*Günter Mußtopf ist Geschäftsführer des Hamburger perComp Verlags und Leiter der GI-Fachgruppe Personal Computing
Serie: Computerviren Teil 2
Daten leben gefährlich. Eine wachsende Zahl von Viren und Trojanischen Pferden bedroht Programme und Datenbestände, sogar auf den Sicherungskopien. Unsere dreiteilige Serie gibt einen Überblick über den aktuellen Stand der Dinge. Der erste Teil zeigte die Gefahren und die verbreitetsten Erreger. Wie man sich vor ihnen schützen kann, ist das Thema dieses zweiten Teils. Im abschließenden dritten Teil finden sich dann Hinweise zu weiterführender Information sowie Adressen für den Notfall.
Von Günter Mußtopf *
Computerviren werden immer häufiger und immer raffinierter. Die Gefahr, sich zu infizieren, steige. Die Folgen können katastrophal sein. Doch es gibt Möglichkeiten, sich zu schützen - vor der Infektion wie auch vor ihren Folgen. Der dafür erforderliche Aufwand ist minimal.
Für die Erkennung und Bekämpfung von Viren gibt es diverse "Anti-Viren-Programme". Leider werden häufig qualitativ minderwertige Produkte mit klangvollem Namen angeboten oder alte Programme verwendet. Vor Public-Domain-Programmen und dem Kopieren und der Weitergabe von Programmen wird - wie schon erwähnt - gewarnt. Viele Unternehmen haben deshalb die Verwendung von Public-Domain-Programmen in ihrem Hause untersagt. Dieses Prinzip sollte auch für Programme zur Erkennung und Bekämpfung von Viren gelten.
Wie bei Krankheiten kann man bei der Bekämpfung von Computerviren zwischen den drei Phasen Prophylaxe, Diagnose und Therapie unterschieden werden. Für jede von ihnen gibt es spezielle Programme.
Einige Produkte versprechen die Verhinderung von Infektionen. Meist überwachen solche Programme die Interrupts, die für das Schreiben auf Platten benutzt werden. Abgesehen davon, daß die Überwachung bei einigen Programmen sehr lückenhaft ist, tauchten in letzter Zeit Viren auf, die neuartige Mechanismen einsetzen. Das Island-2-Virus etwa "verbiegt" nicht, wie das Island-1-Virus, den Interrupt 21h, sondern sucht die zugehörige Interrupt-Service-Routine im Speicher des PCs. Es ruft diese dann direkt auf und kann so von Viren-Blockern nicht entdeckt werden.
Viren und Viren-Blocker (ebenso wie verwandte Schutzprogramme) setzen ähnliche Mechanismen ein. Dies kann zu Konflikten führen. Safeguard 3.0 etwa kann abstürzen, falls das Vacsina-Virus die Safeguard-Files infiziert hat.
Viren verbergen sich und vermehren sich äußerst unauffällig, um zunächst möglichst viele Dateien auf möglichst vielen Platten zu infizieren. Deshalb versuchen sie, Mehrfach-Infizierungen mit Hilfe von speziellen Selbsterkennungsmechanismen zu vermeiden (die Mehrfach-Infizierung durch das Israeli-A-Virus ist ein Programmierfehler). Stellt ein PC-Benutzer dann beispielsweise durch die Beschädigung einer Datei oder durch Bildschirmstörungen eine Infektion fest, sind meist schon viele Programme befallen. Eventuell wurde das Virus sogar schon auf Disketten an andere Anwender weitergegeben.
Am besten schützt man sich deshalb mit Programmen, die eine "Früherkennung" gestatten: Sogenannte "Signaturprogramme" stellen versteckte Veränderungen an Programmen fest. Anschließend kann man mit einem Erkennungsprogramm feststellen, ob man sich tatsächlich infiziert hat und wenn ja, mit welchem Virus (unter Umständen kann die festgestellte Veränderung auch eine andere Ursache haben).
