UVK, Virendetektor, Poison: Virenbändiger
Obwohl lange nicht so schlimm wie auf dem PC, »hausen« auch in heimischen Atari-Gefilden bösartige Viren.
»Bei Atari-Systemen gibt es keine Virengefahr!« ist eine weitverbreitete Meinung unter den Anwendern. Doch gerade die jüngste Vergangenheit zeigt, daß dem keineswegs so ist und die scheinbare Sicherheit fatale Folgen haben kann. Notwendig also, seinen Datenbestand ausreichend gegen den elektronischen Krankheitsbefall zu sichern. Einfachstes Mittel: Die Diskettensammlung und den Festplatteninhalt mit Hilfe eines Antivirenprogrammes zu prüfen und ggf. zu »reinigen«. Neu eingehende Disketten und Programme sollten vor dem ersten Benutzen getestet werden.
Wir nehmen die verbreitesten Virenjäger unter die Lupe und zeigen Ihnen, wie wirkungsvoll sie im Kampf gegen die ungeliebten Gäste wirklich sind. Wir prüfen im einzelnen: das Shareware-Programm »Virendetektor« von Volker Söhnitz sowie die kommerziellen Produkte »UVK« von Richard Karsmakers und »Poison« von Bernhard Artz und Gregor Tielsch.
Wir haben den Virenkillern schwere Steine in den Weg gelegt und testen nach folgenden Kriterien:
- Erkennungsquote von (teilweise mutierten) Linkviren auf unserer testweise verseuchten Festplatte
- Erkennen von (teilweise mutierten) Bootsektorviren
- Fähigkeit, nützliche Bootsektoren zu restaurieren
- Möglichkeiten des effektiven Schutzes vor Neubefall der Datenbestände.
Ferner wurde auf eine gute Benutzerführung, die Lauffähigkeit auf dem TT, die Auflösungsunabhängigkeit, die Verträglichkeit mit »Mint« und »Magix«, den Updateservice — bei dieser Programmspezies besonders wichtig — und schließlich die Aussagefähigkeit des oft vernachlässigten Handbuches berücksichtigt.
The Ultimate Virus Killer (UVK)
UVK wird auf einer einseitigen Diskette und mit einem 50seitigen Handbuch geliefert. Für unserem Test lag uns die Version 5.5 des Programmes vor. Nach dem Starten von UVK fallt zunächst die ungewöhnliche Oberfläche auf. Statt über eine bewährte GEM-Umgebung wird das Programm mittels eigenen Dialogboxen gesteuert, die sich neben der Maus auch vollständig per Tastatur bedienen lassen. Erfreulicherweise läuft UVK auch in anderen Auflösungen als der hohen ST-Auflösung und macht selbst auf einem TT keine Probleme. Leider findet UVK unter der Multitasking-Erweiterung Magix seine Dateien nicht mehr und stürzt mit einer Fehlermeldung ab.
Die wohl wichtigste Funktion des UVK ist »Suche und repariere Viren«. Sie haben richtig gelesen! Bei der Übersetzung der englischen Funktionsbezeichnungen ins Deutsche hat sich offensichtlich ein Fehler eingeschlichen. Selbstverständlich müßte es »Viren suchen und entfernen« heißen. Nach Anwahl dieser Funktion erscheint eine Dialogbox, in der Sie angeben müssen, auf welchem Laufwerk Sie Viren aufspüren möchten. In einer weiteren Dialogbox haben Sie nun die Wahl zwischen der Bootsektorkontrolle (nur bei Floppylaufwerken) und dem Überprüfen von Dateien. Entscheiden Sie sich für letzteres, müssen Sie noch angeben, ob nur Programmdateien oder alle auf der Partition vorhandenen Files untersucht werden sollen. Nachteilig ist hierbei, daß die Extensionen der ausführbaren Dateien vorgegeben sind. Sinnvoll wäre es sicherlich, wenn zusätzlich noch einige Dateikürzel für Programmdateien selbst festgelegt werden könnten, so wie dies bei den beiden anderen hier vorgestellten Virenkillern der Fall ist.
