Poison! – Das Antivirenprogramm

Für alle Atari ST / TT / MegaST / MegaSTE / Falcon030

menue

 

Das Programm können Sie hier herunterladen.

poisonjek

Kurz und bündig…

Sicherheits- und Arbeitskopie

Noch bevor Sie Poison! das erste Mal starten, sollten Sie eine Sicherheitskopie der Originaldiskette anfertigen. Im Fall eines späteren Diskettenfehlers ersparen Sie sich dadurch eine Menge Ärger. Die Erfahrung zeigt, daß Disketten (Festplatten, Drucker, …) immer dann kaputt sind, wenn man sie dringend braucht. Wie Disketten kopiert werden, können Sie gegebenenfalls im Handbuch zu Ihrem Computer nachlesen. Da Poison! nicht kopiergeschützt ist, können Sie das Programm und die benötigten Dateien auch auf eine Festplatte kopieren. Anschließend sollten Sie die Programme von der Sicherheitskopie auf Ihre Arbeitsdisketten bzw. auf Ihre Festplatte kopieren. Hierbei gibt es nichts besonderes zu beachten. Wir empfehlen lediglich das Programm Online!, daß Sie im Ordner ONLINE.TOS, oder im Ordner ONLINE.MTS (bei Verwendung von MultiTOS oder einem Falcon) entweder auf Ihre Bootdiskette oder auf die Bootpartiton Ihrer Festplatte zu kopieren. Online! ist ein Accessory, das den wohl wirksamsten Schutz vor Bootsektor- und Linkviren bietet, der möglich ist – mehr dazu später.
Computerviren?

Virus [„Schleim, Saft, Gift“] das (auch: der);-,Viren: kleinstes [krankheitserregendes] Partikel, das sich nur auf lebendem Gewebe entwickelt. (Duden Band 5, 4.Auflage 1990)
Was sind eingentlich Computerviren, wie verbreiten sie sich und welchen Schaden können Sie anrichten? Die folgenden Erläuterungen sollen auch dem Laien einen Einblick in die Materie geben und so auch ein wenig zur Aufklärung beitragen.

Computerviren sind im Prinzip gewöhnliche Programme. Aus praktischen und technischen Erfahrungen heraus sind sie sehr kurz und dadurch unauffällig. Damit sie so kompakt sind, werden sie in Assembler programmiert, was einiges an Programmierkenntnissen erfordert. Computerviren haben nur zwei Aufgaben. Sie sollen sich vermehren und zu einem bestimmten Zeitpunkt oder in einer bestimmten Situation eine Aktion ausführen. Diese Aktion kann vollkommen harmlos sein, sie kann aber auch zum sofortigen – und nicht wieder umkehrbaren – Verlust sämtlicher Daten auf Disketten oder Festplatten führen.

Es gibt drei grundsätzlich verschiedene Arten von Viren für die Atari Computer.

Bootsektorviren

Jede Diskette hat einen Bereich, den sogenannten Bootsektor, der beim Einschalten des Computers und nach einem Reset auf das Vorhandensein eines Programms geprüft wird. Ist dies der Fall, wird das Programm gestartet. Ein Bootsektorvirus ist nun ein solches Programm, das sich nach seinem Start resident installiert. Das bedeutet, daß das Programm im Speicher des Computers verbleibt, obwohl Sie anschließend z.B. eine Textverarbeitung starten und einen Brief schreiben können. Dies allein würde noch keine Gefahr darstellen und ist eine Eigenschaft, die durchaus sinnvolle Anwendungen kennt. Der Virus aber teilt dem Betriebssystem mit, daß es bei jedem Diskettenwechsel (und anschließend auf das Inhaltsverzeichnis der Diskette) nicht mehr die entsprechende Funktion des Computers aufrufen soll, sondern eine Funktion, die Teil des Virus ist und die den Virus im Bootsektor der eben eingelegten Diskette speichert. Anschließend läßt der Virus das Betriebssystem weiter arbeiten, als wäre nichts geschehen.
Da der Virus sehr kurz ist, bemerken Sie gar nicht, daß von der Diskette nicht nur Daten gelesen wurden, sondern gleichzeitig auch der Virus gespeichert und dadurch eine weitere Diskette infiziert wurde. Bereits in dieser Situation kann der Virus großen Schaden anrichten, denn er zerstört den Bootsektor.
Bei Spielen, die häufig einen ausführbaren Bootsektor haben, ist dann alles im Eimer, denn ohne dieses automatisch gestartete Programm kann das Spiel nicht geladen werden.
Nun soll der Virus sich (nach Willen seines Programmierers) ja nicht nur verbreiten, sondern auch in irgendeiner Form aktiv werden. Genauso wie er dem Betriebssystem mitteilt, daß er bei einer bestimmten Situation aufgerufen werden soll und sich so verbreitet, kann er dem Betriebssystem mitteilen, daß er in anderen Situationen ebenfalls aufgerufen werden soll.

Die bekanntesten Bootsektorviren sind der GHOST-Virus, der Signum!-Virus (oder auch BPL-Virus) und der Kobold 2 Virus. Der GHOST-Virus kopiert sich zunächst einige Male, bevor er dafür sorgt, daß sämtliche Mausbewegungen genau ins Gegenteil verkehrt werden. Sie bewegen die Maus also nach rechts und der Mauspfeil wandert nach links, bzw. statt nach oben gehts nach unten. Dieser Virus ist – abgesehen davon das er lästig ist – harmlos, da er sonst keinen Schaden anrichtet.

