Computerviren

und ihre Vermeidung

Kapitel 10

Copyright (C) 04/1993 by Howard Fuhs

10 Vorgehensweisen bei Computervirusinfektionen

In diesem Kapitel möchte ich praktische Ratschläge geben, was bei einer Infektion durch einen Computervirus zu tun ist.

Bei der Vielzahl der unterschiedlichen Computerviren bitte ich allerdings um Verständnis dafür, daß die Beschreibungen sehr allgemein gehalten sind. Erst wenn der Computervirus korrekt identifiziert ist, kann man auch präzise Schritte unternehmen, um eine Weiterverbreitung zu verhindern und um den Computervirus zu entfernen.

Ich gehe bei den folgenden Beschreibungen davon aus, daß sich eine Person um die Computervirusinfektion kümmert, die auch über genügend Wissen über die Funktion der im Unternehmen eingesetzten Computerhard- und Software verfügt!

 

 

10.1 Hinweise auf eine Infektion

Wer sein Computersystem kennt, kann aufgrund verschiedener Gegebenheiten erkennen, ob ein Computervirus sein System infiziert hat, bevor der Computervirus seine Schadensroutine auslösen kann. Es gibt Anzeichen und Hinweise, die in den meisten Fällen nur auf eine Infektion zurückzuführen ist. Man spricht dann von einem virentypischen Verhalten des Computers. In diesem Fall kann man mit der entsprechenden Anti-Viren-Software den Verdacht überprüfen und gegebenenfalls gegen den Computervirus vorgehen.

Beachten sollte man, daß die unten aufgeführten Hinweise plötzlich vorhanden sein müssen. Nur weil ein Programm langsam ist, muß es nicht von einem Virus infiziert sein. Wenn man aber schon länger (mehrere Monate) mit einem Programm gearbeitet hat und es wird dann in seiner Arbeitsgeschwindigkeit langsamer, dann wäre es schon eine Untersuchung wert, warum sich die Arbeitsgeschwindigkeit des Programms reduziert hat.

Ernstzunehmende Hinweise auf eine Infizierung sind:

• Beim Programmaufruf wird das Programm länger als üblich geladen.

• Das Programm arbeitet langsamer als üblich.

• Das Programm führt ungewöhnliche Schreib- / Lesezugriffe auf die Festplatte / Diskette aus.

• Der Computer legt ein ungewöhnliches Verhalten an den Tag.

• Der Arbeitsspeicher des Computers wird mit weniger als 655360 Byte angegeben.

• Auf dem Bildschirm geschehen ungewöhnliche Dinge wie das Herunterfallen von Buchstaben, das Anzeigen irgendwelcher Nachrichten oder sonstige plötzliche Veränderungen der Bildschirmanzeige.

• Nach einer gewissen Zeit oder bei Aufruf eines Programms bootet der Computer plötzlich neu.

• Nach einer gewissen Zeit oder bei Aufruf eines Programms stürzt der Computer ab und muß mit dem RESET-Knopf neu gebootet werden.

• Ausführbare Dateien sind plötzlich nicht mehr vorhanden oder wurden anscheinend verändert.

• Es werden plötzlich mehr "bad sectors / clusters" auf der Festplatte gemeldet.

• Die Größe einer ausführbaren Datei hat sich verändert.

• Speicherdatum und/oder Speicheruhrzeit einer ausführbaren Datei haben sich plötzlich verändert.

• Die Speicherkapazität einer Diskette/Festplatte nimmt aus unerklärlichen Gründen ab.

• CHKDSK/F meldet "lost chains".

Sollte nur eine der hier aufgezählten Eigenschaften zutreffen, so bedeutet dies noch lange keine Infektion durch einen Computervirus. Es könnte sich dann auch um einen Hardwaredefekt handeln oder um ein schlecht programmiertes Programm. Je mehr Eigenschaften aber plötzlich zutreffen, desto wahrscheinlicher ist eine Infektion.

Für die Zukunft ist es sehr wahrscheinlich, daß die oben aufgeführten Verhaltensweisen von dem Computervirus immer besser getarnt werden d.h. für den Anwender nicht mehr erkennbar sind. Der erste Schritt in diese Richtung ist der Stealth-Virus.