Die Überprüfung des Bootsektors erfolgt prinzipbedingt sehr zügig. Kann dieser nicht ausgeführt werden, erscheint Entwarnung und ein Hinweis auf die Art des Bootsektors, z. B. MS-DOS-Kompatibilität. Findet UVK einen ausführbaren Bootsektor, so wird zunächst untersucht, ob es sich um einen bekannten Virus, einen harmlosen Bootsektor (z. B. der eines Spieles) oder undefinierbar ist. Ist es ein Virus, wird sein Name genannt und nach einer Bestätigung ins Datennirwana befördert. Ist ein ausführbarer Bootsektor unbekannt, so wird er einer ausgedehnten Kontrolle unterworfen, wobei die Daten auf wichtige Viren-Charakteristika untersucht werden. Als Ergebnis erhalten Sie eine Einschätzung der Virengefahr. Den suspekten Bootsektor können Sie nun einfach entfernen, den Sektor Sektor sein lassen und gar nichts tun oder aber die Daten auf eine Diskette schreiben lassen. Diese Diskette können Sie an den deutschen Vertrieb senden, um ihn genauer untersuchen zu lassen. Handelt es sich um einen neuen Virus, berücksichtigt man ihn in einem der nächsten UVK-Updates. Ein besonders erwähnenswertes Feature ist die Fähigkeit von UVK, weit über 600 nützliche Bootsektoren zu erkennen und erzeugen. Hat also ein Virus den Bootsektor einer Spielediskette zerhackt, können Sie ihn mit UVK meistens problemlos wieder herstellen.
Auf Wunsch schützt UVK eine Diskette vor erneutem Virenbefall, indem ein harmloser Bootsektor auf die weiche Scheibe geschrieben wird. Viele Viren befallen nämlich nur solche Disketten, die noch keinen ausführbaren Bootsektor haben. Einen perfekten Schutz bietet diese Möglichkeit jedoch nicht.
Die Untersuchung von Programmdateien auf Linkviren läuft ebenfalls sehr geschwind und zuverlässig ab. Erkennt UVK an einem Programm einen Linkvirus — von denen es derzeit fünf Stämme gibt — ertönt ein Klingelzeichen und der Bildschirm blitzt kurz auf. Sie können nun die betreffende Datei löschen oder einfach ignorieren. Ein Restaurieren ist leider nicht möglich! Für Experten bietet UVK die Möglichkeit, von Viren zerstörte Bios-Parameter-Blocks (BPB) zu reparieren.
Das deutsche Handbuch geht auf alle Funktionen des Programmes erklärend ein und enthält im Anhang als besonderes Schmankerl eine ausführliche Beschreibung von 57 Bootsektor-, fünf Link- und 17 Antiviren. Bei unseren Tests haben wir festgestellt, daß von UVK in der aktuellen Version auch Viren erkannt werden, die im Handbuch noch nicht berücksichtigt sind.
Mit unserer virenverseuchten Festplattenpartition und unseren testweise infizierten Disketten kam UVK hervorragend zurecht. Obwohl im Handbuch aufgeführt, erkannte UVK bei unserem Test die mit Linkviren des VCS angesteckten Programme nicht und stürzte bei solchen Programm teilweise mit zwei Bomben ab (keine sinnvolle Art der Virenmeldung). Bei den Bootsektorviren wurden bis auf eine Ausnahme alle Viren erkannt.
Um immer auf dem neusten Stand zu sein, kann ein (jederzeit kündbares) Update-Abo abgeschlossen werden. Sie bekommen dann beim Erscheinen einer neuen Version diese automatisch für 15 Mark zugeschickt.
Außerdem besitzt UVK einige Hidden-Screens, die durch Tastenkombinationen mit Alternate erscheinen. Wollten Sie schon immer wissen, wer Miranda ist? Ja? Dann drücken Sie in UVK doch einmal Alternate+M!
Zusammenfassend können wir UVK in bezug auf die Leistungsfähigkeit nur empfehlen. Einzige Kritikpunkte sind die selbstgestrickte Oberfläche und einige sprachliche Übersetzungsfehler im Programm. Alles in allem bietet UVK ein hohes Maß an Schutz vor ungeliebten Gästen im Rechner. Das Programm kann für 69 Mark beim deutschen Vertrieb Ippen & Pretsch Verlag bezogen werden.
