Tequila und MerryXmas
Was man über Viren wissen sollte

von Raphael Kirchner (Ausgabe 95/1, Februar 1995)

 

Vor wenigen Wochen wurden etliche PCs von Mitarbeitern des EDV-Zentrums durch Befall mit dem Tequila-Virus für einen knappen Nachmittag lahmgelegt. Das Virus hatte einen strategischen Punkt eingenommen, nämlich das login-Programm eines Novell-Servers, der EDV-Zentrums-Mitarbeitern vorbehalten ist - wodurch in kurzer Zeit eine recht gründliche Verbreitung sichergestellt war. Dieser Vorfall zog zwar keine bleibenden Datenverluste nach sich, wohl aber die Idee, ein paar allgemeine Informationen über Viren zusammenzutragen und den Comment-LeserInnen zur Verfügung zu stellen.

Was ist ein Virus?

Unter der Bezeichnung "Virus" werden meist verschiedene Spezies - wie "Würmer", "Trojanische Pferde" und "echte Viren" - nicht ganz korrekt zusammengefaßt, die aber durchaus eine gemeinsame Eigenschaft haben: Es sind Progrämmchen, die ohne Wissen und Billigung des Benutzers unerwünschte Dinge auf seinem Computer treiben. Meist sind sie harmloser, als Gerüchte (und die Anbieter von Antiviren-Software) einen glauben machen wollen, aber leider nicht immer. Über die korrekten Definitionen der Begriffe streiten sich die Experten übrigens bis heute - was den Benutzer nicht besonders zu kümmern braucht, da im Falle einer Infektion sinnvolle Vorbeugung und umsichtiges Reagieren wohl wichtiger sind.

Wer ist gefährdet?

Für eine Abschätzung der tatsächlichen Gefahr ist es notwendig, sich über das verwendete System im klaren zu sein. Wer einen Macintosh auf dem Schreibtisch stehen hat, kann von vornherein unbesorgter an die Sache herangehen - es ist sehr schwierig, Mac-Viren zu schreiben, da das Mac-Betriebssystem ihrer Lauffähigkeit einige Hürden in den Weg stellt. Darum gibt es nur sehr wenige Mac-Viren, und deren Verbreitung hält sich auch in engen Grenzen. Noch besser dran sind OS/2- und WindowsNT-Benutzer: Unter diesen Systemen sind die herkömmlichen PC-Viren schlicht kein Thema. Dasselbe gilt für Unix-Systeme - Viren wie in der PC-Welt kommen auf Unix-Systemen kaum vor, obwohl auch diese recht anfällig für unerwünschte Eindringlinge sein können. Allerdings sollte auch der eingangs erwähnte Novell-Server vor Viren sicher sein... (Die Aufklärung der infektiösen Tat ist lange Zeit über das Witzeln nicht hinausgekommen.)

Hauptsächliches Problemfeld ist also die übrige PC-Welt, die unter MS-DOS arbeitet: Dort tummelt sich tatsächlich eine erkleckliche Anzahl von Viren, die mitunter wirklich unangenehme Folgen haben können (vom unverhofften Formatieren der Festplatte über durch Programmierfehler im Virus-Code zerstörte Dateien bis hin zu geschrotteten Diskettenlaufwerken).

Nebenbei bemerkt: Es ist ein verbreiteter Irrtum, zu glauben, Viren könnten von einem System auf ein anderes übertragen werden. Das ist prinzipiell unmöglich. Ein Mac-Virus läuft nur auf einem Mac - ein PC-Besitzer braucht sich keine Sorgen über Mac-Viren zu machen, auch wenn er mit Mac-Besitzern Disketten austauscht.

Vorbeugung

Grundsätzlich läßt ein regelmäßiges Backup von Daten, die zu verlieren einen Verlust bedeuten würde, jegliche Infektion in angenehm verkleinertem Maßstab erscheinen und relativiert auch sonstige Probleme (als ob Viren die einzige Bedrohung für die Daten wären: Eine Tasse Kaffee, im falschen Moment an der richtigen Stelle verschüttet, kann weitaus beeindruckendere Schäden erzeugen!). Wer seine Dateien auf einem Novell-Server aufbewahrt, ist von der Last des Backups befreit, sofern dieses von den Novell-Systemadministratoren durchgeführt wird.

