und her gewechselt werden. Bei der Überprüfung von Festplattenpartitionen oder RAM-Disks (also Laufwerk C und größer) wird nach der Überprüfung aller Programme automatisch zum nächsten Laufwerk gewechselt, sofern diese Überprüfung nicht zwischendurch mit "Escape" abgebrochen wurde. Dadurch sparen Sie bei der Überprüfung der gesamten Platte den manuellen Wechsel der Laufwerke. Sie können somit nach Anwahl der ersten Partition (im allgemeinen C) durch wiederholtes Betätigen der Return-Taste alle Partitionen auf Linkviren überprüfen. F3: (Einzelne Programme überprüfen) Untersucht einzelne Programme (Auswahl über Fileselectbox) auf Virenbefall. Dabei werden eine große Zahl von Linkviren erkannt, dazu gehören in dieser Version des VIRENDETEKTOR der MILZBRAND VIRUS und auf dessen Algorithmus beruhende Nachfolger, alle VCS VIREN (mit dem VIRUS-CONSTRUCTION-SET erstellte Viren), der CRASH VIRUS, der PAPA&GARFIELD VIRUS und der MAD/ZIMMERMANN VIRUS (auch als Uluru Virus bekannt)! Es ist leider nicht möglich, befallene Programme zu restaurieren! Sie müssen durch Sicherheitskopien ersetzt werden. Sollten Sie nicht über Sicherheitskopien verfügen und die infizierten Programme sind für Sie von großer Wichtigkeit, dann finden Sie in einem späteren Kapitel noch einige Hinweise, wie Sie eventuell auch noch mit diesen Programmen weiterarbeiten können. Dies sollte aber wirklich die absolute Ausnahme sein! Abgesehen von der Suche nach den oben erwähnten bekannten Linkviren, werden Programme auch auf bislang unbekannte Linkviren überprüft. Prinzipbedingt kann diese Überprüfung aber nur eine nützliche Ergänzung sein. Es gibt keine Garantie dafür, daß jeder neue Linkvirus dadurch entdeckt werden kann. Neben einzelnen Programmen können auch komplette Pfade durchsucht werden, dazu wird in der Fileselectbox einfach der gewünschte Pfad eingestellt. Wollen Sie also z.B. alle Dateien im Ordner "KUCKREIN" überprüfen, so öffnen Sie diesen Ordner und klicken auf den OK-Button (oder drücken die RETURN-Taste). Dann werden alle Programmfiles in dem gewünschten Ordner, sowie in allen weiteren Ordnern, die sich im gewählten Ordner befinden, überprüft! F4: (Alle Programme überprüfen) Alle Programme auf dem aktuellen Laufwerk werden auf Linkviren untersucht. (Analog zu F3.) Dabei werden nicht nur die Programme im Hauptdirectory des aktuellen Laufwerks (Floppy/RAM-Disk/Harddisk) überprüft, sondern auch alle Programme, die sich in irgendwelchen Ordnern aufhalten! WICHTIG: Wenn Sie mit einer Festplatte und einer alten TOS-Version (1.00 oder 1.02) arbeiten, dann sollten Sie unbedingt das FOLDR100.PRG im Autoordner haben. Aber diese Regel gilt nicht nur für den VIRENDETEKTOR. Es werden auch "Hidden"- und "System"-Files überprüft. Auf der Festplatte kann die Überprüfung je nach Partitionsgröße einige Zeit in Anspruch nehmen. Die laufende Überprüfung kann durch Betätigung der ESCAPE-Taste abgebrochen werden. Wenn der Abbruch nicht gleich klappt, dann halten Sie die ESCAPE-Taste solange gedrückt, bis der VIRENDETEKTOR diesen Abbruch bestätigt. Berücksichtigt werden alle Files, deren Extension auf PR*, AC*, TOS, TTP, APP, GTP oder auf eine der vier selbstdefinierten Extensionen paßt. Bei eingeschalteter CRC-Prüfung werden auch Dateien mit der Endung "CPX" (CPX-Module) berücksichtigt. Bei dieser CRC-Prüfung wird die aktuelle CRC-Prüfsumme mit einer gegebenenfalls zuvor gespeicherten Prüfsumme verglichen. Falls das aktuelle Laufwerk nicht A oder B ist, so ist diese Funktion defaultmäßig auch mit RETURN zu erreichen. F5: (Bootsektor überprüfen) Diese Funktion kann nur bei Wahl von Laufwerk A oder B angewählt werden. Es wird der Bootsektor einer Diskette auf Virenbefall überprüft! Alle verbreiteten ST-Bootsektorviren werden erkannt, welcher Virus entdeckt wurde, wird ebenso angezeigt, wie bei einigen mutierenden Viren die vorgefundene Generation! Ist der Bootsektor infiziert, so kann der Virus entfernt und der Bootsektor restauriert werden. Der VIRENDETEKTOR erkennt die meisten Immunisierungs-Bootsektoren, wie sie von einigen Virenkillern erzeugt werden. Falls Sie im Menü "Weitere Optionen" die Immunisierung nicht eingeschaltet haben, kann eine vorhandene Immunisierung auf Wunsch auch entfernt werden! Natürlich werden auch berechtigterweise ausführbare Bootsektoren erkannt und gemeldet, z.B. 1st Freezer-Disks, Aladin-Disketten (MAC-Emulator), TOS-Lader, viele Spiele-Bootlader, 60-Hertz Bootsektoren, mehr als ein halbes Dutzend HD-Waiter und viele mehr. Seit der Version 2.9e werden AUCH NICHT AUSFÜHRBARE Bootsektorviren erkannt! Diese können sich mittels eines undokumentierten Features des Betriebssystems resetfest im Arbeitsspeicher installieren, OBWOHL der Bootsektor eigentlich nicht ausführbar ist! Genauere Informationen zur Arbeits- und Verbreitungsweise dieser Viren finden Sie in einem gesonderten Kapitel über Bootsektorviren. Trifft der VIRENDETEKTOR auf einen bisher unbekannten ausführbaren Bootsektor (z.B. einen neuen Spiele-Lader oder aber einen neuen Virus), so wird eine entsprechende Meldung ausgegeben und es kann eine Routine aufgerufen werden, die das Bootprogramm auf typische Merkmale eines Virus-Programms untersucht! Das Ergebnis dieser Analyse wird in einer Alert-Box angezeigt. Falls es sich um einen bisher unbekannten Virus handelt, kann der Bootsektor restauriert werden. Das Programm wird im übrigen laufend aktualisiert und an neue Viren angepaßt! Sollten Sie über einen Virus oder ein harmloses Bootprogramm verfügen, welches der VIRENDETEKTOR nicht kennt, dann schicken Sie es mir zu - ich werde umgehend eine Erkennung einbauen. F6: (Bootsektor und Disk-Info anzeigen) Zeigt den Bootsektor der Diskette im gewählten Laufwerk (A oder B) sowohl im ASCII-Code als auch in Hexadezimalzahlen an. Zusätzlich werden die Disketten-Struktur-Informationen entschlüsselt und angezeigt. (Anzahl der Seiten, Tracks, Sektoren, Ausführbarkeit, Länge des Directories, ...) Auch diese Funktion kann nur bei Wahl von Laufwerk A oder B gewählt werden. F7: (Bootsektor und alle Programme überprüfen) Mit diesem Menüpunkt werden die Funktionen "Bootsektor überprüfen" und "Alle Programme überprüfen" hintereinander ausgeführt. Wenn Laufwerk A oder B als aktuelles Laufwerk gewählt wurden, so ist dieser Punkt defaultmäßig über RETURN erreichbar. Wenn Sie also Ihre Diskettensammlung sowohl auf Link- wie auf Bootsektorviren überprüfen wollen, brauchen Sie nur die Disketten der Reihe nach einzulegen, RETURN zu drücken und die Meldungen des Programms abzuwarten. F8: (CRC-Prüfung ein/ausschalten) Dient zum Ein- oder Ausschalten der CRC-Prüfsummenoption. Ist der CRC-Check eingeschaltet, so berechnet der VIRENDETEKTOR bei jeder Linkvirenüberprüfung eine CRC-Prüfsumme über den Teil des Programms, der bei einer Infizierung mit einem Linkvirus auf jeden Fall verändert würde. Ist für das jeweilige Programm bereits eine CRC-Summe aus vorhergegangenen Überprüfungen vorhanden, so wird die neue Prüfsumme mit der alten verglichen und eventuell auftretende Unterschiede werden gemeldet. Somit kann sich auch ein völlig neuartiger Linkvirus, den der VIRENDETEKTOR noch nicht kennt, nicht unbemerkt in Ihren Programmbestand einschleichen. Natürlich funktioniert diese Lösung nur dann, wenn nicht schon zum Zeitpunkt der erstmaligen CRC-Prüfsummenerstellung ein Linkvirus, den der VIRENDETEKTOR noch nicht kennt, Ihre Programmbestände komplett durchseucht hat. Dieser Umstand ist aber außergewöhnlich unwahrscheinlich. Beachten Sie bitte: Wenn Sie mehrere unterschiedliche Programme gleichen Namens (z.B. zwei EDITOR.PRG bzw. ein EDITOR.PRG und ein EDITOR.TTP) oder verschiedene Versionen eines Programmes besitzen, dann wird der VIRENDETEKTOR beim zweiten Programm eine Veränderung melden. Seit der Version 3.1 des VIRENDETEKTORS sind zu jedem Programmnamen maximal 20 CRC-Prüfsummen abspeicherbar. Die Extensionen der Programmnamen werden dabei nicht berücksichtigt, dies hat den Vorteil, daß Programme, die auch als Accessories verwendet werden können, nicht zweimal in der CRC-Liste auftauchen. Selbiges gilt auch für Auto-Ordnerprogramme, deren Extension in PR oder PRX verändert wurden. Wenn ein Programm seine CRC-Prüfsumme ändert, so kann diese Änderung diverse Ursachen haben. Es könnte sich um ein Update handeln, es kann ein anderes Programm gleichen Namens in der CRC-Liste existieren oder es handelt sich um ein selbstmodifizierendes Programm (einige Programme speichern bestimmte Einstellungen in sich selbst ab - eigentlich kein feiner Programmiererstil, dazu eignet sich eine *.INF Datei in der Regel ebenso gut. Somit können also durchaus eine Reihe von Veränderungen der CRC-Prüfsumme auftreten, die NICHT durch Virenbefall verursacht wurden). AUch bei der Umwandlung der unregistrierten Version in eine registrierte Version ändert der VIRENDETEKTOR seine CRC-Prüfsumme. Wundern Sie sich also nicht, wenn das Programm bei der registrierten Version über eine veränderte Prüfsumme meckert. Nehmen Sie diese neue Prüfsumme einfach zusätzlich in die CRC-Datei auf. Es ist allerdings auch möglich, daß ein neuer, bisher unbekannter Linkvirus das Programm verändert hat! Dies wird dann wahrscheinlich, wenn sich veränderte Prüfsummen häufen, ohne daß eine der oben genannten Erklärungen zutrifft. Sie können eine neue, veränderte CRC-Prüfsumme übernehmen, verwerfen oder das betreffende Programm löschen. Sie können auch die alten Prüfsummen durch die neue ersetzen, dabei werden aber ALLE alten Prüfsummen, die für diesen Programmnamen gespeichert waren, ersetzt. Der VIRENDETEKTOR kann maximal 5000 verschiedene Prüfsummen verwalten. Nach Erreichen dieses Limits können keine weiteren Prüfsummen aufgenommen werden. Nochmals der Hinweis: Wenn sich plötzlich mehrere Programme ohne erkennbaren Grund verändert haben, wenn also der VIRENDETEKTOR in mehreren Fällen eine veränderte CRC-Prüfsumme meldet, ist Vorsicht geboten. Sie sollten mir eines der möglicherweise befallenen Programme zusenden, ich werde dann - sofern es sich tatsächlich um einen neuen Virus handelt - eine entsprechende Erkennung in den VIRENDETEKTOR einbauen und Sie erhalten umgehend eine neue, an diesen Virus angepaßte Version. F9: (HD-Rootsektor prüfen/restaurieren/speichern) Hinter diesem Menüpunkt verbirgt sich eine Auswahlbox, in der Sie angeben können, ob Sie einen Rootsektor prüfen, restaurieren oder anzeigen wollen. Der Rootsektor der Festplatte wird beim DMA-Bootvorgang gelesen und ausgeführt. Im Rootsektor ist außerdem die Partitionierungsinformation der Festplatte enthalten. Haben Sie mehrere Festplatten (physikalische Laufwerke, nicht Partitionen) an Ihren Rechner angeschlossen, so können Sie auch das gewünschte Target auswählen. Beim Prüfen des Rootsektors wird der aktuelle Rootsektor mit einem zuvor gesicherten Rootsektor verglichen und das Ergebnis wird angezeigt. Sollte noch kein Vergleichsrootsektor gespeichert sein, so können Sie den aktuellen Rootsektor für spätere Vergleiche übernehmen. Wenn Sie einen Festplattenrootsektor zum ersten Mal eingelesen haben, dann können Sie ihn in eine Datei sichern. Der VIRENDETEKTOR schreibt die Rootsektoren aller angeschlossenen Targets in die Datei VIRENDET.HD. Die Datei VIRENDET.HD ist normalerweise nicht im Lieferumfang enthalten, sondern muß von Ihnen bei der ersten Festplattenprüfung erzeugt werden. Sollten Sie das Programm von einem Bekannten oder PD-Versender bekommen haben, dann sollte sich daher normalerweise keine Datei mit diesem Namen im VIRENDET.3_1-Ordner befinden. Sollten Sie dort dennoch diese Datei finden, dann löschen Sie diese VOR dem Start des VIRENDETEKTORS und legen Sie nach Überprüfung Ihrer Festplatte(n) mit diesem Menüpunkt neu an. WICHTIG: Verwenden Sie keine VIRENDET.HD-Datei von fremden Festplatten!!! Auch wenn Sie Ihre Platte(n) neu partitionieren _muß_ diese Datei neu angelegt werden! Wenn Sie das Programm weitergeben, dann bitte OHNE die Datei VIRENDET.HD! Es könnte sonst bei Anwendern, die diese Anleitung oder die Kurzanleitung im Programm selbst nicht durchlesen, zu Datenverlust führen, wenn diese einen fremden Rootsektor auf die eigene Platte kopieren. Sollten Sie einen oder mehrere neue Rootsektoren übernommen haben, so werden Sie beim Programmende darauf hingewiesen, falls Sie diese Rootsektoren bislang noch nicht abgespeichert haben und können das dann vor dem Verlassen des VIRENDETEKTORS nachholen. Da die Partitionierungsinformationen beim Befall durch einen Virus zerstört werden können, ist für diesen Fall eine Restaurierungsmöglichkeit gegeben. Dazu müssen Sie sich von der Datei VIRENDET.HD eine SICHERHEITSKOPIE AUF DISKETTE anlegen. Dies ist wichtig, da Ihnen diese Datei auf der Festplatte nichts mehr nützt, denn mit einem zerstörten Rootsektor ist Ihnen jeder Zugriff auf die Platte verwehrt. Mit Hilfe des VIRENDETEKTORS - von dem Sie natürlich ebenfalls eine Sicherheitskopie haben sollten - kann der Rootsektor dann wieder auf die Festplatte geschrieben werden. WICHTIG: (Ich weiß, das habe ich schon erwähnt - man kann es aber nicht oft genug wiederholen!) Jede neue Partitionierung Ihrer Platte führt natürlich zu einer Veränderung des Rootsektors! In diesem Fall muß die Datei VIRENDET.HD, die die gespeicherten Rootsektoren enthält, gelöscht werden und der Rootsektor neu eingelesen werden. Auf keinen Fall dürfen Sie nach einer Neupartitionierung den alten Rootsektor wieder zurückschreiben! Der Rootsektor darf nur restauriert werden, wenn er unrechtmäßig (durch einen Virus oder ein anderes "amoklaufendes" Programm) verändert wurde. Wenn Sie Ihre Platte neu partitioniert haben, kommt auf jeden Fall die Meldung "Rootsektor wurde verändert". Dies ist normal und kein Grund zur Besorgnis! Schreiben Sie NIEMALS einen alten Rootsektor nach einer Neupartitionierung zurück! Ansonsten sind Ihre Daten auf der Festplatte plötzlich ins Nirwana entfleucht. ACHTUNG: Nach dem Zurückschreiben eines Rootsektors wird automatisch ein RESET (Warmstart) ausgelöst! Dies ist aus Kompatibilitätsgründen zu verschiedenen Festplattentreibern nötig. Wenn Sie "restaurieren" anwählen, werden Sie auf diesen Umstand aufmerksam gemacht und haben noch die Möglichkeit, diesen Vorgang abzubrechen. F10: (Weitere Optionen) Unter diesem Menüpunkt sind verschiedene Einstellungsmöglichkeiten sowie nicht so häufig benötigte Funktionen zusammengefaßt. Es erscheint ein Untermenü mit folgenden Punkten: Viren-Datenbank aufrufen...: Unter diesem Menüpunkt verbirgt sich eine geballte Ladung Information. Sie finden hier eine ausführliche Beschreibung aller bekannten Link- und Bootsektorviren, die sowohl Verbreitungsweise als auch die Wirkung der einzelnen Viren beschreibt. Der Virus, zu dem Sie nähere Infos wünschen, wird mit den Cursortasten oder durch Klicken in die Pfeilboxen ausgewählt. Diese Infos sind _nur_ in der registrierten Version abrufbar. Das ist keine besondere Einschränkung, denn für die eigentliche Funktion des VIRENDETEKTORS ist diese Datenbank ja in keiner Weise relevant. Sie können also die unregistrierte Version, wie bei SHAREWARE üblich, in aller Ruhe testen. Wenn ihnen das Programm zusagt, erhalten Sie nach Zahlung der Sharegebühr eine aktuelle Version auf einer Originaldisk, die Sie zum Installieren der registrierten Version benötigen. Diese enthält dann zum einen die bereits erwähnte Viren-Datenbank. Zum anderen sind die gelegentlichen Hinweise (z.B. beim Verlassen des Programms oder nach einer größeren Zahl überprüfter Disketten und Dateien), die Sie daran erinnern sollen, daß Sie mit einer unregistrierten Version arbeiten, in der registrierten Version natürlich nicht mehr vorhanden. Immunisierung wählen...: Zum Thema "Immunisierung" werde ich im weiteren noch Stellung nehmen. Hier sei nur erwähnt, daß ich, um auf alle Wünsche nach den verschiedensten Immunisierungsmethoden einzugehen, im VIRENDETEKTOR drei verschiedene Möglichkeiten zur Immunisierung von Bootsektoren vorgesehen habe. Mit diesem Menüpunkt können Sie die gewünschte Immunisierung ein- oder ausschalten und die automatische Impfung einschalten. Bei eingeschalteter Immunisierung wird beim Schreiben eines Bootsektors, also wenn z.B. ein Virus vernichtet wird oder ein anderes Bootprogramm entfernt wird, ein Immunisierungs-Bootsektor bzw. der Immunisierungs-Autoordner erzeugt. Was unter den drei Methoden zu verstehen ist, entnehmen Sie bitte dem Kapitel VII. Wenn die Bootsektorimpfung eingeschaltet ist, wird die gewählte Immunisierungsart immer auf die zu prüfende Diskette aufgebracht, also auch dann, wenn kein Virus überschrieben wird. Dazu dürfen die zu prüfenden Disketten natürlich nicht schreibgeschützt sein. Es erfolgt auch dann eine Immunisierung, wenn im Bootsektor bereits eine Immunisierung eines anderen Virenkillers vorhanden ist. Diese wird dann entfernt. Andere ausführbare harmlose Bootsektoren werden nicht geimpft, auch 1st Lock Disketten (LOGILEX) werden nicht geimpft, da im Bootsektor wichtige Informationen stehen, die sonst verloren gehen würden. Ausnahme: Die Immunisierung durch den Autoordner, da bei dieser Immunisierungsart der Bootsektor nicht verändert wird. Info-Meldungen ein/ausschalten: Wenn Sie mit dem VIRENDETEKTOR Ihre komplette Diskettensammlung überprüfen und Ihre kostbare Zeit nicht zu sehr strapazieren wollen, dann können Sie die ohnehin schon hohe Arbeitsgeschwindigkeit des Programms noch weiter erhöhen, indem Sie alle Meldungen des Programms, die nicht auf Virenbefall hinweisen, unterdrücken. Sie brauchen dann pro Diskette nur einmal die RETURN-Taste (oder F7) zu drücken und der VIRENDETEKTOR kehrt nach der Überprüfung der Diskette sofort zum Hauptmenü zurück (sofern kein Virus gefunden wurde) und Sie können mit der nächsten Diskette fortfahren. Extensionen wählen: Wenn der VIRENDETEKTOR eine komplette Diskette/RAM-Disk/Partition