Virendetektor
Volker Söhnitz’ »Virendetektor« ist als Shareware frei kopierbar und wohl nicht zuletzt auch deshalb das meist-verwendete Antivirenprogramm in Europa. Ähnlich wie bei UVK erwartet den Anwender nach dem Start von Virendetektor eine selbstgebaute Oberfläche, die nichts mit GEM zu tun hat. Dennoch läuft Virendetektor in allen Auflösungen ab 640 x 400 Pixel, auch auf diversen Grafikkarten und allen Atari-Rechnern (einschließlich TT). Laut Autor Volker Söhnitz wird der Virendetektor spätestens mit Erscheinen des MultiTOS eine GEM-konforme Oberfläche erhalten.
Beim Starten des Programmes wird automatisch ein Speicher- und Linkvirentest durchgeführt, so daß im Speicher hängende Viren sofort erkannt werden und keinen Schaden mehr anrichten können.
Alle Funktionen im Virendetektor lassen sich wahlweise mit der Maus oder der Tastatur aufrufen. Nachdem eine Diskettenstation angewählt wurde, kann die dort eingelegte Diskette auf Bootsektorviren untersucht werden. Virendetektor arbeitet dabei sehr zügig und treffsicher. Ist der Bootsektor ausführbar, enthält aber keinen bekannten Virus oder ein nützliches Bootprogramm, werden die Daten einer ausführlichen Analyse unterworfen, bei der auf zehn typische Virenmerkmale geachtet wird. Anschließend erfolgt eine Meldung, die über die Wahrscheinlichkeit eines Virenbefalles informiert. Der Bootsektor kann nun gelöscht oder unverändert gelassen werden. Findet Virendektor jedoch einen ihm bekannten Virus, wird dieser gelöscht. Im Falle eines unbekannten Bootsektors kann dieser ebenfalls mit einer anderen Funktion als Datei exportiert und an den Autor geschickt werden, der ihn dann genau unter die Lupe nimmt.
Zum Schutz des Bootsektors bietet Virendetektor drei verschiedene Methoden an: Bei der ersten wird ein kleines Bootprogramm in den Bootsektor geschrieben, welches bewirkt, daß gleich zum Ende des Bootsektors gesprungen wird. Die zweite Möglichkeit ist eine altbekannte: In den Bootsektor wird ein Bootprogramm geschrieben, das beim Hochfahren des Rechners eine bestimmte Meldung anzeigt. Die so behandelte Diskette ist auch weiterhin DOS-kompatibel. Bei der letzten Immunisierungsmethode schließlich wird ein kleines Programm in den Auto-Ordner gelegt, das den Bootsektor auf Veränderungen kontrolliert. Nistet sich ein Virus ein, schlägt das Programm automatisch Alarm. Diese Möglichkeit bietet größtmögliche Sicherheit vor Bootsektor-Virenbefall.
Bei der Linkvirenkontrolle können entweder alle Dateien einer Partition oder auszuwählende Programme überprüft werden. Verseuchte Programme werden zuverlässig erkannt und können optional gelöscht werden. Neben der vergleichenden Überprüfung auf bekannte Linkviren können auch Prüfsummen zu den Programmen abgespeichert werden, so daß bei einer regelmäßigen Kontrolle der Daten Veränderungen treffsicher erkannt werden.
Der Rootsektor der Festplatte läßt sich in eine Datei speichern und so bei späteren Kontrollen als Vergleich heranziehen. Sollte ein Virus den Rootsektor zerstören, kann er mit Virendetektor erneuert werden. Selbstverständlich nur, wenn eine Kopie auf Diskette gerettet wurde, bevor der Rootsektor der Festplatte zerstückelt wurde.
Zu Virendetektor gehört ein ASCII-Handbuch, das einen Umfang von inzwischen mehr als 160 kByte hat. Neben der Bedienung des Programmes wird das Thema Viren ausführlich erläutert. Das Virendetektor-Handbuch läßt sich fraglos als Standardwerk für Vireninteressierte bezeichnen und sollte eigentlich von jedem Atari-Anwender einmal gelesen werden.