Der Signum!-Virus ist der wohl am meisten verbreitete Virus. Ist er aktiv, werden nach einiger Zeit die FAT (Verwaltungseinträge der Diskette) zerstört, so daß die Daten unwiederbringlich verloren sind. Dieser Virus gelangte 1988 auf eine Diskette zu einem Buch der Firma GFA Systemtechnik. Nachdem schon 10000 Exemplare ausgeliefert waren, mußte GFA das Buch schleunigst vom Markt zurückziehen und alle Disketten neu kopieren. Es entstand damals ein Schaden in fünfstelliger Höhe.

Der Kobold-Virus schreibt, nachdem er sich ein paar Mal weiterverbreitet hat, die Meldung „KOBOLD 2 AKTIV“ auf den Bildschirm. Ansonsten konnten wir keine weiteren Aktivitäten feststellen. Es gibt noch zahlreiche andere Bootsektorviren, die sich mehr oder weniger so verhalten wie die drei genannten Beispiele.

Tarnkappenviren

Außerdem gibt es seit kurzem die sogenannten Tarnkappenviren, die auf das Eintreffen eines bestimmten Ereignisses warten. Sobald dieses Ereignis eintritt, werden die Daten auf der gerade eingelegten Diskette in den meisten Fällen zerstört. Beispielsweise gibt es einen Bootsektorvirus, der erst dann gefährlich wird, wenn er mit dem Signum!-Virus zusammentrifft. Ist dies der Fall, wird eine Kettenreaktion ausgelöst, in deren Folge sämtliche Datenbestände zerstört werden.

Linkviren

Schließlich gibt es die sogenannten Linkviren (engl.: to link = sich verbinden). Sie sind besonders gefährlich und nur schwer zu entdecken, denn ein Linkvirus ist ein Programm, das sich als Teil eines anderen Programms verbreitet.

Wie das?
Gehen wir grob vereinfacht davon aus, eine normale Programmdatei bestünde aus drei wesentlichen Teilen: einem Informationsteil, dem Aktionsteil (dem eigentlichen Programm) und einem Datenbereich. Nachdem das Programm geladen wurde, wird im Informationsteil nachgesehen, wo der Aktionsteil beginnt und das Programm an der entsprechenden Stelle gestartet. Anders ist es bei einem infizierten Programm, denn dieses besteht aus vier Teilen: einem Informationsteil, dem Aktionsteil, einem Datenbereich und dem Virus.
Dabei hat der Virus den Informationsteil so verändert, daß das Programm nicht mehr mit dem Aktionsteil gestartet wird, sondern mit dem Virus, der sich (wie die Bootsektorviren) resident installiert und anschließend den Aktionsteil aufruft. Verbreitung findet der Virus dadurch, daß er nach seiner Installation darauf wartet, daß das nächste Programm geladen wird. Er läßt sich darüber informieren und ermittelt anschließend den Pfad, von dem das Programm geladen wurde. Dann hängt er sich (auf Diskette oder Festplatte) an das Programm an und verändert es ebenfalls so, daß erst der Virus ausgeführt wird, bevor das eigentliche Programm zum Zug kommt. Wie die Bootsektorviren sind auch Linkviren sehr kurz, so daß Sie nicht bemerken werden, daß von der Diskette oder Festplatte nicht nur Daten gelesen wurden, sondern gleichzeitig auch der Virus gespeichert und dadurch ein weiteres Programm infiziert wurde.
Dem aufmerksamen Betrachter könnte allenfalls die im Vergleich zum Original veränderte Programmlänge auffallen – aber wer hat schon die Dateilängen seiner Programme im Kopf.
Die bekanntesten Linkviren sind der Milzbrand Virus (mit seinen Abarten) und die VCS Viren. Der Milzbrand Virus wurde im Juli 1988 in der Zeitschrift „c’t“ als Listing abgedruckt und schwirrt mittlerweile in verschiedenen mutierten Varianten durch die Atari Welt. Er hängt sich an alle Programme die größer sind als 10 KB und wird durch das Starten eines solchermaßen infizierten Programms aktiv. Nachdem er sich einige Male kopiert hat, erscheint auf dem Bildschirm eine kleine Grafik, die einen Virus darstellt, zusammen mit einigen Sprüchen.

Der ursprüngliche Virus aus der „c’t“ war insofern harmlos, als er keinen Schaden angerichtet hat. Er war als Beispiel gedacht und sollte zeigen, wie Viren grundsätzlich funktionieren, weil es damals die wildesten Gerüchte über die Fähigkeiten von Computerviren gab.
Natürlich fanden sich gleich einige Unerbesserliche, die den Virus so modifizierten, daß inzwischen nicht mehr gesagt werden kann, wie er aktiv wird.
Poison! erkennt diesen Virus zuverlässig. Ebenfalls 1988 wurde von der Firma GFE aus Bad Soden zum Entsetzen aller vernünftigen Computer-Benutzer ein Programm mit dem Namen „Virus Construction Set“ auf den Markt gebracht. Mit diesem Programm war man in der Lage, einen eigenen Linkvirus auch ohne Programmierkenntnisse zu erzeugen.
Poison! erkennt auch diese Viren zuverlässig.