 

 

10.2 Infiziert! Was nun?

Hier muß man unterscheiden, wie man auf den Computervirus aufmerksam geworden ist.

Hat man den Computervirus bemerkt, weil er ausgelöst wurde, d.h. die integrierte Schadensroutine im Computervirus wurde ausgelöst, dann sind im schlimmsten Fall alle vorhandenen Daten und Programme auf dem Computer zerstört worden. Die Art des Schadens ist vom Computervirus abhängig.

Die andere Möglichkeit wäre die, daß man durch den Einsatz von Anti-Virus-Software (Scanner, Integrity Checker usw.) den Computervirus entdeckt hat. In diesem Fall ist die Schlacht um die Daten im Computer noch nicht verloren.

Oberster Grundsatz bei einer Computervireninfektion:

KEINE PANIK!!!

Es sind schon mehr Daten durch Panik verlorengegangen als durch Computerviren!

Befragen Sie sich selbst! Trauen Sie sich zu, dieses Problem in den Griff zu kriegen und zu lösen? Sind Sie im Zweifel, ziehen Sie einen Fachmann zu Rate. Wenn Sie einen Fehler machen, kann dies der totale Datenverlust bedeuten!

Verfügen sie über die geeigneten Softwaremittel wie Virendatenbanken und Anti-Viren-Software? Ist die Anti-Viren-Software noch aktuell, oder handelt es sich um eine schon etwas ältere Version? Wenn dies der Fall ist, besorgen Sie sich erst die nötige Software.

Verschwenden Sie keinen Gedanken an eine Low-Level-Formatierung der Festplatte. Es gibt bessere und elegantere Wege, einen Computervirus loszuwerden. Eine Low Level Formatierung bedeutet totalen Datenverlust auf dem Datenträger! Bei einer IDE Festplatte darf keine Low Level Formatierung durchgeführt werden! Dies kann die Festplatte zerstören! Neuere IDE Festplatten lassen keine Low Level Formatierung zu.

 

 

10.3 Erste Hilfe vor Ort

Beenden Sie das Programm, mit dem Sie gerade arbeiten, ordnungsgemäß (sofern Sie noch die Kontrolle über den Rechner haben).

Starten Sie keine anderen Programme die sich auf der Festplatte befinden. Auch keine Anti-Viren-Software!!

Sollte Ihr Rechner an ein Netzwerk angeschlossen sein, versenden Sie keine Electronic Mail oder führen Sie keine Kopierfunktionen innerhalb des Netzwerks durch! Dies könnte sonst dazu führen, daß sich der Computervirus über das Netzwerk in andere Computer verbreitet.

Sollte Ihr Rechner an ein Netzwerk angeschlossen sein, melden Sie den Rechner ordnungsgemäß im Netzwerk ab (LogOff).

Schalten Sie den Rechner ab.

Kennzeichnen Sie deutlich (Schild), daß der Computer von einem Computervirus infiziert ist. Sie verhindern damit, daß während Ihrer Abwesenheit jemand den Computer einschaltet und mit ihm weiterarbeitet.

Für alle weiteren Desinfektionsschritte, die ich im folgenden beschreiben werde, wäre es gut, wenn man den Computer ganz aus dem Netzwerk herauslösen (sprich: abklemmen) würde.

Jetzt haben Sie Zeit, sich die weitere Vorgehensweise zu überlegen, Rat einzuholen, Fachleute anzufordern oder sich die benötigte Software zu besorgen. Überlegen Sie, welche Daten sich auf der Festplatte befinden, die auf keinen Fall gelöscht werden dürfen, welche Daten zwar nicht verloren gehen sollten, die aber rekonstruierbar sind, und welche Daten im Ernstfall entbehrlich sind (d.h. verloren gehen können). Sollten Sie jetzt über gute Sicherheitskopien der Daten verfügen, haben Sie einen großen Risikofaktor bereits ausgeschlossen.

