  ****************************************************************************
  *                                                              19.11.1992  *
  *               Computerviren auf dem    A T A R I    S T                  *
  *                                 *
  *  Dieses Textfile gehrt zum Programm  V I R E N D E T E K T O R  3.1 h,  *
  *  kopieren  Sie es bitte nur mit  diesem  Programm  zusammen  weiter !!!  *
  *                                                                          *
  *  Das  Programm ist   S H A R E W A R E !   Es darf und soll kopiert und  *
  *  weitergegeben  werden, um der weiteren Virenverbreitung  zu  begegnen.  *
  *  Die  Datei  HINWEIS.TXT  sollten Sie in Ihrem und in meinem  Interesse  *
  *  bitte beachten.                                                         *
  *                                                                          *
  *  Zum Programm gehren folgende Files:                                    *
  *        VIREND31.PRG  -  Das Programm selbst                              *
  *        REGISTER.TXT  -  Eine Registrierkarte zum Ausdrucken              *
  *        HINWEIS.TXT   -  Die  Nutzungsbestimmungen und wichtige Hinweise  *
  *                         zur Verbreitung des Programms                    *
  *        HANDBUCH.TXT  -  Diese Datei                                      *
  *        NEWS.TXT      -  Eine Liste der nderungen  der  letzten  VIREN-  *
  *                         DETEKTOR-Versionen und ein Ausblick auf weitere  *
  *                         Verbesserungen  in zuknftigen Versionen, sowie  *
  *                         bekannte Programmfehler, Inkompatibilitten und  *
  *                         Unschnheiten. BITTE UNBEDINGT LESEN!            *
  *                                                                          *
  *  sowie der Ordner WPROTECT mit den Dateien:                              *
  *        WPROTECT.ACC  -  Accessory zum Schreibschtzen von Festplatten    *
  *                         und/oder RAM-Disks                               *
  *        WPROTECT.PRG  -  Das gleiche fr den AUTO-Ordner                  *
  *        WPROTECT.TXT  -  Kurze Anleitung dazu                             *
  *        WPROTECT.S    -  Assembler-Source zu WPROTECT.PRG                 *
  *        WPRORSC.S     -  Resource-to-Source Datei                         *
  *        WPROTECT.RSC  -  Resource-Datei                                   *
  *        WPROTECT.RSD                                                      *
  *                                                                          *
  *  Folgende Files werden bei Bedarf vom VIRENDETEKTOR erstellt, sind aber  *
  *  nicht unbedingt notwendig und mssen auch bei einer  Weitergabe  nicht  *
  *  mitkopiert werden:                                                      *
  *        VIRENDET.INF  -  Parameter-Datei                                  *
  *        VIRENDET.CRC  -  Datei mit CRC-Prfsummen                         *
  *                                                                          *
  *  Diese Dateien werden vom VIRENDETEKTOR erstellt und gehren NICHT  zum  *
  *  Lieferumfang - bitte auch nicht mit Ihrer Version weitergeben:          *
  *        VIRENDET.HD   -  Datei mit Festplatten-Rootsektoren               *
  *        VIRDPROT.INF  -  Protokoll-Datei                                  *
  *                                                                          *
  *       Volker Shnitz,  Beginenstr. 17,  5100 Aachen                     *
  *        Fax:    ++49 241 - 40 40 70                                       *
  *        EMAIL:  volker_soehnitz@ac.maus.de (privat, keine binaries/UUEs)  *
  *          oder  volker_soehnitz@solaris.hamm.sub.org                      *
  *                                                                          *
  *       fr WPROTECT und das Protokollfile:  Christoph Conrad             *
  *        EMAIL:  christoph_conrad@ac3.maus.de                              *
  *                                                                          *
  ****************************************************************************

  Alle  Rechte  vorbehalten.  Kein Teil dieses Textes darf in irgendeiner Form 
  (Druck  oder  einem  anderen  Verfahren)  ohne  schriftliche Genehmigung des 
  Autors   reproduziert   oder   unter   Verwendung   elektronischer   Systeme 
  verarbeitet,  vervielfltigt  oder verbreitet werden. Eine Weitergabe dieses 
  Textes  in  _unvernderter_  Form  und  nur  zusammen mit den oben genannten 
  Dateien  unter  Bercksichtigung der in HINWEIS.TXT festgehaltenen Nutzungs- 
  bestimmungen ist ausdrcklich gestattet!

  Zum  Ausdrucken  dieses Textes ist es am gnstigsten, den Drucker auf 12 cps 
  (ELITE) und auf einen Rand von 6-8 Zeichen einzustellen.


  WICHTIG:  Unbedingt zumindest NEWS.TXT und das Vorwort lesen!
    
  Ich  wei,  niemand  liest  gerne  lange  Handbcher  oder  Anleitungen aber 
  zumindest  das  Vorwort  und die Datei NEWS.TXT sollten Sie sich durchlesen. 
  Das  heit  nicht,  da nicht auch der Rest lesenswert wre, aber den knnen 
  Sie  sich  ja  an  einem  regnerischen Abend zu Gemte fhren. Ich habe mich 
  bemht,   auf   mgliche  Bedienungsfehler,  die  bei  der  Arbeit  mit  dem 
  VIRENDETEKTOR  auftreten  knnen,  einzugehen. Wenn Sie dieses Kapitel nicht 
  lesen, sind DATENVERLUSTE nicht auszuschlieen!

  Registrierte  Benutzer  sollten  auch  die  Datei  PRIVAT.TXT,  die  auf der 
  VIRENDETEKTOR-Originaldiskette  zu finden ist, durchlesen. Dort ist auch die 
  Installation der registrierten Version ausfhrlich erlutert.


  Inhalt:
       0.    Das (etwas lngere) Vorwort
                      a) Danksagungen
                      b) Was ist der VIRENDETEKTOR?
                      c) Hinweise zur Bedienung (WICHTIG!!!)

              I.    Einfhrung (Allgemeines ber Computerviren)
                      a) Was ist ein Computervirus?
                      b) Woher kommen Computerviren?

              II.   Viren im ST, wo sie stecken und wie sie sich vermehren
                      a) Bootsektorviren
                      b) "Tarnkappen"-Viren
                      c) Linkviren
                      d) Linkviren in gepackten Programmen
                      e) Viren in CPX-Modulen
                      f) Neue, bisher unbekannte Linkviren
                      g) Alle Link- und Bootsektorviren im berblick

              III.  Wie beugt man Virenbefall vor?

              IV.   An welchen Effekten erkennt man Computerviren?

              V.    Neues von der Virenfront

              VI.   So funktioniert der VIRENDETEKTOR

              VII.  "Immunisierung" - Schutz vor Bootsektorviren???

              VIII. Was ist im Fall des (Be)falls zu tun?

              IX.   Das SHAREWARE-Vertriebskonzept

              X.    Hinweise fr kommerzielle Nutzer und PD-Versender

              XI.   Schluwort

                    Anhang:  Antworten auf die am hufigsten gestellten Fragen
                             zum  VIRENDETEKTOR  (bitte erst lesen, bevor  Sie
                             sich mit Fragen an mich wenden)


  Einige  Soft-  und Hardwarebezeichnungen, die in diesem Text erwhnt werden, 
  sind eingetragene Warenzeichen und sollten als solche betrachtet werden.



  0.              Das (etwas lngere) Vorwort
                  

    a)            Danksagungen

  Fr  die  Untersttzung bei der Erstellung dieses Programms bedanke ich mich 
  insbesondere bei:

  Christoph Conrad,
  
  der  nicht  nur  mit einigen genialen Hacks die Effizienz des VIRENDETEKTORS 
  stark  verbessert  hat,  sondern  dem  vor  allem  zu verdanken ist, da der 
  VIRENDETEKTOR  seit  der Version 3.0 auflsungsunabhngig und absolut LINE-A 
  frei  luft.  Auerdem  bedanke  ich  mich fr das Programm WPROTECT und die 
  Routinen  zur Erstellung des Protokollfiles, die Christoph freundlicherweise 
  fr den VIRENDETEKTOR zur Verfgung gestellt hat.

  Richard Karsmakers,
  
  dem  niederlndischen  Virenkiller-Programmierer  (UVK),  fr die fruchtbare 
  Zusammenarbeit, die fr die Weiterentwicklung des Programms wichtige Impulse 
  gegeben hat.

  Bernhard Artz und Gregor Tielsch,
  
  den Autoren des Virenkillers Poison! fr die Zusammenarbeit.

  H.-D. Jankowski, J.F. Reschke und D. Rabich,
  
  fr das ATARI ST PROFIBUCH (Sybex).

  C. Brod und A. Stepper,
  
  fr das Buch SCHEIBENKLEISTER II (MAXON).

  Mein  Dank  geht  auch  an  die  vielen  User  des  VIRENDETEKTORS,  die mit 
  detaillierten  Fehlermeldungen  und  der  Zusendung  neuer  Viren  und neuer 
  Bootprogramme an der Weiterentwicklung des Programms beteiligt waren. (Hallo 
  Dirk, hallo Anton-Jrgen, hallo Oliver!)

