                                 COMPUTERVIREN
TGM_96: VIREN.TXT
Helmut Schluderbacher/TU/#528

Ein kurzes Vorwort:  DER Virus oder DAS Virus?  Diese Frage beschftigte mich
noch bevor ich diesen Artikel zu schreiben begann. Im DUDEN finde ich "DAS
Virus" ist richtig, aber "DER Virus" ist zulssig. Da ich selbst DER Virus sage
(weil ER ja was anstellt), habe ich mich entschlossen, obwohl es DAS Programm
heit, ES zu einem ER zu machen. Ich hoffe, mir ist niemand gram deswegen.

Viren, jeder, der mit Computern arbeitet, kennt sie und viele haben schon einmal
mit ihnen Bekanntschaft gemacht. Manchmal gutmtig ("Type:  Happy Christmas"),
manchmal bartig (FAT wird berschrieben, Directory wird durcheinander
gebracht, Files verndert oder gelscht), manchmal politisch ("FRIEDE ALLEN
ANWENDERN" erscheint auf dem Schirm) beeinflussen sie uns und im schlimmsten
Fall auch unsere Daten. Der elektronische Virus hngt vereinfacht dargestellt
an einem Programm und kopiert, nach einem Aufruf des Programms, ein Duplikat von
sich an ein oder mehrere Unverseuchte(s).

Die Auswirkungen sind in JEDEM Fall negativ. Sei es, weil man sich in seiner
Arbeit (sprich Konzentration) gestrt fhlt, weil Daten, WICHTIGE Daten, zerstrt
werden oder aber, weil Anwenderprogramme verschwinden oder abstrzen.

                            WIE KOMMT MAN ZU VIREN?

Jemand, der wie ich an der TU-Wien studiert, befindet sich damit sicher an einem
der Hauptumschlagepltze von Computerseuchen. Viele Rechner, alle untereinander
kompatibel, so etwas frdert natrlich sehr die Verbreitung. Wenn man nun auf
einer dieser Maschinen arbeiten mu, so infiziert man sich mit groer
Wahrscheinlichkeit.

Ich selbst habe mir auf diese Art zwei Viren "geholt" und nach Erkennen
liebevoll kultiviert. So lustig das jetzt klingen mag, so wenig lustig war es
ALLE Programme (*.COM und *.EXE) von der Festplatte zu lschen, nur um ein wenig
damit herumzuspielen. Und hier kommen wir eigentlich zu einem der Kernpunkte:

                     WAS MACHEN DIESE PROGRAMME EIGENTLICH?

Diese Frage lt sich so einfach nicht beantworten. Denn einerseits wird zu den
Programmen kein Benutzerhandbuch mitgeliefert und die Viren selbst geben erst
sehr viel spter Auskunft, andererseits ist auch der Produzent (ich sage immer
Schwachkopf) leider nicht bekannt. Um jedoch Ihnen als Clubmitglied die
Mglichkeit zu geben, zu erkennen ob Ihr Rechner verseucht (versaut) ist, liste
ich Ihnen die mir in den Auswirkungen bekannten Viren auf. Mir sind leider
viele Namen nicht gelufig, unter denen diese Seuchen firmieren, und so sind viele
Bezeichnungen eher praktischer Natur. Aber da niemand ein Copyright auf die
Programme und Namen hat, ist es ohnehin gleich, wie man sie bezeichnet.

                                BAD-SEKTOR-VIRUS

Nach einem DIR Befehl hat die Diskette nachher 1024 Bytes in "Bad Sectors".
Auch ist dann der Speicher um 2k veringert.

                               COMMAND.COM-VIRUS

Wenn mit einem verseuchten COMMAND.COM gestartet wird, gengt ein einfaches
Zugreifen mit DIR, TYPE, usw. auf eine andere Diskette (Festplatte), soda auch
dort der COMMAND.COM, wenn vorhanden, infiziert wird, wobei nur das Datum nicht
jedoch die Lnge des Eintrags gendert wird. Nach vier Infektionen lscht sich
die Diskette (Festplatte) so grndlich, das heit Bootsektor und FAT werden auf
Null gesetzt, da eine Rekonstruktion praktisch unmglich ist.

