          I N F O R M A T I O N E N & T I P S   B E R  V I R E N          
          =======================================================
 
        
          
 Was sind Computerviren ?
 ------------------------
 
 Computerviren sind eigenlich ganz "normale" Computerprogramme, die sich 
 selbstndig und unbemerkt verbreiten und Schden aller Art anrichten.
 Der Begriff "Computervirus" wird auch oft fr schdliche und zerstrer-
 ische Programme verwendet, die streng genommen eigentliche keine echten
 Viren sind, da sie sich nicht selbstndig vermehren. Im folgenden Textver-
 lauf wird nicht nher dazwischen unterschieden: Nennen wird eben jedes
 schdliche Programm einmal Computervirus - Einem geplagten Anwender drfte
 es wohl auch ziemlich egal sein, ob Schden nun von einem Computervirus
 oder einem zerstrerischem Programm verursacht werden.
 Ein Computer kann sich zunchst einmal nicht gegen Computerviren wehren:
 Fr ihn ist ein Programm wie das andere - egal ob schdlich oder nicht. 
 Fr viele scheinen Computerviren achte (ja sogar neunte oder zehnte) Welt-
 wunder zu sein - Eigentlich sehr verwunderlich, denn ein Computer ist doch
 objektiv: Ob ein Format-Befehl jetzt vom Festplatteninstallprogramm oder
 einem Computervirus verursacht wird ist ihm vllig egal.
 Es war eigentlich von vorne herein klar, da es so etwas geben knnte.
 Die ersten Computerviren gab es brigens in Science-Fiction Geschichten.
 In den 80'er Jahren brachten Fred Cohen's theoretische Grundlagen den
 ersten Virus auf den Papier fertig. - Die ersten (richtigen) Computerviren
 gab es erst ca. 1986. 
 Falls man den Begriff Computervirus streng auslegt sind folgende Merkmale
 charakteristisch: 
 
   - selbstndige Verbreitung (wichtigstes Merkmal)
   
   - oft Mutation (selbstmodifizierender Code)

   - meistens ein krimineller Auftrag (Manipulation und Zerstrung von
     Daten)
     
 In der Praxis jedoch wird der Begriff Computervirus eigentlich generell
 fr Programme aller Art verwandt die vorstzlich Schden aller Art an-
 richten und nicht unbedingt die obigen Mermale erfllen.     
 Einer der wichtigsten Punkte mu hier an dieser Stelle (ja genau an dieser
 Stelle - irgendwas dagegen ?) nochmals erwhnt werden: Ein Computervirus
 ist ein Programm wie jedes andere - das bedeutetet, da der Virus nur ge-
 fhrlich werden kann, falls er gestartet wird.
 
 Wie wird nun ein Programm gestartet ? 
 
   - Start durch den Benutzer selbst
     (Ein Virus knnte ein sogenanntes trojanisches Pferd sein - Im
     Vordergrund knnte er fr den Benutzer ein Spiel oder eine andere
     Anwendung sein whrend er im Hintergrund seine ruchlosen Taten begeht)
     
   - Aufruf innerhalb einer Batchdatei (z.B. startup-sequence, autoexec.bat)

   - Das Programm liegt in einem Verzeichnis aus dem beim Booten alle Pro-
     gramme selbstndig gestartet werden (z.B. WBStartup)
     
   - Das Programm wird durch ein anderes Programm gestartet
   
   - Das Programm steht im Bootsektor einer Diskette oder Festplatte und
     wird beim Booten gestartet
     
   - Eine der raffiniertesten Mglichkeiten fr den Start eines (Virus-)
     programms ist es Sicherheitslcken im Betriebssystem auszunutzen:
     Auf dem Amiga unter Kickstart 1.X zum Beispiel wurde wenn eine de-
     fekte Diskette eingelegt von dieser aus dem L Verzeichnis das Programm
     Diskvalidator gestartet - Da die Disketten defekt waren dafr sorgte
     der Virus (Saddam-Diskvalidatorvirus) fleiig - Auf Kick 2.X und hher
     wurde dieses Phnomen dadurch abgestellt - Danke Commodore). Nicht 
     lachen ! Auch auf anderen Computersystemem ist so etwas auch durchaus
     mglich.
     
 Ein Virus ist natrlich auch beim Ausschalten des Computers aus dem 
 flchtigen Arbeitsspeicher - wie jedes andere Programm auch - gelscht.
 Deshalb bemhen sich Viren oft darum, da sie automatisch gestartet wer-
 den.
 Selbstverstndlich ist ein Virusproramm - wie jedes andere Programm auch
 (ich glaube ich wiederhole mich) - nur auf dem Computersystem lauffhig
 auf dem es erstellt wurde. Das heit, wenn man zum Beispiel aus dem Inter-
 net (verseuchte) PC-Programme absaugt, sind diese nur PCs lauffhig und
 nicht zum Beipiel auf Ataris.
 Sag niemals nie - wenn in einem Computersystem eine Emulation fr ein 
 anderes Computersystem installiert ist es sicherlich technisch machbar,
 da man vom einen System aufs andere Zugreifen kann ! Vorsicht ist be-
 sonders dort geboten wo beide Systeme auf der gleichen Festplatte laufen.
 Eine weitere Ausnahme knneten Shell-Skripte unter UNIX sein.
 Ein letzter Punkte knnten noch System mit gleichen Prozessoren sein - 
 es ist nicht ganz auszuschlieen, da ein Virus eine Fallunterscheidung
 fr jedes System treffen knnte - das wre allerdings eine sehr exotische
 Mglichkeit.
 Damit sich ein Computer gegen Viren wehren kann gibt es Schutzprogramme 
 wie Virenscanner, Backgroundchecker und Checksummer.
 Auch zu erwhnen ist spezielle Antivirushardware die es vorallem auf den
 PCs (Was finden die Leute eigentlich an diesen Kisten ?) gibt.
 Bestimme Betriebssysteme wie z.B. Unix oder VMS (Hallo kleine VAX ich hasse
 dich) lassen Viren aufgrund ihres hohen Sicherheitsstandards erst gar nicht
 zu - es sei denn ein Programm wird unter dem Account eines Systemmangers 
 gestartet...
 
