Poison! - Das Antivirenprogramm

Für alle Atari ST / TT / MegaST / MegaSTE / Falcon030

Allgemeine Bedienung

Poison! kann als Accessory oder als Programm gestartet werden. Wenn Sie Poison! als Accessory ständig zur Verfügung haben möchten, kopieren Sie die Datei POISON!.ACC auf Ihre Bootdiskette oder auf die Bootpartition Ihrer Festplatte. Beim nächsten Einschalten Ihres Computers bzw. nach einem Reset steht Poison! als Accessory zur Verfügung.

Sollten Sie Poison! in der mittleren ST-Auflösung (640 x 200) benutzen, kopieren Sie noch die Datei POISCOLR.RSC mit auf Ihre Bootdiskette oder Bootpartition (und nur dann). Die RSC Dateien für alle höheren Auflösungen sind in Poison! direkt integriert.

Nach dem Start zeigt Poison! einen Dialog an, von dem aus Sie Zugriff auf alle Funktionen des Programms haben. Der Dialog ist in drei Gruppen aufgeteilt, die den verschiedenen Aktionen entsprechen, die Sie mit Poison! durchführen können. Die Buttons können Sie mit der Maus auswählen.

Im unteren Teil des Dialogs befinden sich außerdem Buttons, mit denen Sie die Laufwerke auswählen können (und müssen), auf die sich die jeweilige Aktion beziehen soll. Nicht wählbare/angemeldete Laufwerke sind grau dargestellt. Zur gleichzeitigen Auswahl aller Laufwerke klicken Sie auf den Button "Alle wählen". Mit dem "Ende" Button beenden Sie Poison!.

Falls Sie Veränderungen am Datenbestand der Linkvirus-Database vorgenommen haben (dazu später mehr), erhalten Sie zuvor Gelegenheit, die veränderte Datei zu speichern.

Boosektorviren

Bootsektorviren suchen und entfernen

Bootsektorviren haben auf Atari-Computern (besser: Disketten/Festplatten) die bisher größte Verbreitung gefunden. Erstaunlich, denn vor Bootsektorviren können Sie sich absolut zuverlässig schützen, indem Sie sich an folgende Ratschläge halten:

* Halten Sie Ihre Disketten schreibgeschützt!
* Booten Sie niemals von / mit fremden Disketten ohne sie vorher mit Poison! überprüft zu haben.

Wenn möglich booten Sie immer mit der gleichen, schreibgeschützten Diskette. Zur Überprüfung einer Diskette auf Bootsektorviren wählen Sie das Laufwerk A oder B (oder beide) aus und klicken anschließend in der Gruppe "prüfen" auf den Button "Bootsektor".
Poison! zeigt daraufhin einen Dialog, in dem Sie den Button "Prüfen" auswählen müssen - diese Auswahl kann auch durch Drücken der "Return"-Taste oder der Taste "P" geschehen.
Die Bootsektorprüfung wird auch durchgeführt, wenn Sie in derselben Gruppe den Button "Alles" auswählen. Der Bootsektor des akuellen Laufwerks wird gelesen und mit über vierhundert bekannten Bootsektoren verglichen. Sollte Poison! auf einen unbekannten Bootsektor treffen, wird eine ausführliche Analyse des Inhalts vorgenommen. Dabei wird der Bootsektor auf die Verwendung von Betriebssystem-Funktionen sowie Veränderung von Systemvektoren überprüft, um abschließend zu bewerten, mit welcher Wahrscheinlichkeit es sich um einen Virus handeln könnte. Bei ausreichendem Verdacht sollten Sie den Bootsektor isolieren und anschließend die Diskette schützen.

Boot

Findet Poison! ein ihm bekanntes Schutzprogramm (wie es z.B. von Poison! zur Verfügung gestellt wird) oder einen Virus, wird es Sie darauf hinweisen. Beim Auffinden eines Virus erscheint ein weiterer Dialog, der mit "schützen" benannt ist. Hiermit steht Ihnen sofort eine Funktion zum Schutz der Diskette zur Verfügung, die den Virus durch ein harmloses Programm ersetzt.
Dieses Schutzprogramm gibt beim Booten mit dieser Diskette eine Meldung auf den Bildschirm aus. Erscheint diese Meldung nicht, hat sich der Bootsektor der Diskette verändert und Sie sollten die Diskette umgehend prüfen - wahrscheinlich befindet sich ein Virus im Bootsektor.

Wollen Sie mehrere Diskette nacheinander prüfen, brauchen Sie nach dem Diskettenwechsel nur die "Return"-Taste zu drücken. Beendet wird die Prüfung mit dem "Abbruch"-Button. Bei Interesse können Sie sich den Inhalt des Boosektors mit der Funktion "Anzeigen" in verschiedenen Darstellungen anzeigen lassen.

Die Online-Prüfung

Zusammen mit Poison! haben Sie ein weiteres Programm erhalten: Online! (ONLINE.ACC).
Online! arbeitet als Accessory und stellt unserer Meinung nach den optimalen Schutz vor Bootsektor- und Linkviren dar, denn es kontrolliert automatisch jede Diskette und jedes Programm das Sie starten, ohne daß Sie etwas dazu tun müssten.
So wird das größte Risiko - Vergeßlichkeit - fast vollkommen ausgeschlossen. Ist Online! installiert, kontrolliert es die Diskettenwechsel auf Laufwerk A und B um beim ersten Zugriff auf eine Diskette den Bootsektor zu prüfen. Findet es einen Virus, werden Sie darüber informiert und haben die Möglichkeit, sofort ein Schutzprogramm in den Bootsektor zu schreiben, wodurch automatisch auch der Virus gelöscht wird.