Bei unserem Test erkannte Virendetektor alle Boot Sektor- und Linkviren auf Anhieb und steht damit bei der Erkennungsrate mit an der Spitze. Virendetektor ist ein Shareware-Programm. Es darf also frei kopiert werden. Wird das Programm benutzt, so ist der Anwender zur Entrichtung der Registrierungsgebühr verpflichtet, die 30 Mark beträgt. Dafür gibt es eine Liste aller bekannten Viren mit Erklärungen über deren Wirkungsweise und eine registrierte Version des Programms. Außerdem erhalten registrierte Anwender bei größeren Updates eine Benachrichtigung und der Autor Volker Söhnitz kann bei Problemen auch telefonisch konsultiert werden. Zu Virendetektor gehört das Utility »WProtect« von Christoph Conrad, mit dessen Hilfe einzelne Partitionen schreibgeschützt werden können.
Poison!
Das von Shift vertriebene »Poison!« von Berhard Artz und Gregor Tielsch lag uns in einer Betaversion 2.00 vor, die demnächst erhältlich sein wird. Poison verfügt über eine saubere GEM-Oberfläche und kann wahlweise als Programm oder Accessory gestartet werden — auch auf dem TT. Machte die Version 1.71 unter Magix und MultiTOS Probleme, bereitet das 2.00er Posion keinerlei Schwierigkeiten in einer Multitasking-Umgebung. Alle Funktionen sind in einer Dialogbox vereint und können per Maus oder Tastatur angewählt werden. Im Gegensatz zu UVK und Virendetektor können auch mehrere Laufwerke zur Kontrolle ausgewählt werden, was ein komplettes Überprüfen der Festplatte ermöglicht. Sie können selbst entscheiden, ob Poison alle Programme und Bootsektoren überprüft oder ob Sie lieber einzelne Dateien in einem Dateiauswahlfenster auswählen möchten.
Beim Überprüfen eines Bootsektors fallt auf, daß Poison vergleichsweise lange braucht, bis eine Meldung erscheint. Anzunehmen wäre nun, daß Posion einen besonders gründlichen Test durchführt und Viren sicherer aufspürt, als dies andere Antivirenprogramme in diesem Falle tun. Dies war aber bei der Version 1.71 keineswegs der Fall, da hier teilweise sogar manche bösartige Viren als harmlose Bootprogramme bewertet wurden. Erfreulicherweise konnten wir feststellen, daß in der Version 2.00 diese Schwachpunkte entfernt wurden und Poison nun auch diese Viren zuverlässig aufspürt.
Hat ein Virus ein nützliches Bootsektorprogramm zerstört, können Sie es wieder restaurieren. Dazu liegt Poison ein kleines Utility bei, bei dem Sie aus einer Liste mit harmlosen Bootern den gewünschten auswählen können, der dann auf die Diskette aufgebracht wird. Auch umgekehrt ist dieser Vorgang möglich: Haben Sie sich beispielsweise ein neues Spiel zugelegt, das über ein Bootprogramm im Bootsektor gestartet wird, können Sie den Booter auslesen und in die Poison-Liste eintragen lassen. So erhalten Sie eine Sicherheitskopie, falls sich ein Virus auf dem Null-Sektor einnistet und damit das Programm zerstört.
Bootsektoren können auf zweierlei Weise vor Virenbefall geschützt werden. Bei der »Pseudo-Code«-Variante werden Startcode und Nullen in den Sektor geschrieben, so daß dieser für einige Viren als »besetzt« markiert ist, die diesen Bootsektor dann unbehelligt lassen. Die zweite Möglichkeit, »Poison-Schutz«, arbeitet ähnlich, nur daß hier ein Text beim Booten angezeigt wird. Bleibt diese Meldung aus, wissen Sie als Anwender, daß bei diesem Bootsektor etwas nicht stimmt. Ein Befall ist wahrscheinlich. Einen perfekten Schutz bieten beide Möglichkeiten jedoch nicht.