Die nach dem Backup zweitwichtigste Maßnahme zur Vorbeugung ist, rechtzeitig (!) eine schreibgeschützte Systemdiskette (mit der man die Maschine booten kann) anzulegen, auf der die weiter unten beschriebene Antivirus-Software installiert ist. Ist es notwendig zu betonen, daß es wenig Sinn macht, eine solche Diskette mit einem bereits infizierten oder immerhin verdächtigen Gerät zu erzeugen? Im Zweifelsfall ist eine Nachfrage bei den für das jeweilige System zuständigen Betreuern des EDV-Zentrums Experimenten vorzuziehen...

Ständig einen (gleichfalls weiter unten beschriebenen) Virus-Schild laufen zu lassen, ist weniger ratsam - außer bei bekannter, akuter Gefährdung (wie in den Tagen nach der oben erwähnten Infektion). So etwas vereinnahmt unnötig viel Arbeitsspeicher und kann durch Kompatibilitätsprobleme, die vor allem unter DOS nie auszuschließen sind, selbst zu Datenverlusten nach Abstürzen führen.

Wodurch zeigt sich eine Infektion?

Eindeutig sind typische Virus-Meldungen wie "Your Computer has now AIDS" (mit diesem Gag meldet sich das AIDS-Virus) oder "Hafenstraße bleibt!" (Hafenstrass). Auch plötzlich wie herbstliche Blätter zum Boden des Bildschirms fallende Buchstaben (Cascade resp. Falling Letters) oder ein kleiner Krankenwagen, der quer über den Bildschirm fährt (RedX resp. Ambulance Car), lassen keine Zweifel über das Vorliegen einer Infektion. Aber die meisten Viren gebärden sich nicht so kindisch. Das Tequila-Virus, das uns durch diesen Artikel begleitet, provozierte meinen PC beispielsweise zu keinerlei auffälligem Verhalten. Andere Maschinen dagegen legte es völlig lahm - sie ließen sich gar nicht mehr starten.

Auch das Michelangelo-Virus, das vor einigen Jahren PC-Besitzern in der ganzen Welt einen nachhaltigen Schrecken einjagte, tut überhaupt nichts - bis zum Geburtstag des alten Meisters (am 6. März), an dem es ohne viel Federlesens die Festplatte löscht.

Es gibt also keine "typischen Kennzeichen", auf die man sich verlassen kann - außer einem gesunden Mißtrauen gegenüber Disketten aus unbekannter Quelle, die man vor jedweder Verwendung auf dem eigenen Computer mit einem Virus-Scanner (siehe unten) überprüfen sollte.

Was tun, wenn's passiert ist?

Glaubt man, einen infizierten Rechner vor sich zu haben, sollte man vor allen Dingen nichts Überstürztes unternehmen. In den meisten Fällen hält sich der Schaden in Grenzen, wenn er nicht überhaupt zur Gänze vermeidbar ist (meist lassen sich sogar mehrfach infizierte Dateien vollständig wiederherstellen!).

Wer vorgebeugt hat (d.h. ein aktuelles Backup besitzt), kann ohnehin locker bleiben und sich ob der eigenen Umsicht glücklich schätzen; wer eine (wie oben beschrieben) vorbereitete Systemdiskette sein eigen nennt, wird wahrscheinlich auch bald weiterarbeiten können - nur Netzwerkinfektionen kosten immer Zeit, da sie ein koordiniertes Vorgehen aller Beteiligten erfordern.

Die erste Maßnahme ist das Abschalten des Rechners (wobei man darauf achten sollte, daß dieses nicht erfolgt, während Schreibaktivitäten auf der Festplatte stattfinden - vielleicht hatte man dann zwar vorher gar kein Virus, aber danach eine kaputte Platte), gefolgt von einem Neustart von der Antivirus-Bootdiskette und einem Virus-Scan der ganzen Platte. Sofern dabei eine Infektion gefunden wurde, kann diese mit dem Antivirus-Programm meist auf einfache Weise wieder entfernt werden (genauere Anweisungen finden sich weiter unten in diesem Artikel bzw. in den Manuals der Virus-Software).