Manahmen zur Erkennung:  Booten Sie mit einer virusverdchtigen Disk und
versuchen Sie dann auf eine schreibgeschtzte Diskette, die einen COMMAND.COM hat
mit DIR zuzugreifen.

                            DISK-VIRUS (BRAIN-VIRUS)

Wenn von einer verseuchten Diskette gebootet wird, installiert sich der Virus im
Speicher und infiziert nach einer gewissen Zeit jede Diskette (nur DSDD), auf die
zugegriffen wird. Dies geschieht durch Ersetzen des Bootsektors und das Setzen
von drei Sektoren auf "Bad". Schlielich wird noch "(c) Brain" als neuer Volume
Label Eintrag geschrieben. Der Eintrag scheint jedoch erst auf, wenn zwei oder
mehr Files auf der Diskette abgespeichert sind. Weitere Auswirkungen sind
derzeit nicht bekannt.

Manahmen zur Erkennung:  Formatieren Sie eine Diskette, kopieren Sie einige
Files darauf und sehen sich dann den Volume-Label-Eintrag an.

                                  HERBST-VIRUS

Nach dem Aufruf eines infizierten Programmes bleibt der Virus im Speicher. Er
hngt sich beim Aufruf an *.COM Files an und vergrert sie um 1701 Bytes.
Datum und Uhrzeit des Eintrages bleiben gleich. Wenn nun das Datum auf Oktober
1988 gesetzt wird, fallen alle Buchstaben am Bildschirm in die letzte Zeile. Bis
jetzt konnten sonst keine anderen Auswirkungen festgestellt werden. Das
berschreiben des verseuchten Programmes mit dem gleichen unverseuchten ALLEINE
gengt nicht (so wurde mir gesagt), da das Virusprogramm am Ende des Files
steht.

Von diesem Virus gibt es allerdings noch eine sehr interessante Nebenlinie. Und
zwar mit den gleichen Auswirkungen, allerdings nur, wenn die Maschine nicht von
IBM!! ist. Das heit IBM-Rechner sind von vorneherein immun gegen Aktionen.
Die Verbreitung (Infektion) ist jedoch nicht eingeschrnkt.

Manahmen zur Erkennung: Kopieren Sie ein Programm, rufen Sie es auf und
vergleichen sie anschlieend die beiden Files.

                   JERUSALEM-VIRUS  (HEBREW UNIVERSITY VIRUS)

Es werden *.COM und *.EXE Files beim Aufruf infiziert. Die *.EXE Files werden
stndig grer, die *.COM Files werden nur einmal vergrert. Nach einiger Zeit
aktiviert der Virus einen "aktiven Seitenvorschub" von der 5ten Zeile (Spalte 5)
bis zur 16ten Zeile (Spalte 16), was Ihnen den Bildschirmaufbau zerstrt. Zudem
verlangsamt sich die Arbeitszeit. An jedem Freitag, den 13. wird jeder Befehl
mit "Falscher Befehl oder Dateiname" beantwortet. Der COMMAND.COM wird aber
nicht infiziert. Wenn jedoch das Datum auf 1987 gesetzt ist, passiert nichts
(Don't ask me why).

Manahmen zur Erkennung:  Kopieren Sie ein Programm, rufen Sie es auf und
vergleichen sie anschlieend die beiden Files.

                            VANDERMEERSCHENSER-VIRUS

Es verseucht *.COM Programme und produziert ab der fnften Generation nach
einiger Zeit die Meldung: "Program sick error:  call doctor or buy Pixel for cure
description" und einen Systemabsturz. Benannt ist er nach seinem Entdecker (und
nicht Erfinder). Nachzulesen in der Juniausgabe des "Ordinateur Individuel".

                                     VIRUS1

Trieb im Wintersemester 87/88 an der TU-WIEN sein Unwesen. Sein Kennzeichen:
Vergrerung der Files um ungefhr 650 Byte. Er durchsucht das Directory nach
*.COM Files solange, bis ein unverseuchtes Programm aufgefunden wird. Jedes
achte Mal wird das Programm mit einem Code berschrieben, der einen Reset
auslst, ansonsten wird ein unverseuchtes Programm verseucht.

