Verhängnisverhütung: Drei Virenkiller im Vergleich

Im selben Tempo, wie sich die Methoden der Virenabwehr verfeinern, rüsten die Sabotage-Parasiten auf. Nur wer aktuelle Virenkiller zum Dauereinsatz verpflichtet, ist vor Vernichtungsangriffen einigermaßen sicher.

Wir nahmen einen PD- und zwei kommerzielle Virenkiller unter die Lupe. »Sagrotan«, der weitverbreitete PD-Virenkiller lag uns in der Version 4.17 vor. »AVK« von Richard Karsmarkers ist die Version 4.2 des Virus Destruction Utilities und wird voraussichtlich ab November durch die Firma CRL Group Plc. für etwa 40 Mark kommerziell vertrieben. Wer den Vertrieb in Deutschland übernimmt, stand zum Zeitpunkt des Tests noch nicht fest. Bereits erhältlich ist das Programm »Virentod« (Version 1.0) der Essener Firma Galactic. Es kostet 89 Mark. Hinter der Abkürzung AVK verbirgt sich der Name »Atari ST Viren Killer«. Richard Karsmakers stellte uns zum Test eine Beta-Version zur Verfügung, die in ihrer Leistungsfähigkeit noch eingeschränkt war. Beispielsweise konnte sie pro Sitzung nur einen Virus vernichten und zerstörte Bootsektoren nicht reparieren. Nach dem Start zeigt sie die Werte der Systemvariablen. Enthält eine Variable einen verdächtigen Wert, so erscheint diese invers. Die TOS- und GEM-Version sowie erkannte Partitionskennungen von Festplatten und RAM-Disks vervollständigen den Überblick über den Systemstatus.

Als nächstes erscheint eine Dialogbox, welche die einzelnen Aktionen des AVK einleitet. Die Menüpunkte »Search 'n' Destroy Viruses«, »Repair Disks«, »Information about AVK«, »System Status« und »Quit to Desktop« erreichen Sie entweder über die Funktionstasten F1 bis F5 oder durch einen Mausklick auf den entsprechenden Eintrag. Hier wäre es wünschenswert, wenn man zwischen den einzelnen Einträgen auch per Pfeiltasten wählen könnte. Die komplette Benutzerführung des AVK ist in Englisch gehalten. Eine Übersetzung des Programms ins Deutsche würde den Umgang mit AVK für viele Anwender erheblich erleichtern.

Gehen Sie auf Virenjagd, so erkennt AVK neben 45 Boot-, fünf Link- und 29 Anti-Viren auch 650 Bootsektoren von Anwendungsprogrammen. Stößt der Killer auf einen Bootsektor, dessen Daten er nicht kennt, prüft er ihn auf virentypische Merkmale und gibt einen Wahrscheinlichkeitsfaktor aus. Danach entscheiden Sie, ob Sie den Bootsektor löschen oder auf einer Diskette speichern wollen. Die Diskette können Sie an CRL zu einer gründlichen Analyse schicken. Bemerkenswert ist auch, daß AVK Bootviren erkennt, die sich hinter einem nichtausführbaren Bootsektor verbergen. Näheres zu diesem Thema lesen Sie im Artikel »Viren II« auf Seite 120. AVK ist zur Zeit der einzige Virenkiller, der solche Viren erkennt und vernichtet.

## WERTUNG

Name: Sagrotan V 4.17
Hersteller: Henrik Alt
Preis: Public Domain

Stärken: Durchgängig mit Maus und Tastatur bedienbares GEM-Programm □ Multifunktions-Accessory im Lieferumfang enthalten

Schwächen: Unterstützt nur AHDI-kompatible Festplatten

Hat ein Virus bereits zugeschlagen und den Bootsektor eines Programms zerstört, so ist AVK in der Lage, 346 verschiedene Bootsektoren wieder herzustellen. Die Funktion Repair Disks ist nur Anwendern zu empfehlen, die fundiertes Wissen über den Aufbau einer Diskette besitzen, da bei einer Fehlbedienung die Daten auf der Diskette meist unwiderruflich zerstört werden.

Das Handbuch lag uns als Datei vor. Es ist wie das Programm in Englisch geschrieben und erklärt den Umgang mit AVK ausführlich. Eine Beschreibung von 45 Boot-, fünf Link- und zwölf Antiviren runden das Werk ab. Auch finden Sie im Anhang eine Liste der Bootsektoren, die AVK reparieren kann.

Als nächsten Kandidaten untersuchten wir Sagrotan. Henrik Alt liefert mit dem Virenkiller auch ein Multifunktions-Accessory, mit dem man die Spurwechselzeiten bei Diskettenlaufwerken einstellt, Partitionen einer Festplatte mit einem Softwareschreibschutz versieht, Disketten formatiert, die Mausgeschwindigkeit regelt, einen Kalt- oder Warmstart auslöst und die Schreib-/Leseköpfe der Festplatte parkt. Ein Druckertreiber ist ebenfalls enthalten. Weiter gehören zum Lieferumfang von Sagrotan zwei Editoren, zum Bearbeiten der beiden Dateien, in denen 15 Vergleichsviren, 91 bekannte Bootsektoren und 402 Prüfsummen von Programmen gespeichert sind. Eine ausführliche deutsche Anleitung zu Sagrotan finden Sie ebenfalls auf der Diskette.