Es gibt noch weitere Linkviren, die im allgemeinen ebenfalls von Poison! erkannt werden. Es ist aber zu befürchten, daß ständig neue Viren in Umlauf gelangen, die Poison! nicht erkennt. Zum optimalen Schutz sollten Sie den Online!-Test ständig aktiv haben und uns Disketten, die Ihnen verdächtig erscheinen, sofort zuschicken. In der MS-DOS Welt gibt es mittlerweile Linkviren, die sich selbst so verändern, daß es unmöglich ist sie zu identifizieren.
Außerdem gibt es seit kurzem sogenannte Trojanische Pferde – Linkviren, die sich wie üblich an Programm hängen, aber Teile davon komprimieren und so deren Länge nicht mehr verändern. Die Folge ist, daß Antivirusprogramm, die Linkviren lediglich anhand der veränderten Programmlänge ermitteln, an solchen Viren scheitern. Poison! bildet daher zu jedem Programm eine Prüfsumme.

Allgemeine Bedienung

Poison! kann als Accessory oder als Programm gestartet werden. Wenn Sie Poison! als Accessory ständig zur Verfügung haben möchten, kopieren Sie die Datei POISON!.ACC auf Ihre Bootdiskette oder auf die Bootpartition Ihrer Festplatte. Beim nächsten Einschalten Ihres Computers bzw. nach einem Reset steht Poison! als Accessory zur Verfügung.

Sollten Sie Poison! in der mittleren ST-Auflösung (640 x 200) benutzen, kopieren Sie noch die Datei POISCOLR.RSC mit auf Ihre Bootdiskette oder Bootpartition (und nur dann). Die RSC Dateien für alle höheren Auflösungen sind in Poison! direkt integriert.

Nach dem Start zeigt Poison! einen Dialog an, von dem aus Sie Zugriff auf alle Funktionen des Programms haben. Der Dialog ist in drei Gruppen aufgeteilt, die den verschiedenen Aktionen entsprechen, die Sie mit Poison! durchführen können. Die Buttons können Sie mit der Maus auswählen.

Im unteren Teil des Dialogs befinden sich außerdem Buttons, mit denen Sie die Laufwerke auswählen können (und müssen), auf die sich die jeweilige Aktion beziehen soll. Nicht wählbare/angemeldete Laufwerke sind grau dargestellt. Zur gleichzeitigen Auswahl aller Laufwerke klicken Sie auf den Button „Alle wählen“. Mit dem „Ende“ Button beenden Sie Poison!.

Falls Sie Veränderungen am Datenbestand der Linkvirus-Database vorgenommen haben (dazu später mehr), erhalten Sie zuvor Gelegenheit, die veränderte Datei zu speichern.

Boosektorviren

Bootsektorviren suchen und entfernen

Bootsektorviren haben auf Atari-Computern (besser: Disketten/Festplatten) die bisher größte Verbreitung gefunden. Erstaunlich, denn vor Bootsektorviren können Sie sich absolut zuverlässig schützen, indem Sie sich an folgende Ratschläge halten:

* Halten Sie Ihre Disketten schreibgeschützt!
* Booten Sie niemals von / mit fremden Disketten ohne sie vorher mit Poison! überprüft zu haben.

Wenn möglich booten Sie immer mit der gleichen, schreibgeschützten Diskette. Zur Überprüfung einer Diskette auf Bootsektorviren wählen Sie das Laufwerk A oder B (oder beide) aus und klicken anschließend in der Gruppe „prüfen“ auf den Button „Bootsektor“.
Poison! zeigt daraufhin einen Dialog, in dem Sie den Button „Prüfen“ auswählen müssen – diese Auswahl kann auch durch Drücken der „Return“-Taste oder der Taste „P“ geschehen.
Die Bootsektorprüfung wird auch durchgeführt, wenn Sie in derselben Gruppe den Button „Alles“ auswählen. Der Bootsektor des akuellen Laufwerks wird gelesen und mit über vierhundert bekannten Bootsektoren verglichen. Sollte Poison! auf einen unbekannten Bootsektor treffen, wird eine ausführliche Analyse des Inhalts vorgenommen. Dabei wird der Bootsektor auf die Verwendung von Betriebssystem-Funktionen sowie Veränderung von Systemvektoren überprüft, um abschließend zu bewerten, mit welcher Wahrscheinlichkeit es sich um einen Virus handeln könnte. Bei ausreichendem Verdacht sollten Sie den Bootsektor isolieren und anschließend die Diskette schützen.

boot

 

Findet Poison! ein ihm bekanntes Schutzprogramm (wie es z.B. von Poison! zur Verfügung gestellt wird) oder einen Virus, wird es Sie darauf hinweisen. Beim Auffinden eines Virus erscheint ein weiterer Dialog, der mit „schützen“ benannt ist. Hiermit steht Ihnen sofort eine Funktion zum Schutz der Diskette zur Verfügung, die den Virus durch ein harmloses Programm ersetzt.
Dieses Schutzprogramm gibt beim Booten mit dieser Diskette eine Meldung auf den Bildschirm aus. Erscheint diese Meldung nicht, hat sich der Bootsektor der Diskette verändert und Sie sollten die Diskette umgehend prüfen – wahrscheinlich befindet sich ein Virus im Bootsektor.

Wollen Sie mehrere Diskette nacheinander prüfen, brauchen Sie nach dem Diskettenwechsel nur die „Return“-Taste zu drücken. Beendet wird die Prüfung mit dem „Abbruch“-Button. Bei Interesse können Sie sich den Inhalt des Boosektors mit der Funktion „Anzeigen“ in verschiedenen Darstellungen anzeigen lassen.