Viele Signaturprogramme besitzen allerdings zwei Schwachstellen: Für die Berechnung einer Signatur (Prüfzahl) wird oft nur ein sehr einfacher, bekannter Algorithmus wie beispielsweise der Cyclic Redundancy Check (CRC) verwendet, und häufig werden Boot-Sektoren nicht erfaßt. Manche Signaturprogramme, etwa das aus "Dr. Solomon's Anti-Viren Toolkit" bieten die Möglichkeit, durch die Angabe eines individuellen Schlüsselworts den Algorithmus für die Berechnung der Prüfzahl zu modifizieren.
Vereinzelt werden auch Schutzprogramme angeboten, die lediglich die im Dateiverzeichnis eingetragenen Parameter wie Programmlänge oder Datum überwachen. Diese Prüfung ist viel zu schwach. Viren können die Werte vor der Manipulation der Programme lesen und anschließend wiederherstellen. Dies gilt auch für Dateiattribute wie "read-only" (Schreibschutz).
Signaturprogramme stellen lediglich Veränderungen in Programdateien (beziehungsweise Boot-Sektoren oder Partition-Records) fest. Für alle weiteren Maßnahmen muß mit einem "Erkennungsprogramm" festgestellt werden, welches Virus sich eingeschlichen hat. Von solchen Programmen können natürlich nur bekannte Viren festgestellt werden.
Erkennungsprogramme sind schnell veraltet
Da immer wieder neue Viren auftauchen, ist eine ständige Aktualisierung von Erkennungsprogrammen erforderlich. Das bekannte amerikanische Programm "Viruscan" von John McAfee ist mittlerweile schon bei der Version 43 angekommen. Weil es außerdem Viren gibt, die primär in den USA beziehungsweise nur in Europa vorkommen, empfehlen sich Erkennungsprogramme, die in Europa entwickelt wurden und bei Bedarf schnell aktualisiert werden können. Beim Kauf sollte auch geklärt werden, ob der Anbieter willens und in der Lage ist, im Ernstfall (gegen eine angemessene Honorierung) Unterstützung zu leisten.
Erkennungsprogramme simulieren nicht den bereits erwähnten Selbsterkennungsmechanismus der Viren. Der Einfachheit halber suchen sie gewöhnlich nach einer mehr oder weniger langen, eindeutigen Sequenz von Zeichen. Daraus ergeben sich zwei für den PC-Anwender wichtige Eigenschaften:
- Ein Erkennungsprogramm kann einen Fehlalarm auslösen, falls die für die Suche verwendete Zeichenfolge in einem virenfreien Programm vorhanden ist. Für solche Fälle ist es wichtig, daß die einzelnen Viren im Handbuch des Erkennungsprogrammes gut beschrieben sind.
--- Die Zahl der Varianten bestimmter Viren (Virenfamilien) wächst ständig. Allein zur Israeli-Familie gehören heute bereits 15 Mitglieder. Neue Varianten werden von älteren Erkennungsprogrammen häufig nicht identifiziert. Aus diesen Eigenschaften erklären sich auch Unterschiede zwischen den Erkennungsprogrammen.
Viren versuchen, sich mit zunehmend raffinierteren Methoden zu verbergen Eine davon ist, daß sie ihren eigenen Code chiffriert abspeichern. Die Chiffrierung wird - durch einen Zufallsgenerator gesteuert - bei jeder Infektion verändert (Beispiel: Macho-Virus). Nur eine sehr kurze Sequenz wird unverändert gespeichert. Die Dechiffrierung erfolgt erst bei der Programmausführung. Diese Technik erschwert nicht nur die Analyse des Virus, sondern auch seine Erkennung.
Wurde ein Virus erkannt, steht eine solide Basis für die nachfolgende Bekämpfung zur Verfügung. Das dazu nötige Verfahren kann sich von Virus zu Virus unterscheiden. Spätestens zu diesem Zeitpunkt benötigt der Anwender Informationen über den gefundenen Erreger. Achten Sie deshalb darauf, daß im Handbuch nicht nur die Bedienung des Schutzprogramms erläutert wird, sondern auch eine Beschreibung der bekannten Viren und Hinweise zu ihrer Bekämpfung enthält. Viele Anrufe beim Viren Service zeigen, daß die meisten Handbücher hier versagen.