Zum Prüfen von Programmdateien auf Linkviren gibt es zwei unterschiedliche Methoden. Die erste besteht aus dem Vergleich mit bekannten Virenstrukturen und führt zu einer hundertprozentigen Erfolgsquote, wenn ein Programm mit einem bekannten Linkvirus infiziert ist. Vor unbekannten Linkviren versucht die zweite Methode zu schützen: Name, Länge und optional eine Prüfsumme können für jede einzelne Programmdatei auf der Festplatte in eine eigene Datenbank übernommen werden. Poison vergleicht dann beim erneuten Auffinden die aktuellen mit den gespeicherten Daten und mahnt ggf. eine Veränderung der Programmlänge oder der Prüfsumme an. Wenn es sich um keine neue Version eines Programmes handelt oder die Software Parameter nicht in sich selbst speichert, ist ein Virenbefall wahrscheinlich. Selbstverständlich funktioniert diese Methode nur dann, wenn die Vergleichsdaten mit unverseuchten Programmen erzeugt wurden.
Zum Schutz vor Linkviren bietet Poison eine simple Funktion an: Programmdateien werden mit dem Nur-Lesen-Flag versehen. Das heißt, diese Datei kann nicht verändert oder gelöscht werden. Dieses Feature schützt zwar vor fast allen Linkviren, allerdings können manche den Schreibschutz der Dateien auch wieder aufheben.
Automatik
Das größte Problem bei der Verhütung von Virenbefall liegt in der »Faulheit« der Anwender begründet. Hat man einmal seine Datenbestände kontrolliert, wiegt man sich in Sicherheit und wird sorglos. In vielen Fällen wird auch erst dann zu einem Virenkiller gegriffen, wenn verdächtige Symptome auftreten. Dann ist es meist schon zu spät. Aber täglich mit einem Virenkiller die neuen Disketten und Programme zu kontrollieren, ist neben einer Gedulds- auch eine Zeitfrage. Die Autoren von Poison haben dieses Problem offenbar erkannt und bieten deshalb die Möglichkeit der Online-Überprüfung. Konnten mit der Version 1.71 nur Bootsektoren beim Lesen automatisch kontrolliert werden, werden in der Version 2.00 nun auch Programmdateien beim Starten automatisch auf Virenbefall geprüft und im Fall der Fälle eine Warnmeldung ausgegeben. Ist Poison als Accessory installiert, wird die Kontrolle automatisch ausgeführt. Alternativ dazu kann das im Poi-son-Preis inbegriffene Utility »Online« mit der ständigen Systemkontrolle beauftragt werden.
Eine weitere Möglichkeit, eine Virenverseuchung Ihres Systemes zu erkennen, ist, mit Poison die Systemvektoren zu kontrollieren. Da auch viele nützliche Programme die Vektoren verbiegen, können »gutartige Verbiegungen« in ein Verzeichnis eingetragen werden. Unerläßlich für eine Bewertung von guten oder schlechten Veränderungen der Vektoren ist Julian Reschkes »XBRA-Liste«, in der ein Großteil der vektorenverbiegenden Programme mit ihren Kennungen verzeichnet sind. Die aktuelle Liste erhalten Sie in der Maus-Mailbox Münster 2. Für alle diejenigen, die nicht über ein Modem verfügen, liegt die XBRA-Liste auch Poison bei, die jedoch prinzipbedingt nicht so aktuell sein kann, wie die Liste aus der Maus.
Interessant ist auch das automatische Entpacken von Archiven. Stößt Poison bei der Virenkontrolle auf eine gepackte Datei, wird diese — wenn so eingestellt — selbständig ausgepackt, die Dateien überprüft und dann die entpackten Dateien wieder gelöscht. Poison erkennt dabei die Archive folgender Packer: LHarc, ARC, Zip, Arj, Zoo und TPWM und die selbstentpackenden SFX-Archive. Außerdem werden auch Dateien ausgepackt und überprüft, die mit PFX-PAK ausführbar gepackt wurden. Die Packerausgaben werden in ein eigenes Fenster gelenkt. Mit dieser Funktion können Sie sicher sein, daß sich auch in Ihren gepackten Datenbeständen kein ungebetener Gast aufhält.