oder einen gewählten Pfad auf Linkviren untersucht, dann werden alle Dateien mit den Extensionen PR* (z.B. PRG, PRX, PR, ...), AC*, TOS, TTP, APP und GTP überprüft. Mit diesem Menüpunkt können Sie weitere vier Extensionen (allerdings ohne Wildcards) angeben, die bei der Überprüfung berücksichtigt werden sollen. CRC-Prüfung konfigurieren... Nach Auswahl dieses Menüpunktes, erscheint eine Auswahlbox, in der Sie mit "CRC-Daten automatisch/von Hand übernehmen" entscheiden, ob bei der CRC- Prüfung die Prüfsummen bislang unbekannter Programme automatisch aufgenommen werden sollen oder ob der VIRENDETEKTOR bei jedem unbekannten Programm nach- fragt, ob eine Übernahme gewünscht wird. Wenn Sie die CRC-Option zum ersten Mal verwenden, ist es sinnvoll, auf "automatisch übernehmen" zu schalten, da sonst bei jedem überprüften Programm eine Alert-Box mit der Nachfrage er- scheint, ob die Datei übernommen werden soll. BEACHTEN SIE BITTE, DASS AUS INTERNEN GRÜNDEN DIE CRC-PRÜFSUMMEN DER ALTEN VERSION 3.0 NICHT WEITER VERWENDET WERDEN KÖNNEN! Wenn versucht wird, eine alte VIRENDET.CRC Datei zu laden, meldet der VIRENDETEKTOR, daß diese Prüfsummen ungültig sind. Beim Umstieg auf die Version 3.1 ist es sinnvoll, zunächst noch einmal einen Prüfdurchgang mit der alten Version vorzunehmen und sofort im Anschluß daran mit der neuen Version eine erneute Prüfung vorzunehmen. Dabei sollte dann die automatische Übernahme der Prüfsummen eingestellt werden. Mit "CRC-Datei abspeichern" können Sie die neuen CRC-Prüfsummen, die seit dem letzten Start des VIRENDETEKTORS hinzugekommen sind, abspeichern. Sollten Sie seit dem letzten Programmstart des VIRENDETEKTORS neue CRC-Prüfsummen übernommen oder gelöscht haben, so werden Sie beim Programmende darauf hingewiesen, daß Sie diese bislang noch nicht abgespeichert haben und können dieses dann vor dem Verlassen des VIRENDETEKTORS nachholen. Wenn Sie einzelne CRC-Prüfsummen entfernen wollen, dann können Sie dies mit "CRC-Prüfsummen editieren" erledigen. Die zu löschende CRC-Prüfsumme wird mit den Cursortasten oder durch klicken in die Pfeilboxen ausgewählt und kann dann mit "löschen" oder durch Drücken der DELETE-Taste gelöscht werden. Dieses Löschen wird zunächst nur im Arbeitsspeicher vorgenommen. Die CRC-Datei auf dem Massenspeicher wird erst beim nächsten Abspeichern aktualisiert. Bootsektor auf/von Disk schreiben/lesen... Oft ist es nützlich, wenn man einen Bootsektor auf Diskette sichern kann, um z.B. den Bootsektor einer Spieledisk bei Bedarf restaurieren zu können. Mit dieser Option können Sie aber auch verdächtige ausführbare Bootsektoren, deren Zweck Sie nicht kennen, in eine Datei schreiben um mir diese zur Analyse zuzuschicken. Wenn Sie dies tun und Ihre Diskette zurückgeschickt haben wollen, sollten Sie einen ausreichend frankierten und selbst- adressierten Rückumschlag beilegen. Haben Sie bitte Verständnis dafür, daß ich zwar gerne bereit bin, meine Freizeit mit der Analyse verdächtiger Programme oder Bootsektoren zu verbringen, daß ich aber bei der Vielzahl von Zuschriften NUR DANN ANTWORTEN kann, wenn RÜCKPORTO beigefügt wird. ACHTUNG: Das Zurückschreiben eines Bootsektors auf eine Diskette, auf die dieser Bootsektor nicht gehört, kann zu Datenverlust führen! Sie haben bei diesem Menüpunkt auch die Möglichkeit, einen HEX-Dump des Bootsektors auf den Drucker oder in eine Datei auszugeben. PFXPAK-Programme auspacken/nicht auspacken Dient zur Auswahl, ob PFXPAK-Programme auch im entpackten Zustand überprüft werden sollen. Bedauerlicherweise kam es mit dieser Option kurz vor der Aus- lieferung dieser Version zu rätselhaften Abstürzen, deren Ursache bislang nicht geklärt werden konnte. Ich werde diese Funktion bis zur Version 3.2 mit Sicherheit fehlerfrei implementiert haben. Dann können nicht nur PFXPAK-Programme, sondern auch mit dem ICE-PACK gepackte Programme auf Wunsch automatisch im entpackten Zustand überprüft werden. Ich bitte bis zum Erscheinen der Version 3.2 noch um ein wenig Geduld. Protokolldatei erzeugen: Wenn Ihnen Ihr Rechner Schwierigkeiten macht, sei es, daß irgendwelche Programme nicht funktionieren oder ständig Fehler auftreten, deren Ursache Sie nicht kennen, dann können Sie sich mit dem VIRENDETEKTOR eine Protokolldatei ausgeben lassen (Dateiname: VIRDPROT.INF), die alle wichtigen Systemvariablen dokumentiert. Mit Hilfe dieser Datei kann man sich ein Bild über den momentanen Status des Rechners machen, um so die Fehlerursache (unverträgliche Accessories, falsche Treibersoft, Virenbefall, ...) festzustellen. Insbesondere wenn der VIRENDETEKTOR einen Programmfehler meldet oder unmotiviert abstürzt (nobody is perfect) benötige ich diese Datei, um dem Fehler auf die Spur zu kommen. Die Protokolldatei wird im Startpfad des VIRENDETEKTORS erzeugt! Konfiguration sichern Alle Einstellungen, die Sie im VIRENDETEKTOR vornehmen, können Sie in die Datei VIRENDET.INF sichern. Dabei werden auch die vier selbstdefinierten Extensionen mit abgespeichert. Findet der VIRENDETEKTOR beim Start diese Datei auf derselben Ebene wie das Programm, so werden die dort gewählten Einstellungen übernommen. Ansonsten wird eine Defaulteinstellung gewählt. Sollte das gewählte Laufwerk in der Parameter-Datei bei einem erneuten Start des VIRENDETEKTORS nicht mehr vorhanden sein, so wird Laufwerk A als aktuelles Laufwerk vorgegeben. Verwenden Sie bitte keine VIRENDET.INF Datei, die Sie mit Version 3.0 angelegt haben, da diese ein anderes Format aufweist, als die Konfigurationsdatei der aktuellen Version. Registrierte Version erzeugen... Mit diesem Menüpunkt können Sie aus der unregistrierten eine registrierte Programmversion erstellen. Dies funktioniert jedoch nur, wenn Sie im Besitz der Originaldiskette sind - die wiederum erhalten Sie nach Zahlung der Sharegebühr. Sie sollten sich zunächst eine Kopie des Programms anfertigen, um nicht die Originalversion patchen zu müssen. Dies gilt auch deshalb, weil die registrierte Version ja nicht mehr weitergegeben werden darf. Wenn Sie registrierter Benutzer sind, legen Sie bitte Ihre Originaldisk in Laufwerk A und halten Sie eine Kopie des VIREND31.PRG auf Disk oder Festplatte bereit. Die Originaldiskette wird selbstverständlich _nur_ für die Installation der registrierten Version benötigt. Diese kann - einmal erstellt - dann genauso auf eine andere Diskette, die Festplatte oder eine RAM-Disk kopiert werden. Sie ist also nicht kopiergeschützt. Nach der Installation kann die Originaldiskette somit wieder in den Safe. Sicherheit vor einer unerlaubten Weitergabe der registrierten Programmversion gibt eine individuelle Seriennummer, die bei der Installation von der Originaldiskette in das VIREND31.PRG übertragen wird. Als registrierter Anwender beachten Sie bitte auch die Datei PRIVAT.TXT auf der VIRENDETEKTOR-Originaldiskette. Programmende: Beendet wird der VIRENDETEKTOR mit dem Button "Programmende", seit der Version 3.1f reicht auch ein ^q (CONTROL-q) in einer beliebigen Menübox des Programms. Sie haben nun alle wichtigen Funktionen des Programms kennengelernt. Lesen Sie auf jeden Fall noch die Datei NEWS.TXT, dort finden Sie die wichtigsten Veränderungen der letzten Programmversionen und auch einen Abschnitt über Inkompatibilitäten und bekannte Programmfehler. Beachten Sie bitte außerdem den Anhang, dort stehen einige Antworten auf die am häufigsten gestellten Fragen zum VIRENDETEKTOR. Dann steht einer erfolgreichen Arbeit mit dem VIRENDETEKTOR nichts mehr im Wege. Sollten bei der Arbeit mit dem VIRENDETEKTOR Probleme auftreten oder sollte es gar zu Abstürzen kommen, so überprüfen Sie bitte zunächst, ob es an einem AUTO-Ordner-Programm oder Accessory liegt. Tritt der Fehler auch mit "nacktem" Rechner (also _OHNE_ AUTO-Ordner-Programme oder Accessories) auf, so teilen Sie mir den Fehler und die Art und Weise, wie Sie ihn erzeugt haben mit. Legen Sie bitte auch das vom VIRENDETEKTOR erzeugt Protokollfile bei (auf Disk oder ausgedruckt). Ich werde mich schnellstens an die Beseitigung des Fehlers machen. Wenn Sie ein Accessory oder AUTO-Ordner-Programm haben, welches nicht mit dem VIRENDETEKTOR zusammenarbeitet, so sollten Sie mir auch das mitteilen. Ich werde dann - soweit möglich - für Abhilfe sorgen. Wenn Sie mehr über Computerviren erfahren wollen, wenn Sie an Tips zur Vorbeugung vor Virenbefall interessiert sind (ja, es gibt tatsächlich noch andere Tips als die Verwendung des VIRENDETEKTORS) und wenn Sie bestimmte Punkte (z.B. die verschiedenen Immunisierungsarten) genauer kennenlernen wollen, dann lesen Sie doch einfach weiter... I. Einführung ¯¯¯¯¯¯¯¯¯¯ a) Was ist ein Computervirus? Der Begriff "Virus" ist inzwischen in der Computerszene genauso geläufig, wie in der Biologie und Medizin. Für die ST-User, die noch nicht genau wissen, was es mit diesen kleinen "elektronischen Tierchen" auf sich hat, ist diese Einführung gedacht: Computerviren sind keine auf EDV umgeschulte Grippeerreger, sondern Programme oder Routinen, die fremde Software ohne Wissen des Benutzers manipulieren und diese befähigen, die Verbreitung des Virus fortzusetzen. Computerviren wären noch relativ harmlos, würden sie sich ausschließlich vermehren - nein, sie richten meistens allerhand Unsinn und zum Teil sogar ernsthafte Schäden bis hin zum kompletten Datenverlust der Festplatte an. Selbst Hardwareschäden können durch Computerviren hervorgerufen werden. Die Bezeichnung "Virus" charakterisiert also die beiden typischen Eigenschaften dieser Programme: Wie ihre biologischen Vettern sind sie ansteckend und gefährlich. Konkret heißt das, daß es sich bei einem Virus um ein kleines, unauffälliges Programm handelt, welches sich möglichst oft vervielfachen soll und dann eine bestimmte Aktion ausführt, deren Gefährlichkeit ganz von der Skrupellosigkeit des Virus-Programmierers abhängt. Auf Home- und Personalcomputern handelt es sich dabei meistens um Lösch- oder Formatierbefehle, Programmabstürze, die Verhinderung eines Programmaufrufs ohne Passworteingabe oder auch relativ harmlose Dinge wie z.B. Bildschirmflackern, ein "Hackergruß" auf dem Bildschirm, ein paar Geräusche aus dem Soundchip, ... die Liste läßt sich beliebig erweitern und die Entwicklung neuer Viren geht in einem haarsträubenden Tempo voran. Welche Viren inzwischen auf dem ST bekannt sind, wird in Kapitel IV und Kapitel V noch näher erläutert. Übrigens werden Disketten von Viren so gut wie nie vollständig formatiert. Das würde zuviel Zeit beanspruchen und dem geplagten Opfer die Chance lassen, die Diskette mit einem verzweifelten Griff zum Laufwerk aus selbigem zu entfernen. Gewöhnlich werden nur die Verwaltungssektoren, also FAT und Directory, gelöscht. Das geht blitzschnell und ist für die Daten auf der Diskette fast ebenso tötlich wie das normale Formatieren. Zwar sind die Daten physikalisch noch vorhanden, die Suche nach einzelnen Sektoren, um sie wieder den entsprechenden Dateien zuzuordnen, würde jedoch selbst der Kollege Sysiphus nicht gegen seine derzeitige Tätigkeit eintauschen wollen. An dieser Stelle möchte ich auch ein Wort an die Hobby-Germanisten unter den Lesern richten. Es haben nämlich einige Anwender dieses Programms ihren Unmut darüber geäußert, daß ich nicht durchgängig "DAS Virus" schreibe, sondern (meistens) "DER Virus". Tatsächlich erlaubt der Duden aber BEIDE Möglichkeiten - lediglich in der Medizin ist "DAS Virus" üblich - in der Umgangssprache hat sich hingegen "DER VIRUS" eingebürgert. Aber ich denke, diese Frage ist für die Bekämpfung von Computerviren auf dem ST von keiner großen Bedeutung! Ich bitte auch darum, gelegentliche Rechtschreib- und Interpunktionsfehler zu entschuldigen. Ich bemühe mich zwar, diese weitgehend auszumerzen, aber "nobody is perfect". Meistens startet der Virus seinen gefährlichen Hauptteil erst dann, wenn seine Überlebensfähigkeit durch eine ausreichende Menge befallener Disketten bzw. Programme gewährleistet ist. Als Auslöser dienen dabei je nach Art des Virus die verschiedensten Dinge. Möglicherweise ein bestimmtes Systemdatum, der aktuelle Zustand bestimmter Systemvariablen (z.B.: Löschen der Festplatte, wenn ein bestimmter Füllgrad überschritten wird) oder der Virus wird mit einer beliebigen, vorher festgelegten Wahrscheinlichkeit zufällig aktiv. Selbstverständlich kann man einen Virus auch so programmieren, daß er erst startet, wenn er auf ein zuvor bestimmtes Programm (oder eine Datei) trifft. Interessanter als die Frage, WAS der Virus tut, ist für uns aber die Frage WIE er das tut (oder besser nicht mehr tut - wozu haben Sie denn sonst den VIRENDETEKTOR)! b) Woher kommen Computerviren? Die ersten Viren tauchten vor einigen Jahren in Rechenzentren auf. Dort waren die Urheber in erster Linie Programmierer, die sich ungerecht behandelt fühlten und sich so an ihrem ehemaligen Arbeitgeber rächen wollten. Oft waren aber auch handfeste finanzielle Interessen im Spiel (Erpressung, Schädigung von Konkurrenten u.ä.). Auch "Experimentierfreude" mag zu Anfang den einen oder anderen Programmierer zur Produktion eines Viren-Programms bewogen haben. In der letzten Zeit tritt dieses Problem jedoch auch verstärkt im PC- und Home-Computer-Bereich auf und läßt so manchen Software-Sammler um seine Programmbestände bangen. Nun scheint es tatsächlich Leute zu geben, die eine verstärkt um sich greifende Virenplage für ein geeignetes Mittel halten, um der Raubkopiererei Herr zu werden. Diese Vorstellung ist allerdings extrem blauäugig (und von der Realität längst widerlegt), denn die Verbreitung von verseuchten Disketten ist ja keineswegs auf Raubkopien beschränkt. PD-Programme, Datendisketten und sogar Originalsoftware renommierter Softwarehersteller können befallen sein. Letzteres ist bereits mehrfach vorgekommen, inzwischen sind aber sowohl PD-Versender als auch Softwarefirmen deutlich vorsichtiger geworden. Die Gefahr von dieser Seite ist damit schon stark zurückgegangen. Im übrigen ist es aber gleichgültig, ob jemand eine PD-Diskette tauscht (legal) oder eine Raubkopie (illegal), die Gefahr ist in beiden Fällen gleich. Trotz allem ist auch unter dem Aspekt der Virenplage (übrigens nicht nur unter diesem) die Verteilung von Raubkopien nicht ohne Risiko und sollte unterlassen werden. Die Hacker und professionellen Raubkopierer trifft ein Computervirus aber sicher am allerwenigsten. Wer sich mit seinem Rechner sehr gut auskennt, wird in der Regel auch mit Viren gut fertig. Schlimmer trifft es die Anwender, die ihren Computer nur für Textverarbeitung oder Tabellenkalkulation nutzen, vielleicht gelegentlich Pac-Man spielen und immer brav nur Originaldisketten verwenden, mit Begriffen wie "Bootsektor", "Disketten-Monitor" und ähnlichem aber wenig anzufangen wissen. Wenn dann ein Virus (z.B. über eine PD-Disk eingeschleppt) die Festplatte mit der fast fertigen Diplom-Arbeit formatiert und das letzte Backup schon ein halbes Jahr alt ist, beginnt das große Heulen und Zähneklappern. Während die Virenprogrammierung auf professionellen Mehrplatzsystemen wie schon erwähnt verschiedene Gründe haben kann, kommen im PC-Bereich eigentlich nur ein übersteigertes Geltungsbedürfnis oder chronischer Vandalismus als Motivation in Frage. Das Programmieren von Virus-Programmen kann man ohne Übertreibung mit dem Zerstechen von Autoreifen, dem Beschädigen von Telefonzellen und ähnlich sinnlosen Attacken auf fremdes Eigentum vergleichen. Diese Einstellung hält glücklicherweise auch nach und nach Einzug in die deutsche Rechtsprechung. Auf dem ATARI ST konnte man gegen Ende der achtziger Jahre eine starke Zunahme von Virus-Programmen feststellen, auch wenn es sich vielfach um Viren handelte, die nicht zu der wirklich gefährlichen Sorte gehören. Nach meinen Erfahrungen auf Grund vieler Stichproben sowohl in meinem Bekanntenkreis als auch bei den Benutzern des VIRENDETEKTOR, hat heute schon jeder dritte ST-Besitzer auf irgendeine Art und Weise Erfahrungen mit Viren gesammelt oder hat sogar selbst verseuchtes Diskettenmaterial! Häufig werden diese Viren nicht einmal bemerkt, weil gelegentliches "DATEN AUF DISK xy DEFEKT" oder ähnliche Effekte auf andere Ursachen zurückgeführt werden. Damit steigt natürlich die Gefahr, verseuchte Disketten über den Daten- oder Programmtausch ungewollt weiterzugeben. II. Viren im ST, wo sie stecken und wie sie sich vermehren ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Ein Computervirus kann sein Unwesen natürlich nur ungestört treiben, wenn es ihm gelingt, sich vor den Augen des Benutzers zu verbergen. Auf Großrechenanlagen kann man Viren leicht im Arbeitsspeicher verbergen, da diese Anlagen Tag und Nacht in Betrieb sind. Da die wenigsten ST-User ihr Gerät 24 Stunden täglich eingeschaltet lassen, ist der einzige Platz, an dem Viren überleben können, um sich bei günstiger Gelegenheit zu verbreiten, der Massenspeicher. Das ist in aller Regel die Diskette (bzw. Festplatte). Dort können sie die stromlose Zeit des Rechners überdauern und sich bei Inbetriebnahme des Systems wieder im Arbeitsspeicher einnisten. Dazu müssen sie sich auf dem Massenspeicher so unterbringen, daß auch ein aufmerksamer Benutzer sie nicht erkennt. Die erneute Installierung im Arbeitsspeicher darf dabei den normalen Arbeitsvorgang nicht beeinflussen, um ihre ihre Anwesenheit nicht zu verraten. Berücksichtigt man diese Vorgaben, dann gibt es prinzipiell zwei Möglichkeiten für Computerviren, sich im ST breitzumachen: a) Bootsektorviren Man sollte zunächst wissen, was beim Einschalten des Rechners (bzw. beim Reset) passiert: Das Betriebssystem liest den Bootsektor, das ist generell der erste Sektor auf Track 0 / Seite 0, der in Laufwerk A liegenden Diskette und prüft ob er ausführbar ist. Ausführbar heißt, daß die Prüfsumme (das ist die auf 16 Bit reduzierte Summe aller Words im Bootsektor) $1234 beträgt. Ist das der Fall, dann versucht TOS ein im Bootsektor liegendes Programm auszuführen, indem es mittels JSR an den Beginn des Bootsektors springt. Sollten Sie bei den Begriffen "Bootsektor", "Track" u.