  
 Wer programmiert Virenkiller:
 -----------------------------

 Die Guten (Good Guys).
 
 
 Wer programmiert Computerviren:
 -------------------------------
  
 Die Bsen (Bad Guys). 
 
 Die weitaus grte Gruppe bei der Virenproduktion stellen Leute dar, die
 mit Hilfe von einfachen Editoren einfach in bestehenden Viren Texte n-
 dern. - Das geht uerst leicht und ist brotlose Kunst; die meisten Killer
 finden solche echten Clones von vorne herein.
 Ein bichen komplizierter (setzt Assemblerkenntnisse voraus) ist die
 Reassemblierung von bestehenden Viren (Maschinencode wird wieder in
 Assemblerbefehle zurckverwndelt). Das Vorbild wird mit mehr oder weniger
 groen nderungen versehen und wieder assembliert. 
 Egal beide Gruppen sind Versager. Fr die Looser unter den Versagern gibt
 es noch Viruskonstructionkits (Vorallem fr PC's) bei denen lediglich noch
 ein paar Gadgets anzuklicken sind um einen Virus zu erzeugen.
 Die groe Mehrheit der im Umlauf befindlichen Viren sind also nur mehr 
 oder weniger genderte Kopien von Originalen.

 Die zweit grte Gruppe (die grte der richtigen Virenprogrammierer) sind
 irgendwelche Spinner und Angeber, die sich ganz gro vorkommen, wenn ihr
 Virus um die Welt reit, in Computermagazinen und in den Tagesthemen (!)
 erwhnt wird und nicht zuletzt wenn er groe Schden anrichtet. Es gibt
 sogar schon richtige Clubs von Virenprogrammierern ...
 
 Sehr viele Viren (oft besonders gefhrlich) werden auch professionellen
 Programmierern programmiert um in Selbstjustiz Raupkopierer zu bestrafen.
 Tatschlich scheinen die Raupkopierer auch die grte Zahl der Betroffenen
 zu sein, die ein Virus heimsucht. - Leider werden auch sehr viele andere
 ehrliche User von Viren getroffen. 

 Viele als Antiviren gedachte Programme richten ebenfalls Schden an. Diese
 minderwertigen Programme (meistens Bootblcke) verhalten sich in weiten
 Teilen genau gleich wie Viren und der Zweck ist meistens einer: Mit dem
 eigenen Namen/Programm anzugeben.

 Weitere "Viren" werden von Spionen (z.b. Deutscher Hack in Berkeley), Sabo-
 teuren und Hackern programmiert. Zweck: Einbruch in Netzwerke und Daten-
 banken, Aussphung von Daten und Erlangung von Systemmanagerrechten.
 Die Bezeichnung Sabotageprogramme/Einbruchswerkzeuge trifft die Sache 
 natrlich besser - Fr Netzeinbrche werden oft auch Tools benutzt die
 berwiegend von Netzadministratoren eingesetzt werden und frei erhltlich sind.

 Manche Viren zu Demonstrationszwecken (z.b. fr Test eines Virenkillers)
 kommen unbeabsichtigt in Umlaufbahn.
 
 Was zum Beispiel ebensfalls die Produktion von Viren frdert, war z.b.
 in den USA ein Wettbewerb (mit hoher Prmie) eines Geheimdienstes fr den 
 besten Computervirus...


 Ist das Programmieren von Viren schwierig ?
 -------------------------------------------
 
 War es viellicht frher mal. Heute ist es brotlose Kunst, da alle wichtigen
 Informationen zu Betriebssystemen in Bchern zu kaufen sind.
 Jeder halbwegs gute Systemprogrammierer knnte eine Virus programmieren.
 Sehr viele existierende Viren sind laienhaft programmiert. Somit blamieren
 sich viele Virenprogrammierer eher mit den in ihrem Virus zur Schau ge-
 stellten Kenntnissen.
 Und die, die einen "guten" Virus programmiert haben, bleibt auch kein Ruhm
 brig: Sehr viele knnten heute hnliches oder besseres herstellen.
 Also Jungs, wechselt zu den Guten, mit guten Virenkillern lt sich wirk-
 lich Rum (nein, natrlich Ruhm) einheimsen.
 Die besten Kenntnisse auf dem Gebiet der Computerviren haben ohnehin
 die Viruskillerprogrammierer denn die kennen auch alle Tricks - Viren-
 programmierer wer sind denn die ? Doch nur armselige Witzfiguren !
 Am Ende schadet sich ein Virenprogrammierer nur selber, allein schon mit
 dem Zeitverlust, den er sich mit wertlosem Viren programmieren zufgt - 
 ganz abgesehen von mglichen fr ihn noch viel schlimmeren Folgen.
 Einige Virenprogrammierer wurden schon von Konkurrenzviren bekehrt, die 
 ihre Datensammlung zerstrten. - Damit sahen sie endlich ein, was sie fr
 einen Schaden angerichtet hatten. Genau brigens wie ehemalige Raupkopierer
 , die jetzt selber kommerziell programmieren und sich ber Raupkopierer 
 aufregen. 
 
 
 Technische Beschreibung von Viren :
 -----------------------------------
 
 Das Hauptziel von Viren ist, sich mglichst oft zu verbreiten um zu einem
 spteren Zeitpunkt den maximalen Schaden anrichten zu knnen. 
 Die Schden knnen beispielsweise folgende sein: Das kann eigentlich alles
 erdenkliche sein, angefangen von Belegung von kostbarem Speicherplatz und
 Ausgabe von Meldungen ber Verminderung von Rechenleistung, Strungen
 (z.b. Sperren der Tastatur), Aussphen von Daten, Zerstrung von Daten,
 Datenmanipulation bishin zur Verflschung von Rechenergebnissen.  
 Das Verflschen von Rechenergebnissen ist besonders kriminell, es kann zu
 viel hhern Schden fhren, als "nur" durch Zerstrung von Daten.
 
