Das Jahr danach

Richard Karsmakers, Autor eines Virenkiller-Programmes, das seinen Weg bereits in so ferne Länder wie die USA, Finnland und die Volksrepublik China gefunden hat, blickt zurück auf ein Jahr der Virenbekämpfung. Folgen Sie dem Gründer der internationalen Disketten-Zeitschrift »ST News« auf einem ungewöhnlichen Streifzug mit Ironie und Biß durch das ganz normale Leben eines Virenjägers.

Der raffinierte, dennoch ohrenbetäubende Sound der Metallica-CD »...and Justice for All« durchflutet mein Zimmer, während ich an meinem treuen ST sitze und diesen Artikel schreibe, den Kopf ein wenig im Rhythmus der Musik hin und her wippend. Nun, das ist wirklich Musik — welch ein Unterschied zu all dem Wee Papa Girl Rapper-Zeug und dem anderen Acid House- und Hip Hop-Müll, mit dem sämtliche Radiostationen ununterbrochen den unschuldigen Hörer bombardieren. (Sollten Sie diese »Musik« tatsächlich mögen, kann ich nur eine dringende Überprüfung Ihrer Geschmacksnerven empfehlen!)

Von Anfang an

Meine Gedanken sind hingegen völlig vom Kampf gegen Computerviren in Beschlag genommen (ausgenommen die 99 Prozent, die für das sinnlichste und aufregendste Mädchen überhaupt draufgehen — Patricia, Dame meines Herzens. Aber das ist eine ganz andere Geschichte und wäre völlig fehl am Platz, so gerne ich sie auch erzählen möchte).

Hallo an alle, und ein herzliches Willkommen zu einem ungewöhnlichen Artikel über Computerviren. Weniger technische Spitzfindigkeiten dieses Mal sondern mehr eine Schilderung der Ereignisse, die sich seit etwas mehr als einem Jahr zugetragen haben — als sich diese kleinen unheimlichen Programme, Viren genannt, das erste Mal ankündigten.

Jeder sollte mittlerweile wissen, wie die Geschichte begann: Ein einsamer und in den Netzen der Liebe gefangener Computerfreak sitzt in einer späten Herbstnacht an seinem Computertisch und tippt eifrig auf der Tastatur, einen tiefen Seufzer innerster Melancholie ausstoßend, als ihn das Telefon mit seinem Klingeln unterbricht. Am anderen Ende der Leitung meldet sich ein befreundeter Computerfreak, verkündet kreischend und schreiend die Ankunft der Viren auf dem ST, prophezeit die Zerstörung aller Daten, kurz: verkündet das bevorstehende Jüngste Gericht für alle ST-Anwender.

Nachdem unser Freund den Hörer wieder aufgelegt hat und ein weiteres Mal einen dieser tiefen Seufzer seufzt, lassen wir ihn für eine Weile allein (währenddessen er sich für den Ort entscheidet, an dem manchmal die wildesten Drachen besiegt, die neuesten heißen Computerspiele versucht und noch ganz andere Erfahrungen gemacht werden können). Dafür treffen wir ihn am nächsten Tag mit seinem besten Freund und Mitverschwörer, Frank Lemmen, wieder. Sie sitzen inmitten von meterlangen, disassemblierten Bootcode-Ausdrucken, blättern verzweifelt im »ST Intern« und kritzeln manchmal in den ungeheuren Mengen von Papier herum. An diesem Nachmittag (während gerade Musik von Michael Jackson läuft — ob Sie es glauben oder nicht!) entsteht der erste holländische Virenkiller, den sie noch in derselben Nacht über unzählige Mailboxen in Umlauf bringen.

Dann ging alles sehr schnell. Wir tätigten Telefonanrufe (darunter einige sehr teure, sollte ich hinzufügen, die weit über unseren Kontinent hinausreichten), schickten Virenkiller an alle Freunde und Bekannte und dachten uns ziemlich krankes Zeug aus, was die Behandlung der Virenprogrammierer betraf. Es dauerte einen Monat, bis ein wirkliches, »endgültiges« Virenkiller-Programm erschien: das »Virus Destruction Utility«.