Es sollte allerdings nicht vergessen werden, daß "meist" nicht "immer" bedeutet und daher das Nachschlagen der besonderen Eigenschaften des gefundenen Virus vor dem Entfernen desselben dringend anzuraten ist (die in den unten beschriebenen Antivirus-Paketen enthaltenen Listen der jeweils bekannten und entfernbaren Viren können Aufschluß über mögliche Ausnahmen geben).

Antivirus-Software

Zur Vorbeugung und Abwehr von Virus-Befall ist eine ganze Reihe kommerzieller Produkte käuflich zu erwerben. In den meisten Fällen wird man trotzdem besser beraten sein, statt dessen den über FTP-Server erhältlichen Shareware-Utilities den Vorzug zu geben - schon allein deswegen, weil diese aufgrund der größeren Verbreitung häufiger Updates erfahren. Um die Shareware legal verwenden zu können, ist eine meist geringfügige Registrationsgebühr an die Erzeugerfirma zu entrichten, was zum Teil über in Wien ansässige Vertretungen möglich ist.

IBM-PC (unter DOS / MS-Windows)

Microsoft liefert mit neueren Versionen von MS-DOS und MS-Windows ein eigenes Antivirusprogramm aus. Im Rahmen der Standardsoftware sind auch die Virus Utilities der Firma Ikarus erhältlich. Das mit Abstand gebräuchlichste Antivirusprogramm ist jedoch McAffee's Scan/Clean-Paket, das über den FTP-Server der Universität Wien im Verzeichnis /pc/dos/msdos/virus/ unter den Dateinamen scanvXXX.zip und cleanXXX.zip zu finden ist (das "XXX" steht für die jeweilige Versionsnummer). Der dazugehörige Virus-Schild heißt vshldXXX.zip.

Am selben Ort ist (für Interessierte) unter dem Dateinamen vsumXXX.zip auch ein Virus-Lexikon erhältlich, das gleichfalls von McAffee vertrieben wird.

Bedienung: Ein Scan (z.B.) der C:\-Platte mit McAffee wird durch den Befehl scan c: veranlaßt. Aus verschiedenen Gründen ist es von Vorteil, dem einfachen Befehl noch ein paar Switches hinzuzufügen, sodaß er scan c: /chkhi /m /a lautet (für eine genauere Erklärung muß auf das Manual verwiesen werden). Wenn daraufhin nach längerem Suchen auf der Platte die Meldung no viruses found erscheint, kann Entwarnung gegeben werden.

Wurde ein Virus gefunden, gibt Scan seine Kurzbezeichnung (z.B. [mich] für Michelangelo) bekannt, die man sich notieren sollte, da man sie zum Entfernen des Virus mit Clean brauchen wird. Dies geht dann so vonstatten: clean c: [mich] löscht den Übeltäter ohne weitere Umstände wieder von der Platte.

Der Virus-Schild ist ein Programm, das ständig darüber wacht, ob bestimmte Viren im Speicher aktiv sind. Um das tun zu können, muß es "speicherresident" sein, d.h. dauerhaft in den Arbeitsspeicher geladen werden. Dies geschieht (sofern das Programm im Verzeichnis c:\virus liegt) durch das Einfügen der Zeile c:\virus\vshield.exe in die Datei autoexec.bat, und zwar in jedem Fall als allererste Zeile; wieder entfernt wird der Schild durch das Löschen dieser Zeile (beides natürlich gefolgt von einem Neustart). Entdeckt der Wächter die Präsenz eines Virus, zeigt er eine Warnung an und stoppt das System.

Für alle drei Programme ist zu beachten, daß sie nur vor bereits bekannten und analysierten Viren schützen. Bei der regen Aktivität der PC-Viren-Erzeuger ist das ein ernstzunehmendes Problem - weshalb Scan und Clean auch nach einer gewissen Zeit eine Warnung von sich geben, die einen darauf aufmerksam macht, daß es an der Zeit wäre, sich ein Update zu besorgen (welches dann einige zig Viren mehr kennt).

