Computerviren auf dem Macintosh (II)

2.2.4 Aufbau eines Systemprogramms vor und nach einer Infektion.

Systemprogramme sind die Systemdatei (System) und andere Programme, die im Systemordner vorkommen (Kontrollfelder, System- erweiterungen (Inits), Druckertreiber etc.) Der Finder und der Multifinder zählen nicht zu dieser Gruppe, da sie wie "normale" Programme aufgebaut sind. Alle diese Programme besitzen keine Resourcen vom Typ CODE, sondern solche vom Typ INIT. Diese Resourcen werden geladen und ausgeführt wenn der Computer eingeschaltet oder ein Neustart duchgeführt wird. Unter der Betriebssystemversion 7 gibt es in der Systemdatei keine INIT Resourcen mehr, so daß dieser Mechanismus in der Systemdatei selbst nicht mehr funktioniert. Die oben genannten Resourcen der Typen WDEF, MDEF, MBDF und CDEF werden auch in der Systemdatei von Viren benutzt. Aber Vorsicht, in der Systemdatei befinden sich auch die Standard-Resourcen, die für den Betrieb des Macintosh notwendig sind. Ein Systemprogramm wird durch Hinzufügen einer INIT Resource infiziert.

Eine Infektion mit den anderen Typen ist normalerweise mit einer zusätzlichen Änderung der Identifikations-nummer der vorhandenen Standard-Resource verbunden.

Dies ist notwendig, um diese Nummer von der Virus-Resource verwenden zu können. Auch hier wird der Virus dadurch getarnt, daß er nach einer Infektion die normale Arbeit des Wirtsprogramms wieder aufnimmt.

2.3 Tarnmechanismen von Viren

2.3.1 Einfache Tarnung

Der Virus infiziert ein Programm und führt dann das Wirtsprogramm aus. Dies funktioniert so schnell, daß der Anwender hiervon nichts bemerkt, ein Überwachungsprogramm im Speicher entdeckt die Virusaktivitäten jedoch mühelos.

2.3.2 Tarnung vor Überwachungsprogrammen

Überwachungsprogramme beobachten Aufrufe des Betriebssystem und warnen den Anwender, wenn Aktionen ausgeführt werden, die auf einen Virus hindeuten. Dies wird von Viren dadurch umgangen, daß sie das Betriebssystem im ROM direkt anspringen. Ferner "kennen" einige Viren die gängigen Überwachungsprogramme und können sie deshalb umgehen.

Eine andere Methode der Viren ist es, sich als ein anderes Programm auszugeben, für daß ein Verhalten ähnlich dem des Virus normal ist.

2.3.3 Tarnkappenverfahren

Manche Viren machen sich "unsichtbar" für Virensuchprogramme, indem sie ihnen falsche Datei- und Speicherinhalte vorgaukeln. Diese Typen sind auf dem Macintosh noch nicht vorgekommen.

3. Erkennung von Viren und Gegenmaßnahmen

3.1 Erkennung von Viren

Deutliche Anzeichen für Viren sind:

• Die Länge und das Datum der letzten Änderung von Programmen verändern sich.
• Diskettenoperationen dauern länger als gewöhnlich.
• Programme stürzen häufiger ab als vorher oder funktionieren nicht mehr richtig.
• Es erscheinen Meldungen auf dem Bildschirm, es wird Musik gespielt oder die Maus verhält sich ungewöhnlich.

Alle oben genannten Symptome können jedoch auch andere Ursachen haben, zum Beispiel Unverträglichkeiten von Programmen mit einer Systemversion oder bestimmten Systemerweiterungen.

3.2 Gegenmaßnahmen

Besteht der Verdacht auf einen Virus, sollten die folgenden Regeln beachtet werden.