Nun wurde überall über dieses Phänomen geredet und geschrieben. In den Tageszeitungen erschienen kleine Meldungen, die sich mit den möglichen Gefahren befaßten, und sogar das Fernsehen nahm sich des Themas an.

Grundsätzliches

Die größte Aufmerksamkeit fand das Problem jedoch bei den Computer-Zeitschriften. Doch selbst sie berichteten nicht immer genau und objektiv; der Unsinn, den sie damals schrieben, würde zusammen mit den Richtigstellungen ganze Seiten füllen. Dafür ein paar Beispiele:

Wenn Sie Ihre Disketten schreibgeschützt halten, dann ist das eine sehr sichere Methode, um die Verbreitung von Viren zu vermeiden. Sie sollten sich nur Sorgen um Ihre Arbeitsdisketten machen, denn die tragen meist die wertvollsten Daten.

Die Behauptung, ein Virus könne sich in das ROM schreiben, ist, verzeihen Sie den Ausdruck, totaler Quatsch.

Es ist einfach unmöglich. Im Mega ST könnte die batteriegepufferte Uhr noch infiziert sein, aber sie hat weniger als 128 Byte Speicher (einiges davon benützt die Uhr selbst, einiges nicht, niemand weiß darüber genau Bescheid), und das dürfte nicht einmal für den kleinsten Virus reichen. Wenn Sie aber auf Nummer Sicher gehen wollen, dann entfernen Sie einfach die Batterien für mehr als 30 Sekunden und setzen sie anschließend wieder ein.

Nachdem sogar einige Fälle auftraten, in denen Original-Software infiziert war, sollten sich alle bewußt sein: Jeder Anwender kann von Computer-Viren betroffen werden, Viren sind nicht wählerisch.

Einige geistig verwirrte Programmierer produzieren sie immer noch, oder sie stellen sogar »Virus Construction Sets« her. Es gibt bisher mindestens 20 unterschiedliche Virengrundtypen...

Uff. Ich fühle mich sehr erleichtert, nachdem ich mir das von der Seele geschrieben habe. Es ist oftmals recht irreführend, wenn man die Leute reine Märchen erzählen hört.

Die Musik schwebt immer noch durch meine kleine Studentenbude, sie hört sich aber jetzt noch viel besser an; Metallica ist nun von der ersten CD des guten alten Yngwie Malmsteen (ich habe diesen Zauberer auf der Gitarre vor einiger Zeit life gesehen — brillant!) abgelöst worden, die herrlichen Gitarrensoli stürmen auf meine armen, immer noch ganz schön pochenden Ohren ein. Für einen Moment verblassen sogar die süßen Erinnerungen an das letzte Zusammentreffen mit Patricia ein wenig, während Malmsteen spielt... Entschuldigung. Ich gerate gelegentlich etwas ins Träumen. Haben wir nicht gerade über Viren im letzten Jahr gesprochen? Richtig, das haben wir.

Richard Karsmakers, 20, ist ein engagierter ST-Experte aus Holland, wo eine lebhafte Atari-Szene existiert. Nach-' dem er 1986 vom C64 auf den ST umstieg, gründete er im Sommer desselben Jahres die Public Domain-Disketten-Zeitschrift »ST-News«, die heute einen international guten Ruf genießt. Die Zeitschrift bringt neben aktuellen Themen auch Kurse und Tests. »ST-News« ist in Englisch geschrieben.

Als erbitterter Gegner von Virus-Programmen entwickelte Richard Karsmakers das »Virus Destruction Utility«. Es vernichtet alle verbreiteten ST-Viren.