Therapie: Keine Panik bei der Virenbekämpfung
Nachdem mit einem Erkennungsprogramm festgestellt wurde, welches Virus vorhanden ist, müssen Maßnahmen zu einer Bekämpfung festgelegt werden. Doch Vorsicht: Durch unüberlegtes und übereiltes Handeln wird häufig der Schaden nur unnötig vergrößert.
Nahezu alle konstruktiven Veröffentlichungen zum Thema Viren betonen die Notwendigkeit regelmäßiger Datensicherungen auf Disketten oder Bandkassetten (Streamer Tapes). So richtig das ist, eine mit dem DOS Programm BACKUP erzeugte vollständige Kopie aller Dateien auf einer Festplatte ist nur von zweifelhaftem Wert. Der dazu erforderliche Aufwand ist meist beachtlich und verhindert deshalb in der täglichen Praxis oft eine regelmäßige Datensicherung. Vor allem aber werden auch sämtliche Programme mitgesichert, und das heißt, daß eventuell infizierte Programme ebenfalls in die Datensicherung übertragen werden!
Eine Datensicherung sollte nur die Dateien erfassen, die wichtige Daten enthalten. Programme und Files mit gleich bleibendem Inhalt (zum Beispiel Konfigurationsdateien) gehören in ein getrenntes Programmarchiv. Der Aufbau eines guten Archivs und eine selektive Datensicherung erfordern eine sorgfältige Analyse der Anwendungen. Die geeignete Verteilung der Dateien auf Unterverzeichnisse kann den Aufwand für die Datensicherung erheblich reduzieren.
" Do-it-yourself-Manier" wenig sinnvolle Aktivität
Bei der Planung einer Datensicherung wird häufig nicht berücksichtigt, daß Geräte und Datenträger fehlerhaft sein können. Es gibt zahlreiche Alternativen zum BACKUP-Programm, die nicht nur wesentlich komfortabler und schneller sind, sondern auch automatische Fehlerkorrekturen vornehmen (sie speichern zusätzliche Informationen, die im Bedarfsfall die Rekonstruktion unlesbarer Daten erlauben). Darüber hinaus komprimieren derartige Programme meist die Dateien beim Sichern. Erhöhte Sicherheit muß also nicht zwangsläufig mit längeren Verarbeitungszeiten und größerem Speicherbedarf bezahlt werden.
Erfahrene PC-Profis versuchen häufig, ihre Viren-Probleme in "Do-it-yourself"-Manier zu lösen, beispielsweise indem sie eigene Erkennungsprogramme schreiben. Das zählt zwar zu den wenig sinnvollen Aktivitäten, direkten Schaden richtet es indes kaum an.
Anders verhält es sich mit der Zerstörung von Viren. Mit Disk-Editoren wie den Norton-Utilities kann etwa bei Boot-Viren großer zusätzlicher Schaden angerichtet werden. Einige Boot-Viren nämlich manipulieren auch die Funktion der Disk-Editoren und können damit selbst erfahrene Profis austricksen.
Virenkiller, die der Zerstörung von Viren dienen (sollen) erfreuen sich bei PC-Anwendern großer Beliebtheit. Der Grund dafür ist die - nur begrenzt verständliche - Bequemlichkeit von Anwendern und Systembetreuern.
Bequemlichkeit ist nicht ganz ungefährlich
Diese Bequemlichkeit ist nicht ganz ungefährlich. Wenn beispielsweise die Infektionsmeldung eines Erkennungsprogramms ein Fehlalarm war, kann es vorkommen, daß ein Virenkiller das betreffende Programm zerstört. Probleme können auch auftreten, wenn neue Varianten bekannter Viren mit Virenkillern bearbeitet werden.
Besonders riskant ist die Zerstörung eines Boot-Virus auf der Festplatte. Anders als bei Disketten ist die interne Organisation einer Festplatte von Hersteller zu Hersteller unterschiedlich. Das kann dazu führen, daß nach der Bearbeitung einer Festplatte mit einem Virenkiller diese Platte für DOS nicht mehr ansprechbar ist. Vor dem Einsatz eines Virenkillers sollte deshalb unbedingt eine vollständige Datensicherung durchgeführt werden. +
(wird fortgesetzt)