Poison! Handbuch
Seite 1
Seite 2
Seite 3
Seite 4
Für alle Atari ST / TT / MegaST / MegaSTE / Falcon030
Kurz und bündig...
Sicherheits- und Arbeitskopie
Noch bevor Sie Poison! das erste Mal starten, sollten Sie eine Sicherheitskopie
der Originaldiskette anfertigen. Im Fall eines späteren Diskettenfehlers
ersparen Sie sich dadurch eine Menge Ärger. Die Erfahrung zeigt, daß Disketten
(Festplatten, Drucker, ...) immer dann kaputt sind, wenn man sie dringend
braucht. Wie Disketten kopiert werden, können Sie gegebenenfalls im
Handbuch zu Ihrem Computer nachlesen. Da Poison! nicht kopiergeschützt
ist, können Sie das Programm und die benötigten Dateien auch auf
eine Festplatte kopieren. Anschließend sollten Sie die Programme von
der Sicherheitskopie auf Ihre Arbeitsdisketten bzw. auf Ihre Festplatte kopieren.
Hierbei gibt es nichts besonderes zu beachten. Wir empfehlen lediglich das
Programm Online!, daß Sie im Ordner ONLINE.TOS, oder im Ordner ONLINE.MTS
(bei Verwendung von MultiTOS oder einem Falcon) entweder auf Ihre Bootdiskette
oder auf die Bootpartiton Ihrer Festplatte zu kopieren. Online! ist ein Accessory,
das den wohl wirksamsten Schutz vor Bootsektor- und Linkviren bietet, der
möglich ist - mehr dazu später.
Computerviren?
Virus ["Schleim, Saft, Gift"] das (auch: der);-,Viren: kleinstes
[krankheitserregendes] Partikel, das sich nur auf lebendem Gewebe entwickelt.
(Duden Band 5, 4.Auflage 1990)
Was sind eingentlich Computerviren, wie verbreiten sie sich und welchen Schaden
können Sie anrichten? Die folgenden Erläuterungen sollen auch dem
Laien einen Einblick in die Materie geben und so auch ein wenig zur Aufklärung
beitragen.
Computerviren sind im Prinzip gewöhnliche Programme. Aus praktischen und technischen Erfahrungen heraus sind sie sehr kurz und dadurch unauffällig. Damit sie so kompakt sind, werden sie in Assembler programmiert, was einiges an Programmierkenntnissen erfordert. Computerviren haben nur zwei Aufgaben. Sie sollen sich vermehren und zu einem bestimmten Zeitpunkt oder in einer bestimmten Situation eine Aktion ausführen. Diese Aktion kann vollkommen harmlos sein, sie kann aber auch zum sofortigen - und nicht wieder umkehrbaren - Verlust sämtlicher Daten auf Disketten oder Festplatten führen.
Es gibt drei grundsätzlich verschiedene Arten von Viren für die Atari Computer.
Jede Diskette hat einen Bereich, den sogenannten Bootsektor, der beim Einschalten
des Computers und nach einem Reset auf das Vorhandensein eines Programms
geprüft wird. Ist dies der Fall, wird das Programm gestartet. Ein Bootsektorvirus
ist nun ein solches Programm, das sich nach seinem Start resident installiert.
Das bedeutet, daß das Programm im Speicher des Computers verbleibt,
obwohl Sie anschließend z.B. eine Textverarbeitung starten und einen
Brief schreiben können. Dies allein würde noch keine Gefahr darstellen
und ist eine Eigenschaft, die durchaus sinnvolle Anwendungen kennt. Der Virus
aber teilt dem Betriebssystem mit, daß es bei jedem Diskettenwechsel
(und anschließend auf das Inhaltsverzeichnis der Diskette) nicht mehr
die entsprechende Funktion des Computers aufrufen soll, sondern eine Funktion,
die Teil des Virus ist und die den Virus im Bootsektor der eben eingelegten
Diskette speichert. Anschließend läßt der Virus das Betriebssystem
weiter arbeiten, als wäre nichts geschehen.