In Deutschland ist die »ST-News« gegen Einsendung eines Freiumschlags und einer formatierten Diskette unter der folgenden Adresse erhältlich:

Guido Stumpe Kessenicher Straße 1 5300 Bonn 1

Was lange währt

In der September-Ausgabe des ST-Magazins (1988) hatte ich zum ersten Mal Gelegenheit, etwas über das bereits erwähnte Virus Destruction Utility in einer nicht-holländischen Fachzeitschrift zu schreiben. Damit begann der Verkaufs-Boom des VDUs. Bislang nutzen ST-Anwender in 13 Ländern das VDU (die Bundesrepublik führt mit 75 Prozent aller Verkäufe, gefolgt von den Niederlanden mit etwas weniger als 19 Prozent).

Dieser Boom brachte erhebliche Arbeit und Verantwortung mit sich, und es gab einige Kunden, die gespannt auf ihre Kopie warteten, nachdem sie das VDU schon zwei Monate vorher bezahlt hatten. Da ich aber in Utrecht studiere und außerdem ein ausgedehntes Freizeitleben pflege (welcher Student macht das nicht?), war es nicht vermeidbar. Ich schuftete ganz schön, bis ich den ganzen Stapel Bestellungen weggearbeitet hatte. Hier richte ich meine aufrichtige Entschuldigung an alle, die unzumutbar lange auf ihr Programm warten mußten. Jetzt habe ich mir eine effektivere Methode ausgedacht, die Aufträge zu bearbeiten, so daß diese Lieferengpässe nun der Vergangenheit angehören.

Jeder, der sein Programm immer noch nicht bekommen hat, wird wahrscheinlich auf dem Stapel »Aufträge mit unvollständiger/unleserlicher Lieferadresse« liegen. Bitte schicken Sie mir eine Karte, falls Sie betroffen sein sollten.

Das Auftauchen der Viren hat mit Sicherheit etwas im durchschnittlichen ST-Besitzer verändert. Er ist nun viel vorsichtiger, natürlich, aber auch dauernd verunsichert, weil er Angst hat, etwas könnte seine Arbeits- und Quell-Dateien beschädigen. Es ist schon beängstigend, seine Daten nicht völlig geschützt zu wissen (nicht einmal auf Ihrer Festplatte); etwas Unsichtbares ist in der Lage, sie zu zerstören. Ich wage nicht einmal daran zu denken, was ich tun würde, wenn meine Festplatte auf einmal gelöscht wäre. Selbstmord?

Nebenwirkungen

Nach dem Erscheinen des September-Artikels ist eine neue Version des Virus Destruction Utility erschienen (Version 3.2). Übrigens ist dies die Version, die ich all den Leuten geschickt habe, die nach der Veröffentlichung des Artikels ihre Bestellung aufgaben. Abgesehen davon, daß diese Version mehr Viren und mehr unschuldige Bootsektoren entdeckt und mehr Auto-Boot-Programme repariert als frühere Versionen, besitzt sie auch noch eine »Virus-Wahrscheinlichkeits-Faktor«-Berechnung (VPF). Sie berechnet diesen Faktor immer dann, wenn das VDU einen unbekannten Bootsektor antrifft. Mit dieser Funktion läßt sich genau einschätzen, ob Sie es mit einem neuen Virus zu tun haben oder nicht.

Jeder Virus muß bestimmte charakteristische Routinen besitzen: Genau danach sucht dieser VPF. So muß sich jeder Virus vervielfältigen, und das geht im Fall des Bootsektor-Virus nur über die BIOS- oder XBIOS-Routinen, die einen Sektor auf eine Diskette schreiben oder sogar die Register des Laufwerkcontrollers direkt ansprechen. Viren schleusen sich in Ihr System, was ihnen nur durch Benutzung bestimmter System-Variablen gelingt (beispielsweise die Variablen, die den harddisk_rw-Vektor verwenden oder den Vektor der Routine zum Lesen des BIOS Parameter Block einer Diskette). Wenn diese Punkte überprüft sind, können Sie schon ganz gut abschätzen, ob Sie es mit einem Virus zu tun haben oder nicht.