ä. schon mit unwissendem Ausdruck die Stirne gerunzelt haben, dann sollten Sie vielleicht zunächst ein Buch zur Hand nehmen, in dem diese Materie auch für Anfänger leicht verdaulich aufbereitet ist. (Zum Beispiel das Buch "Scheibenkleister II" von C. Brod und A. Stepper aus dem MAXON-Verlag.) Ich werde im weiteren nämlich davon ausgehen, daß Sie mit Ihrem Rechner und mit dem Aufbau von Disketten zumindest in Ansätzen vertraut sind. Dieses Vorgehen, also das Abarbeiten eines eventuell ausführbaren Bootsektorprogramms, welches noch vor Ausführung der Programme im AUTO-ORDNER und vor der Installierung der Accessories stattfindet, ist ein Relikt aus der Zeit, als das TOS noch von Diskette ins RAM geladen werden mußte (dafür sorgte dann eine Lade-Routine in besagtem Bootsektor). Heute, wo das TOS sich im ROM befindet, wird diese Eigenschaft des Betriebssystems gelegentlich genutzt, um beim Start des Rechners kleinere Programme automatisch auszuführen, z.B. die Umschaltung auf 60Hz-Betrieb beim Farbmonitor oder die Eingabe des aktuellen Datums. Auch einige Spiele starten mit Hilfe einer Lade-Routine im Bootsektor. Der Bootsektor einer normalen Diskette hat beispielsweise folgendes Aussehen: (Diese Diskette wurde mit dem Programm HYPERFORMAT Vers. 3.26 formatiert.) Ich habe dabei die Bootsektordaten nur als HEX-Zahlen angegeben, da die entsprechenden ASCII-Zeichen nicht ohne weiteres dargestellt werden können. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | | | | | | | | | | | | | | | | EB 34 90 49 42 4D 20 20 0F E2 B8 00 02 02 01 00 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 | | | | | | | | | | | | | | | | 02 70 00 A0 05 F9 03 00 09 00 02 00 00 00 00 00 Anhand dieses Beispieleintrags möchte ich erklären, was die einzelnen Einträge im Bootsektor bedeuten: -> Bytes 1+2: Branch to bootcode. Wenn der Bootsektor AUSFÜHRBAR ist, d.h. wenn seine Prüfsumme 1234 ist (die "Prüfsumme" ist die auf 16 Bit reduzierte Summe aller Words im Bootsektor), so steht ein Bootprogramm im Bootsektor. Da die nächsten Bytes im Bootsektor jedoch Daten zur Diskettenstruktur enthalten, muß dieser Datenbereich übersprungen werden, weil das Bootprogramm erst HINTER den Daten stehen kann. Daher muß in den ersten beiden Bytes ein 68000er BRA-Befehl (Sprungbefehl) stehen, der die Bootsektordaten überspringt. Wenn an dieser Stelle ein Eintrag der Art "60 XX" steht, dann befindet sich in diesem Bootsektor normalerweise ein Bootprogramm (oder aber ein Virus). Ob dieses allerdings ausgeführt wird, hängt wie schon gesagt noch von der Prüfsumme ab. Dieser Sprungbefehl wird aber auch gerne als "Immunisierung" auf die Diskette geschrieben, ohne daß ein Bootprogramm vorhanden wäre. Was es damit auf sich hat, erfahren Sie weiter unten. Auf MS-DOS Disketten steht an dieser Stelle meistens $EB34 gefolgt von $90 im 3. Byte; manche Kopier- bzw. Formatierprogramme auf dem ST schreiben diese Bytes aus Gründen der Kompatibilität mit MS-DOS-Disketten ebenfalls an diese Stelle. So auch das Programm HYPERFORMAT. Doch auch dazu unten mehr. -> Bytes 3-8: Filler(OEM). An dieser Stelle steht nichts von Bedeutung. Die meisten Formatierprogramme legen an dieser Stelle irgend eine Kennung ab, die jedoch nie vom TOS beachtet wird. Häufig findet man die Zeichenkette "Loader". Unsere Beispieldiskette hat an dieser Stelle nach dem Byte $90 (siehe oben) die Kennung "IBM" gefolgt von zwei Spaces stehen, auch eine Anlehnung an das MS-DOS Format. -> Bytes 9-11: 24-bit serial number. An dieser Stelle steht eine 24-Bit Seriennummer. Diese wird von den meisten Formatierprogrammen sinnvollerweise zufällig gewählt, da die Seriennummer dazu herhalten muß, das TOS auf einen Diskettenwechsel aufmerksam zu machen. -> Bytes 12+13: Byte per sector. Dieser Eintrag gibt an, wieviel Bytes in einem Sektor der Disk enthalten sind. Normalerweise sind das 512, aber prinzipiell sind auch andere Werte möglich (der Floppycontroller läßt noch 128, 256 und 1024 zu). Dieser Eintrag ist im INTEL-Format gehalten. Das heißt, daß das höherwertige Byte erst als zweites angegeben ist. Um einen solchen Eintrag zu lesen, muß man also die Bytes vertauschen. In unseren Beispiel: 00 02 vertauscht gibt 02 00. Und $200 ist genau 512 dezimal. Diese Schreibweise ist ebenfalls aus Gründen der Kompatibilität zu MS-DOS gewählt worden. DER BOOTSEKTOR IST ÜBRIGENS IMMER 512 BYTE LANG!!! -> Byte 14: Sectors per cluster. Anzahl der Sektoren pro Cluster (INTEL-Format). Die Diskettensektoren werden vom Atari intern zu CLUSTERN (Verwaltungseinheiten) zusammengefaßt. Und zwar im Allgemeinen je zwei Sektoren zu einem Cluster. Das Betriebssystem verteilt den Diskettenplatz nur in einzelnen Clustern. Jede Datei - auch wenn Sie nur 1 Byte lang ist - belegt also mindestens einen Cluster auf der Diskette. -> Bytes 15+16: Reserved sectors. Reservierte Sektoren auf der Disk (INTEL-Format). Beim ST gibt es nur einen reservierten Sektor, nämlich den Bootsektor. -> Byte 17: Number of FAT. Das TOS verwendet normalerweise zwei FATs auf einer Diskette. Sozusagen eine "Sicherheitskopie", was aber wenig nützt, da beide FATs meistens auf einer Spur liegen und daher auch zumeist gleichzeitig den Sprung ins Nirwana antreten. In der FAT wird notiert, welche Cluster in welcher Reihenfolge zu welcher Datei gehören. Wenn ein Virus diese FATs löscht, dann wird die Suche der zu einer Datei gehörenden Sektoren ähnlich amüsant, wie die berüchtigte Suche nach der Nadel im Heuhaufen. -> Bytes 18+19: Number of directory entries. In diesem Word (wieder im INTEL-Format) steht die maximale Anzahl der Einträge im Wurzelverzeichnis. Das TOS rundet diese Anzahl auf die nächstkleinere durch 16 ohne Rest teilbare Zahl ab. Die hier stehende Zahl kann also falsch sein; insbesondere frühere HYPERFORMAT-Versionen schrieben gerne "63", obwohl der Platz nur für 48 ausreicht. Unsere Beispieldiskette hat Platz für $0070 = 112 Einträge (der normale Wert). Ordner können natürlich weit mehr Dateien enthalten, dieser Wert gilt NUR für das Hauptdirectory. -> Bytes 20+21: Sectors per Disc. Hier steht die Gesamtzahl der physikalisch vorhandenen Sektoren auf der Disk (einschließlich der reservierten). Die Beispieldiskette hat $05A0 = 1440 Sektoren. Eine normale, mit dem Desktop formatierte Disk hat 720 oder 1440 Sektoren, je nachdem ob sie einseitig oder doppelseitig ist. -> Byte 22: Media descriptor. Soll das Speichermedium näher beschreiben. Dieser Eintrag wird vom TOS nie benutzt und ist nur vorhanden, um die Kompatibilität zu MS-DOS zu wahren. Dabei heißt $F8 einseitig/80 Tracks; $F9 heißt doppelseitig/80 Tracks; $FC heißt einseitig/40 Tracks und FD heißt doppelseitig/40 Tracks. Obwohl das TOS diesen Eintrag nicht verwendet, legen die aktuellen TOS-Versionen - und auch viele Formatierprogramme - diesen Wert ordnungsgemäß an, da ansonsten die Diskette auf vielen MS-DOS kompatiblen PCs nicht gelesen werden kann. -> Bytes 23+24: Sectors per FAT. Hier steht die Anzahl der Sektoren pro FAT. Bei der Beispieldisk sind das drei Sektoren (die normale FAT-Länge bei ATARI-Disks ist 5 Sektoren). Wie man Byte 17 schon entnehmen konnte, befinden sich zwei FATs auf der Disk, so daß normalerweise insgesamt 10 Sektoren für die FATs verbraten werden, obwohl sechs ausreichend sind. Einige Formatierprogramme (wie zum Beispiel HYPERFORMAT) kürzen die FATs deshalb auch um je zwei Sektoren. -> Bytes 25+26: Sectors per Track. Die Anzahl der Sektoren pro Spur. Normalerweise, wie auch in unserem Beispiel neun Stück. Jeder Sektor mehr pro Track bringt ca. 80 Kilobyte Speicherplatz zusätzlich auf der Diskette. Statt der normalerweise üblichen 9 Sektoren lassen sich auch problemlos 10 Stück unterbringen, da die Lücke zwischen Sektor 9 und Sektor 1 groß genug ist. Die meisten Formatierprogramme bieten diese Möglichkeit. Einige bringen mit ein paar "Tricks" auch 11 unter. -> Bytes 27+28: Number of sides. Die Anzahl der Diskettenseiten. Im Beispiel zwei; sollten Sie mehr Seiten formatieren können, dann schicken Sie mir doch mal eine derartige Diskette für mein Gruselkabinett. -> Byte 29+30: Hidden sectors. Die Anzahl der verborgenen Sektoren auf der Disk. Wird vom TOS nicht benutzt und dürfte daher auch nur aus Kompatibilitätsgründen vorhanden sein. Der Eintrag ist bei ST-Disketten immer 0. Alle weiteren Bytes im Bootsektor gehören zu einem eventuell vorhandenen Bootprogramm und sollen hier nicht weiter erörtert werden. Falls Ihr Interesse geweckt wurde, dann sollten Sie sich ein Buch zu diesem Thema zulegen. ACHTUNG: Für Festplattenbesitzer ist wichtig zu wissen, daß beim Einschalten des Systems (Kaltstart) zunächst in jedem Fall der Bootsektor der Diskette in Laufwerk A gelesen und gegebenenfalls ausgeführt wird. Das gilt auch bei Auto-Boot-fähigen Platten. Auch bei jedem nachfolgenden Reset (Warmstart) wird als erstes auf den Bootsektor der Diskette zugegriffen. (Diese Aussage ist lediglich für die alten TOS-Versionen 1.00 und 1.02 nicht richtig, hier wird nach einem Warmstart der Bootsektor nicht erneut gelesen bzw. ausgeführt!) Naturgemäß ist die Länge solcher Bootprogramme beschränkt (auf maximal 480 Bytes), da von dem 512 Byte langen Bootsektor noch 32 Bytes für andere Aufgaben (die oben genannten Diskettenstrukturinformationen und das Prüfsummen-Ausgleichswort) reserviert sind. 480 Bytes sind für ein Virusprogramm (selbstverständlich in Assembler programmiert) aber völlig ausreichend. Viele Bootsektorviren bringen es auf kaum mehr als 200 Bytes. Versteckt sich der Virus auf dem Bootsektor der Diskette, wo er ohne Hilfsmittel nicht zu erkennen ist, so wird er bei jedem Bootvorgang in den Arbeitspeicher geladen (ohne das der Benutzer etwas davon merkt) und reserviert sich dort ein Plätzchen. Der Bootvorgang wird dadurch nicht merkbar verlangsamt, der Anwender merkt von diesem Vorgang wirklich nichts! Dann versucht er sich auf jede erreichbare Diskette zu kopieren, die man ins Laufwerk legt. Auf diese Weise hat man nach relativ kurzer Zeit alle Disketten verseucht. Wenn der Virus dann seinen Hauptteil startet, hat man ihn meistens auch schon durch Diskettentausch an Bekannte weitergegeben, die ihn ihrerseits ebenfalls ungewollt weiterverbreitet haben. Dieser Schneeballeffekt kann nur durch konsequente Anwendung einiger Vorsichtsmaßregeln gestoppt werden, auf die ich im weiteren Verlauf noch eingehen werde. Es gibt auch eine Möglichkeit, einen Bootsektorvirus im Arbeitsspeicher zu installieren, OHNE daß der Bootsektor ausführbar sein muß! Wie das geschieht erfahren Sie weiter unten im Text. Hier sei nur angemerkt, daß der VIRENDETEKTOR (ab Version 2.9e) auch solche Viren zuverlässig erkennt - und zwar auch dann, wenn es sich um einen neuen, bisher unbekannten Virus dieser Art handelt! Leider sind viele Virenkiller immer noch der Ansicht, nicht ausführbare Bootsektoren seien prinzipiell unverdächtig. Übrigens bleiben viele Viren auch nach einem Reset im Arbeitsspeicher des Rechners. Man sollte den Rechner für mindestens 15 Sekunden ausschalten, um sicher zu sein, daß sich kein Virus mehr im Speicher befindet. Ein kurzes Aus-An des des Rechners reicht oft nicht, da die RAMs auch im stromlosen Zustand noch ein kurzzeitiges Erinnerungsvermögen haben. b) "Tarnkappen"-Viren Virenprogrammierer sind - so bedauerlich dies auch sein mag - wirklich findige Köpfe. Viele User sind inzwischen dazu übergegangen, ihre Disketten zu "immunisieren". Was man darunter im einzelnen versteht, wird in Kapitel VII. genau erläutert, hier soll nur soviel gesagt werden, daß eine Art der Immunisierung darin besteht, beim Booten mit einer derartig immunisierten Diskette einen Text auf den Bildschirm auszugeben, der ausbleibt, wenn der Bootsektor von einem Virus befallen ist. Viele Anwender, die Ihre Disketten mit einem Immunisierungs-Bootsektor versehen hatten, fühlten sich lange Zeit sicher, denn gleichgültig welche Diskette bei einem Reset im Laufwerk lag - solange die Immunisierungsmeldung erschien, war ja alles in Ordnung. Diesen Umstand machen sich seit einiger Zeit auch die Virenprogrammierer zunutze! Ein Virus, der einfach die entsprechende Immunisierungsmeldung eines Virenkillers ausgibt, wird vom Benutzer möglicherweise für einen harmlosen Immunisierungs-Bootsektor gehalten. Wenn der Virus dann seinen bösartigen Absichten nachgeht, ist es oftmals schon zu spät. Solche "Tarnkappen"-Viren gibt es inzwischen sowohl für das ANTI-VIREN-KIT von G-DATA, als auch für das Programm SAGROTAN. Beide Viren sind in der Bootphase nicht von den "echten" Immunisierungen zu unterscheiden. Der WOLF Virus, der die SAGROTAN-Meldung ("Kein Virus im Bootsektor") kopiert, ist sogar so geschickt codiert, daß viele Virenkiller ihn für einen harmlosen Bootsektor halten. Auch SAGROTAN selbst meldet in der letzten veröffentlichten Version 4.17 bei diesem Virus einen harmlosen, MS-DOS-kompatiblen Bootsektor! Der Virus geht darüber hinaus sehr sorgfältig vor, nach drei neuen Infizierungen verschwindet er wieder aus dem Speicher. Sein eigentliches Ziel, die schrittweise Verkleinerung des Arbeitsspeichers, nimmt er erst in Angriff, nachdem er sich ausreichend oft vermehrt hat. Angst um die RAM-Bausteine braucht nun aber niemand zu haben, der Virus kann dem Rechner den verringerten Speicher natürlich nur vortäuschen. Nach der Beseitigung des unerwünschten Eindringlings ist auch das vermeintlich verschwundene RAM wieder da. Keine Frage, daß Sie mit dem VIRENDETEKTOR auch solche Viren sicher aufspüren können. Vielleicht fragt sich der eine oder andere, wann für die Immunisierungs- meldung des VIRENDETEKTORS ein entsprechender Virus auftaucht, der die Immunisierung kopiert, die vom VIRENDETEKTOR auf Wunsch erzeugt wird. Dieses Problem ist letztlich nie auszuschließen, da der VIRENDETEKTOR inzwischen mit Abstand der beliebteste Virenkiller für den ST/TT im deutschsprachigen Raum ist, wäre ein solches Mimikry für einen Virenprogrammierer sicher eine "lohnende" Sache. Dem stehen aber zum Glück zwei Dinge entgegen: Erstens ist die Immunisierungsmeldung des VIRENDETEKTORS so lang, daß im Bootsektor kein Platz für den Virencode übrigbleibt. Dadurch müßte ein solcher Virus wesentlich komplexer aufgebaut sein, denn der Immunisierungstext müßte aus einem weiteren Sektor nachgeladen werden. Zweitens wird der VIRENDETEKTOR mit Sicherheit jeden Virus, der diese Meldung kopiert, sofort mit Hilfe seiner Analyseroutine erkennen. Fazit: Wenn Sie eine Diskette bekommen, die beim Booten die VIRENDETEKTOR-Immunisierung meldet, dann sollten Sie sich darauf nicht verlassen, sondern vorsichtshalber die Diskette - wie jede neue Diskette - mit dem VIRENDETEKTOR überprüfen. Erst dann ist auch der letzte Rest an Unsicherheit beseitigt. Wie gesagt, ein solcher Virus existiert - zumindest zur Zeit - noch nicht, weil er nicht ganz so simpel zu erstellen wäre, wie die Masse der "0815"-Viren. Dennoch ist es prinzipiell nicht auszuschließen, daß sich jemand an einem solchen Exemplar versucht. Die Virenerkennung des VIRENDETEKTORS wird damit aber niemals überlistet werden können. c) Linkviren Es gibt noch einen zweiten etwas anders arbeitenden Virentyp: Sogenannte "Linkviren" sind Virenprogramme, die sich an andere Programme oder Dateien anhängen und dann den Zeiger der Einsprungadresse des befallenen Programms so verändern, daß dieser auf den Anfang der Virusroutine zeigt. Der Virus wird dann aktiviert, sobald man das infizierte Programm startet. Sodann versucht der Replikationsteil des Virus alle erreichbaren und noch nicht infizierten Programme ebenfalls mit dem Virus zu versehen. Bei den meisten Linkviren - z.B. dem Milzbrand Virus - wird pro Programmstart eines verseuchten Programms nur EIN weiteres Programm infiziert. Vielleicht fragen Sie sich, warum sich der Virus nicht gleich in alle Programme kopiert, die er auf der Diskette oder RAM-Disk/Festplatte erreichen kann? Der Grund für diese freundliche Zurückhaltung liegt in der Zeit, die der Linkvirus für die Infizierung benötigt. Während ein Bootsektorvirus lediglich einen Sektor auf der Diskette manipulieren muß, um sich zu verbreiten, hat es ein Linkvirus weitaus schwerer. Er muß relativ umfangreiche Änderungen an der Struktur der zu infizierenden Programme vornehmen. Zudem muß er die möglichen Opfer, also noch nicht infizierte Programmfiles, erst einmal finden. Damit sind auch relativ umfangreiche Massenspeicherzugriffe notwendig. Um nicht aufzufallen, schließlich darf der Start eines verseuchten Programms nicht wesentlich länger dauern als vor seiner Infizierung, bleibt nur Zeit für eine weitere Infizierung. Dieses Verhalten ist der eine Grund für die langsamere Verbreitung von Linkviren im Gegensatz zu den Kollegen aus dem Bootsektor. Ein zweiter Faktor, der die Ausbreitung von Linkviren behindert, liegt im Zeitpunkt der Infizierung: Da die weitere Infizierung zumindest bei den nicht speicherresidenten Linkviren gleich beim Starten eines verseuchten Programms erfolgt, können neben den Programmen auf der Festplatte und einer eventuell vorhandenen RAM-Disk nur die Programme auf den zu dieser Zeit in Laufwerk A oder B liegenden Disketten befallen werden. Das erschwert die Ausbreitung eines Virus auf Systemen, die nur über ein Diskettenlaufwerk und keine Festplatte verfügen. Der Virus kann nur die Programme auf der Diskette, von der das verseuchte Programm gestartet wurde, erreichen. Allerdings stellt auch auf solchen Systemen die RAM-Disk einen geeigneten Übertragungsweg da. Derartige Viren sind also besonders für Festplattenbesitzer gefährlich, weil sie sich dann auf Dauer fast genauso lawinenartig verbreiten, wie Bootsektorviren. ACHTUNG: Es gibt auch Linkviren, die sich (wie ihre Bootsektor-Kollegen) resident im Arbeitsspeicher einnisten und von dort aus jedes erreichbare Programm infizieren. "Jedes erreichbare Programm" heißt dabei, daß jedes Programm infiziert werden kann, das von einem nicht schreibgeschützten Medium gestartet wird, während der Virus im Speicher ist. Obwohl die Mehrzahl der Linkviren nicht nach diesem, sondern nach dem oben beschriebenen Schema arbeiten, sind die speicherresidenten Linkviren besonders gefährlich, da ihre Verbreitungsgeschwindigkeit wesentlich größer ist! Natürlich sind von Linkviren befallene Programme plötzlich länger als vor der Infizierung; einige Viren befallen deshalb nur Programme, die eine bestimmte Mindestlänge haben, um so weniger schnell aufzufallen. Einige VCS- Viren arbeiten beispielsweise so. Auch der Milzbrand Virus läßt Programme unter 10 Kilobyte Länge unbehelligt. Auch der Start eines befallenen Programms benötigt plötzlich mehr Zeit. Aber wer merkt schon, ob die Textverarbeitung statt nach 12 Sekunden erst nach 16 Sekunden geladen ist. Es gibt auch Virusprogramme, die zu keiner Vergrößerung der befallenen Programme führen! Im einfachsten Fall überschreibt der Virus einen Teil des infizierten Programms mit dem Virusprogramm. Das infizierte Programm hat seine Länge dann natürlich nicht verändert, es ist aber auch nicht mehr vollständig vorhanden, so daß es beim Start normalerweise abstürzen wird. Sehr große Programme können aber in wesentlichen Bereichen auch nach einer Infektion durch einen überschreibenden Virus noch funktionieren. Geschicktere Viren lagern einen Teil des infizierten Programms in einen unbenutzten Massenspeicher-Bereich aus und laden ihn später nach. Auf dem ST kämen dafür z. B. der Track 80 und 81 in Frage. Der Virus macht sich also durch einen zusätzlichen Disketten/Festplattenzugriff bei Aufruf einen Programmes bemerkbar. Auch dadurch verlängert sich das Programm natürlich nicht. Ein Virus mit einer derartigen Arbeitsweise ist allerdings auf dem ST (noch) nicht bekannt. Noch geschickter ist es, wenn der Virus einen Teil des befallenen Programms komprimiert, um so für sich selbst Platz zu schaffen. Beim Starten wird der entsprechende Programmteil dann wieder entkomprimiert. Auch solche Viren, auf MS-DOS-Rechnern bereits im Umlauf, haben den ST bisher verschont. Viren können sich im Prinzip überall dahin schreiben, wo die Hardware ein Ablegen von Daten erlaubt. Also hauptsächlich in RAM und Massenspeicher. Ungefährdet sind dagegen ROM, EPROM, CPU, Monitor und ähnliche Hardware-Erweiterungen (nicht jedoch deren Treibersoftware!!!). Die batteriegepufferte Uhr im ST kann einem Virus nicht als Aufenthaltsort dienen, da dort zum einen nicht einmal 128 Byte Speicher zur Verfügung stehen und zum anderen keine Möglichkeit existiert, mit der sich ein Programm aus dem RAM des Uhrchips wieder im Hauptspeicher installieren könnte. Wer glaubt, es gehe doch und absolut sicher gehen will, der entfernt die Batterien für etwa 20 Sekunden und setzt sie dann wieder ein. d) Linkviren in gepackten Programmen "Was sind gepackte Programme", werden vermutlich einige Leser wissen wollen. "Packen" bedeutet in diesem Zusammenhang "komprimieren". Seit langem bekannt sind die Standardpacker ARC, LHARC, ZIP, ZOO und andere. Diese archivieren beliebige Files in eine einzige komprimierte Datei. Besonders für die Datenübertragung mittels Modem und Telefonleitung ist diese Methode beliebt, da eine Komprimierung hier Zeit und damit Geld spart. Aber auch für Backups oder ähnliches sind solche Programme zu gebrauchen. Ihr Nachteil liegt darin, daß mit diesen gepackten Dateien nicht gearbeitet werden kann. Wenn man sie braucht, müssen sie zunächst wieder entpackt werden. Für die tägliche Arbeit ist dieses Verfahren also nicht zu gebrauchen. Einige Programmierer haben sich nun überlegt, wie man diesen Nachteil umgehen könnte. Sie entwickelten Programme wie PFX-PAK, ICE-PACK, TURBO-PACKER+ oder PACK2. Was diese Programme machen? - Ganz einfach: Diese Programme erstellen aus einem Programm ein gepacktes Programm, welches aber nach wie vor ausführbar bleibt und sich beim Programmstart zunächst blitzschnell selbst entpackt! Der Vorteil liegt auf der Hand, die Programme belegen nur noch 50-60% des Speicherplatzes auf der Diskette oder Festplatte und werden zudem von Diskette schneller gestartet, da der Zeitbedarf für das Entpacken durch die verkürzte Ladezeit mehr als wettgemacht wird. Der geringfügig erhöhte Zeitbedarf für das Laden von Festplatte oder RAM-Disk wird angesichts des eingesparten Platzbedarfs in Kauf genommen. Ich möchte an dieser Stelle einen häufig vorkommenden Irrtum klarstellen: Es besteht anscheinend die weit verbreitete Annahme, daß ein Packen von Programmfiles einen zusätzlichen Schutz vor Linkviren darstellt. Dies ist aber nicht der Fall. Auch wenn das Packen von Programmen einige Vorteile bietet, ein Schutz vor Linkviren ist dadurch NICHT gegeben. Zwar kann das gepackte Programm selbst nicht mehr befallen werden, aber statt dessen ist die Entpack-Routine, die ja bei jedem Programmstart ausgeführt wird, nun Ziel des Virus. Die Ausbreitung von Linkviren wird also weder verhindert noch verlangsamt! Richtig gefährlich wird es, wenn ein bereits befallenes Programm nachträglich gepackt wird. Entweder, weil der Befall nicht bekannt ist oder weil jemand auf diese Weise Viren "unter die Leute" bringen will. Letzteres ist tatsächlich ein ernstes Problem! Auf diese Weise gepackte Programme werden nämlich beim Starten für den Benutzer unbemerkt im Arbeitsspeicher entpackt. Wird ein mit einem Linkvirus befallenes Programm nach dem Befall mit einem dieser Packer eingepackt, so erkennt keines der bislang auf dem Markt befindlichen Virenkillerprogramme diesen Linkvirus, da dann auch der Virencode in gepackter Form auf dem Massenspeicher vorliegt und der Virenkiller nicht mehr in der Lage ist, solche Virencodeteile zu erkennen, obwohl der Virus beim Starten eines gepackten Programms nach wie vor aktiv wird. Leider haben einige "Spaßvögel" diese Art der Virenverteilung inzwischen entdeckt. Sie sollten also solche Programme vor dem Überprüfen wieder entpacken. Da der Anwender bei einem neuen Programm i.a. nicht erkennen kann, ob es gepackt vorliegt, meldet der VIRENDETEKTOR seit der Version 3.1, ob ein Programm gepackt vorliegt und mit welchem Packer es ggf. gepackt wurde. Der VIRENDETEKTOR erkennt in der aktuellen Version folgende Packer: PFX-PAK, Turbo-Packer+, ICE-Pack, DCSquish, BA-Packer, PACK 2.0, JAM-Pack, Automation Compacter und CRUNCHER.TTP. In Deutschland ist der PFX-PAK von Thomas Quester das beliebteste und am häufigsten verwendendete Programm dieser Art, nicht zuletzt weil es als SHAREWARE-Programm sehr preiswert ist. Für den im deutschsprachigen Raum am stärksten verbreiteten Packer (den PFX-PAK) sollte der VIRENDETEKTOR sogar die Möglichkeit vorsehen, ein gepacktes Programm zu entpacken und in seiner ausgepackten Form zu überprüfen. Diese Möglichkeit war in der Beta-Version auch schon eingebaut, ich mußte sie allerdings kurzfristig wieder ausbauen, da es gelegentlich zu unerklärlichen Abstürzen kam, die nicht eindeutig reproduzierbar waren und deren Ursache ich nicht klären konnte. Bis zur Version 3.2 wird diese Option mit Sicherheit realisiert werden. Da der Entpackvorgang im RAM abläuft, führt dieser zusätzliche Prüfvorgang (der abschaltbar ist) kaum zu einer Verlangsamung der Überprüfung. Auch für den ICE-PACK (der z.B. in den Niederlanden und in GB weit verbreitet ist) ist eine solche Prüfung im ungepackten Zustand in Vorbereitung. Für die anderen Packer (die aber zusammen weniger als 20 % Marktanteil haben) besteht leider auch nach dem nächsten Update noch keine Möglichkeit des automatischen Entpackens durch den VIRENDETEKTOR. Hier muß der Benutzer diese Programme manuell entpacken und dann erneut überprüfen. Da sechs der oben genannten acht Packer PD/Freeware/Shareware sind, ist es kein Problem, sich diese Packer zu besorgen. Sollten Sie diese Packer nicht besitzen und keine anderweitige Bezugsquelle haben, dann sollten Sie bei der Registrierung die drei Utility-Disketten gegen einen Unkostenbeitrag von 10,- DM mitbestellen. Auf einer dieser Diskette finden Sie die genannten Packer, so daß Sie verdächtige Programme vor der Überprüfung selbst entpacken können. Davon abgesehen werden Sie feststellen, daß einige dieser Packer sehr nützliche Werkzeuge sind, wenn es darum geht, Platz auf Disketten oder auf der Festplatte zu sparen. Für ATARI-User ohne Festplatte kommt hinzu, daß gepackte Programme von Diskette wesentlich schneller gestartet werden können. Die Erstellung der CRC-Prüfsumme hilft natürlich auch bei der Bekämpfung solcher Viren. e) Viren in CPX-Modulen Keine Panik! Hier werden Sie nichts von "CPX-Viren" lesen, denn diese Viren gibt es zum Glück noch nicht. Falls Sie beim Lesen des letzten Satzes nur verständnislos mit dem Kopf geschüttelt haben, dann lassen Sie sich kurz erläutern, was ein CPX-Modul ist: Das neue, modulare Kontrollfeld XCONTROL von Atari ist ein Accessory, das sogenannte "CPX-Module" nachladen kann. Diese CPX-Module sind wiederum eine Art Accessory und dienen i.a. zu Konfigurationszwecken. Ein solches Modul besteht aus einem 512 Byte langen Header und einer normalen GEMDOS-Programmdatei. Die bekannten Linkviren können solche CPX-Module nicht infizieren. Es ist aber durchaus möglich, daß in Zukunft auch Linkviren auftauchen, die solche CPX-Module infizieren. Daher werden ab Version 3.1c diese CPX-Module ebenfalls in die CRC-Prüfung (sofern eingeschaltet) einbezogen. f) Neue, bisher unbekannte Linkviren Der beste Schutz vor unbekannten Linkviren ist ein ständiges Updaten des VIRENDETEKTORS. Es erübrigt sich darauf hinzuweisen, daß die Versionen aus den diversen PD-Serien _nicht_ aktuell sein können. Bis eine neue Version in eine PD-Serie kommt, vergehen 6-8 Wochen. Dazu kommt noch, daß ein großer Teil der PD-Versender die Programme nicht updaten, so daß über diesen Weg oft uralte Versionen im Umlauf sind. Wer registrierter Anwender ist, bekommt natürlich umgehend die aktuellen Programmversionen, die ständig an eventuelle neue Linkviren angepaßt werden. Glücklicherweise hält sich der Fortgang bei der Entwicklung neuer Linkviren in erträglichen Grenzen. Diese sind nicht so leicht zu programmieren, wie die Kollegen im Bootsektor und verbreiten sich zudem wesentlich langsamer. Oft handelt es sich bei neuen Linkviren um alte Bekannte, die nur geringfügig manipuliert wurden. Je nach Umfang und Art dieser Manipulation kann es aber durchaus sein, daß der VIRENDETEKTOR diesen veränderten Virus nicht mehr erkennt. Um aber ein weiteres Stück Sicherheit zu bieten, werden alle überprüften Programme auf typische Hinweise für den Befall durch Linkviren analysiert. Ein erkannter Verdacht wird dann gemeldet. Wenn Sie mir ein solches verdächtiges Programm zuschicken, kann ich eine genauere Analyse mittels eines Disassemblers vornehmen, die diesen Verdacht dann entweder bestätigt oder entkräftet. Die vom VIRENDETEKTOR vorgenommene Analyse kann aber unmöglich alle denkbaren neuen Linkviren finden, eine zusätzliche Verwendung der CRC-Prüfsummenbildung ist in jedem Fall zu empfehlen. Bei mehr als 3.000 testweise überprüften Programmen hat sich diese Analyse bislang bewährt und ist sehr sicher gegen Fehlalarme. Dennoch ist es möglich, daß diese Funktion zu einem Fehlalarm führt. In der Datei NEWS.TXT finden Sie eine Liste, in der sich die bisher bekannten unverseuchten Originalprogramme befinden, bei denen ein "Virenverdacht" unbegründet gemeldet wird. g) Alle Link- und Bootsektorviren im Überblick Eine ausführliche Liste mit allen bekannten Link- und Bootsektorviren, die sowohl Verbreitungsweise als auch Wirkung der einzelnen Viren beschreibt, werden sie an dieser Stelle nicht finden. Allerdings nicht etwa, weil eine solche Liste nicht existiert, sondern weil diese Infos bereits im Programm selbst integriert sind. Unter dem Menüpunkt "Viren-Datenbank" finden Sie genaue Details zu fast 50 verschiedenen Viren. Da diese Datenbank nicht notwendig ist, um während der Testphase die Tauglichkeit des VIRENDETEKTORS beurteilen zu können, ist dieser Menüpunkt in der unregistrierten Version gesperrt. Wenn Sie sich dazu entschließen, dieses Programm regelmäßig zu nutzen und dann auch den Sharewarebeitrag entrichten, erhalten Sie eine Diskette mit der vollständigen Programmversion, in der eine Beschreibung jedes einzelnen Virus zu finden ist. Dies ist eine kleine Erinnerung daran, daß dieses Programm - auch wenn es frei kopiert werden darf - nicht ganz "umsonst" ist. III. Wie beugt man Virenbefall vor? ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Wie schützt man sich vor Viren? Scheinbar weiß es fast jeder, das beweisen die gestiegenen Verkaufszahlen diverser Virenkiller. Trotzdem ist Vorsicht geboten, denn in den Programmierern von Computerviren schlummert ein skrupelloser Ehrgeiz. Aus ihrem zerstörerischen Engagement entwickeln sich immer geschicktere Viren, zumal diese Programmierer ständig nach neuen Wegen suchen, um das Heer der Virenkiller zu überlisten. Will man sich vor ihnen schützen, so ist es nützlich, sich zumindest einen Überblick über die verschiedenen Typen und ihre Arbeits- und Verbreitungsweise zu verschaffen. Wenn Sie diesen Text bis hierher gelesen haben, dann haben sie die prinzipielle Arbeitsweise von Viren auf dem ST/TT hoffentlich etwas besser kennengelernt. Aber auch bei Computerviren gilt der oft strapazierte Spruch "Vorbeugen ist besser als heilen". (Toll, wie sich immer neue Beziehungen zwischen Informatik und Medizin finden lassen.) Mit "Vorbeugen" ist dabei das Befolgen einiger elementarer Regel gemeint, die hier kurz erwähnt werden sollen: Die 10 goldenen Regeln zum Schutz vor Virusprogrammen: ====================================================== 1. Nie mit Originalen sondern nur mit Sicherheitskopien arbeiten! (Die Unart, Software mit einem Diskettenkopierschutz zu versehen, ist zum Glück fast nur noch bei Spiele-Software verbreitet.) 2. Booten Sie immer mit einer eigenen, stets schreibgeschützten Disk! (Denken Sie daran, daß auch bei autobootfähigen Festplatten zunächst der Bootsektor der Diskette in Laufwerk A gelesen wird!) 3. Aktivieren Sie wenn möglich den Schreibschutz der Diskette! Sie sollten für RAM-Disk und Festplatte gegebenenfalls das beiliegende Accessory verwenden. 4. Bei fremden Disketten die Harddisk ausschalten und das Zweitlaufwerk leer lassen. Nach Beendigung des Programms den Rechner ausschalten! 5. Wenn möglich zwischen Programm- und Daten-Disketten unterscheiden, erstere stets schreibschützen! 6. Auf Raubkopien verzichten! (Naja, das sollte wohl selbstverständlich sein...) 7. Ein Reset ist kein sicherer Schutz vor Viren im RAM, nur AUSSCHALTEN (mind. 15 Sekunden) beseitigt auch resetfeste Viren! 8. Neue Software zunächst mit dem VIRENDETEKTOR überprüfen! (Mehrere PD-Versender, aber auch bekannte Firmen haben schon versehentlich verseuchte Disketten ausgeliefert!) 9. Den VIRENDETEKTOR regelmäßig updaten lassen, damit Sie immer mit der neusten Version, die regelmäßig an die aktuelle Virenentwicklung an- gepasst wird, arbeiten! Virenprogrammierer kommen ständig auf neue Ideen, wie zum Beispiel die Entwicklung von Bootsektorviren auf NICHT ausführbaren Bootsektoren gezeigt hat. Bei keiner anderen Programmsparte sind regelmäßige Updates so wichtig, wie bei Viren- killern! Bedenken Sie, daß die Versionen, die auf den Disketten von PD-Versendern erscheinen, NIE den aktuellen Stand des VIRENDETEKTORS widerspiegeln - und damit zumeist auch nicht den aktuellen Stand der Virenentwicklung! Wie Sie registrierter Benutzer werden und so regelmäßig in den Besitz der neusten Version gelangen, erfahren Sie am Schluß dieses Textes. 10. Wenn sich doch ein Virus bei Ihnen eingeschlichen hat, informieren Sie alle, an die Sie den Virus eventuell weitergegeben haben könnten; kopieren Sie Ihnen den VIRENDETEKTOR (natürlich nur die un- registrierte Version im kompletten Ordner) am besten gleich mit! Eine weitere Art der Vorbeugung gegen Bootsektorviren ist die sogenannte "Immunisierung" von Bootsektoren. Darauf werde ich weiter unten noch ausführlich eingehen. Leider gibt es bei Computerviren wie auch bei ihren Kollegen aus der Biologie kein Allheilmittel. Selbst das strenge Befolgen dieser Tips ist keine Garantie, daß es nicht doch irgendwann einmal einem Virus gelingt, Ihre Disketten oder die Festplatte zu infizieren und Schaden anzurichten. So hat man beispielsweise bis vor kurzer Zeit angenommen, ein nicht ausführbarer Bootsektor sei in jedem Fall als harmlos einzustufen. Wie inzwischen bekannt ist, war dies eine krasse Fehleinschätzung! Diese Tips sind allerdings zum jetzigen Zeitpunkt gegen alle bekannten Viren auf dem ATARI ST ein absolut sicherer Schutz. IV. An welchen Effekten erkennt man Computerviren? ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Ich habe schon einige prinzipielle Effekte, die von Viren verursacht werden können, in Kapitel I erwähnt. Es gibt aber noch viel bösartigere Viren, sie können teilweise sogar Schäden an der Hardware verursachen, indem sie z. B. den Schreib-/Lesekopf des Laufwerks/Festplatte laufend gegen den Anschlag bewegen oder (bei IBM-Kompatiblen mit Hercules-Karte) die Graphikkarte so programmieren, daß diese irreparablen Schaden nehmen kann. Besitzer von Farbmonitoren droht auch noch eine andere Gefahr! Man kann den ST dazu bewegen, auch im Farbbetrieb auf die (monochrome) Bildfrequenz von 71 Hz umzuschalten. Damit ändert sich die Zeilenfrequenz von 16 MHz auf 36 MHz. Den "Notreset", den der ST normalerweise bei solcherlei Unfug ausführt, kann man softwaremäßig sperren. Wenn Sie einmal ein dutzend Farbmonitore übrig haben, sollten Sie ruhig ausprobieren, wie lange der Farbmonitor diese Prozedur überlebt. Derzeitige Hochrechnungen schwanken zwischen einer Sekunde und wenigen Minuten. Sicher ist jedenfalls, daß Ihr Farbmonitor nach recht kurzer Zeit jede weitere Mitarbeit für alle Zeiten verweigern wird. (Letzte Tests mit dem Original-ATARI-Farbmonitor haben gezeigt, daß einige Bildschirme dieser Prozedur durchaus fast eine halbe Stunde gewachsen sind.) Ein Virus, der es auf die Zerstörung Ihrer Hardware abgesehen hat, könnte sich diesen Umstand zunutze machen. Das bisher kein derartiger Virus aufgetaucht ist, liegt wahrscheinlich an der schwierigen programmtechnischen Umsetzung des soeben gesagten. Sie sehen also, daß auch die Hardware einem potentiellen Virus jede Menge Angriffspunkte bietet. Glücklicherweise sind nicht alle Viren auf dem ST dermaßen bösartig. Ein paar Beispiele sollen das verdeutlichen: Ein (Bootsektor-)Virus dreht, nachdem er sich fünf mal weiterkopiert hat, die vertikale Bewegungsrichtung der Maus um 180 Grad. Dieser Virus stört also "nur" Ihren normalen Arbeitsfluß, ohne das es zu Datenverlust kommt. Ein anderer Virus schreibt, nachdem man drei Stunden am Rechner gearbeitet hat, die Meldung "Ihr Computer hat AIDS" auf den Monitor und stoppt den Prozessor. Abgesehen davon, daß dies ein ausgesprochen geschmackloser "Scherz" ist, wird jemand, der drei Stunden einen Text eingegeben hat ohne abzuspeichern, über diesen Virus wenig lachen können. Ein weiterer Virus überschreibt in jedem VBL-Interrupt, also nach jedem Bildaufbau (d.h. 71 mal pro Sekunde beim Monochrom- und 50 bzw. 60 mal pro Sek. beim Farbmonitor) ein beliebiges Byte im Arbeitsspeicher mit einem Zufallswert. Die Folge ist ein Absturz des Rechners, sobald wichtige Programmteile oder ein Teil des Betriebssystems getroffen werden. Wenn Sie bei der Arbeit mit dem ST feststellen, daß einige Programme beim Starten deutlich länger brauchen als vorher, dann ist größte Vorsicht angezeigt. Es ist sehr wahrscheinlich ein Linkvirus, der diese Verzögerung beim Start verursacht. Sollten Sie bei der Überprüfung mit dem VIRENDETEKTOR keinen Befall feststellen, dann bedeutet dies noch nicht die völlige Entwarnung! Denn auch dann, wenn Sie mit der neusten VIRENDETEKTOR-Version arbeiten, ist es möglich, daß bei Ihnen ein neuer Linkvirus aufgetaucht ist, der bislang noch nicht erkannt wird. Hier greift als zusätzlicher Schutz in erster Linie die CRC-Prüfsummenbildung, die ich Ihnen nochmals wärmstens ans Herz legen möchte. Sind Sie sich nicht sicher, ob sich ein Linkvirus bei Ihnen eingenistet hat, dann schicken Sie mir eine Diskette mit dem möglicherweise verseuchten Programm. Ich werde Ihnen die Diskette umgehend zurückschicken und sofern es sich tatsächlich um einen neuen Linkvirus handelt, bekommen Sie auch gleich eine Version des VIRENDETEKTOR, die diesen neuen Virus erkennt. Selbstverständlich gilt dieses Angebot nur für registrierte Benutzer, schon deshalb, weil nur diese immer mit der neusten Version arbeiten! Wenn Sie bisher noch nichts von Computerviren bemerkt haben, so gehören Sie entweder zu denen, deren Disketten noch "virenfrei" sind oder Sie beherbergen auf Ihren Disketten nur "harmlose" Bootsektorviren. Gerade auf dem ST gibt es einige Virenprogramme, die sich nur auf jeden erreichbaren Bootsektor kopieren, ohne überhaupt eine bösartige Wirkung zu entfalten. Jedoch auch solche Viren können Schaden anrichten, weil z.B. manche Spiele den Bootsektor als Lader oder als Kopierschutz benutzen und ein Bootsektorvirus das Programm somit unbrauchbar macht. Auch MS-DOS-Disketten (PC-Ditto/PC-Speed) mögen einen Virus im Bootsektor überhaupt nicht. Manchmal werden Viren aber auch nicht als solche erkannt, weil Effekte, die nur gelegentlich auftreten, oft auf Programmfehler, defekte Disketten oder ähnliches geschoben werden. In der im Programm integrierten Viren-Datenbank finden Sie alle Informationen zu den bislang bekannten Viren übersichtlich nach Virennamen sortiert. Allerdings sollte man auch nicht gleich bei jedem Absturz oder Programmfehler einen Virus für den Übeltäter halten! Denn leider gibt es für den ST zum Teil so besch...eidene Software, daß überhaupt kein Virus mehr nötig ist, um den Anwender zum Wahnsinn zu treiben! Auch das TOS hatte zumindest in den ersten Versionen einige Eigenschaften, die den Schluß nahelegten, ATARI wollte eigentlich kein Betriebssystem, sondern einen 192 KByte großen Mammutvirus programmieren. ;-) Schließlich können sowohl defekte Disketten als auch ein beschädigter Rechner als Ursache für diverse Probleme in Erscheinung treten. Neben einem Virenkiller sind daher auch ein Diskprüfprogramm und ein Memorytester zur Lokalisierung von Fehlern nützlich. Wer nicht über derartige Utilities verfügt, der kann bei mir drei (doppelseitige) Disketten mit insgesamt etwa 4,5 MB (!) der wichtigsten Hilfsprogramme (PD/Freeware/Shareware) und Online-Packer erhalten. Auf diesen Disketten finden Sie unter anderem ein Programm zur Funktionsüberprüfung der RAM-Chips, ein Programm, das Ihre Disketten auf physikalische Defekte überprüft (und rettet, was noch zu retten ist), ein Programm zur Wiederherstellung versehentlich gelöschter Dateien und viele weitere nützliche Kleinigkeiten. Diese Disketten können Sie als registrierter Benutzer (und nur als solcher) bei mir erhalten! Dazu erhöht sich Ihre Registrierungsgebühr lediglich um 10,- DM Unkostenbeitrag. Näheres dazu finden Sie in Kapitel IX. Mit dem Programm VIRENDETEKTOR haben Sie nun das geeignete Mittel in der Hand, um einen Virus zu entdecken, bevor er Unheil anrichten kann oder sich über die gesamten Datenbestände verbreitet hat. Eine genaue Beschreibung der bekannten Viren für den ST/TT finden Sie in der Viren-Datenbank, in der auch auf Verbreitungsweise und Manipulationsaufgabe jedes einzelnen Virus eingegangen wird. Daß dieser Menüpunkt nur in der registrierten Programmversion des VIRENDETEKTORS zugänglich ist, dient nicht zuletzt als kleiner Anreiz, die Sharegebühr zu zahlen. V. Neues von der Virenfront ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Die Entwicklung neuer Viren für den ST scheint nicht mehr in dem Tempo voran zu schreiten, wie noch vor einigen Jahren. Das kann zum einen am gestiegenen Verantwortungsbewußtsein der Virenprogrammierer liegen (wer's glaubt ...), oder aber an der gestiegenen Vorsicht der Anwender (wohl eher). Zudem verfügen die meisten ST-Besitzer inzwischen über einen Virenkiller, mit dem Sie Ihre Disketten überprüfen können. Lediglich die Gerüchteküche köchelt weiter vor sich hin. Für einige Zeitschriften ist das Thema "Computerviren" inzwischen zum beliebten Seitenfüller geworden. Mit der Angst vor Computerviren läßt sich die Auflage anscheinend deutlich steigern. Man bietet den Lesern ein paar drittklassige Virenkiller Marke "Bootsektor-Ex" zum abtippen und bringt ein paar "echte Insidertips". Da kommt dann ab und zu die Nachricht von einem Supervirus, das sogar schreibgeschützte Disketten befallen soll (absoluter Blödsinn, weil physikalisch nicht möglich), man hört von Original-Software, die einen Virus verbreitet, wenn Sie unrechtmäßig kopiert wird (noch blödsinniger) und ähnlichen Gruselmärchen. Eine wichtige Neuigkeit - die inzwischen schon gar nicht mehr besonders neu ist - möchte ich Ihnen aber nicht vorenthalten: Es gibt Bootsektorviren, die sich im Arbeitsspeicher installieren, OBWOHL der Bootsektor NICHT AUSFÜHRBAR ist!!! Wie das geht? - Sehen Sie selbst: Das Betriebssystem des STs hat ein undokumentiertes Feature, mit dem sich Programme resetfest im Speicher installieren können. Nach dem Booten von Diskette oder Platte, aber noch vor Ausführung der Programme im AUTO-Ordner durchsucht das Betriebssystem den gesamten Arbeitsspeicher nach einer Speicher-Doppelseite (mit gerader Seitennummer, also $400, $600, ...), die folgende Eigenschaften erfüllt: - erstes Long-Word ist die Magic-Number $12123456 - in den zweiten vier Bytes steht ein Zeiger auf den Anfang der Speicher- seite - Die (Word-)Summe aller Bytes in diesem 512 Bytes langen Bereich ist $5678 Die Suche läuft von PHYSTOP abwärts bis $600. Sollte der ST fündig werden, so wird ein dort befindliches Programm ausgeführt. Zuvor hat das Betriebssystem den Bootsektor der Diskette in den Arbeitsspeicher geladen, um zu prüfen, ob der Bootsektor ausführbar ist. Dort verbleibt der Bootsektor als "Daten-Leiche", auch wenn er NICHT ausgeführt wird. Nun braucht ein Bootsektorvirus nur die entsprechenden Magics an den richtigen Stellen zu enthalten und der Virus wird installiert, OBWOHL der Bootsektor eigentlich nicht ausführbar ist! Derartige Viren können dann - einmal im Speicher installiert - durchaus noch Code-Teile nachladen. Diese sind dann auf normalerweise unbenutzten Bereichen (z.B. Sektor 4 und 5 der beiden FATs) gespeichert, so daß der zusätzliche Platzbedarf des Virus nicht auffällt. Die meisten Virenkiller (auch der VIRENDETEKTOR bis 2.9d) sind diesen Viren bislang auf den Leim gegangen, da nicht ausführbare Bootsektoren als harmlos klassifiziert wurden. Damit ist nun allerdings Schluß! Zu erwähnen bleibt noch, daß diese Viren nicht TOS-unabhängig sind. Sie laufen also nur auf jeweils einer einzigen TOS-Version, da die absoluten Adressen des Diskettenpuffers, das ist der Teil des Speichers, in den der Bootsektor eingelesen wird, sich von TOS-Version zu TOS-Version verschoben haben. Somit stimmt die Lage des Magics immer nur für eine TOS-Version, wobei allerdings 1.04 und 1.06 die gleiche Diskettenpufferadresse besitzen. Ein Virenprogrammierer muß somit mehrere leicht modifizierte Versionen seines Virus in Umlauf bringen, um alle TOS-Versionen abzudecken. Glücklicherweise gibt's ja jetzt auch schon 2.05 und 2.06 und 3.01 und 3.05 und ... sollte sich die Adresse des Diskettenpuffers bei diesen Versionen jeweils verschoben haben, dann laufen die "alten" Viren, die sich auf das beschriebene Feature stüzen, nicht mehr auf den neuen TOS-Versionen. Es wird aber nur eine Frage der Zeit sein, bis es auch für diese TOS-Versionen einen entsprechend arbeitenden Virus gibt. Vor einiger Zeit gab es außerdem ein "Update" des Virus-Construction-Sets. Zur Zeit wird diese Version aber meines Wissens nirgendwo vertrieben. Es ist ohnehin erstaunlich, daß gegen ein derartiges Programm, welches auf Knopfdruck nahezu beliebige Linkviren erzeugt, noch nicht gerichtlich vorgegangen worden ist. Zumal einige Softwarehäuser fast ebensoviel Rechtsanwälte wie Programmierer beschäftigen. Seit der Version 3.0 hat sich nicht mehr viel getan, neue Linkviren gibt es nicht, lediglich ein paar neue Bootsektorviren haben sich angefunden. Daß die Virenprogrammierer sich dennoch nicht völlig vom ST abgewendet haben, zeigen immer wieder neue Versuche, Computerviren so zu programmieren, daß diese dem Anwender möglichst lange verborgen bleiben. Die "Tarnkappen"-Viren, die ja schon erwähnt wurden, sind auch ein solcher Versuch. Doch nicht immer sind es neue oder besonders geschickte Viren, die zu zweifelhaftem Ruhm gelangen. Ein besonders aktuelles Beispiel der letzten Monate, bei der ein Virus auf einer Heftdiskette im ganzen Land verbreitet wurde, betrifft einen alten Bekannten: Auf der Diskette zur Septemberausgabe 92 der ST-Zeitschrift "TOS" befand sich nämlich der SIGNUM/BPL Virus. Er ist wohl der am weitesten verbreitete Bootsektorvirus auf dem Atari ST. Man schätzt, daß weltweit etwa 1,5 Millionen Kopien davon existieren. Da er nun wieder einmal Thema der aktuellen Diskussion ist, soll seine Arbeitsweise hier kurz erwähnt werden: Mit der bekannten Textverarbeitung gleichen Namens hat der Virus trotz gegenteiliger Gerüchte nichts zu tun. Wie alle Bootsektorviren kopiert er sich in den Speicher, sofern von einer infizierten Diskette gebootet wird. Dort wartet er, bis auf eine nicht schreibgeschützte Diskette in Laufwerk A oder B zugegriffen wird. Sind die ersten beiden Byte im Bootsektor dieser Diskette nicht $6038 (der typische Sprungbefehl BRA $38 am Anfang dieses Virus und vieler Bootprogramme), dann kopiert er sich auf diesen Bootsektor (er infiziert also die eingelegte Diskette) und tut zunächst nichts weiter. Dies ändert sich, wenn der Virus auf einen Bootsektor trifft, bei dem die ersten beiden Byte $6038 sind und bei dem an einer bestimmten Stelle der Wert $1092 (dezimal übrigens 4242 (42-Crew???)) steht. Ist dann zudem noch ein Zähler des Virus kleiner als ein entsprechender Zähler im überprüften Bootsektor, dann wird dieser Bootsektor ausgeführt, gleichgültig ob er für das Betriebssystem tatsächlich ausführbar ist. Der SIGNUM/BPL Virus könnte also eine Art "Hilfsvirus" für einen ganz anderen Virus sein, der mangels Ausführbarkeit von den meisten Usern erstens nicht gefunden und zweitens, falls bemerkt wird, daß da etwas im Bootsektor steht, trotzdem nicht weiter beachtet wird. Dieser Virus verfügt höchstwahrscheinlich über einen Zähler. Dieser "zweite Teil" ist aber bislang nirgendwo aufgetaucht. Da der SIGNUM/BPL Virus ohne diesen zweiten Teil keine Aktionen startet, die dem Anwender auffallen könnten, ist seine weite Verbreitung nicht weiter verwunderlich. Auch ausführbare Bootsektoren (Spiele-Lader oder Immunisierungs-Bootsektoren) werden nicht überschrieben, sofern sie mit dem üblichen $6038 beginnen - allerdings trifft das nicht auf alle Bootprogramme zu. Zudem gibt es von diesem Virus bereits Mutationen, die sich generell auf jeden Bootsektor kopieren. Doch auch ohne den bislang unbekannten zweiten Teil kann der Virus Probleme bereiten, da zum Beispiel zuvor MS-DOS-kompatible Disketten nun von MS-DOS-Rechnern nicht mehr gelesen werden können. Zudem führt eine infizierte Diskette auf einem TOS 2.05, zu dem der Virus nicht kompatibel ist, zu Abstürzen beim Bootvorgang. VI. So funktioniert der VIRENDETEKTOR ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Der VIRENDETEKTOR ist, wie schon im Vorwort beschrieben, äußerst einfach in der Handhabung! Das Programm ist auf allen STs lauffähig; benötigt wird allerdings ein Monitor (bzw. eine Grafikkarte), die mindestens 640*400 Punkte liefert. Wer nur einen ST mit Farbmonitor hat, braucht sich nun aber nicht enttäuscht abzuwenden. Es gibt zwar keine Version des VIRENDETEKTORS, die auf dem ST mit Farbmonitor läuft, da beispielsweise die Darstellung eines kompletten Bootsektors in Hex und ASCII in der mittleren oder gar in der niedrigen ST-Monitorauflösung nicht vernünftig zu realisieren ist, aber mit einem kleinen Trick kommen auch Farbmonitor-Besitzer in den Genuß dieses Programms: Der Trick heißt MONOCHROM-EMULATOR! Dabei handelt es sich um ein kleines Programm, daß auf dem ST-Farbmonitor die hohe Auflösung darstellt. Natürlich kann man von diesem Programm keine Wunder erwarten, d.h. die Bildschärfe und Auflösung erreicht natürlich nicht die eines SM 124, es stehen schließlich auch nur halb soviel Bildschirmpunkte zur Verfügung. Ein längeres Arbeiten z.B. mit Signum wird mit diesem Emulator deshalb auch kaum zum Vergnügen. Für die Virenjagd mit dem VIRENDETEKTOR ist der Emulator aber auf dem Farbmonitor eine halbwegs akzeptable Lösung, da zumindest die Meldungen, die das Programm ausgibt, einigermaßen lesbar sind. Trotzdem ist die Anschaffung eines SM 124 unbedingt zu empfehlen. Wer lediglich einen Farbmonitor am ST betreibt und keinen Emulator besitzt, kann einen solchen bei mir erhalten! Registrierte Benutzer schicken mir einfach eine formatierte Disk und einen ausreichend (!) frankierten Rückumschlag. Wer noch nicht registriert ist, gibt bei der Registrierung (näheres dazu in Kapitel VIII) bitte an, daß er den Emulator benötigt. Er wird dann kostenlos beigelegt. Im großen und ganzen sind die Funktionen der einzelnen Menüpunkte ja schon erläutert worden, hier finden Sie zu dem einen oder anderen Punkt einige ergänzende Erläuterungen: Der Startbildschirm enthält neben der Angabe von TOS-, GEMDOS- und GEM-Version, dem TOS-Datum und der Anfangsadresse des Betriebssystems eine Liste von sieben Systemvariablen. Dies sind TRAP #1 (zeigt auf den Dispatcher für die GEMDOS-Traps), TRAP #13 (zeigt auf den Dispatcher für die BIOS-Traps), TRAP #14 (zeigt auf den Dispatcher für die XBIOS-Traps), resvektor, hdv_bpb (zeigt auf die Routine, die den Bios Parameter Block eines logischen Laufwerks zurückliefert), hdv_rw (zeigt auf die Routine zum Lesen/Schreiben von Laufwerken) und hdv_mediach (zeigt auf die Routine zur Bestimmung des Medienwechsel-Status eines logischen Laufwerks). Normalerweise zeigen diese Systemvariablen ins Betriebssystem, es sei denn, ein speicherresidentes Programm hat sie auf eine eigene Adresse "verbogen". Dies ist z.B. für Hardisk-Treiber notwendig. Auch das beiliegende Accessory/Programm WPROTECT verbiegt hdv_rw, denn WPROTECT muß ja irgendwie mitbekommen, wenn ein schreibender Zugriff auf ein softwaremäßig schreibgeschütztes Medium versucht wird, um diesen mit der entsprechenden Meldung zurückzuweisen. Diese sieben Systemvektoren werden aber auch von Viren in der Regel verändert. Dabei ändert natürlich nicht jeder Virus auch jede dieser sieben Systemvariablen. Weil sich inzwischen eine große Zahl von Programmen an den diversen Systemvektoren zu schaffen machen, gibt es das sogenannte "XBRA-Protokoll" (eXtended BRAner). Es geht auf den amerikanischen Programmierer Moshe Braner zurück und wurde von Julian F. Reschke erweitert (siehe auch ST-Magazin 10/88, S. 66 und 4/90, S. 58 f.). Mit Hilfe dieses Protokolls, bei dem neben dem ursprünglichen Wert der Systemvariablen auch eine 4-Byte-Kennung des Programms gespeichert wird, (bei WPROTECT ist die Kennung z.B. "WPRO") kann sich ein "Vektorverbieger" auch nachträglich wieder aus der Kette aushängen, die ja von mehreren Programmen verändert werden kann. Zudem kann ein Programm erkennen, ob es