Da der Virus sehr kurz ist, bemerken Sie gar nicht, daß von der Diskette
nicht nur Daten gelesen wurden, sondern gleichzeitig auch der Virus gespeichert
und dadurch eine weitere Diskette infiziert wurde. Bereits in dieser Situation
kann der Virus großen Schaden anrichten, denn er zerstört den
Bootsektor.
Bei Spielen, die häufig einen ausführbaren Bootsektor haben, ist
dann alles im Eimer, denn ohne dieses automatisch gestartete Programm kann
das Spiel nicht geladen werden.
Nun soll der Virus sich (nach Willen seines Programmierers) ja nicht nur
verbreiten, sondern auch in irgendeiner Form aktiv werden. Genauso wie er
dem Betriebssystem mitteilt, daß er bei einer bestimmten Situation
aufgerufen werden soll und sich so verbreitet, kann er dem Betriebssystem
mitteilen, daß er in anderen Situationen ebenfalls aufgerufen werden
soll.
Die bekanntesten Bootsektorviren sind der GHOST-Virus, der Signum!-Virus (oder auch BPL-Virus) und der Kobold 2 Virus. Der GHOST-Virus kopiert sich zunächst einige Male, bevor er dafür sorgt, daß sämtliche Mausbewegungen genau ins Gegenteil verkehrt werden. Sie bewegen die Maus also nach rechts und der Mauspfeil wandert nach links, bzw. statt nach oben gehts nach unten. Dieser Virus ist - abgesehen davon das er lästig ist - harmlos, da er sonst keinen Schaden anrichtet.
Der Signum!-Virus ist der wohl am meisten verbreitete Virus. Ist er aktiv, werden nach einiger Zeit die FAT (Verwaltungseinträge der Diskette) zerstört, so daß die Daten unwiederbringlich verloren sind. Dieser Virus gelangte 1988 auf eine Diskette zu einem Buch der Firma GFA Systemtechnik. Nachdem schon 10000 Exemplare ausgeliefert waren, mußte GFA das Buch schleunigst vom Markt zurückziehen und alle Disketten neu kopieren. Es entstand damals ein Schaden in fünfstelliger Höhe.
Der Kobold-Virus schreibt, nachdem er sich ein paar Mal weiterverbreitet hat, die Meldung "KOBOLD 2 AKTIV" auf den Bildschirm. Ansonsten konnten wir keine weiteren Aktivitäten feststellen. Es gibt noch zahlreiche andere Bootsektorviren, die sich mehr oder weniger so verhalten wie die drei genannten Beispiele.
Außerdem gibt es seit kurzem die sogenannten Tarnkappenviren, die auf das Eintreffen eines bestimmten Ereignisses warten. Sobald dieses Ereignis eintritt, werden die Daten auf der gerade eingelegten Diskette in den meisten Fällen zerstört. Beispielsweise gibt es einen Bootsektorvirus, der erst dann gefährlich wird, wenn er mit dem Signum!-Virus zusammentrifft. Ist dies der Fall, wird eine Kettenreaktion ausgelöst, in deren Folge sämtliche Datenbestände zerstört werden.
Schließlich gibt es die sogenannten Linkviren (engl.: to link = sich verbinden). Sie sind besonders gefährlich und nur schwer zu entdecken, denn ein Linkvirus ist ein Programm, das sich als Teil eines anderen Programms verbreitet.
Wie das?
Gehen wir grob vereinfacht davon aus, eine normale Programmdatei bestünde
aus drei wesentlichen Teilen: einem Informationsteil, dem Aktionsteil (dem
eigentlichen Programm) und einem Datenbereich. Nachdem das Programm geladen
wurde, wird im Informationsteil nachgesehen, wo der Aktionsteil beginnt und
das Programm an der entsprechenden Stelle gestartet. Anders ist es bei einem
infizierten Programm, denn dieses besteht aus vier Teilen: einem Informationsteil,
dem Aktionsteil, einem Datenbereich und dem Virus.
