Totschweigen ist keine Lösung

Neben den Public Domain-Virenkillern bieten auch kommerzielle Anbieter Anti-Viren-Programme an. Das »Anti-Viren-Kit« des Bochumer Softwarehauses G Data ist der zur Zeit auflagenstärkste kommerzielle Virenkiller. Das ST-Magazin bat G Data deshalb um eine Stellungnahme.

Unseren ersten Kontakt mit Computerviren auf dem ST hatten wir im Mai 1988, als ein Computervirus eine Festplatte mit wichtigen, teilweise nicht gesicherten Entwickler-Quellcodes zerstörte. Der Schaden war genauso groß wie der Ärger, zumal uns das Problem als solches zwar bekannt war, wir es aber zuvor nicht allzu ernst genommen hatten.

Zu dieser Zeit häuften sich auch Probleme bei Kunden, die von unerklärlichen Phänomenen zu berichten wußten. Zunächst entwickelten wir ein kleines Utility, das die beiden damals bekannten Viren erkannte und beseitigte. Das Programm war für unseren internen Gebrauch bestimmt. Durch Disketten von Kunden konnten wir den Viren-Killer um zusätzliche Viren erweitern. Ende Juli ’88 verschärfte sich die Lage. Waren es bis dahin einige relativ harmlose Viren gewesen (ausgenommen der Festplatten-Virus), so kamen nun verstärkt gefährliche Viren in Umlauf. Dabei handelte es sich meistens um leicht modifizierte Algorithmen von bereits veröffentlichten Viren (als Zeitschriftenlisting), bei denen allerdings die Aktionen, also das, was der Virus ausführt, verändert waren.

Diese Viren stellten eine Gefahr für die Daten aller Anwender dar. Angesichts dieser Situation sowie einer verstärkten Nachfrage von Kunden (wir hatten das Urprogramm auf Anfrage kostenlos abgegeben) entschlossen wir uns, das Programm kommerziell zu vermarkten. Als das »Anti-Viren-Kit« im August 1988 auf den Markt kam, wurde folgende Kritik laut:

  1. Der Verkauf eines Anti-Viren-Programms veranlaßt Virenprogrammierer zu verstärkten Aktivitäten, beziehungsweise bringt »unbescholtene« Programmierer erst auf die Idee, Viren zu programmieren und in Umlauf zu bringen.
  2. Der Verkaufspreis von 99 Mark ist unangemessen hoch, außerdem gibt es genügend Public Domain-Virenkiller.

Wir glauben, daß einige zusätzliche Informationen diese Argumente in einem anderen Licht erscheinen lassen:

  1. Totschweigen hat ein Problem noch nie beseitigt. Breite Diskussion, fundierte Aufklärung durch sachliche Zeitschriftenberichte und konkrete Hilfeleistung durch fertige Programme sind eher zur Sensibilisierung und zum Aufbau eines Problembewußtseins geeignet.
  2. Das Anti-Viren-Kit ist ein sehr arbeitsaufwendiges Produkt. Seit August 1988 arbeiten zwei Programmierer acht Stunden täglich, um neue Computerviren zu erkennen und das Anti-Viren-Kit entsprechend zu erweitern. Täglich senden uns Anwender des Anti-Viren-Kits bis zu 30 Disketten, die »verdächtige« Bytefolgen enthalten. Unsere beiden Spezialisten prüfen jede eingehende Diskette ausführlich. Nach einigen Tagen bekommt der Benutzer seine Diskette zusammen mit einer aktualisierten Version des Anti-Viren-Kit zurück. Dieser Service ist im Kaufpreis enthalten. Auch wenn wir keinen neuen Virus finden, erhalten die Anwender jederzeit kostenlos die neue Version. Bei PD- und Shareware-Killern kostet meist jedes Update extra.

Viren betreffen alle

Auch große Softwarehäuser, zum Beispiel Omikron, Data Becker oder CCD sowie PD-Versender wie beispielsweise Karstadt, setzen das Anti-Viren-Kit zur Qualitätssicherung ein. Atari Deutschland sowie GFA-Systemtechnik benutzen ebenso das Anti-Viren-Kit. Daß Computerviren nicht nur für Hobbyisten und semiprofessionelle Anwender ein ernsthaftes Problem darstellen, wird spätestens dann klar, wenn man sich das Käuferspektrum des Anti-Viren-Kit ansieht. Hier finden sich nicht nur zahlreiche Universitäten und Forschungsinstitute, sondern auch bekannte Großfirmen aus kritischen Branchen, deren Sicherheitsvorkehrungen immer wieder in die öffentliche Diskussion geraten.

Das Problem Computerviren ist jedoch keinesfalls auf den Atari ST eingeschränkt. Auch PCs, Netzwerke sowie UNIX-Systeme sind betroffen. Im Bereich der mittleren Datentechnik ist es jedoch mit einem Virenprüfprogramm zum »Hausgebrauch« nicht mehr getan.

Statt dessen muß ein Service-Mitarbeiter das gesamte System vor Ort überprüfen. Gerade in diesem brisanten Bereich sind die Kunden besonders auf Diskretion bedacht und verlangen vertragliche Absicherung über die Geheimhaltung von Namen und Ergebnissen. Hier wird die Gefahr, die von Computerviren ausgeht, besonders deutlich. Schäden gehen in die Millionen.