bereits in diesem Vektor installiert ist. Verwenden alle Programme, die sich in einen Systemvektor einhängen, dieses XBRA-Protokoll, so kann man die Kette verfolgen, bis man letztlich im Betriebssystem endet. Dies zeigt der VIRENDETEKTOR auch an, es werden jeweils die Programmkennungen und die Adresse, auf die der Vektor umgebogen wurde, ausgegeben. Letztlich endet die Liste mit der Pseudokennung "->BS", die anzeigt, daß man wieder im Betriebssystem angekommen ist. Leider halten sich wie schon erwähnt nicht alle Programme an diesen Standard. Somit kann es sein, daß diese Kette mit einem "????" endet. Dann wurde der Systemvektor von einem Programm verbogen, welches das XBRA-Protokoll nicht befolgt. Dies könnte also auch darauf hindeuten, daß sich an dieser Stelle ein Virus eingeklinkt hat. Damit nicht zwei Programme die gleiche 4-Byte-Kennung verwenden, werden die bereits an andere Programme vergebenen XBRA-Kennungen von Julian F. Reschke (EMail: julian@math.uni-muenster.de oder jr@ms.maus.de) gesammelt. Bei der Funktion 'Bootsektor überprüfen' wird der Bootsektor des gewählten Laufwerks (A oder B) eingelesen. Dann überprüft das Programm zunächst ob der gelesene Bootsektor ausführbar ist. Falls das der Fall ist, so wird er mit allen Bootsektoren, die das Programm kennt (in dieser Version sind das immerhin über 70 Stück), verglichen. Kann VIRENDETEKTOR den Bootsektor identifizieren, so wird festgestellt, ob es sich um einen Virus handelt oder um einen legalerweise ausführbaren Bootsektor (z.B. Aladin-Disk, 60Hz-Bootsektor, TOS-Bootsektor, Lader für ein Spiel, ...). Das wird dem Benutzer natürlich mitgeteilt (z.B. "Diese Disk ist eine ALADIN-Disk"). Diese Mitteilungen können unter dem Menüpunkt "Weitere Optionen" mit "Info-Meldungen ein/ausschalten" auch unterdrückt werden. Damit ist bei der Überprüfung einer großen Zahl von Disketten ein noch schnelleres Arbeiten möglich. Wenn das Bootprogramm nicht zwingend erforderlich ist, kann es auch auf Wunsch entfernt werden. Falls es sich um einen Virus handelt, wird das ebenfalls gemeldet (natürlich auch bei abgeschalteten Info-Meldungen) und zwar sowohl mit seinem Namen (für Viren, deren Herkunft im Dunkeln liegt, ist dieser Name allerdings von mir erfunden und somit wenig aussagekräftig) sowie mit dem Hinweis, in der wievielten Generation er vorliegt (natürlich nur bei mutierenden Viren, also Viren, die ein oder mehrere Bytes als Zähler verwenden). Dann kann der Virus auf Knopfdruck gelöscht werden, d.h. der Bootsektor wird unter Aussparung der Seriennummer und der Diskettenstruktur-Information im Bereich $08-$1D vollständig genullt. Gegebenenfalls wird die gewählte Immunisierung aufgebracht. Sollte das Programm einen ausführbaren Bootsektor nicht identifizieren können, so wird auch das gemeldet und der Benutzer hat die Möglichkeit, eine Routine aufzurufen, die das Bootprogramm auf bestimmte Virenmerkmale untersucht. Das Bootprogramm wird dann als gefährlich oder harmlos klassifiziert. Der dafür verwendete Algorithmus hat sich bis heute in allen Tests als absolut zuverlässig erwiesen! Es gibt nur eine einzige Möglichkeit, daß ein Virus diese Überprüfung (und die ähnlich arbeitender Anti-Virenprogramme) unerkannt übersteht. Ich werde mich dazu aber nicht näher äußern, da ich den Programmierern von Computerviren nicht auch noch Hilfestellung geben möchte. Bisher ist jedenfalls allem Anschein nach ein solcher Virus noch nicht aufgetaucht. Sollte dennoch einmal die Meldung erscheinen "Keine exakte Aussage möglich", so ist es am einfachsten, wenn Sie mit den in eine Datei geschriebenen Bootsektor zur genaueren Analyse zuschicken. Ansonsten bleibt Ihnen noch folgender Test, um festzustellen, ob es sich möglicherweise doch um einen Virus handelt: Nehmen Sie zwei leere Disketten, die ich im folgenden mit A und B bezeichnen werden. Falls Sie eine Festplatte besitzen, so schalten Sie diese unbedingt ab! Sorgen Sie zunächst dafür, daß Ihr Rechner frei von Viren ist, d.h. Rechner ausschalten und mit garantiert sauberer oder ganz ohne Diskette booten. Kopieren Sie nun die gesamte Diskette mit dem unbekannten Bootprogramm auf Disk A. Verwenden Sie dazu ein Kopierprogramm (z.B. FCopy oder Bitte ein Bit), damit auch der Bootsektor übertragen wird. Formatieren Sie dann Disk B neu. Nun booten Sie von Disk A und legen, nachdem das gewohnte Desktop erschienen ist, Disk B ein. Falls es sich bei dem unbekannten Bootprogramm auf Disk A um einen Virus handelt, so wird dieser sich bei der ersten Gelegenheit auf den Bootsektor der frisch formatierten Disk B kopieren. Diese Gelegenheit schaffen Sie nun, indem Sie Disk B ins Laufwerk legen, sich das Inhaltsverzeichnis anzeigen lassen und 'Arbeit sichern' im Desktop anwählen. Schalten Sie Ihren Rechner einen Augenblick aus und dann wieder ein - um ein eventuellen Virus aus dem RAM zu verjagen, natürlich ohne Disk A oder B im Laufwerk! Nun können Sie den Bootsektor von Disk B mit dem VIRENDETEKTOR überprüfen. Sollte der Bootsektor von Disk B nun ein unbekanntes Bootprogramm enthalten, dann kann das nur ein Virus sein! Diese Vorgehensweise ist leider etwas umständlich, dafür sollte sie aber auch so gut wie nie notwendig werden! Wesentlich einfacher können Sie es sich machen, wenn Sie mir einen verdächtigen Bootsektor, den Sie zuvor mit dem VIRENDETEKTOR in eine Datei geschrieben haben, auf Diskette zur Analyse zuschicken. Sie erhalten ihre Diskette selbstverständlich mit einer aktualisierten Version des VIRENDETEKTORS zurück. Wer meine Virensammlung um ein neues Exemplar bereichert, kommt zudem noch in den Genuß einer kleinen Belohnung! Wenn der untersuchte Bootsektor nicht ausführbar ist, so wird geprüft, ob es sich um einen ganz normalen Bootsektor handelt oder ob Daten im Bootsektor stehen. Das können z.B. ein Copyright sein, Reste eines ehemaligen Virus, der mit einem fremden Viren-Killer bearbeitet worden ist oder ähnliches. Wer möchte, kann auch diese Daten löschen, obwohl davon keine Gefahr ausgehen kann. Bei der Überprüfung einer gesamten Partition oder eines Laufwerks auf Linkviren werden seit Version 2.9d auch alle "versteckten" Files überprüft. Das sind Dateien, bei denen das "hidden"-Attribut im Directory gesetzt ist. Diese Files werden im Directory (und AUCH in der systemeigenen Fileselect-Box) nicht angezeigt. Gleiches gilt auch für Dateien mit gesetztem "system"-Attribut. Die Überprüfung auf Linkviren kann durch Drücken der ESCAPE-Taste (bitte eine Weile gedrückt halten) vorzeitig abgebrochen werden. Sollten Sie einmal aus Versehen die ESCAPE-Taste gedrückt haben, wiederholen Sie die Überprüfung einfach noch einmal. Bei der Überprüfung werden alle Dateien mit den Extensionen PR*, AC*, APP, TOS, GTP und TTP, sowie mit den vier selbstdefinierten Extensionen berücksichtigt. Damit werden zum Beispiel auch Programme im Auto-Ordner erfaßt, die in *.PRX oder *.PR umbenannt wurden. Mit der Funktion "Einzelne Programme überprüfen" können Sie auch Dateien anwählen, die keine ausführbaren Programme sind. Natürlich ist es vollkommen sinnlos, beispielsweise eine Bildschirmgrafik oder eine ASCII-Datei auf Virenbefall zu untersuchen. Der VIRENDETEKTOR meldet dies entsprechend, wenn es sich nicht um eine Programmdatei handelt und erstellt dann auch keine CRC-Prüfsumme. Ich werde oft gefragt, weshalb der VIRENDETEKTOR bei der Linkvirenüberprüfung so schnell arbeitet. Der Begriff "schnell" ist zwar relativ unbestimmt, aber wer über eine schnelle Festplatte verfügt, oder die Überprüfung auf einer RAM-Disk vornimmt, wird tatsächlich von der Geschwindigkeit des VIRENDETEKTORS angenehm überrascht oder sogar erstaunt sein. Leider ist die Geschwindigkeit von der Version 3.0 auf die Version 3.1 etwas zurückgegangen, ich werde in nächster Zeit noch einige Optimierungen vornehmen. In der Version 3.1b ist die Geschwindigkeit der Überprüfung von Programmen auf Linkviren mit eingeschalteter CRC-Prüfsummenbildung schon wieder um ca. 25% gestiegen. Dies macht sich allerdings nur bei Festplatten oder RAM-Disks bemerkbar, beim Zugriff auf Disketten macht der relativ langsame Massenspeicherzugriff den Löwenanteil der verbrauchten Zeit aus. Bisweilen wird der eine oder andere Anwender ein wenig misstrauisch, ob denn bei dieser Geschwindigkeit alles mit rechten Dingen zugehe oder ob nicht vielleicht die Überprüfung nur deswegen so schnell sei, weil eben schlampig gearbeitet werde. Nun, diesen Befürchtungen möchte ich energisch entgegentreten! Um einmal zu verdeutlichen, warum der VIRENDETEKTOR so schnell arbeitet, werde ich kurz erläutern, was bei der Überprüfung einer Datei auf Linkvirenbefall geschieht. Zunächst einmal wird anhand des Dateianfangs überprüft, ob es sich überhaupt um ein ausführbares Programm handelt. Es bleibt Ihnen unbenommen, Ihre Lieblingsbilder mit der Extension *.PRG zu versehen, der VIRENDETEKTOR erkennt, daß es sich nicht um ausführbare Programme handelt und meldet dann, daß ein Virenbefall einer solchen Datei somit nicht möglich ist. (Ein Starten dieser Datei im Desktop führt natürlich auch zu einer Fehlermeldung.) Für diesen Fall ist die Überprüfung somit bereits beendet. Falls es sich aber um ein ausführbares Programm handelt, so wird nicht etwa die gesamte Datei in den Arbeitsspeicher geladen (das würde viel zu lange dauern und ist völlig unnötig), sondern nur der Teil, der von einem eventuell vorhandenen Linkvirus tatsächlich verändert würde. Insgesamt müssen nur knapp 300 Bytes gelesen werden, was auch von einer Diskette noch in akzeptabler Zeit zu machen ist. Danach werden die eingelesenen Teile der Datei auf eine Veränderung durch einen der bekannten Linkviren überprüft. Falls der CRC-Check eingeschaltet ist, wird zudem über den Teil des Programmes, der sich bei einem Linkvirenbefall verändern MUSS, eine CRC-Prüfsumme gebildet. Damit ist bei späteren Überprüfungen gewährleistet, daß auch ein Befall durch bislang unbekannte Linkviren zuverlässig erkannt wird, selbst wenn die Analyse auf unbekannte Linkviren, die der VIRENDETEKTOR durchführt, keinen Befall meldet. Sie sehen also, daß der VIRENDETEKTOR nur relativ wenig Massenspeicher- zugriffe benötigt. Gerade diese sind aber im allgemeinen dafür verantwortlich, wenn ein Virenkiller ein "Schlaftablettenfeeling" aufkommen läßt. Es ist völlig unsinnig, ein komplettes Programm von mehreren hundert Kilobyte komplett in den Arbeitsspeicher zu laden, auch die Berechnung der Checksumme über eine komplette Programmdatei ist nervtötend langsam und absolut unsinnig. Ich bin sogar sicher, daß sich die Geschwindigkeit des VIRENDETEKTORS noch um ein paar Prozent steigern läßt, viel ist aber wohl nicht mehr herauszuholen. Immerhin hat sich die Arbeitsgeschwindigkeit von Update zu Update bis zur Version 3.0g kontinuierlich gesteigert und das, obwohl sich die Anzahl der Viren, die das Programm erkennt, ebenfalls erhöht hat! Der geringe Geschwindigkeitsrückgang seit der Version 3.1, den Sie bei der Überprüfung von Disketten überhaupt nicht bemerken werden, ist auf die neuen Programmfunktionen zurückzuführen (insbesondere darauf, daß nun mehr CRC-Prüfsummen pro Programmnamen möglich sind und darauf, daß auch nach gepackten Programmen gesucht wird). Wenn Ihnen der Aufbau der Dialogboxen auf dem Bildschirm zu langsam ist, dann sollten Sie einen sogenannten "Software-Blitter" verwenden (NVDI, TURBO ST oder QUICK ST). Ich kann hier aus Kompatibilitätsgründen nicht mehr viel herauskitzeln, schließlich soll der VIRENDETEKTOR auf allen ATARI ST/STE/TT Rechnern und mit diversen Grafikkarten laufen. Ein wichtiger Punkt bei der Beurteilung eines Anti-Virenprogramms ist die Anfälligkeit für Fehlalarme. D.h. wie häufig kommt es vor, daß eine vermeintliche Infizierung durch einen Virus diagnostiziert wird, die in Wahrheit nicht vorhanden ist. Der VIRENDETEKTOR verhält sich in diesem Punkt relativ unproblematisch. Wird ein unbekannter Bootsektor als infiziert gekennzeichnet, so kann man tatsächlich zu beinahe 100% davon ausgehen, daß es sich um einen bislang unbekannten Virus handelt. Es ist jedenfalls bis heute kein harmloses Bootprogramm aufgetaucht, welches vom VIRENDETEKTOR irrtümlich für einen Virus gehalten worden wäre. Bei Linkviren ist es so, daß die bekannten Linkviren immer erkannt werden - wird ein Befall gemeldet, so kann es sich nicht um einen Fehlalarm handeln. Die Überprüfung der CRC-Prüfsumme ist allerdings mit einer gewissen Unsicherheit behaftet. Zum einen kann nicht ausgeschlossen werden, daß ein Programm zum Zeitpunkt der Prüfsummenerstellung bereits von einem bislang unbekannten Virus befallen ist, zum anderen kann es zu Veränderungen an Programmen kommen, die nicht durch Virenbefall verursacht worden sind, die aber durch eine veränderte CRC-Prüfsumme den Verdacht auf Virenbefall nahelegen. WPROTECT.ACC und WPROTECT.PRG, sowie die weiteren Dateien im Ordner WPROTECT sind ein Bestandteil des Lieferumfangs des VIRENDETEKTOR. Eine Weitergabe dieser Dateien und des Quellcodes ist auch ohne die weiteren Files dieses SHAREWARE-Pakets zulässig, nicht jedoch umgekehrt! WPROTECT ist seit der Version 1.02 wieder Public Domain, der Autor gestattet die Weitergabe jedoch nur in der unveränderten Version. Das Accessory muß auf das Hauptdirectory Ihrer Bootpartition oder Bootdiskette kopiert werden und wird dann beim nächsten Reset installiert, das Programm gehört in den AUTO-Ordner. Übrigens sind Programm und Accessory identisch. Sie brauchen es nur umzubenennen. Der Einfachheit halber ist es im VIRENDETEKTOR-Ordner doppelt vorhanden. Das Accessory ermöglicht es Ihnen, beliebige Partitionen Ihrer Festplatte oder Ihre RAM-Disk vor Schreibzugriffen zu schützen. Nach Aufruf des Accessories erscheint eine Dialog-Box, in der Sie mit der Maus unter allen angemeldeten Laufwerken anwählen können. Sie können die gewählte Konfiguration auch abspeichern. Näheres zur Bedienung von WPROTECT finden Sie in der Datei WPROTECT.TXT. Eine mit WPROTECT schreibgeschützte Partition oder RAM-Disk verhält sich genau wie eine schreibgeschützte Diskette. Beim Versuch etwas zu schreiben oder zu löschen erscheint die von dort bekannte Alert-Box. Der Schreibschutz kann auch von den zur Zeit im Umlauf befindlichen Viren nicht umgangen werden, dennoch bietet er nicht den absoluten Schutz eines Hardware-Schreibschutzes! Das Accessory wurde auf den TOS-Versionen 1.00, 1.02 1.04, 2.05, 3.01 und 3.05, mit diversen RAM-Disks sowie mit den Festplatten SH204, SH205, Megafile 30 und einigen SCSI-Platten getestet. Es läuft mit dem AHDI von Atari ebenso zusammen, wie mit dem CBHD vom Scheibenkleister und Julian Reschkes HUSHI. TROTZDEM empfehlen wir bei der Verwendung eines anderen Treibers (insbesondere bei VORTEX-Treibern) Vorsicht walten zu lassen. Die Bedienung des Accessories ist seit der Version 1.0 sehr komfortabel geworden. Das Auto-Ordnerprogramm belegt weniger als ein Kilobyte Hauptspeicher, das Accessory begnügt sich immerhin noch mit deutlich weniger als 10 Kilobyte Hauptspeicher. Damit ist seine Verwendung auch auf einem 0,5 MB Rechner kein Problem! Genaueres erfahren Sie in der Datei WPROTECT.TXT. Für die Programmierung des Accessories geht mein Dank an Christoph Conrad, der auch sonst einiges zum VIRENDETEKTOR beigetragen hat. Als letzten Hinweis möchte ich Sie noch daran erinnern, daß Sie vor der Arbeit mit VIRENDETEKTOR dafür sorgen, daß sich kein Virus im Arbeitsspeicher aufhält. Das würde sich nämlich sonst nach Restaurieren des Bootsektors gleich wieder dort einnisten. VIRENDETEKTOR überprüft zwar zu Beginn, ob sich ein Virus im Speicher aufhält und meldet sich, wenn es einen Virus findet, ich kann jedoch nicht dafür garantieren, daß diese Überprüfung wirklich jeden Virus im Arbeitsspeicher entdeckt. Dies gilt besonders dann, wenn noch weitere Programme im Speicher resident sind, die sich ebenfalls an diversen Systemvektoren zu schaffen machen (Harddisk-Treiber, u.ä. ...)! Deshalb ist dringend zu empfehlen, vor dem Start von VIRENDETEKTOR mit einer garantiert sauberen Diskette zu booten! (Sollten Sie sich nicht sicher sein, ob Sie überhaupt noch eine unverseuchte Diskette besitzen, so booten Sie einfach ohne Diskette, das dauert zwar etwa 40 Sekunden, ist dafür aber auch totsicher.) VII. "Immunisierung" - Schutz vor Bootsektorviren??? ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Viele Anti-Virenprogramme versprechen eine "Immunisierung" des Bootsektors zum Schutz vor Bootsektorviren. Diese "Immunisierung" soll den Bootsektor vor dem Zugriff eines Virus schützen oder den Befall zumindest erkennbar machen, bevor der Virus sich weiter verbreitet und Schaden anrichtet. Um dieses Ziel zu erreichen sind zwei Methoden verbreitet: Zum einen kann man an den Beginn des Bootsektors die Kombination 9656 ($6038) schreiben, das ist im Maschinencode ein BRA +$38, also ein Sprung zum Beginn eines Bootprogramms. Dieses zunächst unsinnig erscheinende Vorgehen, schließlich existiert weder ein Bootprogramm, noch ist der Bootsektor überhaupt ausführbar, hat durchaus einen Sinn. Viele Bootsektorviren schauen freundlicherweise vor der Infizierung eines Bootsektors nach, ob sich schon ein ausführbares Programm im Bootsektor befindet und verzichten dann auf eine Infizierung. Dieses Nachschauen besteht aus einer Kontrolle der beiden ersten Bytes des Bootsektors, findet sich dort ein $6038, so nimmt der Virus die Existenz eines Bootprogramm an und läßt die Finger vom Bootsektor. Damit sind solchermaßen immunisierte Disketten tatsächlich vor dem Zugriff einiger Viren sicher. Allerdings hat dieses Verfahren auch seine Schattenseiten, da es erstens nur vor Viren schützt, die freundlicherweise die oben erwähnte Überprüfung vornehmen (wie es z.B. der SIGNUM/BPL Virus oder der Virus der Bayrischen-Hackerpost tun) und somit keinen sicheren Schutz darstellt, sowie zweitens - und das ist sicher ein ebenso schwerwiegender Nachteil - einen eventuellen MS-DOS kompatibelen Bootsektor (z.B. für den PC-Ditto) für MS-DOS ungenießbar macht. TOS und MS-DOS haben nämlich ein sehr ähnliches Diskettenformat, man kann MS-DOS Disketten deshalb problemlos mit einem ATARI ST lesen und auch auf dem umgekehrten Weg ist das möglich, wenn beim Formatieren einige Feinheiten beachtet werden. (Einige Formatierprogramme - wie z.B. HYPERFORMAT 3.xx tun das bereits.) Eine dieser Feinheiten ist die Bytefolge $EB 34 90 (8086-Code für einen relativen Sprung und ein NOP) mit welcher der Bootsektor beginnen muß, wenn er von einer MS-DOS Maschine gelesen werden soll. TOS ist es bei nicht ausführbaren Bootsektoren völlig egal was dort steht, MS-DOS ist da leider etwas empfindlich. Über den Sinn einer solchen Immunisierung kann also gestritten werden; einige Anti-Virenprogramme führen sie durch (z.B. G-DATA ANTI-VIREN-KIT I, VDU, ...) andere nicht (SAGROTAN, ANTIBIOTUKUM, ...)