Kleine Viren FAQ Teil 4

  • 18.) --- F: Wo finde ich Informationen über Viren ? A: Auf: http://www.sophos.de/virusinfo/ - Sophos / http://www.symantec.com/avcenter/vinfodb.html - Symantec / http://www.cai.com/virusinfo/encyclopedia/ - CAI findet man eine gute Sammlung an Informationen über alle möglichen Viren (leider nur auf Englisch).

    19.) --- F: Wie erkennt ein Virenscanner Viren? A: Da gibt es mehrere Möglichkeiten. Die häufigste besteht darin, alle Dateien oder Speicherbereiche mit einer Byte-Abfolge (Suchstring) zu vergleichen, die für einen bestimmten Virus typisch ist und in keinem normalen Programm vorkommt. Dabei können in dem String auch Wildcards (?,*) enthalten sein, so dass auch Viren gefunden werden, die ihren Code leicht verändern (Polymorphe). Eine andere Möglichkeit (Heuristik) besteht darin, gewisse Programmteile (Delta Offset Routine, ´*.exe´ / ´*.com´, Verschlüsselungsroutine...) zu suchen, und wenn sie im Übermaß auftauchen, wird die Datei als infiziert gemerkt. Die Methode, die zum Auffinden unbekannter Viren am Besten taugt, ist die Emulation. Dabei wird jede Datei behandelt, als ob sie ausgeführt werden würde, wenn man dann bei diesem Schein-Ausführen bemerkt, dass der Code der Datei an eine andere gehängt werden soll (oder ähnlich virentypisches Verhalten), wird sie als verdächtigt angezeigt.

    20.) --- F: Was bedeutet Virii? A: Virii ist Latein für Schleim/Gift, da man damals nicht mehr über Viren wusste und deshalb annahm, dass eine Krankheit durch Gift hervorgerufen wurde. Im amerikanischen ist es aber zu einem Slang (Ausdruck) des Wortes Viruses geworden. Normalerweise bezeichnet man damit aber Computerviren.

    21.) --- F: Was heist VX? A: Eigentlich meint es Virus eXchange, also das Tauschen von Virus Executables gegen andere. Aber meistens verwendet man VX als Bezeichnung für die gesamte Virusszene.

    22.) --- F: Was ist der EICAR Test? A: Die EICAR Test Datei ist eine COM Datei, die nur folgendes enthält: (ohne die " am Anfang und Ende) "X5O!P%@AP[4PZX54(P^)7CC)7}-STANDARD-ANTIVIRUS-TEST-FILE!+H*" Sie können diesen String direkt vom X an bis zum * kopieren und mit einem Text-Editor als .COM Datei speichern. Jeder Virusscanner sollte diese Datei dann entweder als Eicar Test Datei oder als Virus erkennen. Somit können Sie Ihren Scanner testen. Wenn man die Datei so ausführt, schreibt sie den Text 'EICAR-STANDARD-ANTIVIRUS-TEST-FILE!' auf den Schirm, ist also auch ausführbar. 23.) --- F Taugen diese Programme zum Virus erstellen etwas (VCL/VCK)? A: Nicht, wenn wenn Sie damit einen vernünftigen Virus coden wollen. Wenn es Ihnen darum geht, etwas aus dem Code zu lernen, den ein VCK oder VCL ausspuckt, dann schon, da sie einem verschiedene Wege zeigen wie man etwas in einen Virus implementieren kann.

    24.) --- F: Was sagt das Gesetz zu Viren? A: In Deutschland ist es so, dass man Viren schreiben und ihren Quellcode veröffentlichen darf. Man darf aber keinem einen Virus unterjubeln, da dies unerlaubte Veränderungen von fremden Daten sind. Man darf auch nicht dazu anstiften, anderen Leuten Viren unter zu schmuggeln oder Viren sonst wie zu verbreiten. Also nur als Quellcode oder Binary mit ausdrücklicher Warnung, dass es sich um einen Virus handelt und dieser nur zum Testen auf kontrollierten Systemen gedacht ist! ACHTUNG: DIESE FAQ UMFASST 4 TEILE!