 Viren tarnen oft ihre Aktivitten sehr geschickt um den Anwender nicht
 mitrauisch zu machen.
 Zum Beispiel fngt ein Virus im Allgemeinen nicht aus heiterem Himmel an
 auf die Massenspeicher zuzugreifen.
 Er wartet auf seine Chance wenn andere Daten geschrieben werden sollen.
 Dann gehen die Kontrollampen ohnehin an und es fllt nicht auf wenn der
 Virus mitgeschrieben wird. 
 Manche Viren erdreisten sich aber noch ganz anders: Sie geben tuschend
 gleiche Systemmeldungen aus, damit der Anwender unter einem Vorwand dazu 
 veranlat wird, den Schreibschutz seiner Diskette zu entfernen.
 
 Da ein Virus die teure Hardware beschdigt ist eigentlich nahezu auszu-
 schlieen. Allerdings tauchen verzeinzelt Berichte auf, in denen behauptet
 wird es wre zu Hardwareschden gekommen. Bei alten Monitortypen wre dies
 theoretisch mglich - auch eine Dejustierung von Diskettenlaufwerken durch
 ungewhnliche Belastung ist nicht auszuschlieen. Im Moment ist es aber
 nicht angebracht sich darber grere Sorgen zu machen.     

 Folgende Virenarten gibt es:
 

 Bootviren :
 -----------
 
 Zum einem gibt es die Bootviren. Sie befinden sich in einem Bereich der
 Diskette (dem sog. Bootblock, aus dem Programme automatisch gestartet
 werden) wo sie wenn die Diskette angebootet wird, sofort gestartet werden.
 Sie werden nur gestartet wenn die Diskette gebootet wird, das heit also
 nicht bei jedem Einlegen. Einmal gestartet reit das Virusprogramm die
 Kontrolle an sich. Meistens macht es sich resetfest, das heit wenn Sie
 einen Warmstart (ja der, der mit den drei Tasten) machen, macht es dem
 Virus berhaupt nichts aus: Er infiziert sogar jede ungeschtzte Boot-
 diskette, die sie einlegen. Die meisten Bootviren gehen noch weiter und
 infizieren jede eingelegte ungeschtzte Diskette.
 Mit Hilfe von Manipulationen im Betriebssytem knnen noch ganze andere
 Sachen geschehen: Wenn Sie nun mit einem Virenkiller, der das Betriebs-
 system nicht auf Virenbefalll berprft, Disketten berprfen, kann der
 aktive Virus einenen sauberen Bootblock vortuschen. 
 Auch fngt er Befehle zum Installieren des Bootblocks ab: Wenn man denkt,
 man knnte den aktiven Virus auf Diskette einfach mit einem Install Befehl
 ins Jenseits schicken, hat man sich geirrt. Der Virus nutzt smtliche In-
 stallbefehle um sich selber zu verbreiten. 
 Viele Viren knnen aber noch mehr, als die oben beschriebenen Aktionen aus-
 fhren.
 Manche Bootviren tuschen vor, da der Virusbootblock (in Wirklichkeit aber
 schon gestartet) nicht bootfhig sei usw....
 Auerdem ist es mglich, da Viren sich unter Umstnden auch die Boot-
 sektoren von Festplatten zu Nutze machen.
 Die oben genannten Manipulationen gelten natrliche fr alle Viren.
 Falls ein Computervirus als erster im System ist (er also vor einem Viren-
 killer aktiv ist) wird es fr Virenkiller, die nachtrglich gestartet wer-
 den zum Zeil sehr sehr schwer.
 Bleibt also das Fazit: Ist der Virus als erster im System ist alles fr
 ihn mglich.
 Deshalb es wichtig, da immer zuerst (oder auch permanent) ein Viruskiller
 bzw. Antivirushardware gestartet ist, falls beim Start eines bestimmten
 Programms Gefahr besteht.
  
 Fileviren :
 -----------
 
 Eine weitere Gruppe sind die sogenannten Fileviren. Sie sind meistens fr
 den Benutzer ganz normale sichbare Programme im Verzeichnis oder auf der
 Benutzeroberflche.
 Oft fgen sie eine zustzliche Zeile in die Startup-sequenzen ein, so da 
 sie bei Ausfhrung dieses Batch-Programms ebenfalls gestartet werden. 
 Manche dieser Fileviren sind sog. trojanische Pferde. Sie brauchen nicht
 dafr zu sorgen automatisch gestartetet zu werden, der Benutzer startet sie
 selbst. 
 Sie tarnen sich zum Beispiel als harmloses Spiel und whrend man spielt 
 wird nebenher ein Virus installiert.
 
 
 Linkviren :
 -----------
 
 Dieses ist raffinierteste Gruppe: Diese Viren hngen (engl. to link) sich
 einfach an ganz normale Programme an und berschreiben bzw. verlngern
 diese. Wird ein so infiziertes Programm gestartet, wird auch gleich der
 Virus mitgestartet.
 Diese Viren knnen sich aber zum Teil auch an object und overlay-
 Dateien anhngen.
 
 Disk-Validator-Viren (AMIGA) :
 ------------------------------
 
 Das sind eigentlich auch Fileviren. Sie werden unter Kickstart 1.2 und 1.3
 unter bestimmten Vorraussetzungen (die der Virus natrlich eifrig herbei-
 fhrt) automatisch beim Einlegen gestartet. 
 Wie man in ein Betriebssystem einen derartigen Schwachsinn einbauen kann
 (von einer defekten(!) Diskette automatisch ein Programm starten) ist ein
 Rtsel, jedenfalls ist dieses Phnomen auf Kickstart 2.04 und grer nicht
 mehr vorhanden.  
 