VSUM schließlich ist ein ausführliches Virus-Lexikon, das die Eigenschaften der etwa 2000 bekannten PC-Viren - leider nicht immer ganz korrekt - beschreibt. Das Paket enthält einen Viewer (ein schon etwas antiquiertes DOS-Programm) und das eigentliche Lexikon; aufgerufen wird es durch den Befehl vsum.

Apple Macintosh

Für den Mac gibt es hauptsächlich zwei empfehlenswerte Programme: Einmal den bewährten Disinfectant, der am FTP-Server der Uni Wien in /mac/info-mac/vir/disinfectant-XX.hqx zu finden ist und auch einen einfachen Virus-Schild im Lieferumfang enthält, und den Gatekeeper, der kein eigentliches Antivirus-Programm ist, sondern ein durch das Mac-Betriebssystem begünstigter, praktisch unpassierbarer Wächter, der keinerlei verdächtige Aktivitäten im System duldet (und deshalb besser von einem erfahrenen Benutzer installiert werden sollte). Der Gatekeeper findet sich in /mac/info-mac/ vir/gatekeeper-XXX.hqx.

Bedienung: Der Disinfectant wird wie jedes Mac-Programm durch einen Doppelklick gestartet und begrüßt einen mit einer übersichtlichen Oberfläche, ein paar erläuternden Bemerkungen und den Knöpfen "Scan", "Disinfect" und "Quit", die wohl keiner weiteren Erklärung bedürfen. Er bietet außerdem eine ausführliche Online-Hilfe mit einem Virus-Lexikon an, welches sich derzeit auf die Beschreibung von 18 Mac-Viren beschränken kann. Taucht ein neues Mac-Virus auf, muß ein Update des Disinfectant und des zugehörigen Schildes vorgenommen werden - gegen Viren, die sie nicht kennen, sind beide machtlos.

Gatekeeper kommt mit einem Mac-üblichen Installer, der die korrekte Installation sicherstellt. Das Programm besteht aus einem INIT und einem Kontrollfeld, das ähnlich einfach zu bedienen ist wie der Disinfectant und auch eine übersichtliche Hilfe bereithält. Die Funktion des Gatekeeper besteht im wesentlichen darin, allen (außer bestimmten, ausdrücklich definierten) Programmen alle (außer bestimmte, ausdrücklich definierte) Systemaktivitäten zu verbieten. Das macht eine Infektion praktisch unmöglich. Der Unterschied zum Virus-Schild des Disinfectant besteht darin, daß Gatekeeper selbst keinerlei Information über bestimmte Viren besitzt, sondern allgemein verdächtige Aktionen unterbindet. Dadurch bietet er auch Schutz gegen neue, noch unbekannte Viren.

Die notwendige Bedienung beschränkt sich auf das Gestatten von Privilegien für die Programme, die Systemaktivitäten durchführen dürfen (wie etwa Archivierungsprogramme und dergleichen) - und dies ist der Punkt, der einen versierten Benutzer verlangt: Ein absoluter Laie wird sich schwertun, zu entscheiden, was erlaubt werden muß und was nicht. Gatekeeper führt außerdem ein Logbuch über alle wahrgenommen Vorkommnisse, was ein gezieltes Vorgehen ermöglicht, sofern ein Programm etwas Verbotenes versucht hat (was wie bei McAffee's VSHIELD zu einem Anhalten des Rechners führt).

Weitere Informationen

Aktuelle Informationen über Viren sind vor allem in den einschlägigen Newsgruppen zu bekommen: comp.virus, alt.comp.virus und fido.ger.virus. Ausführlichere allgemeine Informationen sind in den FAQs (Frequently Asked Questions) der Newsgruppen zu finden (z.B. computer-virus-faq - Vorsicht: 83 kB!), die am FTP-Server im Verzeichnis /archive/faq zu finden sind.

Abschließend sei noch erwähnt, daß sich die Virus-Attacke auf den Novell-Server schließlich doch geklärt zu haben scheint: Wahrscheinlich handelte es sich um das gemeinsame Werk computerspielender Kinder und eines kurzzeitig unaufmerksamen Vaters, der nicht ahnte, daß seine Sprößlinge gerade ein neues Spiel auf seinem PC ausprobiert hatten, als er sich als Supervisor in den Novell-Server einloggte...