## WERTUNG

Name: AVK V 4.2
Hersteller: CRL
Preis: etwa 40 Mark

Stärken: Erkennt Bootviren, deren Bootsektor nicht ausführbar ist □ Bibliothek erweiterbar

Schwächen: Benutzerführung und Handbuch in Englisch

Sagrotan untersucht bei Disketten und der Bootpartition einer Atarikompatiblen Festplatte, ob sich die gelesenen Daten mit einem der bekannten Fahndungsmuster decken. Bleibt ein ausführbarer Bootsektor der große Unbekannte, prüft Sagrotan den verdächtigen Programmcode auf mehrere Viren-typische Veränderungen.

Schon bei drei bis vier positiven Ergebnissen handelt es sich mit großer Wahrscheinlichkeit um einen Virus. Solche Bootsektoren können Sie in die Bibliothek aufnehmen, und Sagrotan erkennt ihn bei der nächsten Sitzung als Virus. Linkviren hängen sich bekanntlich an ausführbare Programme. Sagrotan errechnet eine Prüfsumme Ihrer Programme und speichert diese in einer speziellen Bibliothek. Ändert sich die Programmlänge, so weist Sie Sagrotan bei einem erneuten Lauf auf den Virenbefall hin.

Vom Leistungsumfang her braucht sich Sagrotan nicht hinter den kommerziell vertrieben Virenkillern verstecken. Daher ist es sehr erfreulich, daß dieses Programm nach wie vor preiswert als Public Domain erhältlich ist.

Der teuerste Virenschutz unseres Tests ist Virentod von Galactic. Allerdings wird dieses Programm in einem Plastikschuber mit gedrucktem 25seitigen deutschen Handbuch im DIN-A5-Format geliefert. Außerdem bietet Galactic den registrierten Benutzern folgenden Update-Service: Gegen Rücksendung der Originaldiskette mit einem Freiumschlag erhält man Updates mit neuen Bootsektoren und Bootviren. 10 Mark kostet ein Update mit neuen Linkviren.

Nach dem Start durchläuft das Programm eine kurze Animationssequenz, bevor das Hauptmenü erscheint. Dieses gliedert sich in zwei Bereiche: ein Button-Feld und eine Fußzeile. Mit den Buttons aktivieren Sie Boottod zum Bekämpfen der Bootviren, Linktod gegen Linkviren und Speichertest zur Vektorüberwachung. Die Fußzeile bildet ein Statusfenster, das manipulierte Vektoren und deren Bedeutung zeigt.

Boottod prüft Bootsektoren anhand einer internen Datenbank. Dabei erkennt das Programm auch selbstmodifizierende Viren, sofern noch mindestens 80 Prozent der Daten mit dem Originalvirus übereinstimmen. Ausführbare Bootsektoren überprüft das Programm auf Virenmerkmale und schlägt gege-benfalls Alarm. Die Daten lassen sich dann als Virus oder als Bootsektor in die Datenbank aufnehmen. Stößt Virentod auf einen neuen Virus, so bittet Galactic darum, die modifizierte Datei VIRUS.DAT einzuschicken, um das Programm auf dem neuesten Stand zu halten. Linktod erkennt drei bekannte Linkviren mit deren Abwandlungen. Sind Programme von diesen befallen, so heilt Virentod diese Programme. Schutz vor unbekannten Linkviren bietet die bekannte Methode, Prüfsummen in einer Datei zu speichern, die dann zum Test auf Virenbefall herangezogen wird. Die Datei darf bis zu 5000 Einträge enthalten.

Neben dem eigentlichen Virenkiller liefert Galactic auch Zusatz-Utilities mit dem Virentod. Vreport liegt als ausführbares Programm vor und installiert sich Reset-fest. Es überwacht ständig den Speicher des ST und schlägt Alarm, wenn sich ein Virus im System festzsetzen will. Betätigt man unter Boottod den Button IMUN, so schreibt der Virenkiller Vreport in den Bootsektor der betreffenden Diskette. So läßt sich dieser Wächter bequem beim Booten installieren. Als zweites Hilfsprogramm liefert Galactic Viral, das ständig die Bootsektoren überwacht. Stößt Viral auf einen unbekannten ausführbaren Bootsektor, so schlägt es Alarm und die Diskette sollte umgehend mit Virentod behandelt werden.

AVK ist noch nicht lieferbar, Virentod und Sagrotan erreichen in etwa den selben Leistungsumfang. Daher bietet Sagrotan als PD-Programm das bessere Preis-/Leistungsverhältnis.

Galactic, Burggrafenstr. 88, 4300 Essen 1

Henrik Alt, Krigelweg 25, 7160 Gaildorf

## WERTUNG

Name: Virentod
Hersteller: Galactic
Preis: 89 Mark

Stärken: Gedrucktes Handbuch □ Update-Service

Schwächen: Relativ hoher Preis


Ulrich Hofner
Aus: TOS 11 / 1990, Seite 122

Links

Copyright-Bestimmungen: siehe Über diese Seite