 Aus all diesen Virusarten sind (bzw. es gibt sie schon) alle mglichen 
 Kombinationen denkbar: Kombinationen aus Boot- und Linkviren sind in
 letzter Zeit hufiger aufgetreten (sogenannte Hybridviren). 
 Viele Viren verschlsseln sich bei einer Verbreitung vollstndig neu, um
 Virenkiller zu tuschen. 
 Verbiegen Viren bestimmte Systemvektoren um sich "unsichtbar" zu machen
 spricht man oft auch von Tarnkappen und Stealthviren - sie entfernen sich
 nach einer Infektion wieder aus dem System oder tuschen dem System vor,
 da sie gar nicht vorhanden sind.  
 Verschlsseln sie sich immer wieder neue wird entweder von encryption oder
 polymorphen Techniken gesprochen.
 Machen sich die Viren resetfest wird auch von residenten Viren gesprochen.
 Programme die sich in groer Zahl in (weltweiten) Computernetzwerken ver-
 breiten werden meist als sogenannte Wrmer bezeichnet.
 
 
 Directory-Viren :
 -----------------
 
 Dies sind sehr gefhrliche Viren (vorallem auf PCs). Fr jede Datei gibt
 es einen Eintrag in dem steht auf welchem Block der Festplatte die Daten
 der Datei oder der Code des Programms beginnt: Der Virus verbiegt nun
 diesen Blockzeiger auf seinen eigenen ersten Startblock und wird beim
 Start des Programms statt dessen gestartet - Natrlich merkt sich der
 Virus den alten Blockzeiger und startet anschlieend das ursprngliche Pro-
 gramm. Zustzlich trgt der Virus seine eigenen Blcke in den Verwaltungs-
 blcken der Festplette als defekt ein um unbehelligt zu bleiben.
 Fr eine Infektion mu der Virus also nur Blockzeiger verbiegen und fllt
 bis auf die vermehrte Anzahl der defekten Blcke kaum auf - Das Entfernen
 des Viruses ist zum Teil kompliziert da zuerst einmal die alten Blockzeiger
 restuariert werden mssen.
 Spezielle Programme (meistens Reparaturprogramme) knnen aber feststellen,
 da viele Programme alle mit dem gleichen Sektor beginnen - dann fliegt
 auch dieser Schwindel auf. Vorsicht ! - Versucht man mithilfe eines 
 solchen Programms die Datenstruktur zu reparieren kann das mit fatalem
 Datenverlust enden.
 
 
 ANSI-Bombe :
 ------------
 
 Diese Viren vertauschen die Aktion die durch ein bestimmtes Kommando
 ausgelst werden soll: In der Shell gibt der User zum Beispiel dir
 Verzeichnis ein - das Ergebnis ist aber ein del Befehl...
 
 
 Mutation :
 ----------
 
 Hier werden Sie sich wohl fragen ob hier Tips zur Virenherstellungen
 gegeben werden: Ich kann Sie beruhigen alle diese Verfahren sind lngst
 bekannt und ein offenes Geheimnis - Es gibt also keinen Grund sie hier
 nicht zu erwhnen.
 Es ist wie mit den Chiffrieralgorithmen wegen denen zum Teil Programme
 aus den USA fr den Export in andere Lnder gendert werden mssen :
 Alles schon bekannt.
 
 Es gibt drei verschiedene Mglichkeiten wie ein Virus selbstmodifizieren-
 den Code generieren kann:
 
   - Encryption:
   
     Ist der Viruscode in den Speicher geladen entschlsselt der unver-
     schlsselte Teil den verschlssselten bevor dieser verwendet wird.
     
   - Ein Maschinenenbefehl greift auf die Adresse des nchsten Befehls zu
     und berschreibt ihn mit einem anderen Befehl - dieser Trick soll die
     Entschlsslung durch Viruskillerprogrammierer erschweren (der nchste
     reassemblierte Befehl wird ja durch den vorigen verndert - man mu 
     also die Vernderung durch den vorherigen Befehl bercksichtigen).
     
   - quivalente Befehle:
   
     Mit dieser Methode ist es mglich Programme vollstndig neu zu ver-
     schlsseln. Bei der Encryptionmethode war immer die Entschlsselungs-
     routine gleich - also war der Virus trotz verschlsseltem Teil leicht
     zu finden.
     Bei dieser Methode werden Befehle durch quivalente ersetzt oder in
     mehrere andere aufgesplittet bzw. in einen zusammengefat.
     Zum Beispiel kann die bitweise XOR Operation durch mehrere AND OR und
     NOT Operationen ersetzt werden und umgekehrt.
          

 Arten von Virenkillern :
 ------------------------
 
 Bevor man Virenkiller einsetzt sollte man unbedingt dafr sorgen, da
 alle Daten vorher gesichert sind damit, falls es zu Problemen und Schden
 kommt, der vorherige Zustand wieder hergestellt werden kann.
 
   - Virenscanner:
   
     Finden Viren aufgrund von Checksummen des Programmcodes  (oder mit
     einfachem Vergleich mit Teilen des Virusprogrammcodes) bzw. nach 
     neueren Verfahren durch Analyse der Befehle eines Programmcodes
     (dabei kann aber bur mit einer bestimmten Wahrscheinlichkeit auf einen
     etwaigen Virus geschlossen werden - Das Verfahren nennt sich Heuristik).
     Dieser Virenscanner mu aber unbedingt durch einen Systemobserver
     gegen mgliche Tuschungsversuche, die von aktiven Viren ausgehen
     knnten, geschtzt werden. 
      
   - Systemobserver:
   
     Klinken sich (resetfest) ins Betriebssystem ein und fangen ver-
     dchtige Aktionen, die durch Viren versacht sein knnten, ab.  
     Sie berwachen beispielsweise Interrupts, Vektoren, Libraries und
     den Taskscheduler. 
     Dabei sind Probleme aber nicht ganz auszuschlieen da der System-
     observer eigentlich schon ein teil des Betriebssystems ist und mit
     eben diesem manchmal in Konflikt kommt. Diese Materie ist so komplex,
     da eben niemals alles vorhersehbar ist.  
     
   - Checksummer:
     
     Diese bilden ber jede Datei eine Checksumme und schlagen Alarm falls
     sich eine Datei ndert - dann es aber schon zu spt sein. Auch mssen
     die Checksummer wieder durch einen Systemobserver geschtzt werden.
                   