Die Online-Prüfung

Zusammen mit Poison! haben Sie ein weiteres Programm erhalten: Online! (ONLINE.ACC).
Online! arbeitet als Accessory und stellt unserer Meinung nach den optimalen Schutz vor Bootsektor- und Linkviren dar, denn es kontrolliert automatisch jede Diskette und jedes Programm das Sie starten, ohne daß Sie etwas dazu tun müssten.
So wird das größte Risiko – Vergeßlichkeit – fast vollkommen ausgeschlossen. Ist Online! installiert, kontrolliert es die Diskettenwechsel auf Laufwerk A und B um beim ersten Zugriff auf eine Diskette den Bootsektor zu prüfen. Findet es einen Virus, werden Sie darüber informiert und haben die Möglichkeit, sofort ein Schutzprogramm in den Bootsektor zu schreiben, wodurch automatisch auch der Virus gelöscht wird.

online

 

 

Sollten Sie auf ein befallenes Programm treffen, gibt Online! eine Meldung aus und Sie können das Programm sofort löschen.

Eine Restaurierung befallener Programmdateien ist leider nicht möglich.
Es gibt lediglich eine Situation, in der selbst Online! Sie nicht uneingeschränkt schützen kann: Sie haben eine Diskette mit einem Bootsektorvirus im Laufwerk und schalten den Rechner ein bzw. lösen einen Reset aus. In diesem Fall wird der Virus aktiv bevor Online! ihn erkennen und Sie darauf hinweisen kann. Unmittelbar nachdem der Hinweis erfolgt, sollten Sie den Computer ausschalten und mit einer Diskette im Bootlaufwerk wieder einschalten, von der Sie sicher wissen, daß sie keinen Virus enthält. Schützen Sie anschließend die infizierte Diskette.

Bootsektor schützen

Die bereits angesprochene Funktion zum Schützen des Bootsektors hat mehrere Aufgaben:

* Sie löscht einen (eventuell) vorhandenen Virus.
* Sie installiert ein Schutzprogramm, das beim Booten eine Meldung auf dem Bildschirm ausgibt.

Erscheint diese Meldung nicht, hat sich der Bootsektor der Diskette verändert.

Das Schutzprogramm ist außerdem ein einfacher Schutz vor Bootsektorviren, die sich nur dann verbreiten, wenn sich im Bootsektor noch kein ausführbares Programm befindet. Das Schützen einer Diskette ist denkbar einfach. Wählen Sie einfach den Button „Bootsektor“ in der Gruppe „schützen“ und bestätigen Sie den nachfolgenden Dialog mit „OK“. Der Bootsektor-Schutz wird auch ausgeführt, wenn Sie in der Gruppe „schützen“ den Button „Alles“ wählen.

Poison! kann übrigens statt des eigentlichen Schutzprogramms auch ein Pseudo-Schutzprogramm in den Bootsektor schreiben, das lediglich den Startcode enthält. Dadurch erhalten Sie zwar den erwähnten einfachen Schutz vor einigen Bootsektorviren, müssen aber auf die Schutzwirkung der Bildschirmmeldung verzichten.
Welche Art von Schutz in den Bootsektor geschrieben werden soll, wird im Dialog „Einstellungen“ in der Gruppe „Bootsektorschutz durch“ bestimmt.
Wir empfehlen den „Poison!-Schutz“ statt des „Pseudo-Codes“. In der letzten Zeit sind übrigens Bootsektorviren in Mode gekommen, die sich dadurch tarnen, daß sie beim Booten eine Meldung ausgeben, die der Ausgabe (mehr oder weniger) bekannter Schutzprogramme entspricht. Aus diesem Grund haben wir die Meldung des Poison!-Schutzprogramms so gestaltet, daß der voll Umfang des Bootsektors benötigt wird. Erscheint die Schutzmeldung nicht oder nur unvollständig, sollten Sie den Rechner ausschalten, ohne Diskette booten und die eventuell infizierte Diskette umgehend überprüfen.

Bootsektor isolieren

Trifft Poison! bei der Überprüfung eines Bootsektors auf einen unbekannten Inhalt, wird versucht, den Bootsektor auf bestimmte Verhaltensmuster von Computerviren zu überprüfen. Ergibt diese Prüfung einen ausreichenden Verdacht auf einen Virus, können Sie mit der Funktion „Isolieren“ aus der Gruppe „Diverses“ den Bootsektor auslesen und als Datei speichern. Schicken Sie uns diese Datei (ein Hex-Dump des Bootsektors, der sich auch Faxen oder per E-Mail verschicken lässt) bitte umgehend zu.
Linkviren

Die Suche nach Linkviren

Die gefährlichere Art von Viren sind Linkviren, denn vor ihnen kann man sich nur begrenzt schützen. Hierzu müssen Sie selbst aktiv werden, und Ihre Programmdateien regelmäßig auf Veränderungen prüfen. Die Online-Prüfung von Poison! erkennt alle bekannten Linkviren, es ist aber nicht auszuschließen, daß neuere Linkviren im Umlauf sind, die von der Online- Prüfung nicht erkannt werden. Deshalb ist es ratsam, neue Programme sofort mit Poison! zu überprüfen. Ihr bester Schutz ist die Vorbeugung, deshalb sollten Sie sich an folgende Ratschläge halten:

  • Lassen Sie Ihre Programm-Disketten schreibgeschützt.
  • Prüfen Sie Disketten, die Ihnen von Dritten zur Verfügung gestellt werden, vor dem ersten Gebrauch auf Boot- und Linkviren.
  • Sichern Sie regelmäßig Ihre Daten – so halten Sie im Notfall den angrichteten Schaden gering.
  • Verwenden Sie keine Raubkopien – auf diesem Weg werden mit Abstand die meisten Viren verbreitet.

