Sherlock auf dem Bootsektor: Sagrotan

Auch die deutsche Public Domain-Szene beschäftigt sich intensiv mit der Programmierung von Viren-Killern. Auf der Atari-Messe letzten September in Düsseldort erregte »Sagrotan«, das Viren-Killer-Programm eines schwäbischen Computerclubs, die Aufmerksamkeit der Besucher. Das ST-Magazin sprach mit den Entwicklern dieser »Daten-Desinfektion«.

Wir wußten es zwar alle, ein überzeugendes Beispiel ließ aber bisher auf sich warten. Doch das haben wir nun: Natürlich sind es nicht nur ausländische Experten oder kommerzielle Softwarehäuser, die das Know-how besitzen, Anti-Viren-Programme zu schreiben. Auch in der Szene deutscher Computerclubs gibt es fähige Programmierer, die ihre ganze Aufmerksamkeit den unwillkommenen Quälgeistern schenken und versuchen, deren Anhänglichkeit Einhalt zu gebieten. Die Mitglieder der »Gruppe für Computer und Anwendungen« im schwäbischen Gaildorf etwa gehören dazu und verkörpern ein gutes Beispiel, wie sich eine ursprünglich als Selbsthilfe geplante Initiative von ST-Anwendern in der ganzen Bundesrepublik als nützlich erweist. Wie bei vielen anderen Anwendern auch war es bei den Computerexperten aus Gaildorf einfach passiert: Ein Virus hatte sich auf eine Diskette eingeschlieben und wurde durch Zufall entdeckt. Henrik Alt (28) seines Zeichens DiplomIngenieur für Elektronik, beruflich viel mit Programmierung beschäftigt und Assembler-Experte des Treffs, dem weitere Ingenieure angehören, übernahm die Initiative. Ein »Desinfektionsmittel« mußte her, und zwar schnell. Nach dem ersten Vorfall im März '88 verbrachte Alt bis zum Juli des gleichen Jahres so manchen Abend vor seinem ST, bis die erste für alle Anwender einsetzbare Version seiner Zufriedenheit entsprach und das von nun an »Sagrotan« genannte Programm unters ST-Volk gebracht wurde. Die Verteilung eines (Daten)-überlebenswichtigen Programmes über die gängigen Public Domain-Kanäle war für Alt und den Club selbstverständlich. Diese Entscheidung macht allen ST-Anwendern ein Programm nahezu kostenlos zugänglich, das sich hinter ähnlichen Produkten kaum verstecken muß. Im Gegenteil: Sagrotan war lange Zeit der einzige Viren-Killer, der auch unbekannte Programme nach Virus-Indizien durchforstet und eine Schätzung abgibt, ob es sich dabei um einen Virus handelt.

center

Sagrotan untersucht bei jeder beliebigen Diskette zunächst, ob die sich auf ihr gespeicherten Daten mit einem der rund 70 gespeicherten »Fahndungsmuster« identisch sind. Die Muster der Rasterfahndung sind aber keineswegs alles Viren, viele Spiele nutzen zum Beispiel den Bootsektor mit eigenen Start-Programmen, die sich durch bloßen Augenschein nicht sofort als harmlos erkennen lassen. Derartige Bootsektoren sind Teil dieser Bibliothek. Mißlingt die Rasterfahndung und scheint beispielsweise ein ausführbarer Bootsektor der große Unbekannte zu bleiben, schickt Sagrotan den Spürhund los. Anhand von zwölf Kriterien wie Veränderung der Systemvariablen, Systemaufrufe, Schreibbefehle für das Diskettenlaufwerk sowie der gängigen Methode, sich knapp unter der Speichergrenze zu installieren, untersucht Sagrotan den verdächtigen Programm- Code. Schon wenn drei bis vier Elemente der Indizienkette »positiv« sind, handelt es sich mit großer Wahrscheinlichkeit um einen Virus. Sagrotan erkennt neben den Bootsektor-Viren auch Link-Viren, an der Erweiterung der Bibliothek wird ständig gearbeitet. Auch wenn diese Methode erfolgversprechend scheint, warnt Henrik Alt vor überschwenglichem Optimismus: »Wer Viren programmiert, orientiert sich an den Killer-Programmen. Erste Resultate zeigen sich schon: Ein neues Virus modifiziert das Betriebssystem und führt den "Spürhund" gezielt in die Irre. Auch der Bootsektor kommt langsam aus der Mode, denn es gibt noch andere Löcher auf einer Diskette. So belegt die FAT (File Allocation Table) zwar fünf Sektoren, nutzt aber tatsächlich nur drei. Platz genug für einen Virus.«

Der bedächtige Schwabe warnt vor übertriebener Panik: »Viren der letzten Zeit sind selten destruktiv, es scheinen eher "Spielereiei" der Leute zu sein.«
Sagrotan ist Public Domain und sowohl im PD-Versand als auch bei vielen Atari-Händlern zu bekommen. Aber auch Programmierer Henrik Alt verschickt Sagrotan für jeweils 30 DM. Wer 50 DM überweist, bekommt künftige Versionen ins Haus geschickt.


Tarik Ahmia
Aus: ST-Magazin 03 / 1989, Seite 25

Links

Copyright-Bestimmungen: siehe Über diese Seite