  Mein  ganz  besonders  herzlicher  Dank geht an alle registrierten User, die 
  durch  die  Zahlung  der Sharegebhr meinen Glauben an das SHAREWARE-Konzept 
  aufrechterhalten  haben  und  die mich motivieren, den VIRENDETEKTOR auch in 
  Zukunft weiterzuentwickeln.

  Last  but  not  least  bedanke  ich  mich  bei  meiner  Frau  Sabine fr die 
  unendliche  Geduld  mit  einem  Ehemann, der nchtelang vor seinen Computern 
  sitzt und bereits im Schlaf von Viren brabbelt ;-)

  Sollte  ich  jemanden bei dieser Aufzhlung vergessen haben, so geschah dies 
  nicht aus bser Absicht. Er mge sich als hier aufgefhrt betrachten.


    b)            Was ist der VIRENDETEKTOR?

  Der  VIRENDETEKTOR  entstand  vor  mehr  als  fnf  Jahren,  als  die ersten 
  Computerviren  auf  dem  ST auftauchten. Zunchst als "Quick and dirty"-Hack 
  gegen   Bootsektorviren,   doch   mit   der   Zeit   kam  eine  ansprechende 
  Benutzeroberflche  hinzu,  die Erkennung der ersten Linkviren, die sich auf 
  dem  ST  breit machten, die Anpassung an verschiedene Auflsungen und vieles 
  mehr.   Seit  der  Version  3.0  ist  nun  auch  eine  CRC-Prfsummenbildung 
  eingebaut,  so  da  auch  die  Gefahr eines Befalls mit bislang unbekannten 
  Viren  nahezu  ausgeschlossen  werden kann. Auch zuknftige Versionen werden 
  wieder Neuheiten zu bieten haben und der VIRENDETEKTOR bleibt - auch wenn er 
  manchem  kommerziellen  Virenkiller  durchaus  berlegen  ist und obwohl mir 
  mehrere   Angebote  zur  kommerziellen  Vermarktung  vorliegen  -  weiterhin 
  SHAREWARE.  Was  SHAREWARE  ist und warum dieses Konzept sowohl dem Benutzer 
  als  auch  dem  Programmautor viele Vorteile bietet, erfahren Sie in Kapitel 
  IX.

  Mit  dem  Programm  VIRENDETEKTOR  haben Sie nun das geeignete Mittel in der 
  Hand, um jede Art von Virus zu entdecken, bevor er Unheil anrichten kann und 
  sich ber die gesamten Datenbestnde verbreitet.


    c)            Hinweise zur Bedienung

  Der  VIRENDETEKTOR  ist denkbar einfach zu bedienen. Auch Einsteiger auf dem 
  ST/STE/TT  sollten  mit  diesem  Programm  problemlos  auf "Virenjagd" gehen 
  knnen.  Dennoch  sind  mit zunehmender Anzahl an Optionen, die das Programm 
  bietet,  auch  einige  Erluterungen  ntzlich.  Hier  nun ein paar wichtige 
  Hinweise  zur Bedienung. Auf einige spezielle Punkte wird an spterer Stelle 
  in diesem Text noch eingegangen.

  Versuchen  Sie  bitte  nicht,  den  PFX-PAK, den ICE-PACK oder einen anderen 
  Packer,   der  Programme  mit  einem  Laufzeitentpacker  versieht,  auf  den 
  VIRENDETEKTOR los zu lassen. Erstens werden diese Packer im gnstigsten Fall 
  die  Programmdatei  um  lcherliche  5-10% verkleinern knnen, es lohnt also 
  nicht.  Zweitens  wird  der  VIRENDETEKTOR  dies  als Manipulation an seiner 
  Programmdatei empfinden und beim Versuch, das Programm zu starten, mit einer 
  wtenden Meldung nebst Warmstart (Reset) antworten.

  Wenn  Sie das Programm vom Desktop oder aus einer Shell heraus starten, wird 
  zunchst  ein  Speichertest durchgefhrt. Dabei erscheint auf dem Bildschirm 
  eine  bersicht  ber  verschiedene  Systemvariablen, in die sich ein Virus, 
  sofern er resident im Arbeitsspeicher lauert, in der Regel einklinkt. Dieser 
  Ausgabe  brauchen Sie keine weitere Beachtung zu schenken, die Bedeutung der 
  XBRA-Kennungen ist im Kapitel VI erlutert.

  Sollte ein speicherresidenter Virus gefunden werden, bricht das Programm mit 
  einer  entsprechenden  Warnbox  ab. Leider arbeitet ein solcher Speichertest 
  prinzipbedingt  nicht  100% sicher. Vor allem dann nicht, wenn sich ein oder 
  mehrere  Programme  im  Arbeitsspeicher  befinden,  die  Systemvektoren ohne 
  XBRA-Kennung   verbiegen.   Sie   sollten   also   vor   der  Benutzung  des 
  VIRENDETEKTORS im Zweifel den Rechner aus- und  wieder einschalten, ohne da 
  sich  eine  Diskette  im  Laufwerk befindet. Die dauert zwar etwa eine halbe 
  Minute  (der  ST wird zunchst verzweifelt nach einer Diskette fahnden), ist 
  aber  der  sicherste  Weg,  falls Sie nicht sicher sind, ob Sie berhaupt im 
  Besitz einer "sauberen" Diskette sind.

  Die  vom  VIRENDETEKTOR  angezeigte  Liste  der  einzelnen XBRA-Verkettungen 
  sollte  im  Idealfall  mit  einem  Pseudoeintrag  "->BS"  enden.  Damit wird 
  angezeigt,  da  der  Vektor  nun  ins  Betriebssystem zeigt. Steht dort ein 
  "????",  so  ist  dafr  ein  Programm verantwortlich, das sich nicht an die 
  XBRA-Konvention  hlt.  Dabei mu es sich nun aber keineswegs um einen Virus 
  handeln,  denn trotz der relativ groen Verbreitung des XBRA-Verfahrens gibt 
  es  immer noch eine Menge Programme und Accessories, die ohne Verwendung der 
  XBRA-Struktur Vektoren verbiegen.

  Eine  kurze Erklrung zum den ausgegebenen Systemvariablen erhalten Sie auch 
  im Programm, wenn Sie die "Help"-Taste drcken.

  Jede   andere   Taste   oder   ein  Mausklick  fhren  zum  "Hauptmen"  des 
  VIRENDETEKTORS.  Dabei  handelt  es sich um eine groe Dialogbox, in der Sie 
  mit  der  Maus,  mit  den Funktionstasten oder mit der RETURN-Taste einzelne 
  Punkte  auswhlen  knnen.  Der  stark umrandete Button kann jeweils mit der 
  Return-Taste  gewhlt  werden.  Bei der Auswahl einiger Menpunkte erscheint 
  wiederum eine hnliche Dialogbox.

  F1: (Kurzanleitung/Programminfo)

  Wie  der  Name vermuten lt, handelt es sich bei diesem Punkt um eine kurze 
  Anleitung,  die  das wichtigste aus diesem Kapitel zusammenfat. Damit haben 
  Sie  auch  im  VIRENDETEKTOR  die  Mglichkeit,  die  Arbeitsweise einzelner 
  Funktionen  nachschauen  zu knnen. Zunchst erscheint aber noch eine kleine 
  "Danksagung"  an  verschiedene  Leute,  die  direkt  oder  indirekt  bei der 
  Entstehung  dieses Programms mitgewirkt haben. Diese Kurzanleitung umfat 12 
  Seiten,  durch  Drcken  der  ESCAPE-Taste kommen Sie jederzeit ins Programm 
  zurck.

  F2: (Laufwerk whlen)

  Dient  zur Auswahl der Diskettenstation/RAM-Disk/Festplattenpartitionen, die 
  als  aktuelles  Laufwerk  gelten  soll.  Bei  der berprfung von Programmen 
  arbeitet der VIRENDETEKTOR immer auf dem Laufwerk, das hier angewhlt wurde. 
  Es  knnen  nur tatschlich vorhandene Laufwerke selektiert werden. Bei mehr 
  als    8   Laufwerken/Partitionen/RAM-Disks   erscheint   diese   Auswahlbox 
  zweigeteilt.  Mit den Pfeilboxen kann zwischen den beiden Teilen hin und her 
  gewechselt werden.

  Bei der berprfung von Festplattenpartitionen oder RAM-Disks (also Laufwerk 
  C  und  grer)  wird  nach  der berprfung aller Programme automatisch zum 
  nchsten  Laufwerk  gewechselt, sofern diese berprfung nicht zwischendurch 
  mit  "Escape"  abgebrochen wurde. Dadurch sparen Sie bei der berprfung der 
  gesamten  Platte  den manuellen Wechsel der Laufwerke. Sie knnen somit nach 
  Anwahl  der ersten Partition (im allgemeinen C) durch wiederholtes Bettigen 
  der Return-Taste alle Partitionen auf Linkviren berprfen.