Manahmen zur Erkennung:  Kopieren Sie ein Programm, rufen Sie es auf und
vergleichen sie anschlieend die beiden Files.

                                     VIRUS2

Trieb im Sommersemester 88 an der TU-WIEN sein Unwesen. Vermutlich ident mit
dem JERUSALEM-VIRUS.

                                     VIRUS3

Trieb im Wintersemester 88/89 an der TU-WIEN sein Unwesen. Ident mit dem
HERBST-VIRUS.

Womit bewiesen wre: Jedes Semester hat seinen Virus.

Es gibt natrlich noch eine Menge Viren, die durch die Gegend seuchen. Zum
Beispiel ein spezieller AT Virus der sich in den AT Uhrpufferspeicher schreibt
und nach Rebooten alle ereichbaren Medien (1,2MB + 360kB + Festplatte + usw.)
formatiert. Einzige Mglichkeit => Gert ca. 24 Stunden abstecken und darauf
warten, da der Akku sich geleert hat. Alle Computerseuchen aufzulisten, ist mir
leider nicht mglich, denn natrlich kenne ich nur einen Bruchteil, und
andererseits hre ich von vielen Seiten Schauermrchen, die sich bei genauerer
Analyse als einfache Bedienermngel herausstellen.

Wie kommen wir nun eigentlich dazu, uns mit so schwachsinnigen PROGRAMMEN herumzurgern. Hier gibt es, wie es scheint, ganz interessante Details. Ich habe vor
kurzem erst gelesen, da ein Virus sich mit ganz bestimmten Applikationen
beschftigt und man vermutet, da diese Seuche ein ausgekommener KOPIERSCHUTZ
von einem bestimmten Programm ist. Hier stellt sich fr mich die Frage:

                       "JA SIND DENN DIE NOCH ZU RETTEN?"

Scheinbar haben einige Softwarehersteller Seuchen produziert, um das Kopieren
ihrer Software zu erschweren (oder ziehen es zumindest in Erwgung). Wie dumm
so eine Art der Sicherung ist, liegt fr einen, nur halbwegs INTELLIGENTEN, Menschen
auf der Hand. Welche Firma die auch nur EINEN PC-kompatiblen Rechner hat, kann
mit Sicherheit ausschlieen, da nicht einer ihrer Mitarbeiter das eine oder
andere privat organisierte Programm auf die Festplatte spielt. Die
Lcherlichkeit eines solchen "Kopierschutzes" wird noch deutlicher, wenn man
bedenkt, da dieser Schutz nur die Kleinen trifft und sicherlich nicht die
professionellen Raubkopienhndler mit ihren groen Kopiergerten. Leider gibt
es noch immer Leute, die der Meinung sind, da man auch fr Programme, die man
kommerziell nutzt, nichts bezahlen mu. Wovon der Softwarehersteller (sprich
Programmierer) leben soll, fragt ja niemand. Diesen Leuten sei gesagt: "Auch
kleine Programme haben ihren Autor und fallen nicht vom Himmel". Wenn mehr
gekauft und weniger geklaut wrde, knnten die Programme billiger werden. Die
Frage ist leider nur:  WERDEN SIE AUCH BILLIGER?

Ich mchte hier aber auch ganz ausdrcklich jene Gruppen ausnehmen, die, wie ich
glaube, von den Produzenten schwer vernachlssigt werden. Ich meine damit
Lehrer, Schler und Studenten (Reihenfolge beliebig vernderbar). Wie soll
bitte eine nur halbwegs gute Ausbildung funktionieren, wenn alles einigermaen
Aktuelle fr diese Gruppen (da ja kein Gewinn damit erwirtschaftet wird)
praktisch unerschwinglich ist. Und so sind wir in einer Situation, die
eigentlich alle nicht wollen (Ich kann hier natrlich nur fr die Studenten
sprechen). Wenn es die PUBLIC DOMAIN nicht gbe, sen wir alle auf dem
Trockenen, was vielleicht ganz lustig klingt aber nicht ist. Jemand aus diesen
Kreisen hat mein vollstes Verstndnis, wenn er mit "Kopien" arbeitet.