Ebenso ist ein VPF für Linkviren denkbar. Ich arbeite gerade daran, kann aber noch keinen Erfolg garantieren.

Wenn ich im »wirklichen Leben« eine verdächtige Disk zugesandt bekomme, tue ich genau das, was VDU auch macht, allerdings per Hand und auch ein wenig sorgfältiger: Zuerst lese ich den Bootsektor in den Computerspeicher, dann dis-assembliere ich ihn mit »Tempelmon« und speichere ihn. Anschließend dokumentiere ich diese Datei mit Hilfe von »ST-Intern« und einem Editor (das Buch sieht inzwischen aus, als hätte es einige Tage bei schlechtem Wetter auf der Straße gelegen).

Nachdem ich diese harmlose Bootsektordatei irgendwo auf Disk als Text gespeichert und den Quellcode dokumentiert habe, entferne ich den Original-Virus von der Diskette, und zwar für immer. Dann füge ich Erkennungs-Sequenzen in den VDU-Quelltext ein und denke mir einen Weg aus, wie das VDU den Virus erkennt, wenn er sich schon im Computer befindet. In der Regel überprüfe ich dazu die Systemvariablen und kontrolliere den Speicherbereich, auf den die oben genannten Vektoren zeigen.

Alles in Handarbeit

Das ursprüngliche Grundprinzip der Bootsektor-Viren hat eine wesentliche Änderung erfahren: Es gibt nun einen Virus, der ein paar FAT-Sektoren mehr benutzt, um sich auf die Diskette zu kopieren. Entsprechend mehr Platz hat der Virus, gefährliche Dinge zu treiben. Theoretisch können Bootsektor-Viren so groß wie die ganze Diskette werden, wie sinnvoll das ist, steht auf einem anderem Blatt. Dieser Virus kommt übrigens aus den Vereinigten Staaten, demnach ist auch dort niemand mehr sicher.

Es ist nicht besonders viel, was ich bisher über die neuesten Bootsektor-Viren weiß (über diejenigen, die in der nächsten VDU-Version hinzukommen, später noch mehr), aber einer vertauscht die Bewegungsrichtungen der Maus (Hallo Erik). Einige neuere Linkviren liegen bereit, um von den Disketten entfernt zu werden, aber ich hatte keine Zeit, sie genauer zu untersuchen. Einer heißt »Uluru«, einem anderen wird nachgesagt, »1st Word«-Dateien nach dem Zufallsprinzip zu zerstören.

Das Schlimmste aber, was in dieser Zeit geschah, war das Erscheinen eines Programmes mit dem Namen »Virus Construction Set Part II«. Es erlaubt sogar dem unerfahrensten ST-Besitzer, seine eigenen Linkviren zu produzieren. In der Version 3.2 ist es berücksichtigt. Ich habe mit diesen Viren ein paar sehr lange Hacker-Nächte verbracht, den Rest meiner grauen Zellen quälend und Flüche fluchend, die sich an dieser Stelle wirklich nicht wiederholen lassen. Im Grunde produziert VCS II nur einen Typ von Linkviren, die aus zwei veränderbaren Routinen bestehen (die Routine zum Verändern des Aktivierungsdatums und die Routine mit der Zerstörungswirkung). Kann man einen Virus zerstören, dann lassen sich auch alle anderen dieser Art zerstören. Das Problem besteht nur darin, daß die Typen einen Weg gefunden haben, 2 Byte so zu verstecken, daß sie sich nur furchtbar schwierig in einem infizierten Programm wiederfinden lassen. Wie auch immer, dieses Construction Set entbehrt jeder vernünftigen Grundlage und ist anscheinend von jemanden mit verblüffend niedrigem Intelligenz-Quotienten und jedem Mangel an Verantwortungsbewußtsein geschrieben worden — auf die vertreibende Firma trifft dies ebenso zu. Genug über diese örtlich begrenzten Ausbrüche des Schwachsinns, aber diese Typen machen mich wirklich wütend, und dann greife ich manchmal zu wenig feinen Worten. Wenn Sie für einen Moment warten wollen, hole ich grüne Seife und wasche mir den Mund aus.