! Eine Unverschämtheit ist allerdings die Behauptung, diese Immunisierung sei ein zuverlässiger Schutz vor allen bekannten Bootsektorviren, wie sie zum Beispiel von G-DATA in Bezug auf ihr Anti-Viren-Kit I aufgestellt wurde. Entweder diente diese Behauptung der bewußten Käufertäuschung, um das eigene Produkt geldbeutelfüllenderweise an den Mann/die Frau zu bringen (sehr wahrscheinlich) oder sie war ein Zeichen völliger Unkenntnis (eigentlich genauso wahrscheinlich), denn tatsächlich gibt es bereits seit langem mehrere(!) Bootsektorviren die diese "Immunisierung" völlig kalt läßt. Die zweite Immunisierungsmethode wurde aus der Erkenntnis geboren, daß die oben genannte Methode nicht der Weisheit letzter Schluß sein kann. Die Idee ist recht einfach: Man schreibe ein Bootprogramm in den Bootsektor, welches sich beim Booten mit einer Meldung auf dem Bildschirm bemerkbar macht. Es schreibt zum Beispiel "Diskette OK." auf den Bildschirm. Sollte nun ein Virus diese Diskette befallen (und somit unser Bootprogramm überschreiben), so fehlt beim nächsten Booten diese Meldung und der Benutzer weiß, daß sich ein Virus im Bootsektor befindet. Dieser Virus kann dann mit einem Anti-Virenprogramm vernichtet werden. Mit dieser Art der Immunisierung wird inzwischen recht häufig gearbeitet (SAGROTAN, ANTIVIR, G-DATA ANTI-VIREN-KIT III ...). Natürlich verrät sich jeder Virus durch das Ausbleiben der Schutzmeldung, allerdings ist neben der Unverträglichkeit mit MS-DOS (siehe oben) zu beachten, daß dieses Schutzprogramm nur bei Disketten verwendet werden kann, die noch kein (nützliches) Bootsektorprogramm enthalten. Zudem müssen dann natürlich alle Disketten, von denen eventuell mal gebootet wird mit diesem Schutzprogramm versehen werden, denn ein Ausbleiben der Meldung beim Booten wird ja als ein Zeichen für Virenbefall interpretiert. Geben Sie eine solchermaßen behandelte Diskette an jemanden weiter, der diese Art von Schutzbootsektor noch nicht kennt, so kann er zu allem Überfluß noch für einen neuen Virus gehalten werden. An dieser Stelle hatte ich in einer älteren Version dieses Textes zu einer vorherigen Version des VIRENDETEKTORS geschrieben: "Auf den ersten Virus, der sich mit "Bootsektor OK" meldet warte ich noch...". Nun, dieses Thema scheint jemand aufgegriffen zu haben, denn inzwischen gibt es tatsächlich mehrere Viren, die beim Booten eine ähnliche Meldung ausgeben und damit dem Benutzer einen Immunisierungs-Bootsektor vorgaukeln. Ich habe diese Viren ja bereits im Kapitel über "Tarnkappen"-Viren erwähnt. Sie sehen also, was von solchen Meldungen zu halten ist. Denn neben diesem kurzen Text bietet der Bootsektor dann noch ausreichend Platz für den Virencode. Dennoch ist diese Art der "Immunisierung" besser, als die Immunisierung mit dem Pseudobranch ($6038). Für Festplattenbesitzer, die immer die gleiche (schreibgeschützte) Diskette im Laufwerk haben, aber von der Platte booten, kann Sie sogar empfohlen werden. Eine weitere Masche ist ein Schutzprogramm der letztgenannten Art, das sich selbst wie ein Virus auf jeden noch nicht ausführbaren Bootsektor schreibt! Dieses Bootprogramm meldet sich beim Booten mit dem Kommentar, daß der Bootsektor nicht verseucht ist. Ursprung ist ein Anti-Virenprogramm namens VIRUS-DESTRUCTION-UTILITY (VDU) 3.2 aus den Niederlanden. Ich halte das für eine äußerst üble Sache, denn ob ich meine Disketten mit einem solchen Bootprogramm versehe, möchte ich schon gerne selbst entscheiden. Es darf nicht dazu kommen, daß jeder Programmierer seine Programme, nur weil er sie für eine segensreiche Entwicklung hält, auf diese Weise unkontrolliert verbreitet! Diese Erkenntnis ist glücklicherweise auch dem Autor dieses Virenkillers gekommen, denn in den neuen Versionen seines Programmes ist diese Art der "Immunisierung" nicht mehr enthalten. Nach meiner Ansicht sind alle diese Immunisierungs-Bemühungen eigentlich unnötig. Wer seine Programme und Disketten einmal komplett überprüft und gegebenenfalls von Viren befreit hat, desweiteren jedes neue Programm zunächst mit dem VIRENDETEKTOR überprüft (das gleiche bei Disketten, die man verliehen hat), dazu die oben genannten Vorsichtsmaßregeln befolgt, sollte in Zukunft keinen Ärger mehr mit Computerviren haben. Da man über die Immunisierung von Bootsektoren aber wohl auch anders urteilen kann und ich jedem Anwender die Möglichkeit offenlassen möchte, nach eigener Fasson glücklich zu werden, bietet der VIRENDETEKTOR ab Vers. 2.9 auch die Möglichkeit zur Erzeugung eines solchen "Immunisierungs"- Bootsektors. Damit komme ich den Wünschen einiger Anwender des VIRENDETEKTORS nach - wie Sie sehen lohnt es sich durchaus, als (registrierter) Anwender Verbesserungsvorschläge zu machen. Wenn möglich werden diese in der nächsten Programmversion berücksichtigt. Und da ich mich nicht entscheiden konnte, welcher der beiden erwähnten Immunisierungs- Methoden ich den Vorzug geben sollte, dürfen Sie sich entscheiden, welche Methode Sie anwenden wollen, sofern Sie ein Freund solcher Maßnahmen sind. Ich habe es mir aber nicht verkneifen können, noch eine kleine Verbesserung an der Methode mit dem ausführbaren Bootsektor-Immunisierungsprogramm vorzunehmen. Wenn Sie mit dem VIRENDETEKTOR einen solchen Immunisierungs- bootsektor auf die Diskette schreiben, DANN BLEIBT DIESE DENNOCH MS-DOS-kompatibel (selbst wenn sie es vorher nicht war). Probieren Sie es ruhig auf einem PC einmal aus. Als dritte Immunisierung besteht noch die Möglichkeit, sich vom VIRENDETEKTOR ein kleines Programm in den Autoordner schreiben zu lassen, das den Bootsektor bei jedem Booten auf Veränderungen überprüft. Dazu braucht der Bootsektor nicht manipuliert zu werden, er wird einfach zum Vergleich in eine Datei auf die Diskette geschrieben. Der große Vorteil dieser Methode ist die absolute Sicherheit, denn der Bootsektor kann jederzeit bei Befall wieder durch den Originalbootsektor, der ja in einer Datei vorliegt, ersetzt werden. Allerdings ist dieses Verfahren nur für diejenigen von Interesse, die von Disketten booten. Festplattenbesitzer sollten - wenn überhaupt - eine der beiden erstgenannten Immunisierungsarten verwenden. Bei der Immunisierung mittels Autoordnerprogramms ist zu beachten, daß Sie eine solche Diskette nach Möglichkeit nicht als einzelne Dateien, sondern mit einem Kopieroprogramm (oder mit der Diskcopy-Funktion im Desktop) kopieren. Denn nur in diesem Fall wird auch eine Kopie des Bootsektors erstellt. Kopieren Sie alle Dateien einzeln auf eine andere Diskette oder ändern Sie beim Kopieren mit einem Kopierprogramm die Formatierung der Diskette (z.B. Umkopieren einer einseitigen auf eine doppelseitige Diskette), dann wird der Bootsektor der Zieldiskette im allgemeinen nicht mit dem Bootsektor der Quelldiskette identisch sein. Dies wird bei einem Bootvorgang von der Zieldiskette dazu führen, daß das Immunisierungsprogramm im Autoordner den vermeintlich "manipulierten" Bootsektor anmeckert. In diesem Fall dürfen Sie UNTER KEINEN UMSTÄNDEN den alten Bootsektor "restaurieren" - denn dann haben Sie den Bootsektor der Quelldiskette auf der Zieldiskette. Und wenn das Format dieser beiden Disketten nicht identisch war, werden Sie Ihren Daten auf dieser Diskette wohl Adieu sagen müssen, sofern Sie den Bootsektor nicht mittels eines Diskettenmonitors wieder mit den ursprünglichen Formatinformationen füttern können. Kopieren Sie also beim "Filecopy" die Datei mit dem Bootsektorduplikat im Autoordner NICHT mit auf die Zieldiskette. Nach dem nächsten Booten von der Zieldiskette erstellt das Immunisierungsprogramm im Autoordner sich eine neue Kopie des Bootsektors und alles ist in bester Ordnung. Beim Programmstart ist die Immunisierung abgeschaltet, wird also ein Bootsektor neu geschrieben weil er z.B. von Viren befallen war, dann wird er gelöscht (bis auf die Disketten-Strukturinformationen und die Seriennummer) und MS-DOS-kompatibel gemacht. Haben allerdings "Immunisierung durch $6038" gewählt, dann wird diese Bytefolge in die beiden ersten Bytes des Bootsektors geschrieben und der Rest des Bootsektors gelöscht. Als Alternative bietet sich noch die Möglichkeit "Immunisierung durch Bootprogramm" an, bei der ein ausführbares Bootprogramm in den Bootsektor geschrieben wird. Dieses Programm meldet sich dann beim Booten mit einem Glockenton und dem Hinweis, daß der Bootsektor nicht befallen ist. Dieser Text ist im Unterschied zu den Meldungen anderer Anti-Virenprogramme so lang, daß sich jeder davon überzeugen kann, daß dieses Bootprogramm tatsächlich nichts anderes machen kann, als diesen Text über Cconws (Gemdos 9) auszugeben. Für andere Routinen ist da wirklich kein Plätzchen mehr frei. Abgesehen davon ist dieser Bootsektor TROTZ der Immunisierung noch MS-DOS-kompatibel. Dieses Bootprogramm gibt es inzwischen in verschiedenen Varianten, da einige PD-Händler, die Ihre Disketten mit dem VIRENDETEKTOR überprüfen und immunisieren, von mir eine "Spezialversion" mit ihrer Geschäftsadresse im Bootsektor erhalten haben. Selbstverständlich erkennt der VIRENDETEKTOR jeden dieser Bootsektoren als "eigenes" Produkt und meldet ihn entsprechend. Ich möchte noch anmerken, daß die gewählte Immunisierung in jedem Fall aufgebracht wird, wenn ein neuer Bootsektor erzeugt wird. Also nicht nur, wenn ein Virus vernichtet wird, sondern auch dann, wenn sie ein anderes Bootprogramm von der Diskette entfernen wollen. Wollen Sie also eine Immunisierung gleich welcher Art wieder entfernen, dann muß "Keine Immunisierung" gewählt sein. VIII. Was tun im Fall des (Be)falls? ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Bei Bootsektorviren ist die Rettung der Software meistens kein Problem. Mit Anti-Viren-Programmen, z.B. mit dem VIRENDETEKTOR ist ein einmal identifizierter Virus im Bootsektor schnell beseitigt. Denn gleichen Zweck erfüllt ein Disk-Monitor, allerdings muß man dann wissen, wie ein Virusprogramm aussieht, welche Bytes im Bootsektor nicht genullt werden dürfen (Diskettenstruktur-Information im Bereich $08-$1D) und umständlicher ist es außerdem. Bei Viren die sich direkt in Programme einklinken ist die ganze Sache nicht so einfach. Man benötigt schon hervorragende Assemblerkenntnisse und einen guten Debugger, um ein Programm zu retten. Oft ist es auch dann nicht möglich, mit einem Anti-Viren-Programm "auf Knopfdruck" jedenfalls bis heute noch nicht. Gegenteilige Behauptungen einiger Virenkiller haben sich im Test bislang noch alle als heiße Luft herausgestellt. Lediglich die Entfernung des "Milzbrand Virus" ist bereits erfolgreich gelungen. Wenn sich also ein Linkvirus in Ihre Programmsammlung eingeschlichen hat, dann sollten Sie alle verseuchten Programme löschen und durch Sicherheitskopien ersetzen. Wenn Sie keine Sicherheitskopien angefertigt haben, können Sie die befallenen Programme auf die Verlustliste setzen; aber wer arbeitet schon mit Originalen ohne Sicherheitskopie!?! Sollten Sie einmal von einem wichtigen Programm keine Kopie angefertigt haben (na, na,...) oder sollte auch das Original verseucht sein (wohl nich' im Panzerschrank aufbewahrt, wa?), dann können Sie das Programm, sofern es noch einwandfrei läuft, auf eine separate Diskette kopieren und weiterbenutzen. Das kann jedoch nur eine absolute "Notlösung" sein und die folgenden Regeln müssen Sie u n b e d i n g t beachten: 1. Starten Sie ein infiziertes Programm nur wenn keine Diskette im Zweitlaufwerk liegt und lassen Sie Ihre Festplatte unbedingt ausgeschaltet. 2. Kopieren Sie nie verseuchte mit sauberen Programmen zusammen auf eine Diskette. 3. Geben Sie Datum und Uhrzeit beim Systemstart nicht ein, sondern belassen Sie das Systemdatum als aktuelles Datum (manche Viren werden erst ab einem bestimmten Datum aktiv). 4. Kennzeichnen Sie die Diskette mit dem verseuchten Programm!!! 5. Geben Sie n i e verseuchte Programme weiter! 6. Rechner nach Benutzung des Programms a u s s c h a l t e n !!! Besser ist natürlich, wenn Sie rechtzeitig eine Sicherheitskopie angefertigt haben und das infizierte Programm löschen können. Glücklicherweise sind Linkviren auf Grund ihrer Verbreitungsweise (noch) weit weniger häufig als ihre Kollegen im Bootsektor. Falls Sie bei Ihrer Software Virenbefall festgestellt haben, informieren Sie umgehend alle, an die Sie eventuell verseuchte Disketten weitergegeben haben könnten!!! Hoffentlich wissen Sie nun in etwa was ein Computervirus ist, wie er arbeitet und wie man sich vor diesen ungebetenen Gästen schützt. Weitere Informationen finden Sie vor allem in einschlägigen Fachzeitschriften. (Erwähnenswert erscheinen mir folgende Ausgaben: c't 4/87 und 7/88, Happy Computer 5/88, Atari Special 4/87 und 1/89, Chip 9/87, ST-Magazin (68000er) 9/88 und 3/89, TOS 11/90 u.s.w ...! Die Liste erhebt keinen Anspruch auf Vollständigkeit, denn ich kann schließlich nicht alles lesen. Zum Ende noch eine Anmerkung: Falls Sie zu den Fanatikern gehören, die selbst Viren schreiben oder falls Sie mit dem Gedanken spielen selbiges zu versuchen - denken Sie an die Folgen für andere User. Aber auch für den Viren-Programmierer selbst kann seine Tätigkeit unangenehme Folgen haben. Im Strafgesetzbuch heißt es: "Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafen bis zu zwei Jahren oder Geldstrafe bestraft. Der Versuch ist strafbar." Daneben sind auch die zivilrechtlichen Folgen nicht unerheblich. Wenn der von Ihnen programmierte Virus einem anderen einen finanziellen Schaden zufügt und Sie als Verursacher ausfindig gemacht werden können, werden Sie unter Umständen mit hohen Schadenersatzforderungen zu rechnen haben. Gegebenenfalls können zudem weitere Paragraphen des StGB auf Virenprogrammierer in Anwendung gebracht werden. Auch wenn Sie meinen, Ihr Virus füge niemandem Schaden zu - Finger weg!!! Es gibt z.B. einen Bootsektorvirus auf dem ST, der eigentlich nichts tun sollte, als sich nur zu verbreiten. Der Schöpfer dieses Virus hat sicher keinen Schaden anrichten wollen, durch einen Programmierfehler(!) kann dieser Virus jedoch den Rootsektor der Festplatte zerstören! Dieses Beispiel zeigt, daß man von der Virenprogrammierung besser die Finger läßt. Zudem gibt es wahrlich genug nützliche Dinge zu programmieren! IX. Das SHAREWARE-Vertriebskonzept ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Das Programm VIRENDETEKTOR ist S H A R E W A R E . Falls Sie nicht genau wissen, was der Begriff "SHAREWARE" bedeutet, hier eine kurze Erläuterung: Mit "SHAREWARE" bezeichnet man Programme, die frei kopiert und weitergegeben werden dürfen, sofern sie weder verändert noch kommerziell vertrieben werden. Wer mit einem SHAREWARE-Programm regelmäßig arbeitet, zahlt dem Autor eine Registrierungsgebühr. Deren Höhe hängt sowohl von der Komplexität des Programms ab, als auch davon, was nach der Registrierung an weiterer Anwender-Unterstützung erfolgt. Diese Gebühr kann bei einigen Programmen durchaus dreistellige Beträge ausmachen, liegt aber immer wesentlich niedriger, als man für vergleichbare kommerzielle Produkte ausgeben müßte. Nach Zahlung dieses Betrages ist man "legaler" Anwender und erhält dann weitere Leistungen, wie z.B. Updates, gedruckte Manuals, Unterstützung falls Fragen oder Schwierigkeiten beim Einsatz des Programms auftauchen, ... usw.! SHAREWARE-Programme sind KEINE Frei-Programme (Public-Domain), die Urheberrechte an diesen Programmen bleiben bestehen, allerdings dürfen Kopien der Disketten frei weitergegeben werden, damit andere potentielle Anwender die Programme prüfen können. Das Nutzungsrecht wird erst mit Zahlung der Registrierungsgebühr erworben. Um es nochmals klar zum Ausdruck zu bringen: Die Benutzung des Programms durch nicht registrierte User verstößt gegen geltendes Recht! Lediglich eine kurze Testphase ist bei SHAREWARE-Programmen gestattet. Natürlich kann niemand kontrollieren, ob jemand das Programm benutzt ohne sich registrieren zu lassen. SHAREWARE ist eben Vertrauenssache! Das SHAREWARE-Konzept bietet sowohl dem Autor als auch dem Benutzer des Programms Vorteile: Der Autor hat keine Unkosten für Vertrieb und Werbung - der Benutzer kann das Programm testen und zahlt den vergleichsweise geringen Betrag für die Registrierung nur dann, wenn ihm das Programm zusagt. Im deutschsprachigen Raum hat sich deshalb auch der Begriff "PRÜF-VOR-KAUF-Software" für SHAREWARE etabliert. Würde der VIRENDETEKTOR als kommerzielles Programm vertrieben, dann blieben mir (dem Programmautor) vom Verkaufspreis bestenfalls 10-20% übrig. Das würde heißen, daß der VIRENDETEKTOR ca. 100 DM kosten müßte, damit mir (nach Abzug der Kosten für Versand, etc.) der gleiche Betrag übrigbliebe, wie jetzt als SHAREWARE-Programm. Damit dürfte der Vorteil von SHAREWARE augenfällig werden! Public-Domain Programme sind dagegen Programme, bei denen der Autor auf alle Rechte verzichtet (im Gegensatz