Während das Auffinden eines bereits bekannten Linkvirus relativ einfach ist, stellt die Suche nach unbekannten / neuen Linkviren ein großes Problem dar. Praktikabel ist hier lediglich die bereits erwähnte Prüfung auf Veränderungen an den Programmdateien, die natürlich voraussetzt, daß „gesunde“ Programme als Referenz zur Verfügung stehen. Bei der Anwendung der Datei-Prüfung von Poison! wird dazu eine Datenbank gebildet (Database genannt), in der für jede überprüfte Datei deren Name, die Länge sowie (optional, im „Einstellungen“ – Dialog zu verändern) eine Prüfsumme eingetragen wird.

Die Prüfung auf Veränderungen

Zum Aufruf der Datei-Prüfung klicken Sie auf den „Dateien“- Button in der Gruppe „prüfen“. Für die ausgewählten Laufwerke zeigt Poison! dann eine Dateiauswahl, in der Sie den Pfad angeben, bei dem die Prüfung begonnen werden soll. Der Inhalt der Ordner die sich auf dieser Ebene befinden wird mit allen untergeordneten Ordnern ebenfalls überprüft. Möchten Sie einzelne Dateien prüfen, brauchen Sie die entsprechende Datei nur anzuklicken und die Dateiauswahl mit „OK“ verlassen. Während der Prüfung wird der hier abgebildete Dialog angezeigt, der Sie darüber informiert, welche Datei gerade bearbeitet wird und wie weit Poison! mit seiner Arbeit ist. Die Prüfung wird auch durchgeführt, wenn Sie in derselben Gruppe den Button „Alles“ wählen.

Poison! vegleicht also die Dateien mit den Endungen *.PR?, *.AC?, *.TO?, *.TT?, … (entsprechend der Angabe aus dem „Einstellungen“-Dialog) mit den Daten aus der Database und ergänzt diese automatisch mit den Daten bisher unbekannter Programme. Auf Veränderungen bzw. Abweichungen werden Sie natürlich hingewiesen. Leider ist dieser Hinweis von Poison! noch kein sicheres Indiz für einen Linkvirus, da ja der Dateiname als Vergleichskriterium herhalten muß und es außerdem Programme gibt, die (wie Poison!) Parameter direkt in der Programmdatei speichern. Unterschiedliche Versionen des gleichen Programms verursachen also ebenfalls einen Hinweis auf Veränderungen der Datei. Aus diesem Grund können Sie diesen Hinweis „ignorieren“ oder mit dem Button „Database…“ die Datei-Liste verändern indem Sie die gleichnamige Datei „hinzufügen“, wodurch zwei oder mehrere Dateien gleichen Namens als Referenz herangezogen werden, oder die (alte?) Referenzdatei „entfernen“ und durch eine andere Datei ersetzen.

Anmerkung: Obwohl Poison! Parameter in der eigenen Programmdatei speichert, erkennt es Veränderungen die durch Linkviren am Programm vorgenommen wurden.

Die Database kann – wenn sie sich geändert hat – beim Beenden von Poison! gespeichert werden. Sie sollte den Namen „POISON.PDB“ tragen und auf gleicher Ebene zu finden sein wie „POISON!.PRG“ bzw. „POISON!.ACC“, denn diese Datei wird (falls vorhanden) beim Programmstart automatisch mitgeladen. Wenn Sie Poison! als Accessory benutzen, kann das Programm nicht beendet werden und Ihnen dadurch auch keine Möglichkeit geben, die Database zu speichern. Deshalb können Sie eine veränderte Database mit der entsprechenden Funktion im „Einstellungen“-Dialog von Hand sichern. Wenn Sie unsicher sind, ob eine Datei infiziert ist, sollten Sie diese Datei auf eine Diskette kopieren und uns diese umgehend schicken. Anschließend sollten Sie die Datei löschen, bzw. durch eine Kopie von der Originaldiskette ersetzen.

Die Suche nach bekannten Linkviren

cvs

Zusammen mit der Prüfung auf Veränderungen werden die Dateien auf die bereits bekannten Linkviren überprüft. Findet Poison! einen Linkvirus, erscheint ein entsprechender Dialog, der Ihnen die Möglichkeit gibt, die Datei zu löschen oder sie zu deaktivieren, indem die Endung von *.PRG in *.PRX geändert wird.

Wir empfehlen, die Datei möglichst umgehend zu löschen um weiteres Unheil zu vermeiden. Programme, die von Linkviren befallen sind, lasen sich leider nicht wieder rekonstruieren – erstellen Sie also direkt nach Erhalt Sicherheitskopien der Originaldisketten Ihrer Programme.

Der Schutz vor Linkviren

Im Hauptdialog von Poison! gibt es in der Funktionsgruppe „schützen“ den Button „Dateien“, der eine einfache Funktion zum Schutz vor Linkviren aufruft. Dieser Schutz besteht darin, daß ausgewählten Dateien das Attribut „nur lesen“ zugeteilt wird, wodurch die Datei weder gelöscht noch verändert werden kann (wie es zur Verbreitung eines Virus nötig wäre.) Die Funktion wird auch aufgerufen, wenn Sie in der Gruppe „schützen“ den Button „Alles“ wählen. Nach Auswahl der Funktion werden Sie zunächst gefragt, ob das Attribut ein- oder ausgeschaltet werden soll. Anschließend wird für die ausgewählten Laufwerke eine Dateiauswahl angezeigt, in der Sie angeben, ab welcher Ebene Dateien mit der ausgewählten Endung (entsprechend der Angabe aus dem „Einstellungen“-Dialog) bearbeitet werden sollen. Der Inhalt der Ordner die sich auf dieser Ebene befinden wird ebenso bearbeitet, wie die untergeordneten Ordner.
Möchten Sie das Attribut für einzelene Dateien ändern, brauchen Sie die entsprechende Datei nur anzuklicken und die Dateiauswahl mit „OK“ verlassen. Hierbei handelt es sich nicht um einen unüberwindlichen Schutz vor Linkviren, denn ein Virus kann den Schreibschutz natürlich auch wieder aufheben. Die weit verbreiteten Viren vom Typ VCS und Milzbrand sind dazu allerdings nicht in der Lage.