Aber auch im Atari ST-Sektor sind die Schäden, die Viren bereits angerichtet haben, beträchtlich. Sie reichen von leichten Beeinträchtigungen der Arbeit bis zum Verlust wertvoller Daten oder der Zerstörung von Hardware (I/O-Chips, Festplatten, etc.). Der jüngste Fall eines gefährlichen Virus, der in nächster Zeit für einige Unruhe sorgen dürfte, ist der sogenannte »Crypt-Virus«.

Der Crypt-Virus verschlüsselt alle Dateien auf einer Festplatte oder Diskette, so daß die Daten unbrauchbar werden. Da dieser Virus jedoch auf den Algorithmus eines bekannten Verschlüsselungsprogramms zurückgreift, lassen sich der Code dechiffrieren und die ursprünglichen Daten somit retten. Für die Zukunft läßt sich keine eindeutige Vorhersage über die weitere Entwicklung der Computerviren treffen. Daß sich das Phänomen Computerviren in Luft auflöst oder durch einen »Hyperschutz« endgültig besiegen läßt, ist ebensowenig anzunehmen, wie die Theorie, daß Viren die Computerwelt immer mehr in Schrecken und Chaos versetzen.

Wie die letzten sieben Monate zeigten, gab es ein ständiges Auf und Ab der Viren-Aktivität. Nur gründliche Aufklärung, entsprechende Gegenmittel und verschärfte Verfolgung und Strafandrohung für die Urheber sorgen auch in Zukunft dafür, daß das Problem in einem überschaubaren Rahmen bleibt, und keine Schäden von größerem Ausmaß anrichtet. (Tarik Ahmia/uh)

Der »Crypt-Virus«

Den Crypt-Virus entdeckten wir erstmals Mitte Dezember 1988. Wir fanden ihn auf einer Diskette, die ein Programmangebot enthielt. Ob Zufall oder Absicht der Autoren, ist natürlich nicht nachzuvollziehen. Gleichwohl gehört der Crypt-Virus zu den gefährlichsten der bisher bekannten Viren.

Der Crypt-Virus ist ein Link-Virus der neuesten Generation. Er verrät sich nicht einmal mehr dadurch, daß er infizierte Programme verlängert. Der Virus komprimiert Text-Segmente des Programms und benutzt den freigewordenen Speicher, um sich selbst anzuhängen. Bei jedem Programmstart fungiert der Virus als Loader, um das Programm in dekomprimierter Form zu installieren.

Durch diesen hinterlistigen Trick wird die Programmlänge des infizierten Programmes im Directory nicht beeinflußt, und der Virus läßt sich ohne geeignete Werkzeuge nicht lokalisieren. Aber er hat noch mehr Tricks auf Lager. Virenkiller täuscht er durch Umgehen der herkömmlichen Analyse-Verfahren sowie ständiger Eigen-Modifikation geschickt. Der Virus »mutiert« sozusagen selbsttätig. Trifft dieser Virus auf eine Festplatte, tritt er in Aktion. Zunächst wird der Konfigurationssektor der Festplatte gelesen, verschlüsselt, auf einen freien Sektor umkopiert und der Originalsektor gelöscht. Wohin dieser Sektor kopiert wird, ist quasi vom Zufall, genauer von der internen Uhrzeit des ST abhängig. Ähnlich verfährt der Virus, falls sich im Laufwerk eine Diskette befindet. Er verschlüsselt, kopiert und löscht die FAT.

Die Verschlüsselung geschieht mit einer einfachen XOR-Operation, die der Virus wortweise durchführt. Mit einigem Aufwand läßt sich diese Verschlüsselung wieder rückgängig machen. Schwieriger ist es allerdings, den verschlüsselten Sektor vor allem auf der Festplatte zu finden. Die Zerstörung durch den Virus ist also nicht endgültig, sondern reparabel, doch nur durch den Viren-Autor. Die Vermutung liegt daher nahe, daß dieser ein Gegenmittel anbieten wird, um sich über den Kaufpreis auf übelste Weise zu bereichern. Zur Zeit ist so ein Gegenmittel aber noch nicht bekannt. Juristisch ist gegen dieses Verfahren nichts einzuwenden, da sich kaum nachweisen läßt, daß der Anbieter des Gegenmittels auch der Autor des Virus ist.

Aktuelle Warnung

Eine Abart von Computerviren erreichte uns in den letzten Tagen. Diese Unart scheint sich als übler »Scherz« zunehmend zu verbreiten. Es handelt sich hier um Programme, die unter harmlos erscheinenden Namen oder als neue Version von Anwender-Programmen (zum Beispiel 1st Word Plus) Schaden anrichten.

Startet man ein solches Scheinprogramm, formatiert es beispielsweise ohne Vorwarnung die Festplatte oder löscht die Diskette. Anschließend erscheint noch eine hämische Meldung wie »Guten Tag!«. Solche Programme verbreiten sich natürlich nicht wie Computerviren, sondern über Programmtausch und unachtsame Public Domain-Anbieter. Durch die eingeschränkten Verbreitungswege sind diese Scheinprogramme jedoch ungefährlicher als Computerviren.

G Data, Siemensstr. 16, 4630 Bochum 1


Bernd Hoffmann
Links

Copyright-Bestimmungen: siehe Über diese Seite