   - Antivirushardware:
   
     Die obigen Programme sind natrlich machtlos, falls die Viren direkt
     die Hardware programmieren und das Betriebssystem umgehen. Soetwas
     kann nur durch spezielle Antivirushardware verhindert werden die auf
     Hardwareebene Schreibsignale abfangen.
     
                         
 Zukunftsaussichten :
 --------------------
 
 Dieser kleine Bericht ber Viren stellt natrlich nur die allerwichtigsten
 Informationen dar. Wollte man wirklich ausfhrlicher ber Viren berichten
 , so knnte man leicht ein greres Buch damit fllen.
 Dennoch ein kleiner Ausblick, was Viren sonst machen bzw. wo sie sich ver-
 stecken knnen bzw. knnten:
 
  - Mit jedem neuen Betriebssystem steigen auch die Chancen fr Virenpro-
    grammierer neue Ideen zu verwirklichen
   
  - Shellskripte und Batchprogramme als Viren 
  
  - Rexxprogramme als Viren  
 
  - unsichtbare Filenamen (aus unsichtbaren Steuerzeichen)
  
  - Protectionflags auf script mglich setzen
  
  - Nutzung der resetfesten Ramdisk
  
  - nderungen ber programmgesteuerte Editoren 
  
  - Viren als Basicprogramme
  
  - Viren in Runtimemodulen
  
  - nderungen an Sourcefiles
  
  - Viren in Compilerlinklibraries
  
  - Viren in Compilerincludes
  
  - Viren in shared libraries 
  
  ... so, jetzt langts fr's erste
  
    
  Verschiedene Hardwarekonfigurationen :
  --------------------------------------

  Sehr viele Viren, vor allem Bootviren, strzten bei hherern Kickstart-
  versionen als 1.x ab, da sie direkt ins Rom springen.
  Anmerkung: Ein Absturz knnte auch vom Virus nur vorgetuscht sein.
  Aber auch Virenprogrammierer knnen systemkonform programmieren:
  Die meisten File- und Linkviren funktionieren auf jeder Kickstartversion.
  Aber Vorsicht: Manche Viren sind trotz Absturz voll aktiv und/oder knnen
  trotzdem Schden anrichten.
  Vielen Viren blst zustzlich mehr Arbeitsspeicher als 512 KB und ein
  Superfatagnus das Lebenslicht aus.
  Das jedoch grte Hindernis fr Viren sind hhere Prozessoren mit internem
  Cachespeicher (es sei denn sie knnen damit umgehen).
  Vor allem Viren mit selbstmodifizierendem Code strtzen ab. 
  Fazit: Ein Amiga 1200 bzw. 4000 ist kein Schutz gegen Viren.
  Der Trend geht eindeutig zu systemkonformen Viren.
   
   
  Tips zu System mit Harddisk :
  -----------------------------
  
  Der wichtigste Tip ist folgender: Niemals zweifelhafte Programme laufen
  lassen, wenn eine Harddisk im System ist. Lieber die Hardisk ausschalten
  bzw. abklemmen. Das gilt selbstverstndlich auch fr kommerzielle Pro-
  gramme: Zuerst mit Scanner testen, dann unter der Kontrolle eines System-
  observers testen (Keine HD im System lassen !). 
  Fr ein paar Mark ist mittlerweile auch ein Hardwareschreibschutz fr HDs
  mglich - oder man greift selber zum Ltkolben.
  Die meisten Programme mssen aber immer auf HDs schreibend zugreifen - da gibts
  nur eins: System virenfrei (!) booten und HD neu formatieren.
  Auerdem sollte ein PC nicht bei Virenexperimenten im Netzbetrieb laufen ! 
  Das wichtigste, um Datensicherheit bei einer HD zu erreichen, sind aber
  Backups. Nicht nur ein Virus, sondern auch ein unachtsamer Format/Delete
  Befehl oder auch Programmfehler knnen Daten vernichten.
  Das regelmige Backup sollte natrlich nur unter garantiert virenfreier 
  Umgebung gemacht werden. 
  Als Backupmedien sollten, wenn Disketten eingesetzt werden, nur beste Mar-
  kandisketten genommen werden. 
  Natrlich sollte auf ein erstklassiges Backupprogramm Wert gelegt werden.
  "Ein" Backup ist etwas untertrieben: Man sollte nach dem 3er System ar-
  beiten. Das heit auf 3 Diskettenstzen sollten die jeweils letzten 3 Mo-
  mentaufnahmen der HD gebannt werden.
  Die Disketten sollten sicher gelagert werden (Bei wertvollen Daten viel-
  leicht Bankschliefach). 
  Wer will kann zustzlich seine ganzen Daten einzeln auf Disketten nach dem
  3er System sichern.
  Noch ein guter Rat: Lassen Sie nie etwas auf der HD stehen, das Sie nicht
  noch am gleichen Tag auf Diskette bannen (Wir sprechen aus Erfahrung !).
  Halt ! Ein Backup der Files reicht aber nicht. Sie sollten ebensfalls
  wichtige Blcke, nmlich die von 0..x, das ist in den meisten Fllen der
  RigidDisk-Block, sichern (Auf anderen Computersystem natrlich die Blcke
  , die fr einen HD-Boot wichtig sind).
  Viele Viren testen nicht auf "trackdisk.device" und berschreiben z.b. die
  ersten 4 Blcke der Festplatte, die dann natrlich meistens unbrauchbar 
  ist. Der Virus, der eigentlich dazu gedacht war Disketten zu verseuchen,
  berschreibt also wegen eines Programmierfehlers HD-Blcke.
  Mit einem Virenkiller knnen Sie ja die entsprechenden Blcke sichern;
  sollte ihrem Festplattensystem ein derartiges Programm beiligen, verwenden
  Sie lieber dieses, da es speziell fr ihren Controller entwickelt worden
  ist.
  Achtung: Wenn Sie per Software (auf dem Amiga das Bootmen) Festplatte 
  ausgeklinkt  haben, darf kein Reset mehr ausgefhrt werden, denn dann 
  wird die HD wieder in System eingebunden wird - Dann wrde der Virus wie-
  der ins System gelangen.
  Besonders tckisch ist so etwas auf Kickstart 3.X - Nach einem Absturz
  bootet der Amiga wieder vollautomatisch - obwohl bisher nach einem
  Absturz ein Reboot mit einem Mausklick zu besttigen war: Jetzt erfolgt
  nach der Gurrumeditation automatisch ein Reboot.
  