Expertenforum

Mit dem Button „Vektoren“ in der Gruppe „prüfen“ stellt Poison! eine Funktion zur Verfügung, die den Schutz vor Computerviren in eine neue Richtung erweitert. Um es vorwegzunehmen: diese Funktion setzt zum Verständnis einige Programmierkenntnisse voraus und ist geeignet, in anderen Fällen eher für Verwirrung zu sorgen denn zu helfen. Wenn Poison! sich also nach Aufruf der Funktion z.B. mit „7 unbekannte verbogene Vektoren gefunden“ meldet, ist dies noch kein Grund zur Panik. Lesen Sie einfach den folgenden Abschnitt und beurteilen Sie selbst, ob Sie für sich in der Vektorüberwachung eine Hilfe finden (Sie werden, warten Sie es ab.)

Exkurs: Vektoren

Die ersten 2 KB im Arbeitsspeicher der Atari ST (TT) Computer haben eine besondere Funktion: die Bedeutung der meisten Speicheradressen ist offiziell dokumentiert und darf unter Einhaltung bestimmter Regeln verändert werden. Hier finden sich unter anderem die Vektoren, deren Aufgabe (vereinfacht dargestellt) Wegweisern entspricht, die vom Betriebssystem beachtet werden, wenn bestimmte Ereignisse eintreten.

Ein Beispiel: Der gleichzeitige Druck der Tasten Alternate + Help löst normalerweise eine Hardcopy vom Bildschirm auf einem 9-Nadel Drucker aus. Nehmen wir an, Sie haben einen Laserdrucker und hätten statt der gedruckten Hardcopy lieber eine Hardcopy in Form einer Grafikdatei. Mit Hilfe der Systemvektoren kein Problem, denn im Speicher steht an Adresse 1282 (dezimal) die Adresse der Hardcopy-Funktion, die vom Betriebssystem durch das Drücken der Tastenkombination Alternate + Help aufgerufen wird. Ein Programm zum Speichern einer Hardcopy muß also nichts anderes machen, als hier die eigene Startadresse einzutragen, um in Zukunft statt der Druckfunktion des Betriebssystems aufgerufen zu werden.

Die meisten Viren verändern zu Ihrer Verbreitung einige Betriebssystem-Vektoren, und diese Veränderungen kann mit Hilfe der Vertorüberwachung von Poison! festgestellt werden. Die Nutzung der Systemvektoren ist grundsätzlich eine durchaus sinnvolle Sache, die von vielen Programmen (z.B. von Poison!) selbst genutzt wird, um entweder in bestimmten Situationen auf Ereignisse reagieren oder um Betriebssystem-Funktionen (z.B. die Dateiauswahl) zu ersetzen. Aus ihrer Veränderung kann also zunächst kein Rückschluß auf die Aktivität eines Virus gezogen werden. Der einzige Ansatz, einem Virus auf die Schliche zu kommen besteht darin, bei einem garantiert gesunden System festzustellen, welche Programme die Vektoren verändern. Später sind Sie dann in der Lage, unbekannte Programme zu entdecken und unter Umständen als Virus zu identifizieren.

Nach Auswahl des Buttons „Vektoren“ in der Gruppe „prüfen“ informiert Sie ein Dialog über die Zahl der zur Zeit unbekannten Veränderungen an den Systemvektoren. Danach erscheint der eigentliche Dialog zur Vektorüberwachung.

vektor

Beim ersten Aufruf wird Poison! Sie wahrscheinlich auf mehrere unbekannte Änderungen aufmerksam machen, was lediglich daran liegt, daß die von Poison! geführte Liste noch leer ist – also kein Grund zur Sorge.

In der ersten Zeile ist angegeben, welcher Vektor nicht mehr auf die übliche Adresse zeigt und welche neue Adresse statt dessen eingetragen wurde. Sind mehrere Vektoren verändert worden, können Sie mit den nach oben und unten gerichteten Pfeilen am rechten Rand des Dialogs zwischen den Vektoren wählen. Darunter steht (falls vorhanden) die sogenannte XBRA – Kennung des Programms, das den Vektor verändert hat, sowie der Name des Programms. Hierbei handelt es sich nicht um den Dateinamen (der auch gar nicht festgestellt werden könnte) sondern um eine durch Sie selbst zu vergebene Bezeichnung.

Zum Ändern oder zur erstmaligen Eingabe der Bezeichnung klicken Sie auf den Button „Namen ändern“ und tragen in dem daraufhin erscheinenden Dialog den gewünschten Namen ein. Haben mehrere Programme den gleichen Vektor verändert, können Sie mit den nach links und rechts gerichteten Pfeilen am rechten Rand des Dialogs zwischen den Programmen (entsprechend ihrer Verkettung) wählen. Anmerkung: Programme, die Vektoren verändern und nicht über eine XBRA- Kennung verfügen, verhindern daß man von solch einem Programm zurückverfolgen könnte, welche anderen Programme sich vorher in den Vektor gehängt haben. Die Liste der Vektoren können Sie mit dem Button „Speichern“ sichern.

