|
Äußerst wichtig bei neuen Dateien, Disketten, CDs, und anderen ist die Überprüfung der Daten beziehungsweise Datenträger auf eine mögliche Infektion. Viele Leute gehen viel zu unachtsam mit diesem Thema um und kopieren dann eine infizierte Datei auf die Festplatte und wundern sich danach über eine Infektion.
Für solche Untersuchungen eignen sich Antivirenprogramme wie zum Beispiel ScanT von McAfee (mit diesem Programm habe ich persönlich die besten Erfahrungen gemacht), F-Prot (mag ich nicht besonders, da es eine Infektion von zwanzig Dateien mit dem Burglar.1150-Virus nicht erkannt hat), Microsoft Anti-Virus oder viele mehr. Sehr wichtig ist auch, immer das neueste Update zu bekommen, denn der Scanner wird mit einer Daten-File von 1995 keine neue Mutation eines Virus von 1997 erkennen.
Außer diesen Programmen dienen auch noch Vshield-Programme oder das Immunisieren der Dateien zur Vorbeugung.
1.1 Antivirenprogramme:
Sie sind für die Suche und Entfernung von Viren geschrieben worden und bedienen sich zwei Methoden
a) Auffinden von Viren-Strings: Mit dieser Methode werden Dateien durchsucht, um Viren- signaturen zu finden. Diese Signaturen werden von den Viren selbst verwendet, um eine bereits erfolgte Infektion zu erkennen. Es ist jedoch nicht die beste Methode, da sich die Signaturen durch Verschlüsselung und/oder Mutation ändern können, aber auch gar keine Signaturen vorhanden sein müssen (zum Beispiel überprüft ein Virus, ob der Sekunden- eintrag der Datei 62 Sekunden beträgt. Ist das so, ist die Datei bereits infiziert.). Ein einfaches Beispiel kann verwendet werden, um den Scanner zu testen. In einem Text-Editor geben sie folgenden Zeile ein und speichern dann die Datei mit einer .COM Extension:
» X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* « Wenn die Datei ausgeführt wird gibt sie eine Meldung am Bildschirm aus. Jetzt muß nur noch der Scanner gestartet werden, um den "Virus" aufzuspüren. Sowohl ScanT als auch F-Prot sollten ihn finden.
b) Heuristische Analyse: Diese, noch sehr junge, Form der Analyse dient vor allem dazu, neue Viren zu entdecken. Hier werden keine Signaturen gesucht, sondern es werden bestimmte Regeln für die Beschreibung eines Virus festgelegt und nach diesen werden die Dateien untersucht. Bei dieser Methode werden nicht alle Viren gefunden und es kann auch häufig zu Fehlalarmen kommen.
Bei fast allen Antivirenpaketen sind sehr oft Textdateien dabei, die über neu gefundene Viren berichten oder auf die sich im Moment im Umlauf befindlichen Viren hinweisen. Mit den Programmen kann man auch eine Virenliste abfragen. Diese enthält die verschiedensten Viren aufgelistet mit Informationen über Länge, Art der Infektion, Möglichkeit der Entfernung und so weiter. Zum Beispiel entdeckt F-PROT aus dem Jahr 1996 insgesamt 8427 Viren von denen es 6219 entfernen kann.
1.2 Prüfsummenprogramme:
Diese Programme benötigen keine Updates. Sie können jedoch auch nur Veränderungen in Dateien oder im Bootsektor erkennen.
1.3 Vshield-Programme:
Diese Speicherresidenten Programme arbeiten im Grunde wie Scan-Programme und werden sehr oft mit diesen geliefert. Sie sind im Speicher und überprüfen dort Programme, die eben- falls dorthin geladen werden. Sie sind ebenfalls in der Lage, Viren zu entfernen.
1.4 Immunisieren:
Diese Methode funktioniert auf drei verschiedene Arten:
Immunisieren mittels Kennbyte: In ein Programm wird ein bestimmtes Kennbyte eines Virus eingebaut. Sollte der Virus jetzt diese Datei infizieren wollen, erkennt er das Kenn-byte und verschont die Datei. Diese Methode bildet jedoch nur geringen Schutz, da nicht alle Kennbytes aller Viren eingebaut werden können. Außerdem gibt es Viren, die bei infi-zierten Dateien die Version des Virus überprüfen. Ist es ein älterer wird die Datei neu infiziert.
Immunisieren mittels ASR-Routine: Hier wird ein "Antivirus", eine sogenannte ASR-Routine (=Auto Self Reconstruct), in die Datei eingebaut, die bei Start des Programms wichtige Daten (Länge, ...) ermittelt und mit bereits zuvor gespeicherten vergleicht. Werden Änderungen festgestellt, wird das Programm sofort abgebrochen. Diese Möglichkeit der Immunisierung hat jedoch einige entscheidende Nachteile:
WINDOWS-Programme funktionieren oft nicht mehr
Ist die Datei infiziert, meldet die ASR-Routine zwar eine Änderung des Codes und beendet die Ausführung. Der Virencode ist jedoch schon längst abgearbeitet.
.....
Self-Integry-Test: Vor allem Virenscanner überprüfen mit dieser Methode den eigenen Code auf Modifikationen. Es wäre ja verheerend, wenn das Antivirenprogramm selbst andere Dateien mit einem Virus infizieren würde.
Den besten Schutz gewährt aber noch immer eine Überprüfung durch ein Antivirenpro- gramm, da selbst die Immunisierungsmethoden nicht genug Schutz bieten.
1.5 Entfernen von Viren:
Sollte trotz aller Sicherheitsmaßnahmen ein Virus das System infizieren, muß man diesen so schnell es geht entfernen, um keine Schäden zu riskieren.
1.5.1 Systemviren:
Antivirenprogramme können infizierte Bootsektoren oder den MBR oft erfolgreich wieder-herstellen. Ist der MBR infiziert reicht sogar der Befehl FDISK /MBR. Dieses Kommando schreibt einen neuen MBR und zerstört so den Virus.
Eine vollständige Beseitigung erfolgt natürlich über ein Low-Level-Format, bei dem aber auch alle restlichen Daten am Datenträger zerstört werden. Antivirenprogramme leisten aber meistens gute Arbeit.
1.5.2 Linkviren:
Bei überschreibenden Viren besteht zur Wiederherstellung keine Chance mehr. Alle anderen Viren können aber oft entfernt und der Wirt restauriert werden. Die Gefahr dabei kann sein, daß der Wirt "kaputt repariert" wird. Grundsätzlich können Stealthviren, Viren mit veränder-licher Länge oder mit getrennten Codeteilen oft nicht oder nur sehr schwer entfernt werden. Die sicherste Methode einen Linkvirus loszuwerden ist natürlich die entsprechende Datei zu löschen.
|