  F3: (Einzelne Programme berprfen)

  Untersucht  einzelne Programme (Auswahl ber Fileselectbox) auf Virenbefall. 
  Dabei  werden  eine groe Zahl von Linkviren erkannt, dazu gehren in dieser 
  Version  des  VIRENDETEKTOR  der  MILZBRAND VIRUS und auf dessen Algorithmus 
  beruhende   Nachfolger,  alle  VCS  VIREN  (mit  dem  VIRUS-CONSTRUCTION-SET 
  erstellte   Viren),  der  CRASH  VIRUS,  der  PAPA&GARFIELD  VIRUS  und  der 
  MAD/ZIMMERMANN  VIRUS  (auch  als  Uluru Virus bekannt)! Es ist leider nicht 
  mglich,   befallene   Programme   zu   restaurieren!   Sie   mssen   durch 
  Sicherheitskopien  ersetzt  werden. Sollten Sie nicht ber Sicherheitskopien 
  verfgen  und die infizierten Programme sind fr Sie von groer Wichtigkeit, 
  dann  finden  Sie  in  einem  spteren Kapitel noch einige Hinweise, wie Sie 
  eventuell auch noch mit diesen Programmen weiterarbeiten knnen. Dies sollte 
  aber  wirklich  die absolute Ausnahme sein! Abgesehen von der Suche nach den 
  oben  erwhnten  bekannten  Linkviren,  werden  Programme  auch  auf bislang 
  unbekannte  Linkviren  berprft. Prinzipbedingt kann diese berprfung aber 
  nur  eine  ntzliche Ergnzung sein. Es gibt keine Garantie dafr, da jeder 
  neue  Linkvirus  dadurch  entdeckt  werden  kann. Neben einzelnen Programmen 
  knnen   auch   komplette   Pfade   durchsucht  werden,  dazu  wird  in  der 
  Fileselectbox  einfach der gewnschte Pfad eingestellt. Wollen Sie also z.B. 
  alle  Dateien  im  Ordner "KUCKREIN" berprfen, so ffnen Sie diesen Ordner 
  und  klicken  auf den OK-Button (oder drcken die RETURN-Taste). Dann werden 
  alle  Programmfiles  in  dem  gewnschten  Ordner,  sowie  in allen weiteren 
  Ordnern, die sich im gewhlten Ordner befinden, berprft!

  F4: (Alle Programme berprfen)

  Alle  Programme  auf dem aktuellen Laufwerk werden auf Linkviren untersucht. 
  (Analog  zu  F3.) Dabei werden nicht nur die Programme im Hauptdirectory des 
  aktuellen  Laufwerks (Floppy/RAM-Disk/Harddisk) berprft, sondern auch alle 
  Programme,  die  sich  in irgendwelchen Ordnern aufhalten! WICHTIG: Wenn Sie 
  mit  einer Festplatte und einer alten TOS-Version (1.00 oder 1.02) arbeiten, 
  dann  sollten Sie unbedingt das FOLDR100.PRG im Autoordner haben. Aber diese 
  Regel  gilt  nicht  nur  fr den VIRENDETEKTOR. Es werden auch "Hidden"- und 
  "System"-Files  berprft.  Auf  der Festplatte kann die berprfung je nach 
  Partitionsgre  einige  Zeit  in  Anspruch nehmen. Die laufende berprfung 
  kann  durch Bettigung der ESCAPE-Taste abgebrochen werden. Wenn der Abbruch 
  nicht  gleich klappt, dann halten Sie die ESCAPE-Taste solange gedrckt, bis 
  der  VIRENDETEKTOR  diesen  Abbruch  besttigt.  Bercksichtigt  werden alle 
  Files,  deren  Extension  auf PR*, AC*, TOS, TTP, APP, GTP oder auf eine der 
  vier  selbstdefinierten  Extensionen  pat.  Bei eingeschalteter CRC-Prfung 
  werden  auch  Dateien  mit der Endung "CPX" (CPX-Module) bercksichtigt. Bei 
  dieser  CRC-Prfung wird die aktuelle CRC-Prfsumme mit einer gegebenenfalls 
  zuvor  gespeicherten Prfsumme verglichen. Falls das aktuelle Laufwerk nicht 
  A  oder  B  ist,  so  ist  diese  Funktion  defaultmig  auch mit RETURN zu 
  erreichen.

  F5: (Bootsektor berprfen)

  Diese  Funktion kann nur bei Wahl von Laufwerk A oder B angewhlt werden. Es 
  wird   der   Bootsektor  einer  Diskette  auf  Virenbefall  berprft!  Alle 
  verbreiteten  ST-Bootsektorviren  werden  erkannt,  welcher  Virus  entdeckt 
  wurde,  wird  ebenso  angezeigt,  wie  bei  einigen  mutierenden  Viren  die 
  vorgefundene  Generation!  Ist  der  Bootsektor infiziert, so kann der Virus 
  entfernt  und  der  Bootsektor restauriert werden. Der VIRENDETEKTOR erkennt 
  die  meisten  Immunisierungs-Bootsektoren,  wie sie von einigen Virenkillern 
  erzeugt werden. Falls Sie im Men "Weitere Optionen" die Immunisierung nicht 
  eingeschaltet  haben,  kann  eine  vorhandene  Immunisierung auf Wunsch auch 
  entfernt   werden!   Natrlich  werden  auch  berechtigterweise  ausfhrbare 
  Bootsektoren  erkannt und gemeldet, z.B. 1st Freezer-Disks, Aladin-Disketten 
  (MAC-Emulator),  TOS-Lader,  viele  Spiele-Bootlader, 60-Hertz Bootsektoren, 
  mehr  als ein halbes Dutzend HD-Waiter und viele mehr. Seit der Version 2.9e 
  werden  AUCH  NICHT  AUSFHRBARE  Bootsektorviren erkannt! Diese knnen sich 
  mittels  eines  undokumentierten  Features  des Betriebssystems resetfest im 
  Arbeitsspeicher   installieren,   OBWOHL  der  Bootsektor  eigentlich  nicht 
  ausfhrbar  ist!  Genauere  Informationen zur Arbeits- und Verbreitungsweise 
  dieser Viren finden Sie in einem gesonderten Kapitel ber Bootsektorviren.

  Trifft   der   VIRENDETEKTOR   auf  einen  bisher  unbekannten  ausfhrbaren 
  Bootsektor  (z.B.  einen neuen Spiele-Lader oder aber einen neuen Virus), so 
  wird  eine  entsprechende  Meldung  ausgegeben  und  es  kann  eine  Routine 
  aufgerufen   werden,  die  das  Bootprogramm  auf  typische  Merkmale  eines 
  Virus-Programms  untersucht!  Das  Ergebnis  dieser  Analyse  wird  in einer 
  Alert-Box  angezeigt.  Falls  es  sich  um  einen  bisher  unbekannten Virus 
  handelt,  kann  der  Bootsektor  restauriert  werden.  Das  Programm wird im 
  brigen  laufend  aktualisiert  und an neue Viren angepat! Sollten Sie ber 
  einen   Virus   oder   ein  harmloses  Bootprogramm  verfgen,  welches  der 
  VIRENDETEKTOR  nicht kennt, dann schicken Sie es mir zu - ich werde umgehend 
  eine Erkennung einbauen.

  F6: (Bootsektor und Disk-Info anzeigen)

  Zeigt den Bootsektor der Diskette im gewhlten Laufwerk (A oder B) sowohl im 
  ASCII-Code   als   auch  in  Hexadezimalzahlen  an.  Zustzlich  werden  die 
  Disketten-Struktur-Informationen  entschlsselt  und  angezeigt. (Anzahl der 
  Seiten,  Tracks,  Sektoren, Ausfhrbarkeit, Lnge des Directories, ...) Auch 
  diese Funktion kann nur bei Wahl von Laufwerk A oder B gewhlt werden.

  F7: (Bootsektor und alle Programme berprfen)

  Mit diesem Menpunkt werden die Funktionen "Bootsektor berprfen" und "Alle 
  Programme  berprfen" hintereinander ausgefhrt. Wenn Laufwerk A oder B als 
  aktuelles  Laufwerk  gewhlt  wurden,  so ist dieser Punkt defaultmig ber 
  RETURN erreichbar. Wenn Sie also Ihre Diskettensammlung sowohl auf Link- wie 
  auf  Bootsektorviren  berprfen  wollen, brauchen Sie nur die Disketten der 
  Reihe  nach  einzulegen,  RETURN  zu drcken und die Meldungen des Programms 
  abzuwarten.