  Komprimierer :
  --------------

  Die Zahl an ihnen ist vllig unkontrollierbar geworden. Kein Viruskiller
  kann noch zustzlich mehr als 100 verschiedene Packerformate automatisch
  entpacken. Das heit, wenn ein Virusprogramm gepackt ist, kann es von
  den meisten Scannern nicht gefunden werden !
  Dagegen hilft nur:
   
   - Cruncher nicht unkontrolliert einsetzen
  
   - Entpackte Programme mit Scanner testen
  
   - Immer Systemobserver einsetzen

  Am besten sind sogenannte systemtransparente Online-komprimierer, die
  sich ins Betriebssystem einklinken und fr andere Programme quasi un-
  sichtbar sind.
        

  Batteriegepufferte Echzeituhr :
  -------------------------------
  
  Es gibt bisher keinen Virus, der sich hier einnistet. Es wird auch nie
  einen geben, da der Speicher dort viel zu klein ist und der Virus dort
  nicht wieder ausgefhrt werden kann.
  Genauso wie auf PCs sich keine Viren sich im CMOS-RAM einnisten knnen. 
  Aber manche Viren/Spiele  bzw. wenn man  mit der falschen WB (z.B. 2.0) 
  auf einem anderen Kickstart (z.B. 1.3) bootet kann die Uhr anhalten
  werden.
  Der Amiga kann dann Meldungen ausgeben, da die Uhr nicht mehr funk-
  tioniert, obwohl das nicht stimmt.
  Mit LTK knnen Sie sie wieder anwerfen bzw. das knnen Sie auch selber
  per setclock-Befehl machen. Die Befehle >= 1.3 bieten hierfhr die Option
  reset.
  Ein weiteres bldsinniges Gercht ist, da wenn in ein sauberes System
  eine verseuchte Diskette ins Diskettenlaufwerk eingelegt wird von dieser,
  wenn das Verzeichnis z.B. mit dir gelesen wird, ein mglicher Virus
  gestartet wird. Keine Regel ohne Ausnahme: Sicherheitslcken im Be-
  triebssystem (s.h. Diskvalidatorviren) knnen dafr sorgen, da auch 
  beim bloen einlegen ein Virus gestartet wird.
  
  
  Virenkiller :
  -------------
  
  Auf Virenkiller bzw. Schutzprogramme in Bootblcken sollte weitgehend 
  verzichtet werden, da sie 
  
    - meistens veraltet sind
    
    - selber Viren sind
    
    - neue Viren falsch anzeigen
    
    - Viren vielleicht verstecken
    
    - unsauber programmiert sind.
    
  Das heit natrlich nicht, da alle Schutzbootblcke schlecht sind, aber
  wirklich gute sind uerst selten.
  Niemals raupkopierte Virenkiller einsetzen. Sie knnten selbst mit Viren
  verseucht sein. Einige Leute machen sich einen Spa daraus, virenver-
  seuchte Viruskillerraupkopien herzustellen und in Umlauf zu bringen.
  Ein Beispiel hierfr ist zum Beispiel der mit einem Lamer Exterminator
  (= Raupkopierer-Ausrotter) Virus verseuchte VirusX.
  Auch mit Virenkillern, die man in Mailboxen oder sonstwo (z.b. Raupkopien)
  bekommt ist Vorsicht geboten: Ein beliebter Trick von Viren ist es, sich
  als Virenkiller zu tarnen.
  
  Ein Viruskiller nutzt natrlich nur dann etwas, wenn man ihn auch kon-
  sequent einsetzt. Am besten sollte man immer von einer schreibgeschtzten
  Diskette starten.
  Auch sollte man nicht daran sparen, sich ab und zu die neueste Version/
  Update zu kaufen.
  Ein weiterer Punkt ist auch die richtige Bedienung des Killers. Wer denkt,
  dieser macht alles von allein, der tuscht sich gewaltig.
  Auch ein Virenkiller ist kein Hellseher und kann in manchen Situationen
  nicht feststellen, ob eine verdchtige Aktion nun von einem Virus ausgeht
  oder nicht. - Ein Requester fordert dann den User zur endgltigen Ent-
  scheidung auf. 
  Wenn ein z.b. format Befehl in der Shell eingegeben wird und der Killer 
  warnt, so ist das verdchtig, aber vom Benutzer gewollt. Wenn man aber
  eine Textverarbeitung startet und ein Bootblockzugriff abgefangen wird,
  so sollten alle Alarmglocken schrillen.
  Auch kann es sein, da sich mal ein Virenscanner irrt. - Das ist bei 
  keinem Killer vollstndig auszuschlieen. 
  100%- tige Sicherheit gab es niemals, gibt es nicht und wird es niemals
  geben. 
  Auf dem PC sind solche Mngel schon fters zu Tage getreten.
  Dort arbeiten einige Killer mit lcherlichen 8 Bytes groen Kennungen
  aus Virenprogrammen - mit dem Ergebnis, da die Irrtmer hufig sind. Ein
  Killer fand zum Beispiel in jedem EXE-Programm einer Turbopascalversion
  einen nicht vorhandenen Virus....
  Man sollte sich erstmal ein verdchtige Diskette kopieren, bevor man 
  mutmaliche Virusprogramme lscht.  
  Ist ein Virus entfernt worden sollte sicherheitshalber sofort anschlieend
  ein erneuter Check durchgefhrt werden (inbesondere falls verschlsselte
  Blcke wieder entschlsselt werden).
  
