(jp) – Sophos Anti-Rootkit kann auf Computern mit Windows NT/2000/XP/2003 ausgeführt werden. Einzelheiten zu Systemvoraussetzungen finden Sie im Sophos Anti-Rootkit Benutzerhandbuch (englisch). Sowohl die grafische Benutzeroberfläche von Windows (GUI) als auch die Befehlseingabe stehen zur Verfügung.
Sophos Anti-Rootkit kann auf einem Computer ausgeführt werden, auf dem zurzeit ein Antiviren-Produkt installiert ist.

Rootkits und Backdoor-Funktionalitäten >>

Sophos Anti-Rootkit  1.3 – Download

Stealth- oder Tarnkappen-Viren

(am) –  Wenn ein Virus speicherresident werden kann (was auf 99 % aller in der Computerwelt auftretenden Viren zutrifft), dann kann er mindestens einen der Interrupts abfangen. Wenn es sich um einen Bootsektorvirus handelt, dann missbraucht er den Interrupt 13h (Lesen von/Schreiben auf Datenträger). Wenn es sich um einen Stealth-Virus handelt und ein beliebiges Programm den Bootsektor zu lesen versucht, sagt sich der Virus “Aha, da will einer den Bootsektor sehen. Ich werde einfach dort, wo ich ihn abgelegt habe, den Original-Bootsektor lesen und dann statt des infizierten Bootsektors den Inhalt des Originals präsentieren”. Dadurch fällt dem anfragenden Programm nichts Ungewöhnliches auf.

Der Brain-Virus, Baujahr 1986, war der erste Virus, der mit diesem Trick gearbeitet hat. Dateiviren wie beispielsweise der Frodo-Virus können mit einem ähnlichen Trick ebenfalls ihre Existenz so verbergen, dass jedes Programm, das die Datei liest, nur die Bytes zu Gesicht bekommt, die vor der Virusinfektion darin enthalten waren. Solche Tarnfähigkeiten sind jedoch häufiger bei Bootsektorviren als bei Dateiviren zu beobachten, da es bei einem Bootsektorvirus viel einfacher ist, eine Tarnroutine zu programmieren.

Start der Serie mit Teil 1 – Wie infiziert ein Virus eine Datei…

Als nächstes folgt Teil 8 – Trojanische Pferde und TSR-Dateiviren

Macro-Viren und Pholymorphe Viren

(am) – Makroviren sind Viren, die Datendateien infizieren. Sie werden typischerweise in Microsoft Word-Dokumenten (.doc und .dot) gefunden. So bald ein infiziertes Dokument geöffnet wird, wird die Datei Normal.dot infiziert. Wird jetzt ein Dokument gespeichert/geöffnet, wird dieses mit dem Virus infiziert. Macroviren ersetzen beispielsweise, den Speichern-Befehl durch den Format-Befehl.

Die am häufigsten verwendete Art von Anti-Virus-Programm ist der Scanner, der nach einem Repertoire von Viren sucht. Für den Virenprogrammierer ist dies das Produkt, das er am liebsten täuschen würde. Ein polymorpher Virus ist ein Virus, von dem keine zwei Kopien an irgendeiner Stelle gemeinsame Byte-Folgen enthalten. Daher kann ein solcher Virus nicht einfach anhand einer bestimmten Byte-Folge erkannt werden, sondern es muss eine wesentlich komplexere und schwierigere Aufgabe bewältigt werden, um ihn ermitteln zu können.

Start der Serie mit Teil 1 – Wie infiziert ein Virus eine Datei…

Als nächstes folgt Teil 7 – Stealth- oder Tarnkappen-Viren