  F8: (CRC-Prfung ein/ausschalten)

  Dient  zum Ein- oder Ausschalten der CRC-Prfsummenoption. Ist der CRC-Check 
  eingeschaltet, so berechnet der VIRENDETEKTOR bei jeder Linkvirenberprfung 
  eine  CRC-Prfsumme  ber  den Teil des Programms, der bei einer Infizierung 
  mit  einem  Linkvirus  auf jeden Fall verndert wrde. Ist fr das jeweilige 
  Programm   bereits   eine   CRC-Summe   aus  vorhergegangenen  berprfungen 
  vorhanden, so wird die neue Prfsumme mit der alten verglichen und eventuell 
  auftretende  Unterschiede  werden  gemeldet. Somit kann sich auch ein vllig 
  neuartiger   Linkvirus,  den  der  VIRENDETEKTOR  noch  nicht  kennt,  nicht 
  unbemerkt  in  Ihren  Programmbestand  einschleichen. Natrlich funktioniert 
  diese  Lsung  nur  dann,  wenn  nicht  schon  zum Zeitpunkt der erstmaligen 
  CRC-Prfsummenerstellung  ein  Linkvirus,  den  der VIRENDETEKTOR noch nicht 
  kennt,  Ihre  Programmbestnde  komplett durchseucht hat. Dieser Umstand ist 
  aber auergewhnlich unwahrscheinlich.

  Beachten  Sie  bitte:  Wenn  Sie mehrere unterschiedliche Programme gleichen 
  Namens  (z.B.  zwei  EDITOR.PRG bzw. ein EDITOR.PRG und ein EDITOR.TTP) oder 
  verschiedene   Versionen   eines   Programmes   besitzen,   dann   wird  der 
  VIRENDETEKTOR  beim  zweiten  Programm  eine  Vernderung  melden.  Seit der 
  Version  3.1  des  VIRENDETEKTORS  sind  zu  jedem  Programmnamen maximal 20 
  CRC-Prfsummen abspeicherbar. Die Extensionen der Programmnamen werden dabei 
  nicht  bercksichtigt,  dies  hat  den  Vorteil, da Programme, die auch als 
  Accessories   verwendet  werden  knnen,  nicht  zweimal  in  der  CRC-Liste 
  auftauchen.  Selbiges gilt auch fr Auto-Ordnerprogramme, deren Extension in 
  PR oder PRX verndert wurden.

  Wenn ein Programm seine CRC-Prfsumme ndert, so kann diese nderung diverse 
  Ursachen  haben.  Es  knnte sich um ein Update handeln, es kann ein anderes 
  Programm gleichen Namens in der CRC-Liste existieren oder es handelt sich um 
  ein  selbstmodifizierendes  Programm  (einige  Programme speichern bestimmte 
  Einstellungen  in sich selbst ab - eigentlich kein feiner Programmiererstil, 
  dazu eignet sich eine *.INF Datei in der Regel ebenso gut. Somit knnen also 
  durchaus eine Reihe von Vernderungen der CRC-Prfsumme auftreten, die NICHT 
  durch   Virenbefall   verursacht   wurden).  AUch  bei  der  Umwandlung  der 
  unregistrierten   Version   in   eine   registrierte   Version   ndert  der 
  VIRENDETEKTOR  seine  CRC-Prfsumme.  Wundern  Sie sich also nicht, wenn das 
  Programm  bei  der  registrierten  Version  ber  eine  vernderte Prfsumme 
  meckert. Nehmen Sie diese neue Prfsumme einfach zustzlich in die CRC-Datei 
  auf.

  Es  ist allerdings auch mglich, da ein neuer, bisher unbekannter Linkvirus 
  das  Programm  verndert  hat!  Dies  wird  dann  wahrscheinlich,  wenn sich 
  vernderte  Prfsummen  hufen, ohne da eine der oben genannten Erklrungen 
  zutrifft.

  Sie  knnen  eine  neue, vernderte CRC-Prfsumme bernehmen, verwerfen oder 
  das betreffende Programm lschen. Sie knnen auch die alten Prfsummen durch 
  die  neue  ersetzen, dabei werden aber ALLE alten Prfsummen, die fr diesen 
  Programmnamen  gespeichert  waren,  ersetzt.  Der VIRENDETEKTOR kann maximal 
  5000  verschiedene Prfsummen verwalten. Nach Erreichen dieses Limits knnen 
  keine weiteren Prfsummen aufgenommen werden.

  Nochmals der Hinweis: Wenn sich pltzlich mehrere Programme ohne erkennbaren 
  Grund  verndert  haben, wenn also der VIRENDETEKTOR in mehreren Fllen eine 
  vernderte CRC-Prfsumme meldet, ist Vorsicht geboten. Sie sollten mir eines 
  der mglicherweise befallenen Programme zusenden, ich werde dann - sofern es 
  sich tatschlich um einen neuen Virus handelt - eine entsprechende Erkennung 
  in den VIRENDETEKTOR einbauen und Sie erhalten umgehend eine neue, an diesen 
  Virus angepate Version.

  F9: (HD-Rootsektor prfen/restaurieren/speichern)

  Hinter  diesem  Menpunkt  verbirgt sich eine Auswahlbox, in der Sie angeben 
  knnen,  ob  Sie einen Rootsektor prfen, restaurieren oder anzeigen wollen. 
  Der   Rootsektor  der  Festplatte  wird  beim  DMA-Bootvorgang  gelesen  und 
  ausgefhrt.  Im  Rootsektor ist auerdem die Partitionierungsinformation der 
  Festplatte   enthalten.   Haben   Sie   mehrere  Festplatten  (physikalische 
  Laufwerke,  nicht Partitionen) an Ihren Rechner angeschlossen, so knnen Sie 
  auch  das  gewnschte Target auswhlen. Beim Prfen des Rootsektors wird der 
  aktuelle  Rootsektor  mit  einem zuvor gesicherten Rootsektor verglichen und 
  das   Ergebnis   wird   angezeigt.  Sollte  noch  kein  Vergleichsrootsektor 
  gespeichert  sein,  so  knnen  Sie  den  aktuellen  Rootsektor  fr sptere 
  Vergleiche bernehmen.

  Wenn  Sie  einen Festplattenrootsektor zum ersten Mal eingelesen haben, dann 
  knnen  Sie  ihn  in  eine  Datei  sichern.  Der  VIRENDETEKTOR schreibt die 
  Rootsektoren  aller  angeschlossenen  Targets  in die Datei VIRENDET.HD. Die 
  Datei VIRENDET.HD ist normalerweise nicht im Lieferumfang enthalten, sondern 
  mu  von Ihnen bei der ersten Festplattenprfung erzeugt werden. Sollten Sie 
  das  Programm  von  einem  Bekannten  oder PD-Versender bekommen haben, dann 
  sollte   sich   daher   normalerweise   keine  Datei  mit  diesem  Namen  im 
  VIRENDET.3_1-Ordner  befinden.  Sollten Sie dort dennoch diese Datei finden, 
  dann  lschen  Sie diese VOR dem Start des VIRENDETEKTORS und legen Sie nach 
  berprfung  Ihrer  Festplatte(n)  mit  diesem  Menpunkt  neu  an. WICHTIG: 
  Verwenden  Sie  keine VIRENDET.HD-Datei von fremden Festplatten!!! Auch wenn 
  Sie Ihre Platte(n) neu partitionieren _mu_ diese Datei neu angelegt werden! 
  Wenn Sie das Programm weitergeben, dann bitte OHNE die Datei VIRENDET.HD! Es 
  knnte  sonst  bei  Anwendern, die diese Anleitung oder die Kurzanleitung im 
  Programm  selbst  nicht durchlesen, zu Datenverlust fhren, wenn diese einen 
  fremden  Rootsektor  auf  die eigene Platte kopieren. Sollten Sie einen oder 
  mehrere  neue Rootsektoren bernommen haben, so werden Sie beim Programmende 
  darauf   hingewiesen,  falls  Sie  diese  Rootsektoren  bislang  noch  nicht 
  abgespeichert haben und knnen das dann vor dem Verlassen des VIRENDETEKTORS 
  nachholen.

  Da  die Partitionierungsinformationen beim Befall durch einen Virus zerstrt 
  werden  knnen,  ist fr diesen Fall eine Restaurierungsmglichkeit gegeben. 
  Dazu  mssen  Sie  sich  von der Datei VIRENDET.HD eine SICHERHEITSKOPIE AUF 
  DISKETTE anlegen.

  Dies ist wichtig, da Ihnen diese Datei auf der Festplatte nichts mehr ntzt, 
  denn  mit einem zerstrten Rootsektor ist Ihnen jeder Zugriff auf die Platte 
  verwehrt.  Mit  Hilfe  des  VIRENDETEKTORS - von dem Sie natrlich ebenfalls 
  eine  Sicherheitskopie  haben  sollten - kann der Rootsektor dann wieder auf 
  die Festplatte geschrieben werden.