Doch zurck zu den Seuchenproduzenten. Ich kann nur hoffen, da solche EINFLLE
Einzelflle bleiben und kein Mensch wegen so einer Dummheit Daten verliert.
Diese Biertischidee von Kopierschutz mu aufhren, und die Verantwortlichen
gehren meines Erachtens schonungslos gefeuert.

Doch es mu natrlich noch andere geben, denn viele Computerviren sind natrlich
nur zum reinen Selbstzweck erstellt.

                                  DIE ANDEREN

Da gibt es also Leute die nichts wichtigeres zu tun haben, als einen neuen Virus
zu entwickeln und sich (scheinbar) kstlich amsieren, wenn andere mit den Viren
ihren rger haben. Abgesehen davon, da diese DUMMHEIT nicht mehr zu berbieten
ist, ist sie auch noch ausgesprochen KURZSICHTIG. Wer kann heute mit ruhigem
Gewissen schon sagen, da seine Programme keinen Fehler (Nebeneffekt) aufweisen?
Wie kann heute ein Viruscode-Erzeuger sicher sein, da sein Produkt nicht in der
nchsten MS-DOS (PC-DOS) Version furchtbares Unheil anrichtet. Auerdem kann
der "Spa" ja nur zur SELBSTBEFRIEDIGUNG dienen, denn den Erfolg, also wenn
jemand eine Arbeit von sagen-wir-einem-Jahr verliert, bekommt der Erzeuger der
Seuche ja gar nicht mit!!

Nicht viel besser sind Leute, die Seuchen leichtfertig bei Freunden, Bekannten
oder anderen Personen einschleusen. Zum einen verstoen sie gegen das Vertrauen,
das ihnen entgegen gebracht wird, zum anderen kann auch ihnen eine Arbeit, in die
sie viel Zeit und Mhe investiert haben in Bruchteilen von Sekunden
unwiederbringlich zerstrt werden ,weil sich jemand "einen Spa machen wollte".

Bedenken Sie daher, da Sie monatelange oder gar jahrelange Arbeiten durch einen
"Spa" gefhrden knnen und helfen sie mit, die Umwelt unserer Computer wieder
sauber zu bekommen.

                               EINIGE RATSCHLGE

Um rasch festzustellen, da sich ein Virus auf ihrer Festplatte befindet
(Anwender ohne Festplatte sind, was die Verbreitung betrifft, etwas im Vorteil),
sollten sie sie nach Hufigkeit der Datenvernderung schlichten. Dies ist
glaube ich, eine der einfachsten Arten, Viren festzustellen. Zum Beispiel:

1) Alle Daten in Subdirectories speichern. Ausnahmen:  Config.sys, Autoexec.bat
   und der Einfachheit halber Command.com. Die versteckten Files mssen
   klarerweise im Rootdirectory bleiben.

2) Die Directories mssen nach Hufigkeit geschachtelt werden. Das heit nach
   den versteckten Files das System-directory, anschlieend das Tool-directory,
   daran anschlieend die Sprachen usw., damit sich ungefhr diese Struktur
   ergibt:

                               SYSTEM       <DIR>
                               TOOLS        <DIR>
                               EDITOREN     <DIR>
                               BATCH        <DIR>
                               SPRACHEN     <DIR>
                               WORKING      <DIR>

   wobei nur in den Sprachen- und im Working-directory Datenfiles (Textfiles)
   angelegt werden. Dadurch wird erreicht, da die Systemfiles ganz nach auen
   auf die Festplatte geschrieben werden und ihre Position praktisch nie ndern.

3) TGLICH "Aufrum"-Programme (z.B. SD.EXE von Norton) nach der Arbeit starten
   und bei der Garbagecollection ZUSEHEN. Sinnvoll natrlich nur bei Programmen, 
   die einem zeigen WO etwas getan wird.