Zum Poison-Handbuch: Auf knapp 30 Seiten Umweltschutzpapier (zur Nachahmung empfohlen!) werden alle Funktionen in bewährter Shift-Manier ausführlich beschrieben. Bei Themen wie Vektoren, XBRA und Rootsektor werden diese Begriffe in Exkurs-Kästen leicht verständlich erläutert.
Erwähnenswert ist auch der vorbildliche Update-Service: Ab dem Kaufdatum genießen die registrierten Anwender ein Jahr lang einen kostenlosen Update-Service. Anwender können jederzeit und beliebig oft innerhalb eines Jahres kostenlos eine aktuelle Version bekommen, indem sie eine Diskette und einen frankierten und adressierten Rückumschlag an die Poison-Autoren schicken. Nach Ablauf des Jahres kann gegen Gebühr ein weiteres Update-Jahr gebucht werden.
Fazit: Bei Poison handelt es sich um ein sauberes GEM-Programm, das allen bekannten Viren zuverlässig auf die Spur kommt. Lediglich die Versionen vor 2.00 haben beim Erkennen einiger Bootsektorviren Schwierigkeiten. Alleine schon deshalb sollten alle Poison-Anwender beim Erscheinen der Version 2.00 von ihrem Updaterecht Gebrauch machen und sich das neue Poison zulegen. Aber auch die vollständige Lauffähigkeit unter MultiTOS macht die kommende Version zu einem Muß. Für Gemini-Benutzer besonders attraktiv ist die zum Lieferumfang gehörende Command-Line-Version des Virenkillers. So brauchen verdächtige Dateien einfach nur auf das Poison-Icon »gezogen« zu werden und schon werden sie fachmännisch untersucht. Poison unterstützt das ARGV- und AV-Protokoll. Das Besondere an Poison, das dieses Programm von allen anderen Virenkillern deutlich hervorhebt, ist die Möglichkeit der On-line-Kontrolle von Bootsektoren und Programmdateien. Dieses Feature trägt auch zu unserer Bewertung »Muß man einfach haben« in nicht un-herheblichem Maße bei! Poison wird von SHIFT zum Preis von 99 Mark vertrieben.
Resümee
Wie Sie anhand unserer Tests und der beiden Tabellen feststellen können, verfügen alle drei Antivirenprogramme bei der Virenerkennung über eine nahezu identische Leistungsfähigkeit, die sich unter anderem durch die enge Zusammenarbeit der Autoren erklären läßt. Ein ausreichender Schutz ist mit jedem dieser Programme gewährleistet, so daß es Ihrem persönlichen Geschmack überlassen bleibt, für welches der Programme Sie sich entscheiden. UVK besticht besonders durch die außergewöhnliche Menge an nützlichen Bootsektorprogrammen, die auf Wunsch auch auf Disketten angebracht werden können. Für Virendetektor spricht die hervoragende Dokumentation und der günstige Preis eines Shareware-Produktes bei überzeugenden Leistungsmerkmalen. Poison schließlich glänzt mit einer sauberen, multitaskingfähigen Oberfläche und der Online-Überprüfung auf Bootsektor- und Linkviren, die auch Anwendern mit Zeitmangel Schutz vor Viren bietet. Haben Sie einen neuen Virus entdeckt, können Sie diesen dem Programmautoren Ihres Virenkillers zur Analyse zusenden.
Abschließend bleibt noch der Rat, sich zumindest eines der Antivirenprogramme zuzulegen, damit Ihre Daten vor der Veränderung oder gar der völligen Vernichtung weitgehend geschützt sind. Haben Sie sich einen Virus eingefangen, kann auch das beste Programm einen Befall nur noch melden und eine Verbreitung der Viren hemmen. Vorbeugen ist aber auch hier besser als Heilen, (thl)
UVK: Ippen & Pretsch Verlag, Bayerstraße 57, 8000 München 2
Virendetektor: Volker Söhnitz, Beginenstraße 17, 5100 Aachen
Poison: SHIFT, Kompagniestraße 13, 2390 Flensburg
Michael Vondung