 

 

10.4 Die Bootdiskette

Für alle weiteren Arbeiten an dem infizierten Rechner benötigen Sie jetzt eine virenfreie, schreibgeschützte(!!!) Bootdiskette. Auf dieser Bootdiskette sollten folgende Dateien oder Programme vorhanden sein:

• 1. Die gleiche DOS-Version wie sie auch auf dem infizierten Computer verwendet wird (Systemdateien und COMMAND.COM). Packen Sie auf die Bootdiskette nur die wichtigsten DOS-Dateien (externe Befehle)! Wichtige externe Befehle sind CHKDSK, DEBUG, EDLIN, FDISK, FORMAT, MEM, UNDELETE und SYS.

• 2. Eine AUTOEXEC.BAT und eine CONFIG.SYS Datei, die den Umständen entsprechend programmiert wurden. In diesen Dateien sollte der Path auf das Bootlaufwerk A: gesetzt sein, der deutsche Tastaturtreiber sollte von diesen Dateien geladen werden sowie die wichtigsten Treiberprogramme, die nötig sind, um die vorhandene Hardware richtig ansprechen zu können. Verzichten Sie auf jeden überflüssigen Treiber!

• 3. Auf der Bootdiskette sollten nur die Treiberprogramme vorhanden sein, die auch wirklich gebraucht werden. Bei den Treiberprogrammen handelt es sich meistens um Dateien mit der Endung .SYS.

• 4. Installieren Sie auf der Bootdiskette mindestens ein Anti-Viren-Programm. Wenn der Platz ausreichend ist, können Sie auch zwei Anti-Viren-Programme auf der Bootdiskette installieren. Sollte nicht genügend Platz für ein zweites Anti-Viren-Programm vorhanden sein, müssen Sie eine zweite Bootdiskette für das zweite Anti-Viren-Programm anlegen.

• 5. Legen Sie sich noch eine Bootdiskette an mit den von Ihnen bevorzugten Tools und Utility Programmen (z.B. Norton Utilities, CheckIt usw.).

• 6. Denken Sie daran, daß jede dieser Disketten virenfrei und schreibgeschützt sein muß!

 

 

10.5 Bis zum bitteren Ende

Wenn Sie alles erledigt und beschafft haben, können Sie nun dem Computervirus auf den Leib rücken.

Legen Sie die Bootdiskette in das Bootlaufwerk des Computers und schalten Sie den Rechner ein. Achten Sie beim Power On Self Test (POST) auf eventuelle Fehlermeldungen (es muß nicht immer ein Virus sein, es könnte sich ja auch um ein Hardware Problem handeln).

ACHTUNG! Viele speicherresidente Computerviren können durch einen Warmstart (CTRL + ALT + DEL) nicht aus dem Arbeitsspeicher des Computers entfernt werden. Diese Computerviren fangen diese Tastenkombination ab und täuschen nur einen Warmstart vor. Um einen solchen Computervirus sicher aus dem Arbeitsspeicher zu entfernen, muß der RESET-Knopf gedrückt werden oder der Computer aus- und nach einer Weile wieder eingeschaltet werden.

Nachdem der Rechner ohne Auffälligkeiten wie z.B. Fehlermeldungen gebootet hat, können Sie von Laufwerk A: das erste Anti-Viren-Programm starten. Sie haben sich doch hoffentlich vorher mit dem Handbuch und/oder den Dokumentationsdateien der Anti-Viren-Software beschäftigt? Dokumentationsdateien, die auf der Diskette mit dem Anti-Viren-Programm mitgeliefert wurden, sollten übrigens vorher ausgedruckt werden!

Lassen Sie mindestens(!!!) zwei Anti-Viren-Programme nach dem Computervirus suchen.

Wird der Computervirus von den Anti-Viren-Programmen gefunden und identifiziert, sollten Sie sich erst über die Funktionsweise dieses Computervirus informieren. Ich empfehle dazu den "Computer Virus Katalog", welcher vom Virus Test Zentrum Hamburg herausgegeben wird.

Jetzt muß man die Entscheidung treffen, ob man mit einem Desinfektionsprogramm weiterarbeitet (auch auf die Gefahr hin, daß bei der Desinfektion Dateien in Mitleidenschaft gezogen werden oder der Virus nicht korrekt entfernt wird), oder ob man die infizierten Dateien löscht und durch Sicherungskopien ersetzt. Ich bevorzuge in jedem Fall die letztere Möglichkeit, da sie die sicherste ist.