zu SHAREWARE) und die somit z. B. auch verändert werden dürfen, sofern das Copyrightvermerk des Autors nicht entfernt wird. Beim ST wird allerdings vielfach nicht so genau zwischen PD und SHAREWARE unterschieden. Im übrigen hat der Begriff "Public-Domain" selbst keine Rechtsverbindlichkeit. Oft wird auch bei PD-Programmen eine Veränderung des Programms ausdrücklich untersagt und um eine Spende für den Autor gebeten. Im Gegensatz zu SHAREWARE-Programmen ist diese Spende jedoch freiwillig. Wichtig ist jedenfalls, daß Sie bei SHAREWARE mit dem Kauf der Diskette bei einem PD-Versender noch nicht für das Programm bezahlt haben, sondern lediglich für dessen Dienstleistung! Preiswerte PD-Händler verlangen für eine Diskette 3-5 DM, mehr als 10 DM sollten Sie keinesfalls bezahlen. Natürlich hängt der Diskettenpreis auch sehr vom Service des Händlers ab, das Einsortieren von Updates und die Anfertigung eines aussagekräftigen Katalogs wollen schließlich auch bezahlt werden. Eine andere Quelle für SHAREWARE und PD-Software sind Mailboxen und Diskettentausch mit Freunden und Bekannten. Bei Sharewareprogrammen erwerben Sie das Nutzungsrecht an dem Programm erst durch Zahlung der Registrierungsgebühr an den Programmautor! Leider ist die Zahlungsmoral bei vielen ST-Besitzern (wie übrigens auch beim Amiga) nicht sonderlich ausgeprägt. Dabei ist dieses Verhalten ziemlich kurzsichtig. Auf dem amerikanischen PC-Softwaremarkt ist das Sharewareangebot inzwischen nicht zuletzt deshalb so umfangreich und qualitativ hochwertig, weil die Autoren dieser Programme mit der Ehrlichkeit der Anwender rechnen können. Wer in Europa SHAREWARE für den ST entwickelt, wird jedoch auf Grund der mangelnden Resonanz schnell entmutigt. Das führt dazu, daß der Anteil guter PD- und Sharewareprogramme weiter sinkt. Jedes gute Programm wird nur noch kommerziell vermarktet, der Vertrieb als SHAREWARE funktioniert nur sehr beschränkt. Als Folge zahlt der Anwender für ein kommerzielles Programm das vier- bis fünffache im Vergleich zu einem gleichwertigen Sharewareprogramm. Natürlich gibt es auf dem PD-Markt auch eine Menge Schrott, so manches Programm ist die Diskette nicht wert, auf der es gespeichert ist. Aber Sie gehen im Unterschied zu kommerzieller Software keinerlei Risiko ein. Bevor Sie für ein Programm zahlen, können Sie es auf Herz und Nieren testen. Diese Möglichkeit besteht bei kommerziellen Programmen nicht, hier müssen Sie oftmals die berühmte Katze im Sack kaufen. Jeder, der sich bei den Autoren, deren Sharewareprogramme er regelmäßig nutzt, registrieren läßt, fördert und belebt die Entwicklung guter SHAREWARE-Programme für den ST. Doch nun zurück zum VIRENDETEKTOR. Wenn Sie das Programm regelmäßig verwenden, dann sollten Sie sich registrieren lassen. Wer einen Drucker besitzt, hat es am einfachsten, in dem er sich die Datei REGISTER.TXT ausdrucken läßt. Ich denke nach einer vierwöchigen Testphase kann man entscheiden, ob man den VIRENDETEKTOR bezahlen will, oder ob man das Programm nicht weiter benutzen will, weil es einem nicht zusagt. Die Registrierungsgebühr für den VIRENDETEKTOR beträgt 30,- DM! (Beziehungsweise 40,- DM incl. der drei Utility-Disketten - dazu siehe unten.) Schicken Sie diesen Betrag bitte als Verrechnungsscheck (oder in Bar) an meine Adresse: Volker Söhnitz Beginenstr. 17 D-5100 Aachen Für diesen Betrag erhalten Sie: 1. Sofort die gerade aktuelle Version des VIRENDETEKTORS zugeschickt. Mit der Originaldiskette können Sie dann aus dem VIRENDETEKTOR (den Sie natürlich auch weiterkopieren dürfen) eine registrierte Version mit Ihrer persönlichen Seriennummer erstellen. Diese Version erlaubt dann auch den Zugriff auf die Viren-Datenbank und enthält keine "Er- innerungen" an die Zahlungsmoral mehr, darf in dieser Form dann aber auch nicht mehr weiterkopiert werden. 2. Eine aktualisierte Fassung dieses Textes, der auch auf eventuelle neue ST-Viren eingeht. 3. Alle zukünftigen Updates des VIRENDETEKTORS gegen eine geringe Gebühr für Porto, Diskette und Verpackung! 4. Auf Wunsch (bitte angeben) ein Beispiel-Listing in Assembler für die Arbeitsweise eines (relativ harmlosen) Virus. 5. Falls Sie nur einen ST mit Farbmonitor besitzen, können Sie bei mir einen MONOCHROM-EMULATOR erhalten. Dabei handelt es sich um ein kleines Programm, welches auf dem Farbmonitor die hohe Auflösung dar- stellt. Die Qualität dieses Emulators läßt zwar sehr zu wünschen übrig, da ein Farbmonitor/Fernseher nicht über die Möglichkeiten des SM 124 verfügt, für die Virenjagd mit dem VIRENDETEKTOR ist der Emulator aber auf dem Farbmonitor gerade noch akzeptabel. Geben Sie bitte bei der Registrierung an, ob Sie den Emulator benötigen! 6. Viele Probleme, die sich ähnlich wie Virenbefall äußern, gehen tatsächlich auf andere Ursachen zurück. Neben Hardwaredefekten sind hauptsächlich schlechte Disketten als Schuldige auszumachen. Um solchen Dingen auf den Grund zu gehen, benötigt man neben einem guten Virenkiller auch einige weitere Utilities, mit denen man z.B. Hardwarefehler findet oder beschädigte Disketten erkennt. Wer nicht über derartige Utilities verfügt, der kann bei mir drei (doppelseitige) Disketten mit ca. 4,5 Megabyte (!) der wichtigsten Hilfsprogramme erhalten. Auf einer dieser drei Disketten befinden sich zudem die Online-Packer, die der VIRENDETEKTOR erkennt (soweit diese frei kopierbar sind). Der Inhalt der Disketten ist komprimiert und kann problemlos innerhalb weniger Minuten automatisch entpackt werden. Auf diesen Disketten finden Sie unter anderem ein Programm zur Funktionsüberprüfung der RAM-Chips, ein Programm, um Ihre Dis- ketten auf physikalische Defekte zu überprüfen (und zu retten, was noch zu retten ist), ein Programm zur Wiederherstellung ver- sehentlich gelöschter Dateien und vieles mehr. Als registrierter Benutzer erhalten Sie diese nützlichen Disketten für einen Unkostenbeitrag von 10,- DM! Schicken Sie bei der Registrierung zehn Mark mehr, dann fallen keine weiteren Kosten für Porto und Verpackung an, Sie erhalten die Utility-Disketten zusammen mit Ihrem neuen Exemplar des VIRENDETEKTOR. Wenn Sie bereits registriert sind, und die Disketten separat bestellen, kommen noch 2,- DM für Porto und Verpackung hinzu. Für 12,- DM (Scheck oder Zehn- markschein + 2,- in Briefmarken) erhalten Sie dann umgehend eine Menge nützlicher Software. Sollten Sie mit Ihrer Hard- oder Software Probleme haben, die in irgendeiner Weise mit Viren zusammenhängen, so stehe ich Ihnen gerne mit Rat (und Tat) zur Seite! Sie sehen also, daß sich eine Registrierung in jedem Fall lohnt (unter Umständen auch finanziell - siehe 1.)! Ich will auch nicht verschweigen, was es bei einer Registrierung NICHT gibt: Es gibt KEINE aufwendige Verpackung - dies würde die Sharegebühr nur unnötig in die Höhe treiben. Zur Zeit gibt es auch noch kein gedrucktes Handbuch. Im Moment erstelle ich aber ein komplett überarbeitetes bebildertes und sehr umfangreiches Handbuch, daß in gedruckter und gebundener Form zusammen mit der Version 3.2 erscheinen wird. Dieses Handbuch wird den Umfang der Datei HANDBUCH.TXT bei weitem übersteigen und auch mit einem ausführlichen Stichwortverzeichnis versehen sein. Neben detaillierten Infos zu Computerviren wird auch der VIRENDETEKTOR in allen Funktionen über das in dieser Datei beschrieben Maß hinaus beschrieben werden. Es ist klar, daß ich dieses Handbuch nicht kostenlos mitliefern kann, die Druckkosten liegen zu hoch, um diese auch noch mit dem Sharewarebeitrag zu finanzieren. Registrierte User werden bei Erscheinen des Handbuchs benachrichtigt und können das Handbuch dann auf Wunsch bei mir beziehen. Der Preis steht noch nicht fest, da ich die genauen Druckkosten noch nicht kenne. Vorläufig empfehle ich Ihnen, diesen Text auszudrucken, dann haben Sie ein Handbuch, nach dem sich viele andere SHAREWARE-Programmautoren die Finger schlecken würden. Zum Ausdrucken dieses Textes ist es am günstigsten, den Drucker auf 12 cps (ELITE) und auf einen Rand von 6-8 Zeichen einzustellen. Um den Aufwand und die Kosten so klein wie möglich zu halten, werden auch keine Registrierungen per Nachnahme abgewickelt. Rechnungen oder ähnliches stelle ich nur auf ausdrücklichen Wunsch aus. Lediglich kommerzielle Nutzer, die eine "Spezialversion" des VIRENDETEKTORS bestellen möchten (siehe Kapitel X) erhalten diese selbstverständlich ohne einen zusätzlichen Hinweis gegen Rechnung. Sollten Sie auch einen MS-DOS-kompatiblen Rechner besitzen - oder einen PC-Emulator (PC-Speed, AT-Speed, AT-Once, ...), dann benötigen Sie auch für dieses System einen Virenkiller, denn der VIRENDETEKTOR läuft natürlich nur unter TOS. Ich kopiere Ihnen auf Wunsch gerne die aktuellste Version des McAfee-VirusScan mit auf die VIRENDETEKTOR-Diskette (natürlich kostenlos). Dieser SHAREWARE-Virenkiller ist ohne Zweifel das leistungsfähigste Programm dieser Art unter MS-DOS. Ich habe ständig die aktuellste Version - direkt aus den USA - vorrätig. Beachten Sie, daß auch dieses Programm SHAREWARE ist und Sie es bei regelmäßiger Benutzung bezahlen müssen. X. Hinweise für kommerzielle Nutzer und PD-Versender ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Wenn Sie dieses Programm zu kommerziellen Zwecken einsetzen (zum Beispiel zur Überprüfung aller von Ihnen vertriebenen Disketten oder ähnlichem), dann können Sie von mir eine "Spezialversion" bekommen. Damit ist es zum Beispiel möglich, alle Disketten mit einem Immunisierungsbootsektor zu versehen, der beim Booten einen Text IHRER WAHL (ca. 380 Bytes) ausgibt. Zum Beispiel: VIRENDETEKTOR sagt: ************************************* * * * Diese Diskette wurde von * * XYZ-Software * * Hampelweg 69 * * 1234 A-Dorf * * auf Virenbefall überprüft * * * ************************************* Dieser Text oder Teile des Textes können auf Wunsch invers dargestellt werden. Dies ist nicht nur eine gute Werbung für Sie, schließlich bleibt der Bootsektor auch erhalten, wenn PD-Disketten privat weiterkopiert werden, es zeigt auch, daß Sie diese Diskette mit einem der leistungsfähigsten Virenkiller auf Virenfreiheit überprüft wurde. Damit hat der Käufer die Gewissheit, auch tatsächlich virenfreie Software zu bekommen. Außerdem ist der VIRENDETEKTOR zur Zeit der einzige Virenkiller, der Ihre Disketten trotz der Immunisierung in einem MS-DOS-kompatiblen Zustand beläßt. Für eine derartige Anpassung des VIRENDETEKTORS erhöht sich die Registrierungsgebühr um 50,- DM; falls Sie noch nicht registriert sind, erhalten Sie eine solche Version also für 80,- DM. Eine Änderung des Textes (wenn sich z.B. Ihre Geschäftsanschrift ändert) ist jederzeit gegen eine Gebühr von 10,- DM möglich. Schreiben Sie den gewünschten Text bitte deutlich und geben Sie inverse Bereiche durch unterstreichen oder Fettdruck an. Ich bin auch gerne bereit, andere Sonderwünsche zu berücksichtigen, sofern der Aufwand dafür in einem angemessenen Rahmen bleibt. Bitte beachten Sie folgendes: Alle Rechte an diesem Programm liegen beim Autor, daher darf das Programm ohne meine Zustimmung nicht verkauft werden, keinem kommerziellen Produkt beigelegt werden (Verbot der Zugabe zum Warenverkauf) und nicht in Mailboxen angeboten werden, in denen der Download gebührenpflichtig ist! Die für die Versionen 3.1 bis 3.1f eingeführte "Sperrfrist" für Mailboxen habe ich (zumindest vorläufig) wieder fallengelassen. EIN VERTRIEB ÜBER CHANNEL VIDEODAT ODER VERGLEICHBARE SYSTEME IST SEIT DER 3.0 AUSDRÜCKLICH UNTERSAGT! Die Weitergabe des VIRENDETEKTORS durch PD-Anbieter ist aber durchaus gestattet, sofern dem Kunden nur die Kosten für die Dienstleistung (also das Kopieren der Diskette) und damit zusammenhängende Kosten in Rechnung gestellt werden. Sollte der Preis für den VIRENDETEKTOR (incl. einer Diskette) eine Summe von 10,- DM übersteigen, gehe ich von einer kommerziellen Vermarktung des Programms aus, die nach dem Urheberschutzgesetz ohne meine Zustimmung nicht gestattet ist! Alle PD-Serien, in die der VIRENDETEKTOR ab Version 3.1 aufgenommen werden soll, dürfen keinen weitergehenden Einschränkungen unterliegen, was die Anfertigung und Weitergabe sowohl von privaten wie auch von gewerbsmäßig vertriebenen Kopien betrifft, sofern diese Einschränkungen nicht ohnehin inhaltlicher Bestandteil der Datei HINWEIS.TXT sind. Daraus ergibt sich, daß die Übernahme von VIRENDETEKTOR-Versionen ab 3.1 in die sogenannte PD-POOL Serie, für deren Disketten ab Disk 2231 ein sogenanntes "Autorenhonorar" gezahlt wird und deren gewerblicher Vertrieb PD-POOL Mitgliedern vorbehalten bleibt, UNTERSAGT ist. Gleiches gilt für andere PD-Serien, die vergleichbaren Bedingungen unterliegen. Solche "Autorenbeteiligungen" haben meiner Ansicht nach mit Public Domain oder SHAREWARE nichts zu tun! SHAREWARE bedeutet, daß man ein Programm eben gerade NICHT VORHER, sondern erst dann bezahlt, wenn man es regelmäßig benutzt! Daß PD-Händler für ihre Arbeit eine kleine Gebühr pro Diskette verlangen müssen, ist selbstverständlich. Doch abgesehen von den 3-4 DM, die man bei preiswerten Händlern pro Diskette zahlt, ist das Programm zunächst einmal kostenlos. Ich will auch kein Geld von Leuten, denen mein Programm nach einer Testphase dann doch nicht gefällt. Um es nochmals zu betonen: Eine Weitergabe des Programms durch PD-Anbieter ist dann gestattet, wenn die Gebühr für das Kopieren (incl. der Diskette) einen Betrag von 10,- DM nicht übersteigt! Es wäre schön, wenn Sie als PD-Anbieter sich auch dann bei mir als Anwender registrieren ließen, wenn Sie dieses Programm NICHT selbst verwenden! Schließlich liefern die PD- und SHAREWARE-Autoren Ihnen quasi Ihre "Lebensgrundlage". Und ein wenig Resonanz würde manche SHAREWARE-Autoren vielleicht davon abhalten, Ihre Programme über andere Kanäle zu verbreiten. Bei vielen SHAREWARE-Programmen gehen die Autoren nämlich inzwischen dazu über, den PD-Versendern die Weitergabe Ihrer Programme zu untersagen. Aktuelle Beispiele sind die Programme GEMINI, RUFUS, SYSMON und eine große Zahl an weiteren erstklassigen SHAREWARE-Programmen. Ich habe allerdings auch Verständnis, wenn sich ein PD-Versender nicht bei jedem SHAREWARE-Autor, dessen Programm er vertreibt, registrieren läßt. Die Unkosten wären in diesem Falle viel zu hoch. Aber überlegen Sie einmal, ob Sie sich nicht wenigstens jeden Monat bei EINIGEN Autoren registrieren lassen. Schließlich profitieren auch SIE von der Bereitschaft der Autoren, Ihre Programme als SHAREWARE oder Public-Domain zu verbreiten. Der kommerzielle Vertrieb von Disketten (also auch der Vertrieb von PD-Disketten), auf denen der Immunisierungs-Bootsektor des VIRENDETEKTOR aufgebracht wurde, ist nur registrierten Benutzern gestattet! XI. Schlußwort ¯¯¯¯¯¯¯¯¯¯ Ich hoffe, dieser Text hat Ihnen einen kleinen Einblick in die Lage an der "Virenfront" auf dem Atari ST gegeben und der VIRENDETEKTOR hat Ihnen im Kampf gegen Computerviren gute Dienste geleistet. Ich würde mich freuen von Ihnen zu hören - für Anregungen und Kritik habe ich immer ein offenes Ohr. Selbstverständlich habe ich alle Sorgfalt walten lassen, um ein fehlerfreies Programm zu erstellen. Trotzdem sind Fehler nie ganz auszuschliessen. Deshalb kann weder die juristische Verantwortung noch irgendeine Haftung von Seiten des Autors für eventuelle Schäden an Daten oder Programmen, die direkt oder indirekt auf die Benutzung dieses Programms zurückzuführen sind, übernommen werden! Viel Spaß bei der Arbeit mit dem ST und wenig Ärger mit Viren wünscht Ihnen Volker Söhnitz Anhang: ¯¯¯¯¯¯¯ Hier finden Sie eine Reihe von Antworten zu Fragen, die mir bislang mehrfach zum VIRENDETEKTOR gestellt wurden. Sollten Sie noch irgend etwas von mir wissen wollen, sollten Sie nicht sicher sein, ob ein Problem auf Virenbefall oder auf eine andere Ursache zurückzuführen ist oder falls Sie mir eine Diskette zur genaueren Analyse zuschicken wollen, dann beachten Sie bitte folgendes: Ich antworte gerne auf Fragen von registrierten Benutzern, ich bin auch gerne bereit, Hilfestellung bei Problemen rund um den ST/TT zu geben, ich möchte Sie jedoch um folgendes bitten: Legen Sie ausreichend Rückporto bei, wenn Sie eine Antwort haben wollen oder wenn Sie Ihre Diskette zurückgeschickt haben möchten. Ich kann Anfragen ohne Rückporto leider in Zukunft nicht mehr beantworten. FRAGE: Bei einigen Spieledisketten meldet der VIRENDETEKTOR ein oder zwei "virentypische Eigenschaften", kommt aber dennoch zu dem richtigen Schluß, daß es sich höchstwahrscheinlich nicht um einen Virus handelt. Wie ist das zu erklären? ANTWORT: Auch harmlose Bootsektoren können das eine oder andere Virenmerkmal enthalten, je nachdem was das Bootprogramm tut. Der VIRENDETEKTOR erkennt an Anzahl und Art der gefundenen Merkmale, die auch unterschiedlich gewichtet werden, ob es sich um einen Virus handelt oder nicht. Wenn Sie mir einen unbekannten Spielebootsektor als Datei zuschicken, werde ich eine entsprechende Erkennung in die nächste Programmversion einfügen. Geben Sie bitte den Namen des Spiels ebenfalls an. FRAGE: Manchmal wird deutlich hörbar auf meine Festplatte zugegriffen, obwohl das gerade laufende Programm keine Lade- oder Speichervorgänge durchführt. Der VIRENDETEKTOR findet aber auch keinen Virus. Woran liegt das? ANTWORT: Einige Festplatten führen in gewissen Zeitabständen selbstständig eine automatische Rekalibrierung der Spurlage durch. Dies wird oft fälschlicherweise für einen Schreib- oder Lesezugriff durch einen Virus gehalten. Somit ist das beschriebene Verhalten also völlig normal und kein Grund zur Besorgnis. **************************************************************************** Bitte ändern Sie weder dieses File noch das dazugehörige Programm! Falls Sie diese Diskette oder das Programm VIRENDETEKTOR weiterkopieren, dann bitte mit allen Files (außer den Dateien VIRENDET.HD und VIRDPROT.INF)!