Exkurs: XBRA

Speicherresidente Programme hatten früher das Problem, daß sie nicht feststellen konnten, ob Sie bereits installiert (gestartet) wurden und sich nachträglich auch nicht ohne weiteres wieder entfernen konnten, denn unter Umständen hatte sich bereits ein weiteres Programm des gleichen Vektors bedient.
1988 wurde von Julian F. Reschke ein Verfahren vorgeschlagen, das dieses Problem löst. Es geht auf eine Idee von Moshe Braner zurück und nennt sich „eXtended BRAner“. Durch die XBRA-Unterstützung ist ein Programm unter anderem (und das ist in diesem Zusamenhang wichtig) ziemlich eindeutig zu identifizieren, denn es erhält eine Kennung aus vier Buchstaben.
Inzwischen hat sich das XBRA-Verfahren durchgesetzt und nicht nur kommerziell vertriebene Programme unterstützen es, sondern auch eine große Zahl von Shareware- und Public Domain Programmen. Wir sind bemüht, eine Liste der jeweils aktuellen XBRA-Kennungen mit Poison! auszuliefern. Mit ihrer Hilfe können Sie Programmen mit XBRA-Kennung problemlos einen geeigneten Namen für die Vektorüberwachung geben.
Die aktuelle Liste kann auch in der Mailbox „MAUS Münster 2“ als XBRALIST.ZOO abgerufen werden.

Auch die Vektorüberwachung gehört zu den Funktionen, die aufgerufen werden, wenn Sie in der Gruppe „prüfen“ den Button „Alles“ auswählen.

Weitere Schutzmechanismen

Überwachung des Rootsektors

Neben Online! stellen wir Ihnen mit „Rootsave“ noch ein weiteres kleines Programm zur Verfügung, das sie (soweit möglich) vor Viren schützt, die den Rootsektor Ihrer Festplatte verändern. Bisher ist kein Virus bekannt der so arbeitet, aber Vorsicht ist besser als Nachsicht, schließlich kann auch im Rootsektor ein ausführbares Programm versteckt werden, das bei jedem Reset gestartet würde.

Exkurs: Rootsektor

Der Bootsektor ist der erste Sektor eines logischen Laufwerks. Der Rootsektor ist der erste Sektor eines physikalischen Laufwerks. Auf einer Festplatte gibt es also einen Rootsektor und für jedes Laufwerk (C:, D:, ..) einen Bootsektor. Anders bei Disketten, da hier kein Unterschied zwischen logischem und physikalischem Laufwerk gemacht wird.

Im Rootsektor steht im allgemeinen (nach Dokumentation von Atari) ein kurzes Programm, das den eigentlichen Festplattentreiber lädt (bei AHDI: „SHDRIVER.SYS“) und startet. Außerdem finden sich hier Informationen über die Partitionierung der Festplatte.

Rootsave ist ein Programm für den Auto-Ordner auf dem Bootlaufwerk Ihrer Festplatte, im allgemeinen also Laufwerk C. Es vergleicht den Inhalt des Rootsektors mit dem Inhalt einer Datei, die zuvor mit Poison! gespeichert werden muß. Sie muß sich auf dem Bootlaufwerk befinden und „POISON.ROT“ heißen.

Zum Speichern des Rootsektors klicken Sie im Hauptdialog von Poison! auf den gleichnamigen Button („Rootsektor“). Es wird der unten abgebildete Dialog angezeigt, in dem Sie unter den angeschlossenen Laufwerken das auswählen können, dessen Rootsektor gelesen werden soll. Nach der Auswahl klicken Sie auf den Button „Isolieren“ und wählen anschließend in der Dateiauswahl den Namen und Pfad aus, mit dem der Rootsektor gespeichert werden soll. Diese Funktion ist nur mit dem Original AHDI Atari Festplattentreiber, oder kompatible ausführbar.

Die Angaben über den Harddisk-Treiber und die Sektorgröße dienen lediglich Ihrer Information.

root

Stellt Rootsave beim Booten fest, daß der Inhalt des Rootsektors nicht mit dem Inhalt der Datei „POISON.ROT“ übereinstimmt, werden Sie darauf hingewiesen. Wenn Sie nicht zufällig gerade einen neuen Festplattentreiber installiert oder die Festplatte neu partitioniert haben (wodurch die Dateien ja voneinander abweichen würden), dann müssen Sie davon ausgehen, daß sich ein Virus im Rootsektor befindet. Sie haben jetzt zwei Möglichkeiten.

  • Sie sichern die Daten Ihrer Festplatte auf Disketten, formatieren die Festplatte und richten sie neu ein. Dies ist auf jeden Fall die sicherste Lösung.
  • Sie können den zuvor gesicherten Rootsektor wieder zurückschreiben. Damit ist der Virus zwar beseitigt, eventuell bereits angerichtete Schäden bleiben jedoch erhalten. Zum Restaurieren klicken Sie im „Rootsektor“- Dialog auf den Button „restaurieren“. In der daraufhin erscheinenden Dateiauswahl wählen Sie die Kopie des Rootsektors („POISON.ROT“), die dann in den Rootsektor des ausgewählten Laufwerks geschrieben wird.Vorsicht: Das Speichern des Rootsektors auf einem falschen Laufwerk wird mit Sicherheit mit einem totalen Datenverlust enden!!

In beiden Fällen sollten Sie zuerst mit Hilfe von Poison! nochmals den Rootsektor isolieren und auf eine Diskette speichern. Bitte schicken Sie uns diese Diskette umgehend zu.