  WICHTIG:  (Ich wei, das habe ich schon erwhnt - man kann es aber nicht oft 
  genug  wiederholen!)  Jede neue Partitionierung Ihrer Platte fhrt natrlich 
  zu  einer  Vernderung  des  Rootsektors!  In  diesem  Fall  mu  die  Datei 
  VIRENDET.HD, die die gespeicherten Rootsektoren enthlt, gelscht werden und 
  der  Rootsektor neu eingelesen werden. Auf keinen Fall drfen Sie nach einer 
  Neupartitionierung   den   alten   Rootsektor  wieder  zurckschreiben!  Der 
  Rootsektor  darf  nur  restauriert werden, wenn er unrechtmig (durch einen 
  Virus  oder  ein anderes "amoklaufendes" Programm) verndert wurde. Wenn Sie 
  Ihre  Platte  neu  partitioniert  haben,  kommt  auf  jeden Fall die Meldung 
  "Rootsektor  wurde verndert". Dies ist normal und kein Grund zur Besorgnis! 
  Schreiben  Sie  NIEMALS einen alten Rootsektor nach einer Neupartitionierung 
  zurck!  Ansonsten  sind Ihre Daten auf der Festplatte pltzlich ins Nirwana 
  entfleucht.

  ACHTUNG:  Nach  dem  Zurckschreiben  eines Rootsektors wird automatisch ein 
  RESET   (Warmstart)   ausgelst!  Dies  ist  aus  Kompatibilittsgrnden  zu 
  verschiedenen  Festplattentreibern  ntig. Wenn Sie "restaurieren" anwhlen, 
  werden  Sie  auf  diesen  Umstand  aufmerksam  gemacht  und  haben  noch die 
  Mglichkeit, diesen Vorgang abzubrechen.

  F10: (Weitere Optionen)

  Unter  diesem  Menpunkt  sind  verschiedene Einstellungsmglichkeiten sowie 
  nicht  so  hufig  bentigte  Funktionen  zusammengefat.  Es  erscheint ein 
  Untermen mit folgenden Punkten:

  Viren-Datenbank aufrufen...:

  Unter  diesem  Menpunkt verbirgt sich eine geballte Ladung Information. Sie 
  finden  hier  eine  ausfhrliche  Beschreibung  aller  bekannten  Link-  und 
  Bootsektorviren,  die  sowohl  Verbreitungsweise  als  auch  die Wirkung der 
  einzelnen  Viren  beschreibt.  Der  Virus, zu dem Sie nhere Infos wnschen, 
  wird mit den Cursortasten oder durch Klicken in die Pfeilboxen ausgewhlt.

  Diese  Infos sind _nur_ in der registrierten Version abrufbar. Das ist keine 
  besondere   Einschrnkung,   denn   fr   die   eigentliche   Funktion   des 
  VIRENDETEKTORS  ist  diese Datenbank ja in keiner Weise relevant. Sie knnen 
  also  die  unregistrierte  Version,  wie bei SHAREWARE blich, in aller Ruhe 
  testen.  Wenn  ihnen  das  Programm  zusagt,  erhalten  Sie nach Zahlung der 
  Sharegebhr  eine  aktuelle  Version  auf  einer  Originaldisk,  die Sie zum 
  Installieren  der  registrierten  Version  bentigen. Diese enthlt dann zum 
  einen   die   bereits   erwhnte   Viren-Datenbank.  Zum  anderen  sind  die 
  gelegentlichen  Hinweise  (z.B. beim Verlassen des Programms oder nach einer 
  greren  Zahl  berprfter  Disketten  und Dateien), die Sie daran erinnern 
  sollen,   da  Sie  mit  einer  unregistrierten  Version  arbeiten,  in  der 
  registrierten Version natrlich nicht mehr vorhanden.

  Immunisierung whlen...:

  Zum  Thema  "Immunisierung" werde ich im weiteren noch Stellung nehmen. Hier 
  sei  nur  erwhnt,  da  ich,  um  auf alle Wnsche nach den verschiedensten 
  Immunisierungsmethoden   einzugehen,   im  VIRENDETEKTOR  drei  verschiedene 
  Mglichkeiten zur Immunisierung von Bootsektoren vorgesehen habe. Mit diesem 
  Menpunkt  knnen Sie die gewnschte Immunisierung ein- oder ausschalten und 
  die automatische Impfung einschalten. Bei eingeschalteter Immunisierung wird 
  beim  Schreiben  eines Bootsektors, also wenn z.B. ein Virus vernichtet wird 
  oder  ein  anderes Bootprogramm entfernt wird, ein Immunisierungs-Bootsektor 
  bzw.  der  Immunisierungs-Autoordner erzeugt. Was unter den drei Methoden zu 
  verstehen   ist,   entnehmen   Sie   bitte   dem   Kapitel   VII.  Wenn  die 
  Bootsektorimpfung  eingeschaltet  ist,  wird  die gewhlte Immunisierungsart 
  immer  auf  die  zu prfende Diskette aufgebracht, also auch dann, wenn kein 
  Virus  berschrieben  wird. Dazu drfen die zu prfenden Disketten natrlich 
  nicht  schreibgeschtzt  sein. Es erfolgt auch dann eine Immunisierung, wenn 
  im   Bootsektor   bereits  eine  Immunisierung  eines  anderen  Virenkillers 
  vorhanden  ist.  Diese  wird  dann  entfernt.  Andere  ausfhrbare  harmlose 
  Bootsektoren  werden nicht geimpft, auch 1st Lock Disketten (LOGILEX) werden 
  nicht  geimpft,  da  im  Bootsektor wichtige Informationen stehen, die sonst 
  verloren  gehen wrden. Ausnahme: Die Immunisierung durch den Autoordner, da 
  bei dieser Immunisierungsart der Bootsektor nicht verndert wird.

  Info-Meldungen ein/ausschalten:

  Wenn  Sie  mit dem VIRENDETEKTOR Ihre komplette Diskettensammlung berprfen 
  und  Ihre  kostbare  Zeit nicht zu sehr strapazieren wollen, dann knnen Sie 
  die  ohnehin  schon  hohe  Arbeitsgeschwindigkeit  des Programms noch weiter 
  erhhen,  indem  Sie alle Meldungen des Programms, die nicht auf Virenbefall 
  hinweisen,  unterdrcken.  Sie  brauchen  dann  pro  Diskette nur einmal die 
  RETURN-Taste  (oder  F7)  zu  drcken  und  der VIRENDETEKTOR kehrt nach der 
  berprfung  der  Diskette  sofort  zum  Hauptmen zurck (sofern kein Virus 
  gefunden wurde) und Sie knnen mit der nchsten Diskette fortfahren.

  Extensionen whlen:

  Wenn der VIRENDETEKTOR eine komplette Diskette/RAM-Disk/Partition oder einen 
  gewhlten  Pfad  auf  Linkviren untersucht, dann werden alle Dateien mit den 
  Extensionen  PR*  (z.B.  PRG,  PRX,  PR,  ...),  AC*,  TOS, TTP, APP und GTP 
  berprft.   Mit  diesem  Menpunkt  knnen  Sie  weitere  vier  Extensionen 
  (allerdings  ohne Wildcards) angeben, die bei der berprfung bercksichtigt 
  werden sollen.

  CRC-Prfung konfigurieren...

  Nach  Auswahl  dieses Menpunktes, erscheint eine Auswahlbox, in der Sie mit 
  "CRC-Daten  automatisch/von  Hand  bernehmen"  entscheiden, ob bei der CRC- 
  Prfung die Prfsummen bislang unbekannter Programme automatisch aufgenommen 
  werden sollen oder ob der VIRENDETEKTOR bei jedem unbekannten Programm nach- 
  fragt,  ob eine bernahme gewnscht wird. Wenn Sie die CRC-Option zum ersten 
  Mal verwenden, ist es sinnvoll, auf "automatisch bernehmen" zu schalten, da 
  sonst  bei  jedem  berprften Programm eine Alert-Box mit der Nachfrage er- 
  scheint, ob die Datei bernommen werden soll.

  BEACHTEN  SIE  BITTE, DASS AUS INTERNEN GRNDEN DIE CRC-PRFSUMMEN DER ALTEN 
  VERSION 3.0 NICHT WEITER VERWENDET WERDEN KNNEN!

  Wenn  versucht  wird,  eine  alte  VIRENDET.CRC  Datei  zu laden, meldet der 
  VIRENDETEKTOR,  da  diese  Prfsummen  ungltig  sind. Beim Umstieg auf die 
  Version  3.1  ist  es sinnvoll, zunchst noch einmal einen Prfdurchgang mit 
  der  alten  Version  vorzunehmen  und sofort im Anschlu daran mit der neuen 
  Version eine erneute Prfung vorzunehmen. Dabei sollte dann die automatische 
  bernahme der Prfsummen eingestellt werden.

  Mit  "CRC-Datei  abspeichern"  knnen Sie die neuen CRC-Prfsummen, die seit 
  dem  letzten  Start  des  VIRENDETEKTORS  hinzugekommen  sind,  abspeichern. 
  Sollten   Sie   seit  dem  letzten  Programmstart  des  VIRENDETEKTORS  neue 
  CRC-Prfsummen   bernommen   oder   gelscht  haben,  so  werden  Sie  beim 
  Programmende   darauf   hingewiesen,   da  Sie  diese  bislang  noch  nicht 
  abgespeichert   haben   und   knnen  dieses  dann  vor  dem  Verlassen  des 
  VIRENDETEKTORS nachholen. Wenn Sie einzelne CRC-Prfsummen entfernen wollen, 
  dann  knnen  Sie  dies  mit  "CRC-Prfsummen  editieren"  erledigen. Die zu 
  lschende  CRC-Prfsumme wird mit den Cursortasten oder durch klicken in die 
  Pfeilboxen  ausgewhlt  und  kann  dann mit "lschen" oder durch Drcken der 
  DELETE-Taste   gelscht   werden.   Dieses  Lschen  wird  zunchst  nur  im 
  Arbeitsspeicher  vorgenommen. Die CRC-Datei auf dem Massenspeicher wird erst 
  beim nchsten Abspeichern aktualisiert.