Bevor man Dateien von den Sicherungskopien aus neu installiert, müssen die Sicherungskopien selbst erst auf Computerviren hin untersucht und eventuell vorher gesäubert werden.

Ist der Rechner und die Sicherungskopien virenfrei, sollten alle Disketten mit denen man gearbeitet hat auf eine Computervireninfektion hin untersucht und eventuell vorher gesäubert werden.

Wenn Ihr komplettes System (Rechner, Sicherungskopien und Arbeitsdisketten) virenfrei ist, setzen Sie einen Integrity Checker ein, um von jeder Datei eine CRC-Prüfsumme errechnen zu lassen. Wenden Sie diesen Integrity Checker in regelmäßigen Abständen an, um virenbedingte Veränderungen in Ihren Dateien rechtzeitig zu bemerken.

 

 

10.6 Unbekannte Computerviren

Sollten Sie einen neuen Computervirus entdeckt haben, der von keinem gängigen Anti-Viren-Programm entdeckt wird, sollten Sie eine Kopie dieses Computervirus an einen bekannten Computervirenforscher oder an ein Virus Test Zentrum einer Universität schicken. Auf keinen Fall sollten Sie diesen Computervirus irgend jemanden geben. Halten Sie die Diskette, auf der Sie den neuen Computervirus isoliert haben, unter sicherem Verschluß!
Machen Sie auf der Diskette kenntlich, daß sich auf der Diskette ein Computervirus befindet.

Legen Sie der Diskette eine Beschreibung bei, wodurch Ihnen der Computervirus aufgefallen ist und wie Sie ihn isoliert haben. Unbekannte Computerviren werden meistens mit Hilfe von Integrity Checkern entdeckt. Der Integrity Checker meldet zwar keinen "unbekannten Virus", jedoch eine verdächtige Veränderung in einer ausführbaren Datei. Und dieser verdächtigen Veränderung kann man dann nachgehen.

 

 

10.7 Zweifelhafte Meldungen und Probleme

Es gibt immer wieder Probleme mit Computeranwendern, die eine Meldung eines Programms falsch verstehen und dann auf einen Virus schließen. Diese in der Praxis auftretenden Probleme möchte ich hier kurz beschreiben.

 

10.7.1 Diagnoseprogramm meldet Cascade Virus

Wer sich mit einem Diagnoseprogramm (z.B. CheckIt) seine Interrupttabelle ansieht, wird feststellen, daß mehrere Interrupts als "Cascaded Interrupts" angegeben werden. Viele Anwender meinen dann, es handele sich dabei um den Cascade Virus. Tatsächlich sind diesen Interrupts keine festen Funktionen zugeordnet und sie können mehrfach verwendet werden. Man spricht deshalb von "Cascaded Interrupts", was nichts mit einem Virus zu tun hat.

 

10.7.2 Anti-Virus-Programm meldet nur eine Datei infiziert

Auch dieses Problem kommt in der Praxis häufig vor. Es könnte sich hierbei um eine Falschmeldung handeln. Deshalb sollte man eine solche Meldung immer durch ein zweites Anti-Viren-Programm bestätigen lassen. Wird die Infizierung der Datei auch von einem zweiten Anti-Viren-Programm bestätigt, sollte man der Sache ernsthaft auf den Grund gehen.

 

10.7.3 Anti-Virus-Programm meldet eine infizierte Datendatei

Hier kann man davon ausgehen, daß es sich um eine Fehlermeldung handelt. Trotzdem sollte man ein zweites Anti-Viren-Programm verwenden, um die Meldung zu überprüfen. Generell geht von dieser Datendatei (Endung z.B. TXT, BAK, usw.) keine weitere Gefahr aus, da es sich um keine ausführbare Datei handelt. Es gibt zwar Computerviren, die durch einen Fehler in der Programmierung auch solche Datendateien infizieren, doch kann ein solcher Computervirus nicht durch eine solche Datendatei ausgeführt werden.

 

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 04/1993 - 08/1998 - 03/2003 by Howard Fuhs

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!
 
 Realisation:
Frank Ziemann

Home Impressum


WebCam