Schreibschutz für ganze Laufwerke

Poison! stellt neben dem Schreibschutz für einzelne Dateien auch einen Schreibschutz für ganze Laufwerke zur Verfügung. Das bedeutet, daß Programme von den entsprechenden Laufwerken nur noch Dateien lesen können, sie aber weder verändern noch löschen können.

Zum Ein- und Ausschalten des Schreibschutzes klicken Sie im Hauptdialog von Poison! in der Gruppe „schützen“ auf den Button „Zugriff“. Poison! zeigt dann einen Dialog, in dem die angeschlossenen Laufwerke angezeigt werden. Nicht wählbare/angemeldete Laufwerke sind grau dargestellt und Laufwerke, für die der Schreibschutz eingeschaltet ist, werden ausgewählt angezeigt (also mit weißer Schrift auf schwarzem Grund). Zum Ändern des Schreibschutzes klicken Sie einfach den entsprechenden Laufwerksbuchstaben an.

Der Schreibschutz ist kein unüberwindlicher Schutz vor Viren, denn genauso wie Poison! ein Laufwerk schützen kann, kann ein Virus den Schreibschutz natürlich auch wieder aufheben. Uns ist allerdings kein Virus bekannt, der dies tut.

Weitere Funktionen

Einstellungen

Einige der Parameter, mit denen Poison! arbeitet, können durch den Anwender verändert werden. Klicken Sie dazu auf den Button „Einstellungen“ in der Gruppe „Diverses“ im Hauptdialog von Poison!. In der Gruppe „Dateicheck“ wählen Sie aus, welche Datei- Typen bei der Überprüfung und beim Schutz von Dateien beachtet werden sollen. Ist der Button „Prüfsumme bilden“ ausgewählt, wird für die Dateiprüfung eine Prüfsumme erechnet und gespeichert.

einstell

In der Gruppe „Bootschutz durch“ können Sie anwählen, welche Art von Schutzprogramm verwendet werden soll. Der „Pseudo- Code“ ist nicht mehr als Kennzeichnung für ein ausführbares Programm – ein Trick zur Abwehr einiger Bootsektorviren. Der „Poison!-Schutz“ hingegen ein vollständiges Programm, daß beim Einschalten des Computers und nach einem Reset eine Meldung auf den Bildschirm ausgibt. Erscheint die Schutzmeldung nicht oder nur unvollständig, sollten Sie den Rechner ausschalten, ohne (oder mit garantiert gesunder) Diskette booten und die evtl. infizierte Diskette umgehend überprüfen.
Mit dem Button „Database..“ in dem Feld „Database“ gelagen Sie in einen weiteren Dialog, in dem Sie den Speicherbedarf der Database verändern können. Mit „Speichern“ sichern Sie die aktuelle Database unter einem beliebigen Namen. Wir empfehlen allerdings die Verwendung des Namens „POISON.PDB“ und die Speicherung auf gleicher Ebene wie Poison!, damit diese Datei beim Programmstart automatisch mitgeladen wird.
Ist der Button „Archiv Auspacken“ aktiv, können auch gepackte Dateien überprüft werden. Die entsprechenden Pfade (wo sich Ihre Packer befinden) lassen sich hier ebenfalls einstellen.
Die Einstellungen für die Dateiüberprüfung und den Zugriffsschutz können mit dem Button „Einstellungen speichern“ gesichert werden.
Beachten Sie bitte, daß alle Veränderungen erst nach dem nächsten Programmstart zur Verfügung stehen!!

Info

Der „Info“ Button im Hauptdialog von Poison! nennt nicht nur die Entwickler von Poison!, er informiert Sie auch über die Versionsnummer des Programms. Wichtig wenn es um die Frage geht, ob Sie über eine aktuelle Version verfügen.

repair

Mit dem Zusatzprogramm Repair, das sich im gleichnamigen Ordner auf der Poison!-Diskette befindet, lassen sich defekte Bootsektoren von Spielen auslesen und bei Bedarf wieder restaurieren.

Nach dem Start des Programms werden Sie zur Auswahl einer Datei aufgefordert, die zur Verwaltung bereits gespeicherter Bootsektoren dient. Diese Datei hat die Endung *.BTS und gewöhnlich den Namen REPAIR; da Sie aber den Namen selbst vergeben können (um mehrere Dateien verwenden zu können) ist die Auswahl nötig.

Anschließend wird ein Dialog angezeigt, in dessen linkem Teil Sie eine Liste mit Programmnamen finden. Dies sind die Programme, deren Bootsektoren in der ausgewählten Datei gespeichert wurden. Zur Erweiterung dieser Liste klicken Sie auf den Button „auslesen“. Daraufhin wird der Bootsektor der Diskette in Laufwerk A oder B (je nach Auswahl) gelesen und kann anschließend von Ihnen mit einem Namen versehen werden.

Zur Wiederherstellung eines Bootsektors wählen Sie den passenden Eintrag aus der Liste aus und klicken anschließend auf den Button „restaurieren“. Der Bootsektor wird dann auf das ausgewählte Laufwerk geschrieben. Achten Sie darauf, daß die richtige Diskette eingelegt ist!

Die Liste der Bootsektoren kann mit den Buttons „laden“ und „speichern“ in der Gruppe „Bootsektordatei“ geladen und gespeichert werden. Repair vergibt beim Speichern automatisch die Endung „*.BTS“ und speichert eine gleichnamige Datei mit der Endung „*.NMS“, die Verwaltungsinformationen enthält.

 

Comments are closed.