  Bootsektor auf/von Disk schreiben/lesen...

  Oft ist es ntzlich, wenn man einen Bootsektor auf Diskette sichern kann, um 
  z.B.  den Bootsektor einer Spieledisk bei Bedarf restaurieren zu knnen. Mit 
  dieser  Option  knnen  Sie  aber auch verdchtige ausfhrbare Bootsektoren, 
  deren  Zweck  Sie  nicht  kennen,  in  eine Datei schreiben um mir diese zur 
  Analyse  zuzuschicken.  Wenn  Sie dies tun und Ihre Diskette zurckgeschickt 
  haben   wollen,  sollten  Sie  einen  ausreichend  frankierten  und  selbst- 
  adressierten  Rckumschlag  beilegen. Haben Sie bitte Verstndnis dafr, da 
  ich  zwar  gerne  bereit  bin,  meine  Freizeit mit der Analyse verdchtiger 
  Programme oder Bootsektoren zu verbringen, da ich aber bei der Vielzahl von 
  Zuschriften NUR DANN ANTWORTEN kann, wenn RCKPORTO beigefgt wird.

  ACHTUNG:  Das  Zurckschreiben  eines Bootsektors auf eine Diskette, auf die 
  dieser Bootsektor nicht gehrt, kann zu Datenverlust fhren!

  Sie  haben  bei  diesem  Menpunkt  auch die Mglichkeit, einen HEX-Dump des 
  Bootsektors auf den Drucker oder in eine Datei auszugeben.

  PFXPAK-Programme auspacken/nicht auspacken

  Dient  zur Auswahl, ob PFXPAK-Programme auch im entpackten Zustand berprft 
  werden sollen. Bedauerlicherweise kam es mit dieser Option kurz vor der Aus- 
  lieferung  dieser  Version  zu rtselhaften Abstrzen, deren Ursache bislang 
  nicht  geklrt  werden  konnte. Ich werde diese Funktion bis zur Version 3.2 
  mit  Sicherheit  fehlerfrei  implementiert  haben.  Dann  knnen  nicht  nur 
  PFXPAK-Programme,  sondern  auch  mit  dem  ICE-PACK  gepackte Programme auf 
  Wunsch automatisch im entpackten Zustand berprft werden. Ich bitte bis zum 
  Erscheinen der Version 3.2 noch um ein wenig Geduld.

  Protokolldatei erzeugen:

  Wenn  Ihnen  Ihr  Rechner  Schwierigkeiten  macht,  sei es, da irgendwelche 
  Programme  nicht  funktionieren oder stndig Fehler auftreten, deren Ursache 
  Sie   nicht  kennen,  dann  knnen  Sie  sich  mit  dem  VIRENDETEKTOR  eine 
  Protokolldatei ausgeben lassen (Dateiname: VIRDPROT.INF), die alle wichtigen 
  Systemvariablen  dokumentiert. Mit Hilfe dieser Datei kann man sich ein Bild 
  ber  den  momentanen  Status  des  Rechners machen, um so die Fehlerursache 
  (unvertrgliche   Accessories,   falsche   Treibersoft,   Virenbefall,  ...) 
  festzustellen.  Insbesondere  wenn  der  VIRENDETEKTOR  einen Programmfehler 
  meldet  oder  unmotiviert  abstrzt  (nobody  is perfect) bentige ich diese 
  Datei,  um  dem  Fehler  auf  die Spur zu kommen. Die Protokolldatei wird im 
  Startpfad des VIRENDETEKTORS erzeugt!

  Konfiguration sichern

  Alle  Einstellungen,  die  Sie im VIRENDETEKTOR vornehmen, knnen Sie in die 
  Datei  VIRENDET.INF  sichern.  Dabei  werden auch die vier selbstdefinierten 
  Extensionen  mit  abgespeichert.  Findet  der VIRENDETEKTOR beim Start diese 
  Datei  auf  derselben  Ebene  wie das Programm, so werden die dort gewhlten 
  Einstellungen  bernommen.  Ansonsten  wird eine Defaulteinstellung gewhlt. 
  Sollte das gewhlte Laufwerk in der Parameter-Datei bei einem erneuten Start 
  des  VIRENDETEKTORS  nicht  mehr  vorhanden  sein,  so  wird  Laufwerk A als 
  aktuelles Laufwerk vorgegeben. Verwenden Sie bitte keine VIRENDET.INF Datei, 
  die  Sie  mit  Version  3.0  angelegt  haben,  da  diese  ein anderes Format 
  aufweist, als die Konfigurationsdatei der aktuellen Version.

  Registrierte Version erzeugen...

  Mit  diesem  Menpunkt  knnen Sie aus der unregistrierten eine registrierte 
  Programmversion  erstellen. Dies funktioniert jedoch nur, wenn Sie im Besitz 
  der  Originaldiskette  sind  -  die  wiederum  erhalten Sie nach Zahlung der 
  Sharegebhr.  Sie sollten sich zunchst eine Kopie des Programms anfertigen, 
  um nicht die Originalversion patchen zu mssen. Dies gilt auch deshalb, weil 
  die  registrierte  Version ja nicht mehr weitergegeben werden darf. Wenn Sie 
  registrierter Benutzer sind, legen Sie bitte Ihre Originaldisk in Laufwerk A 
  und  halten Sie eine Kopie des VIREND31.PRG auf Disk oder Festplatte bereit. 
  Die  Originaldiskette wird selbstverstndlich _nur_ fr die Installation der 
  registrierten  Version bentigt. Diese kann - einmal erstellt - dann genauso 
  auf  eine andere Diskette, die Festplatte oder eine RAM-Disk kopiert werden. 
  Sie   ist  also  nicht  kopiergeschtzt.  Nach  der  Installation  kann  die 
  Originaldiskette  somit wieder in den Safe. Sicherheit vor einer unerlaubten 
  Weitergabe   der   registrierten   Programmversion  gibt  eine  individuelle 
  Seriennummer,  die  bei  der  Installation  von  der Originaldiskette in das 
  VIREND31.PRG bertragen wird.

  Als  registrierter Anwender beachten Sie bitte auch die Datei PRIVAT.TXT auf 
  der VIRENDETEKTOR-Originaldiskette.

  Programmende:  Beendet wird der VIRENDETEKTOR mit dem Button "Programmende", 
  seit  der  Version  3.1f  reicht auch ein ^q (CONTROL-q) in einer beliebigen 
  Menbox des Programms.

  Sie  haben  nun alle wichtigen Funktionen des Programms kennengelernt. Lesen 
  Sie  auf jeden Fall noch die Datei NEWS.TXT, dort finden Sie die wichtigsten 
  Vernderungen  der  letzten  Programmversionen und auch einen Abschnitt ber 
  Inkompatibilitten  und bekannte Programmfehler. Beachten Sie bitte auerdem 
  den  Anhang,  dort  stehen einige Antworten auf die am hufigsten gestellten 
  Fragen  zum  VIRENDETEKTOR.  Dann  steht  einer erfolgreichen Arbeit mit dem 
  VIRENDETEKTOR nichts mehr im Wege.

  Sollten  bei der Arbeit mit dem VIRENDETEKTOR Probleme auftreten oder sollte 
  es gar zu Abstrzen kommen, so berprfen Sie bitte zunchst, ob es an einem 
  AUTO-Ordner-Programm  oder  Accessory  liegt.  Tritt  der  Fehler  auch  mit 
  "nacktem"  Rechner (also _OHNE_ AUTO-Ordner-Programme oder Accessories) auf, 
  so  teilen  Sie  mir  den  Fehler und die Art und Weise, wie Sie ihn erzeugt 
  haben  mit. Legen Sie bitte auch das vom VIRENDETEKTOR erzeugt Protokollfile 
  bei  (auf  Disk  oder  ausgedruckt).  Ich  werde  mich  schnellstens  an die 
  Beseitigung des Fehlers machen.

  Wenn  Sie  ein  Accessory oder AUTO-Ordner-Programm haben, welches nicht mit 
  dem  VIRENDETEKTOR  zusammenarbeitet, so sollten Sie mir auch das mitteilen. 
  Ich werde dann - soweit mglich - fr Abhilfe sorgen.

  Wenn  Sie  mehr  ber  Computerviren  erfahren  wollen, wenn Sie an Tips zur 
  Vorbeugung  vor  Virenbefall interessiert sind (ja, es gibt tatschlich noch 
  andere  Tips  als  die Verwendung des VIRENDETEKTORS) und wenn Sie bestimmte 
  Punkte  (z.B.  die  verschiedenen  Immunisierungsarten) genauer kennenlernen 
  wollen, dann lesen Sie doch einfach weiter...