  
  Virussymptome :
  ---------------
  
  Jetzt folgt eine Listem von Symptomen, die mehr oder weniger deutlich
  auf einen mglichen Virusbefall hindeuten - diese Sysmptome mssen
  aber nicht unbedingt von einem Virus herrhren.
  
    - Anomalien, die bisher nicht aufgetreten sind
  
    - Systemuhr geht schneller oder langsamer
    
    - Programme werden langsamer
    
    - Zugriffe auf die Massenspeicher ohne ersichtlichen Grund
    
    - Der Start von Programm dauert lnger
    
    - Lese-/Schreibzugriffe dauern lnger
    
    - Programme werden lnger
    
    - Programme strzen ab und/oder geben verstmmelte Meldungstexte aus

    - Viele Programme haben den ersten Block gemeinsam
    
    - Probleme bei zeitabhngigen Prozessen wie DF oder Sound
    
    - Kein Reset mehr mglich
    
    - Datenverluste oder verflschte Daten
    
    - Disketten lassen sich auf anderen Systemen nicht mehr lesen
    
    - Effekte in Bild und Ton (komische Meldungen oder Tne)
    
    - Passworteingaben werden verlangt
    
    - unsinnige Systemmeldungen
    
    - Arbeitsspeicher oder die Speicherkapazitt der Massenspeicher 
      nehmen ab
      
    - vermehrt defekte Blcke auf den Massenspeichern 
    
  
  Schutzmanahmen :
  -----------------
  
    - Backup- und Notfallkonzept
    
    - Programmherkunft (keine zweifelhaften Quellen)
    
    - Quarantnerechner
    
    - Einsatz von Schutzsystemen
    
    - Einsatz von Diskless-Computern und Laufwerksschlssern
    
    - HD-Systeme nicht mit zweifelhaften Disketten anbooten
    
    - keine Fremden an den Rechner lassen
    
               
  Bei Befall :
  ------------   

  Erst mal Ruhe bewahren. Vielleicht erst mal ausschalten. Nur nicht ber-
  eilt handeln.
  Bei Netzwerken sollte sofort der Netzwerkverantwortliche infomiert
  werden. 
  Das Auschalten ist sehr wichtig: 60 Sekunden Ausschalten ttet jedem im 
  Arbeitsspeicher aktiven Virus ab.  
  Damit man den Virus losbekommt, ist es ntig, mit einer garantiert viren-
  freier Diskette zu booten, am bestem mit dem Viruskiller um von dort aus
  alle Viren auf der HD/Disk zu bekmpfen.
  Man sollte also fr alle Flle eine Notfallbootdisk bereithalten.
  Falls kein Virus mit dem Scanner gefunden wird, so mu es sich um einen
  neuen handlen. Das verdchtige Programm mu erst mal ausgemacht werden.
  Das verdchtige Programm kann mithilfe eines Systemobservers ausfindig
  gemacht werden.
  In dieser Weise knnte man einen neuen Virus auf frischer Tat ertappen.
  
   
  Tips zu Disketten :
  -------------------
  
  Niemals zweifelhafte Programme/Disketten mit eigenen ungeschtzen in Ver-
  kehr bringen.
  Immer den Systemobserver aktiv im Hintergrund lassen, da Viren sich ja 
  bis zu verdchtigen Aktionen Zeit lassen knnen. Das heit wenn ein Pro-
  gramm unter Systemobserverkontrolle getestet wurde, heit das noch lange 
  nicht, da es ungefhrlich ist.
  Auf Originaldisketten immer den Schreibschutzschalter auf schreibgeschtzt
  stehen lassen: immer nur mit Kopien arbeiten.
  Von diesen Kopien sollte man grundstzlich nur den Schreibschutz ent-
  fernen, wenn dies unbedingt ntig ist. Vorsicht: Manche Viren versuchen
  mit gezinkten Systemmeldungen den User dazu zu bewegen, den Schreibschutz
  zu entfernen.
  Programm und Daten sollte man auf getrennten Disketten speichern. Viren
  verbreiten sich ja nur auf ausfhrbare Programme.  
  Der Schreibschutz ist softwaremig nicht zu umgehen. Eine Ausnahme
  stellen vielleicht aber programmierbare Diskettenkontroller dar, bei denen
  es gerchtehalber mglich sein knnte.
  An alle die noch diese Schlabberscheiben (ja genau, die 5 1/4 Zoll Schei-
  ben) benutzen: Der Schreibschutzaufkleber mu unbedingt undurchsichtig 
  sein, sonst ist er bei Laufwerken die nicht mechanisch auf Schreibschutz
  testen wirkungslos !.
  Von wichtigen Disketten sollte man Backups im 3er System machen (unter 
  garantiert virenfreiem System kopiert).
  Was des fteren vorkommt, ist da das Laufwerk defekt ist und den Schreib-
  schutz einfach ignoriert. Von Zeit zu Zeit sollte man also testen, ob es
  noch den Schreibschutz anerkennt.
  Disketten die man ausleiht, sollte man bei Rckerhalt unbedingt lschen.
  Man wei nie - Bei jedem Ausleihen knnten sie verseucht werden.     
 