Da war doch noch

Gmrrmms... sop... sop... grrmmbsll...

Auf jeden Fall bin ich sehr froh über die Nachricht, daß dieses VCS II schon vor drei bis vier Monaten aus den Ladenregalen verschwunden ist — wahrscheinlich gibt es dort einen, der noch ein Quentchen Verantwortungsgefühl hat.

Uff, wieder fühle ich mich sehr erleichtert, nachdem ich das alles losgeworden bin. Und wieder einmal mache ich Musik an, diesmal ist es etwas von Beethoven, seine Noten gleiten nun sanft durch mein kleines Zimmer und bringen mir nach dieser verzweifelten, polemischen Wortschlacht göttliche Ruhe und Frieden.

Plopp!

Entschuldigung! Aber ich konnte nicht widerstehen, eine Seifenblase herauszupusten, die nun um mich herumschwebt, zusammen mit der Musik, und ich pfeife leise zur »Fünften« des alten Meisters. Ich denke, ich sollte meine nächste VDU-Version Patricia widmen. Es wäre sinnlos, von einer neuen VDU-Version zu reden, ohne auf die Viren selbst einzugehen. An erster Stelle gilt: Verschließen Sie Ihre Augen nicht vor dieser realen Gefahr für Ihren Computer und Ihre Daten. Egal mit welchem Virenkiller Sie arbeiten, es empfiehlt sich angesichts des bisher durch Computerviren angerichteten Schadens, ständig auf der Hut zu sein. Bis heute fällt den Virenprogrammierern immer wieder etwas Neues ein; und es spricht nichts dafür, daß sich dies in Zukunft ändert. Über die kommende Version des VDU läßt sich noch nicht sehr viel berichten, aber sie erkennt mindestens 15 Bootsektor-Viren, 4 Linkviren und 125 harmlose Bootsektoren, von denen sie 85 repariert. Wenn Sie diesen Artikel lesen, habe ich die Arbeit an der neuen Version abgeschlossen.

Verbesserungen

Alle Fehler (Beispiel: ein System wird als vom »Signum«-Virus infiziert gemeldet, obwohl es der Antivirus ist) sind dann ebenfalls beseitigt, eine Online-Hilfsfunktion ist während des gesamten Programmlaufes verfügbar, und Bootsektor-Viren lassen sich nun auch auf der Festplatte vernichten. Vielleicht ist Version 3.3 auch zu (Festplatten) Cache-Programmen wie »Turbo-DOS« kompatibel, mit denen die bisherigen Versionen von VDU aus mir unbekannten Gründen nicht Zusammenarbeiten. Die Funktion »ganze Partition absuchen«, um die mich schriftlich Dutzende von Leuten gebeten haben, ist dann wohl auch verfügbar (vielleicht von meinem guten Freund und Mitverschwörer Stefan programmiert). Und wie wäre es mit einer Funktion, die Ihre Programme gegen Linkviren immun macht?

(T. Ahmia/uh)

Übersetzung: Uwe Rieke
Überweisungen für die neueste Version 3.3 des Virus Destruction Utilities richten Sie bitte an: Richard Karsmakers, Utrecht, Niederlande, Konto-Nummer 5060326, Postbank Arnhem. Die Angabe der Bankleitzahl ist nicht notwendig. Bei einer Bestellung über das Giro-Konto kostet VDU 3.3 18,95 Mark, bei Schecks lautet die Summe auf 28 Mark. Registrierte Anwender erhalten VDU 3.3 unter Angabe ihrer Lizenznummer und Zahlung von 10 Mark (bar, Postanweisung) beziehungsweise 18 Mark als Scheck.

Richard Karsmakers, LB. Bakkerlaan 15-III, NL-3582 VB Utrecht, Niederlande


Richard Karsmakers
Links

Copyright-Bestimmungen: siehe Über diese Seite