  I.              Einfhrung
                  

    a)            Was ist ein Computervirus?

  Der  Begriff  "Virus"  ist inzwischen in der Computerszene genauso gelufig, 
  wie  in  der  Biologie  und  Medizin.  Fr die ST-User, die noch nicht genau 
  wissen,  was  es  mit diesen kleinen "elektronischen Tierchen" auf sich hat, 
  ist diese Einfhrung gedacht:

  Computerviren   sind   keine  auf  EDV  umgeschulte  Grippeerreger,  sondern 
  Programme  oder  Routinen,  die  fremde  Software  ohne Wissen des Benutzers 
  manipulieren  und  diese  befhigen, die Verbreitung des Virus fortzusetzen. 
  Computerviren  wren  noch  relativ  harmlos, wrden sie sich ausschlielich 
  vermehren  -  nein, sie richten meistens allerhand Unsinn und zum Teil sogar 
  ernsthafte  Schden  bis  hin zum kompletten Datenverlust der Festplatte an. 
  Selbst Hardwareschden knnen durch Computerviren hervorgerufen werden.

  Die   Bezeichnung   "Virus"   charakterisiert   also  die  beiden  typischen 
  Eigenschaften  dieser  Programme:  Wie  ihre  biologischen  Vettern sind sie 
  ansteckend und gefhrlich. Konkret heit das, da es sich bei einem Virus um 
  ein  kleines,  unaufflliges  Programm  handelt,  welches sich mglichst oft 
  vervielfachen   soll   und   dann  eine  bestimmte  Aktion  ausfhrt,  deren 
  Gefhrlichkeit   ganz  von  der  Skrupellosigkeit  des  Virus-Programmierers 
  abhngt.

  Auf  Home-  und  Personalcomputern  handelt es sich dabei meistens um Lsch- 
  oder    Formatierbefehle,    Programmabstrze,    die   Verhinderung   eines 
  Programmaufrufs  ohne  Passworteingabe  oder auch relativ harmlose Dinge wie 
  z.B.  Bildschirmflackern,  ein  "Hackergru"  auf  dem  Bildschirm, ein paar 
  Gerusche  aus dem Soundchip, ... die Liste lt sich beliebig erweitern und 
  die  Entwicklung  neuer  Viren  geht  in  einem haarstrubenden Tempo voran. 
  Welche  Viren  inzwischen  auf  dem  ST bekannt sind, wird in Kapitel IV und 
  Kapitel V noch nher erlutert.

  brigens  werden  Disketten von Viren so gut wie nie vollstndig formatiert. 
  Das  wrde  zuviel  Zeit  beanspruchen  und  dem  geplagten Opfer die Chance 
  lassen, die Diskette mit einem verzweifelten Griff zum Laufwerk aus selbigem 
  zu  entfernen.  Gewhnlich  werden nur die Verwaltungssektoren, also FAT und 
  Directory,  gelscht.  Das  geht  blitzschnell und ist fr die Daten auf der 
  Diskette  fast  ebenso  ttlich  wie  das normale Formatieren. Zwar sind die 
  Daten physikalisch noch vorhanden, die Suche nach einzelnen Sektoren, um sie 
  wieder  den  entsprechenden  Dateien  zuzuordnen,  wrde  jedoch  selbst der 
  Kollege Sysiphus nicht gegen seine derzeitige Ttigkeit eintauschen wollen.

  An dieser Stelle mchte ich auch ein Wort an die Hobby-Germanisten unter den 
  Lesern  richten.  Es  haben  nmlich  einige Anwender dieses Programms ihren 
  Unmut  darber  geuert,  da  ich  nicht durchgngig "DAS Virus" schreibe, 
  sondern  (meistens)  "DER  Virus".  Tatschlich erlaubt der Duden aber BEIDE 
  Mglichkeiten  -  lediglich  in  der Medizin ist "DAS Virus" blich - in der 
  Umgangssprache  hat  sich hingegen "DER VIRUS" eingebrgert. Aber ich denke, 
  diese  Frage  ist fr die Bekmpfung von Computerviren auf dem ST von keiner 
  groen  Bedeutung!  Ich  bitte  auch  darum, gelegentliche Rechtschreib- und 
  Interpunktionsfehler   zu   entschuldigen.   Ich  bemhe  mich  zwar,  diese 
  weitgehend auszumerzen, aber "nobody is perfect".

  Meistens  startet  der  Virus  seinen gefhrlichen Hauptteil erst dann, wenn 
  seine berlebensfhigkeit durch eine ausreichende Menge befallener Disketten 
  bzw. Programme gewhrleistet ist.

  Als  Auslser  dienen dabei je nach Art des Virus die verschiedensten Dinge. 
  Mglicherweise  ein  bestimmtes Systemdatum, der aktuelle Zustand bestimmter 
  Systemvariablen  (z.B.: Lschen der Festplatte, wenn ein bestimmter Fllgrad 
  berschritten  wird)  oder  der  Virus  wird  mit  einer  beliebigen, vorher 
  festgelegten  Wahrscheinlichkeit zufllig aktiv. Selbstverstndlich kann man 
  einen  Virus  auch  so  programmieren,  da er erst startet, wenn er auf ein 
  zuvor  bestimmtes  Programm  (oder eine Datei) trifft. Interessanter als die 
  Frage,  WAS  der  Virus tut, ist fr uns aber die Frage WIE er das tut (oder 
  besser nicht mehr tut - wozu haben Sie denn sonst den VIRENDETEKTOR)!


    b)            Woher kommen Computerviren?

  Die  ersten  Viren  tauchten  vor  einigen Jahren in Rechenzentren auf. Dort 
  waren  die  Urheber  in  erster  Linie  Programmierer,  die  sich  ungerecht 
  behandelt  fhlten  und  sich  so  an  ihrem  ehemaligen  Arbeitgeber rchen 
  wollten.  Oft  waren  aber  auch  handfeste  finanzielle Interessen im Spiel 
  (Erpressung,  Schdigung  von Konkurrenten u..). Auch "Experimentierfreude" 
  mag  zu  Anfang  den  einen  oder anderen Programmierer zur Produktion eines 
  Viren-Programms bewogen haben.

  In  der  letzten  Zeit tritt dieses Problem jedoch auch verstrkt im PC- und 
  Home-Computer-Bereich  auf  und  lt  so  manchen Software-Sammler um seine 
  Programmbestnde bangen.

  Nun  scheint  es  tatschlich  Leute  zu  geben,  die eine verstrkt um sich 
  greifende Virenplage fr ein geeignetes Mittel halten, um der Raubkopiererei 
  Herr  zu  werden. Diese Vorstellung ist allerdings extrem blauugig (und von 
  der  Realitt  lngst  widerlegt),  denn  die  Verbreitung  von  verseuchten 
  Disketten   ist  ja  keineswegs  auf  Raubkopien  beschrnkt.  PD-Programme, 
  Datendisketten  und  sogar  Originalsoftware renommierter Softwarehersteller 
  knnen befallen sein.

  Letzteres  ist  bereits  mehrfach  vorgekommen,  inzwischen sind aber sowohl 
  PD-Versender  als  auch  Softwarefirmen  deutlich vorsichtiger geworden. Die 
  Gefahr von dieser Seite ist damit schon stark zurckgegangen.

  Im  brigen  ist  es  aber  gleichgltig, ob jemand eine PD-Diskette tauscht 
  (legal)  oder  eine  Raubkopie  (illegal),  die  Gefahr ist in beiden Fllen 
  gleich.

  Trotz  allem  ist  auch  unter dem Aspekt der Virenplage (brigens nicht nur 
  unter  diesem)  die  Verteilung  von Raubkopien nicht ohne Risiko und sollte 
  unterlassen werden.

  Die  Hacker  und  professionellen Raubkopierer trifft ein Computervirus aber 
  sicher  am  allerwenigsten.  Wer  sich mit seinem Rechner sehr gut auskennt, 
  wird  in  der  Regel  auch  mit  Viren  gut  fertig. Schlimmer trifft es die 
  Anwender,    die    ihren    Computer    nur   fr   Textverarbeitung   oder 
  Tabellenkalkulation  nutzen,  vielleicht  gelegentlich  Pac-Man  spielen und 
  immer  brav nur Originaldisketten verwenden, mit Begriffen wie "Bootsektor", 
  "Disketten-Monitor"  und  hnlichem  aber wenig anzufangen wissen. Wenn dann 
  ein Virus (z.B. ber eine PD-Disk eingeschleppt) die Festplatte mit der fast 
  fertigen  Diplom-Arbeit  formatiert  und  das letzte Backup schon ein halbes 
  Jahr alt ist, beginnt das groe Heulen und Zhneklappern.