Dabei hat der Virus den Informationsteil so verändert, daß das
Programm nicht mehr mit dem Aktionsteil gestartet wird, sondern mit dem Virus,
der sich (wie die Bootsektorviren) resident installiert und anschließend
den Aktionsteil aufruft. Verbreitung findet der Virus dadurch, daß er
nach seiner Installation darauf wartet, daß das nächste Programm
geladen wird. Er läßt sich darüber informieren und ermittelt
anschließend den Pfad, von dem das Programm geladen wurde. Dann hängt
er sich (auf Diskette oder Festplatte) an das Programm an und verändert
es ebenfalls so, daß erst der Virus ausgeführt wird, bevor das
eigentliche Programm zum Zug kommt. Wie die Bootsektorviren sind auch Linkviren
sehr kurz, so daß Sie nicht bemerken werden, daß von der Diskette
oder Festplatte nicht nur Daten gelesen wurden, sondern gleichzeitig auch
der Virus gespeichert und dadurch ein weiteres Programm infiziert wurde.
Dem aufmerksamen Betrachter könnte allenfalls die im Vergleich zum Original
veränderte Programmlänge auffallen - aber wer hat schon die Dateilängen
seiner Programme im Kopf.
Die bekanntesten Linkviren sind der Milzbrand Virus (mit seinen Abarten)
und die VCS Viren. Der Milzbrand Virus wurde im Juli 1988 in der Zeitschrift "c't" als
Listing abgedruckt und schwirrt mittlerweile in verschiedenen mutierten Varianten
durch die Atari Welt. Er hängt sich an alle Programme die größer
sind als 10 KB und wird durch das Starten eines solchermaßen infizierten
Programms aktiv. Nachdem er sich einige Male kopiert hat, erscheint auf dem
Bildschirm eine kleine Grafik, die einen Virus darstellt, zusammen mit einigen
Sprüchen.
Der ursprüngliche Virus aus der "c't" war insofern harmlos,
als er keinen Schaden angerichtet hat. Er war als Beispiel gedacht und sollte
zeigen, wie Viren grundsätzlich funktionieren, weil es damals die wildesten
Gerüchte über die Fähigkeiten von Computerviren gab.
Natürlich fanden sich gleich einige Unerbesserliche, die den Virus so
modifizierten, daß inzwischen nicht mehr gesagt werden kann, wie er
aktiv wird.
Poison! erkennt diesen Virus zuverlässig. Ebenfalls 1988 wurde von der
Firma GFE aus Bad Soden zum Entsetzen aller vernünftigen Computer-Benutzer
ein Programm mit dem Namen "Virus Construction Set" auf den Markt
gebracht. Mit diesem Programm war man in der Lage, einen eigenen Linkvirus
auch ohne Programmierkenntnisse zu erzeugen.
Poison! erkennt auch diese Viren zuverlässig.
Es gibt noch weitere Linkviren, die im allgemeinen ebenfalls von Poison!
erkannt werden. Es ist aber zu befürchten, daß ständig neue
Viren in Umlauf gelangen, die Poison! nicht erkennt. Zum optimalen Schutz
sollten Sie den Online!-Test ständig aktiv haben und uns Disketten,
die Ihnen verdächtig erscheinen, sofort zuschicken. In der MS-DOS Welt
gibt es mittlerweile Linkviren, die sich selbst so verändern, daß es
unmöglich ist sie zu identifizieren.
Außerdem gibt es seit kurzem sogenannte Trojanische Pferde - Linkviren,
die sich wie üblich an Programm hängen, aber Teile davon komprimieren
und so deren Länge nicht mehr verändern. Die Folge ist, daß Antivirusprogramm,
die Linkviren lediglich anhand der veränderten Programmlänge ermitteln,
an solchen Viren scheitern. Poison! bildet daher zu jedem Programm eine Prüfsumme.