  Herkunft der Software :
  -----------------------
  
  Raupkopien stehen an erster Stelle verseucht zu sein. Sie werden zum
  Teil ja absichtlich verseucht, um dezent darauf hinzuweisen, da Original-
  software mehr Vorteile hat.  
  In dubiosen Mailboxen, die voll Raupkopien sind, ist die Gefahr noch 
  grer. 
  Gern mischen Virenprogrammierer Viren unter Namen von kommerziellen 
  Programmen, meist mit hheren als offiziell freigegebenen Versionsnummern,
  darunter.
  Eine andere Mglichkeit ist "Original"-Raupkopien per Tool zu verseuchen,
  sprich einen Virus anzuhngen.
  In vielen (verschlsselten) Texten in Viren ist davon die Rede, da diese
  Viren als Rache an Raupkopierern gedacht sind. So verstndlich die Motive
  dieser Kategorie von Virenprogrammierern sind, das Gesetz unterscheidet
  nicht: Wer Viren programmiert begeht eine schwere Straftat.
  Ein Virus wei nicht, ob er ehrliche User trifft, die vielleicht gar
  nicht wissen, da sie mit Raupkopien arbeiten.
  Virenprogrammierern - egal welche Motive sie haben - sollte so schnell wie
  mglich ihr schmutziges Handwerk gelegt werden.
  Man sollte aber nicht vergessen, da die grte Menge von Software in le-
  galen Mailboxen als Shareware und Public Domain angeboten wird.
  Leider sind auch hin und wieder auch solche Programme verseucht. Aber die
  Gefahr ist bei serisen Mailboxen/PD-Hndlern/PD-Serien ist im Vergleich 
  zu Raupkopien eher gering.
  brigens es ist schon fters vorgekommen, da auch Originaldisketten
  verseucht waren: Deshalb bei neu zu installierenden Programmen gleich
  welcher Herkunft erst ohne HD testen/ausprobieren und immer einen System-
  observer verwenden.
  Tip: Bei vielen Programmen kann man Leistung gegen Lnge abschtzen:
  Zum Beispiel ein Super-Grafik-Programm wird wohl keine 10 KB lang sein.
  

  Weitere Tips :
  --------------
  
  Wenn auf Viren getestet wird sollten keinerlei Systemvektoren verbogen 
  sein. Nutzprogramme wie z.b. Enforcer oder Programme die Systemvektoren
  benutzen knnten sonst nmlich Viren verstecken.
  Manche Programme knnen Bootblcke in ausfhrbare Programme verwandeln:
  Ein solches Programm funktioniert dann meistens auch, wenn es angeklickt 
  wird !
  Viele Viren verraten sich durch verdchtige Texte, die sie enthalten oder
  ausgeben.
  Vorsicht mit Bootblcken: Installieren sie nur Bootblcke, die fr das je-
  weilige Fileformat der Diskette geeignet sind. Andernfalls droht Daten-
  verlust.
  

  Recht :
  -------
  
  Am Anfang, in der Grnderzeit der Computer, war Virenprogrammieren noch
  lange nicht so schlimm wie heute. Frher muten halt ein paar Raupkopien 
  daran glauben, die schnell wieder beschafft waren.
  Heute ist das ganz anders: Auf vielen Computern sind sehr wertvolle Daten
  gespeichert, die in Jahren zusammengetragen wurden und Millionenwerte dar-
  stellen - abgesehen davon sind viele Daten unwiederbringlich.
  Nicht jeder macht sich regelmig professionelle Backups.
  Viele Daten sind auerdem vertraulich. Wrden Sie es witzig finden, wenn 
  bei Ihren Arzt/Rechtsanwalt ihre Daten gelscht oder gar per Modem 
  gestohlen werden ?
  Oder ein anderes mgliches Szenario: In Atomkraftwerken, Flugzeugen,
  Krankenhusern, Verkehrsleitstellen (diese Liste liee sich beliebig er-
  weitern) arbeiten Computer. Ein Computervirus, genauer gesagt sein Pro-
  grammierer, knnte hier sogar zum heimtckischen Mrder werden !!!
  
  Mitte Dezember 89 sorgte der grte Fall von Computerkriminalitt fr
  Schlagzeilen. 26.000 Disketten mit einem Programm, mit dem man sein per-
  shnliches AIDS-Risiko abschtzen konnte wurden verschickt; vorallem
  an Teilnehmer eines AIDS-Kongrees in Schweden und an Krankenhser (!). 
  Vorallem in Grobrittanien wurden Datenspeicher durch den Virus in Banken,
  Krankenhusern (!), Universitten, Telefongesellschaten und Labors (!) 
  verwstet. 
  Die meisten Daten wurden nicht zerstrt sondern verschlsselt: Damit 
  sollte jeweils ein Betrag von 378 US $ erpret werden mit dem sich ein
  Opfer die Entschlsselung der Daten erkaufen sollte. Zum Glck wurden
  sehr schnell Programme entwickelt, die die Daten entschlsselten, ohne
  da man bezahlen mute. 
  Der Tter wurde schlielich von FBI und Scotland Yard verhaftet. Er wird
  wohl fr lange Jahre hinter Gittern landen und finanziell fr den Rest
  seines Lebens ruiniert sein.
  
  Aber schon einige Firmen sind durch Datenverlust, verursacht durch Viren
  pleite gegangen bzw. waren ruiniert und muten ihre Mitarbeiter entlassen.
  Das Programmieren eines Virus ist somit vom Kavaliersdelikt zum schweren
  Verbrechen geworden.
  Die Rechtslage ist mitlerweile eindeutig: Schon das in Umlaufbringen eines
  Virus ist ein Verbrechen. Die Strafen dafr werden immer hrter. In
  Dnemark wurde ein Virusprogrammierer zu 6 Monaten Gefngnis ohne Be-
  whrung verurteilt. 
  Die finanziellen Folgen fr den, der einen Virus oder etwas hnliches
  programmiert sind noch viel schlimmer: Ein Programmierer in den USA, 
  dessen Virus hunderte von Netzwerken lahmlegte wird bis an sein Lebens-
  ende Schadenersatz zahlen mssen.     
  Falls man einen Virenprogrammierer kennt und ihn anzeigen will, der mu
  sich aber bewut sein, da in so einem Fall die Beweisfhrung sehr 
  schwierig sein kann - oft wurden die uerst selten ermittelten Viren-
  programmierer aus Mangels an Beweisen freigesprochen.
  Hoffentlich ist es nun dem Letzten klar, da Virenprogrammieren kein Spa
  mehr ist bzw. nie einer wahr.  
  Hoffentlich wurden Sie, veehrter Leser dieses Textes, nicht allzu sehr
  gelangweilt.
  
  Viel Spa noch bei der Virenbekmpfung.


Copyright by Georg Dingler 1995

Dieser Text darf ohne Genehmigung nicht kommerziell genutzt werden !