Onlineprüfung Ebenso kontrolliert Online! bei jedem Programmstart, daß gestartete Programm auf Linkviren.

Sollten Sie auf ein befallenes Programm treffen, gibt Online! eine Meldung aus und Sie können das Programm sofort löschen.

Eine Restaurierung befallener Programmdateien ist leider nicht möglich.
Es gibt lediglich eine Situation, in der selbst Online! Sie nicht uneingeschränkt schützen kann: Sie haben eine Diskette mit einem Bootsektorvirus im Laufwerk und schalten den Rechner ein bzw. lösen einen Reset aus. In diesem Fall wird der Virus aktiv bevor Online! ihn erkennen und Sie darauf hinweisen kann. Unmittelbar nachdem der Hinweis erfolgt, sollten Sie den Computer ausschalten und mit einer Diskette im Bootlaufwerk wieder einschalten, von der Sie sicher wissen, daß sie keinen Virus enthält. Schützen Sie anschließend die infizierte Diskette.

Bootsektor schützen

Die bereits angesprochene Funktion zum Schützen des Bootsektors hat mehrere Aufgaben:

* Sie löscht einen (eventuell) vorhandenen Virus.
* Sie installiert ein Schutzprogramm, das beim Booten eine Meldung auf dem Bildschirm ausgibt.

Erscheint diese Meldung nicht, hat sich der Bootsektor der Diskette verändert.

Das Schutzprogramm ist außerdem ein einfacher Schutz vor Bootsektorviren, die sich nur dann verbreiten, wenn sich im Bootsektor noch kein ausführbares Programm befindet. Das Schützen einer Diskette ist denkbar einfach. Wählen Sie einfach den Button "Bootsektor" in der Gruppe "schützen" und bestätigen Sie den nachfolgenden Dialog mit "OK". Der Bootsektor-Schutz wird auch ausgeführt, wenn Sie in der Gruppe "schützen" den Button "Alles" wählen.

Poison! kann übrigens statt des eigentlichen Schutzprogramms auch ein Pseudo-Schutzprogramm in den Bootsektor schreiben, das lediglich den Startcode enthält. Dadurch erhalten Sie zwar den erwähnten einfachen Schutz vor einigen Bootsektorviren, müssen aber auf die Schutzwirkung der Bildschirmmeldung verzichten.
Welche Art von Schutz in den Bootsektor geschrieben werden soll, wird im Dialog "Einstellungen" in der Gruppe "Bootsektorschutz durch" bestimmt.
Wir empfehlen den "Poison!-Schutz" statt des "Pseudo-Codes". In der letzten Zeit sind übrigens Bootsektorviren in Mode gekommen, die sich dadurch tarnen, daß sie beim Booten eine Meldung ausgeben, die der Ausgabe (mehr oder weniger) bekannter Schutzprogramme entspricht. Aus diesem Grund haben wir die Meldung des Poison!-Schutzprogramms so gestaltet, daß der voll Umfang des Bootsektors benötigt wird. Erscheint die Schutzmeldung nicht oder nur unvollständig, sollten Sie den Rechner ausschalten, ohne Diskette booten und die eventuell infizierte Diskette umgehend überprüfen.

Bootsektor isolieren

Trifft Poison! bei der Überprüfung eines Bootsektors auf einen unbekannten Inhalt, wird versucht, den Bootsektor auf bestimmte Verhaltensmuster von Computerviren zu überprüfen. Ergibt diese Prüfung einen ausreichenden Verdacht auf einen Virus, können Sie mit der Funktion "Isolieren" aus der Gruppe "Diverses" den Bootsektor auslesen und als Datei speichern. Schicken Sie uns diese Datei (ein Hex-Dump des Bootsektors, der sich auch Faxen oder per E-Mail verschicken lässt) bitte umgehend zu.
Linkviren

Die Suche nach Linkviren

Die gefährlichere Art von Viren sind Linkviren, denn vor ihnen kann man sich nur begrenzt schützen. Hierzu müssen Sie selbst aktiv werden, und Ihre Programmdateien regelmäßig auf Veränderungen prüfen. Die Online-Prüfung von Poison! erkennt alle bekannten Linkviren, es ist aber nicht auszuschließen, daß neuere Linkviren im Umlauf sind, die von der Online- Prüfung nicht erkannt werden. Deshalb ist es ratsam, neue Programme sofort mit Poison! zu überprüfen. Ihr bester Schutz ist die Vorbeugung, deshalb sollten Sie sich an folgende Ratschläge halten:

Lassen Sie Ihre Programm-Disketten schreibgeschützt.
Prüfen Sie Disketten, die Ihnen von Dritten zur Verfügung gestellt werden, vor dem ersten Gebrauch auf Boot- und Linkviren.
Sichern Sie regelmäßig Ihre Daten - so halten Sie im Notfall den angrichteten Schaden gering.
Verwenden Sie keine Raubkopien - auf diesem Weg werden mit Abstand die meisten Viren verbreitet.

Während das Auffinden eines bereits bekannten Linkvirus relativ einfach ist, stellt die Suche nach unbekannten / neuen Linkviren ein großes Problem dar. Praktikabel ist hier lediglich die bereits erwähnte Prüfung auf Veränderungen an den Programmdateien, die natürlich voraussetzt, daß "gesunde" Programme als Referenz zur Verfügung stehen. Bei der Anwendung der Datei-Prüfung von Poison! wird dazu eine Datenbank gebildet (Database genannt), in der für jede überprüfte Datei deren Name, die Länge sowie (optional, im "Einstellungen" - Dialog zu verändern) eine Prüfsumme eingetragen wird.