ERGEBNIS:  Nach einem arbeitsreichem Tag ohne Kopieren von Programmfiles sollten
   sich nur im Sprachen- oder/und im Working-dir Vernderungen ergeben.
   Auerdem verkrzt sich das Aufrumen der Platte enorm. Rote Lampen sollten
   leuchten wenn im System-dir Umschlichtungen stattfinden, auer sie haben
   selbst dort Files gelscht oder hinzugefgt.

HINWEIS:  SD.EXE von Norton hat die Angewohnheit, nach einer Vernderung im
   Root-dir die Directories alphabetisch zu ordnen. Entweder man benennt die
   Directories vorher kurz um oder man berarbeitet mit NU.EXE die Eintrge
   nochmals (nicht fr Anfnger). Jedes Schlichtungsprogramm, das gewisse
   Mindestvorraussetzungen erfllt (kein stndiges Schlichten der Dir's nach dem
   Alphabet, Graphische Darstellung der Arbeit), ist fr diese Aufgabe geeignet.
   Das stndige Schlichten hat natrlich noch einen Vorteil. Sollten wirklich
   einmal ihre FAT's zerstrt werden, ist eine Rekonstuktion vielleicht mhevoll
   aber zu mindest nicht unmglich.

Aber auch jede andere Methode ist natrlich besser als gar nichts zu tun.

                                   VERSEUCHT

Wenn man einmal einen Virus auf der Festplatte hat:  "Keep cool, take it easy
and no panic".

Es ist heute schwierig zu sagen, welche Viren von welchen Antivirus-Programmen
erkannt werden, da die Programme selbst keine Auskunft darber geben. Um so
mehr ist es wichtig, viele Erkennungsprogramme in Reserve zu haben, wenn auch
einige vielleicht schon veraltet sind und einige der verseuchten Programme nicht
mehr erkennen. Um jetzt zu wissen, ob ein Programm von einer Seuche befallen
ist, ist es gut, mglichst alle Antiseuchen-Programme in den Test mit
einzubeziehen. Um auch EXE-Files mehreren Tests zu unterziehen, gengt es, sie
einfach in COM-Files umzubenennen. Vergessen sie nur nicht hinterher sie wieder
rckzubenennen.

Ein Hinweis:  Auch wenn sie ihre Endungen auf CMD, EXC, etc. gendert haben
knnen ihre Programme infiziert sein !!!

Es werden jetzt Antivirusprogramme produziert, die Seuchen nach einem gewissen
Schema zu erkennen versuchen. Wann sie allerdings in den Handel kommen, wei ich
leider nicht (vielleicht gibt es sie schon).

Sollten sie vermuten, da sie Viren in ihren Programmen haben, gilt folgender
Rat.

1. Rebooten mit einer geschtzten Diskette die sicher virenfrei ist.

2. Kein Programm starten, vom dem sie nicht sicher sein knnen, da es
    seuchenfrei ist. Meist sind, wenn Viren auftreten, die Arbeits-Disketten
    vllig verseucht.

3. Die Antivirus-Programme von einer geschtzten Disketten aus starten. Es
    sind zwar einige gegen bestimmte Viren immun, d.h. sie knnen nicht
    infiziert werden, doch eine generelle Aussage kann natrlich nicht gemacht
    werden.

4. Keinesfalls sollten als verseucht erkannte Programme gestartet werden.

5. Sollte nun ein Programm als verseucht erkannt werden, mit dem sie das System
    hochgefahren haben, kein weiteres Programm starten, sondern sofort mit Punkt
    eins wieder beginnen.

6. Verseuchte Programme entweder sofort lschen oder entseuchen lassen, wobei es
    vielleicht doch sicherer ist sie vllig zu lschen.

Sollten Sie Probleme mit Seuchen haben, rufen sie den TGM-CLUB oder ihren
Betreuer an. Wir helfen ihnen gerne weiter. Wir freuen uns auch, wenn sie uns
ber ihre eigenen Erfahrungen mit Viren eine Information (vielleicht auch die
Tatwaffe) zukommen lassen. Sie knnten damit einem Clubkollegen helfen.

SCHLUDERBACHER HELMUT
Wien, 31.10.88