• Ruhe bewahren
• Zuerst eine andere Ursache annehmen.Haben vorher irgendwelche neuen Programme installiert oder die Systemkonfiguration geändert?
• Auf keinen Fall die Reset-Taste drücken oder den Rechner manuell ausschalten. Dies könnte zur Zerstörung der Verzeichnisstruktur führen. Außnahme: Der Rechner formatiert die Festplatte oder die eingelegte Diskette.
• Keine Dateien löschen, sie könnten zur Restauration des Originalzustandes oder zur Beweissicherung notwendig sein.
• Den Rechner über den Finder ausschalten.
• Falls vorhanden, alle Netzwerkverbindungen trennen.
• Von einer unverseuchten schreibgeschützten Systemdiskette den Rechner starten. Damit ist sichergestellt, daß kein Virus in den Speicher gelangen kann.
• Von einer unverseuchten schreibgeschützten Diskette ein aktuelles Antivirusprogramm starten und die Festplatte nach Viren absuchen.
• Wurde ein bekannter Virus gefunden, diesen entfernen und den Vorgang mit allen weiteren Datenträgern und mit den weiteren Computern im Netzwerk wiederholen, bis alle Kopien des Virus entfernt wurden.
• Sollte kein bekannter Virus gefunden werden, führen Sie die folgenden Schritte durch:
  • Stellen Sie eine Liste der Symptome auf.
  • Notieren Sie mit welchen Programmen Sie gearbeitet haben, seit Sie den Rechner eingeschaltet haben.
  • Vergleichen Sie die Längen der Programme, mit denen Sie gearbeitet haben mit der Länge der Programme auf Ihren Originaldisketten. Sollte sich die Länge geändert haben, schicken Sie eine Kopie des Originals und der geänderten Datei an das Virus Test Center (Adresse: siehe letzte Seite)
  • Sollten die geänderte Datei zu groß für eine HD-Diskette sein, können Sie auch das Programm "Vergleicher" benutzen um nur die Differenzen in eine Datei zu speichern. (Erhältlich beim Virus Test Center gegen Freiumschlag und Diskette)
  • Für eine Analyse im Virus Test Center wird folgendes benötigt:
    • Die veränderten Dateien und falls vorhanden deren Original
    • Eine Beschreibung der Systemumgebung (Systemversion, installierte Systemerweiterungen), der Symtome und der Programme, mit denen Sie zuletzt gearbeitet haben.
    • Ferner wäre eine Kopie des Systemordners hilfreich.

3.3 Vorbeugende Maßnahmen

Bevor Sie neue Software installieren und ausprobieren, überprüfen Sie sie auf Viren.

Bewahren sie Originaldisketten immer mit Schreibschutz auf. Das Einlegen eine Diskette kann bereits zur Infektion führen, wenn diese nicht schreibgeschüzt ist.

Machen sie regelmäßig ein Backup von Ihren Daten. Es ist ratsam, mehrere Backupgenerationen aufzubewahren, da Viren oft mit Langzeitwirkung Schaden anrichten. Von Programmen ist kein Backup notwendig, wenn die Originaldisketten verfügbar sind.

4. Das Virus Test Center - Macintosh-Gruppe

4.1 Wir über uns

Das VTC (Virus Test Center) ist ein Arbeitsbereich des Fachbereich Informatik der Universität Hamburg und beschäftigt sich mit Computersicherheit. Dies beinhaltet die Analyse von Computeranomalien wie Viren, Würmern, trojanische Pferden, logische Bomben etc. Das VTC gibt den Virus-Katalog heraus, der eine Beschreibung bekannter Viren enthält. Der Katalog soll dem Anwender helfen, Viren aufzuspüren und zu beseitigen. Ein Katalogeintrag basiert auf der Analyse eines Virus durch das VTC. Ferner steht das VTC beratend zu Fragen der Virenbekämpfung zur Verfügung.

4.2 Ausstattung:

Zur Zeit arbeiten wir mit einen Mac IIcx und einen Mac LC mit zusammen 140MB Festplattenkapazität. Desweiteren haben wir Zugriff auf ein 44MB Syquest Wechselplattenlaufwerk sowie ein CD-ROM- Laufwerk. Wir verfügen über die Systemversionen 6.04 , 6.05 , 6.07 , 6.08 ,7.0 , 7.01 mit System 7 Tuneup 1.1.1 und über System 7.1.

4.3 Address

Virus Test Center
Fachbereich Informatik
Universität Hamburg
Vogt Kölln Straße 30
22257 Hamburg
Telefon: 040 / 54 71 5-405 (Sekretariat)
Telefon: 040 / 54 71 5-234 (VTC-Labor, nur DI und DO 10-12 Uhr)
Telefax: 040 / 54 71 5-226
Electronic Mail via Internet : greinke@informatik.uni-hamburg.de

Autor: Ronald Greinke
Angepasst für HTML am 26.07.1995