  Whrend  die  Virenprogrammierung  auf professionellen Mehrplatzsystemen wie 
  schon   erwhnt   verschiedene  Grnde  haben  kann,  kommen  im  PC-Bereich 
  eigentlich   nur   ein  bersteigertes  Geltungsbedrfnis  oder  chronischer 
  Vandalismus als Motivation in Frage.

  Das  Programmieren  von  Virus-Programmen kann man ohne bertreibung mit dem 
  Zerstechen  von  Autoreifen,  dem  Beschdigen von Telefonzellen und hnlich 
  sinnlosen  Attacken auf fremdes Eigentum vergleichen. Diese Einstellung hlt 
  glcklicherweise auch nach und nach Einzug in die deutsche Rechtsprechung.

  Auf  dem  ATARI  ST  konnte  man  gegen Ende der achtziger Jahre eine starke 
  Zunahme  von  Virus-Programmen  feststellen,  auch  wenn es sich vielfach um 
  Viren handelte, die nicht zu der wirklich gefhrlichen Sorte gehren.

  Nach  meinen  Erfahrungen  auf  Grund  vieler  Stichproben  sowohl in meinem 
  Bekanntenkreis als auch bei den Benutzern des VIRENDETEKTOR, hat heute schon 
  jeder  dritte ST-Besitzer auf irgendeine Art und Weise Erfahrungen mit Viren 
  gesammelt oder hat sogar selbst verseuchtes Diskettenmaterial!

  Hufig  werden  diese Viren nicht einmal bemerkt, weil gelegentliches "DATEN 
  AUF  DISK xy DEFEKT" oder hnliche Effekte auf andere Ursachen zurckgefhrt 
  werden.  Damit  steigt  natrlich  die Gefahr, verseuchte Disketten ber den 
  Daten- oder Programmtausch ungewollt weiterzugeben.


  II.             Viren im ST, wo sie stecken und wie sie sich vermehren
                  

  Ein Computervirus kann sein Unwesen natrlich nur ungestrt treiben, wenn es 
  ihm   gelingt,   sich   vor  den  Augen  des  Benutzers  zu  verbergen.  Auf 
  Grorechenanlagen  kann  man  Viren  leicht im Arbeitsspeicher verbergen, da 
  diese Anlagen Tag und Nacht in Betrieb sind.

  Da  die wenigsten ST-User ihr Gert 24 Stunden tglich eingeschaltet lassen, 
  ist  der einzige Platz, an dem Viren berleben knnen, um sich bei gnstiger 
  Gelegenheit  zu  verbreiten,  der Massenspeicher. Das ist in aller Regel die 
  Diskette  (bzw. Festplatte). Dort knnen sie die stromlose Zeit des Rechners 
  berdauern und sich bei Inbetriebnahme des Systems wieder im Arbeitsspeicher 
  einnisten.  Dazu mssen sie sich auf dem Massenspeicher so unterbringen, da 
  auch  ein aufmerksamer Benutzer sie nicht erkennt. Die erneute Installierung 
  im   Arbeitsspeicher   darf   dabei   den   normalen   Arbeitsvorgang  nicht 
  beeinflussen, um ihre ihre Anwesenheit nicht zu verraten.

  Bercksichtigt   man   diese   Vorgaben,   dann  gibt  es  prinzipiell  zwei 
  Mglichkeiten fr Computerviren, sich im ST breitzumachen:


    a)            Bootsektorviren

  Man  sollte  zunchst  wissen,  was beim Einschalten des Rechners (bzw. beim 
  Reset)  passiert:  Das Betriebssystem liest den Bootsektor, das ist generell 
  der erste Sektor auf Track 0 / Seite 0, der in Laufwerk A liegenden Diskette 
  und prft ob er ausfhrbar ist. Ausfhrbar heit, da die Prfsumme (das ist 
  die  auf  16  Bit reduzierte Summe aller Words im Bootsektor) $1234 betrgt. 
  Ist  das  der  Fall,  dann versucht TOS ein im Bootsektor liegendes Programm 
  auszufhren,  indem  es  mittels  JSR an den Beginn des Bootsektors springt. 
  Sollten   Sie  bei  den  Begriffen  "Bootsektor",  "Track"  u..  schon  mit 
  unwissendem Ausdruck die Stirne gerunzelt haben, dann sollten Sie vielleicht 
  zunchst  ein  Buch  zur Hand nehmen, in dem diese Materie auch fr Anfnger 
  leicht  verdaulich aufbereitet ist. (Zum Beispiel das Buch "Scheibenkleister 
  II"  von C. Brod und A. Stepper aus dem MAXON-Verlag.) Ich werde im weiteren 
  nmlich  davon  ausgehen,  da  Sie mit Ihrem Rechner und mit dem Aufbau von 
  Disketten zumindest in Anstzen vertraut sind.

  Dieses   Vorgehen,   also   das   Abarbeiten  eines  eventuell  ausfhrbaren 
  Bootsektorprogramms,   welches   noch   vor   Ausfhrung  der  Programme  im 
  AUTO-ORDNER  und  vor der Installierung der Accessories stattfindet, ist ein 
  Relikt  aus  der  Zeit, als das TOS noch von Diskette ins RAM geladen werden 
  mute (dafr sorgte dann eine Lade-Routine in besagtem Bootsektor).

  Heute,  wo  das  TOS  sich  im  ROM  befindet,  wird  diese  Eigenschaft des 
  Betriebssystems  gelegentlich  genutzt,  um beim Start des Rechners kleinere 
  Programme  automatisch  auszufhren,  z.B.  die Umschaltung auf 60Hz-Betrieb 
  beim  Farbmonitor  oder die Eingabe des aktuellen Datums. Auch einige Spiele 
  starten mit Hilfe einer Lade-Routine im Bootsektor.

  Der   Bootsektor   einer  normalen  Diskette  hat  beispielsweise  folgendes 
  Aussehen:  (Diese  Diskette  wurde  mit  dem Programm HYPERFORMAT Vers. 3.26 
  formatiert.)

  Ich  habe  dabei  die  Bootsektordaten  nur als HEX-Zahlen angegeben, da die 
  entsprechenden ASCII-Zeichen nicht ohne weiteres dargestellt werden knnen.

                1  2  3  4  5  6  7  8  9 10 11 12 13 14 15 16
                |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |
               EB 34 90 49 42 4D 20 20 0F E2 B8 00 02 02 01 00

               17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
                |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |
               02 70 00 A0 05 F9 03 00 09 00 02 00 00 00 00 00

  Anhand  dieses  Beispieleintrags  mchte  ich  erklren,  was  die einzelnen 
  Eintrge im Bootsektor bedeuten:

  -> Bytes 1+2: Branch to bootcode.
  Wenn  der Bootsektor AUSFHRBAR ist, d.h. wenn seine Prfsumme 1234 ist (die 
  "Prfsumme"  ist die auf 16 Bit reduzierte Summe aller Words im Bootsektor), 
  so steht ein Bootprogramm im Bootsektor. Da die nchsten Bytes im Bootsektor 
  jedoch  Daten  zur  Diskettenstruktur  enthalten,  mu  dieser  Datenbereich 
  bersprungen  werden,  weil  das  Bootprogramm  erst HINTER den Daten stehen 
  kann.   Daher  mu  in  den  ersten  beiden  Bytes  ein  68000er  BRA-Befehl 
  (Sprungbefehl)  stehen,  der die Bootsektordaten berspringt. Wenn an dieser 
  Stelle  ein  Eintrag  der  Art  "60  XX" steht, dann befindet sich in diesem 
  Bootsektor  normalerweise  ein Bootprogramm (oder aber ein Virus). Ob dieses 
  allerdings  ausgefhrt  wird,  hngt wie schon gesagt noch von der Prfsumme 
  ab.  Dieser  Sprungbefehl  wird  aber auch gerne als "Immunisierung" auf die 
  Diskette geschrieben, ohne da ein Bootprogramm vorhanden wre. Was es damit 
  auf  sich  hat,  erfahren  Sie  weiter  unten. Auf MS-DOS Disketten steht an 
  dieser Stelle meistens $EB34 gefolgt von $90 im 3. Byte; manche Kopier- bzw. 
  Formatierprogramme  auf  dem  ST  schreiben  diese  Bytes  aus  Grnden  der 
  Kompatibilitt  mit  MS-DOS-Disketten ebenfalls an diese Stelle. So auch das 
  Programm HYPERFORMAT. Doch auch dazu unten mehr.

  -> Bytes 3-8: Filler(OEM).
  An  dieser Stelle steht nichts von Bedeutung. Die meisten Formatierprogramme 
  legen  an  dieser  Stelle  irgend  eine  Kennung  ab, die jedoch nie vom TOS 
  beachtet   wird.   Hufig  findet  man  die  Zeichenkette  "Loader".  Unsere 
  Beispieldiskette  hat  an  dieser  Stelle nach dem Byte $90 (siehe oben) die 
  Kennung  "IBM"  gefolgt  von  zwei Spaces stehen, auch eine Anlehnung an das 
  MS-DOS Format.

  -> Bytes 9-11: 24-bit serial number.
  An  dieser Stelle steht eine 24-Bit Seriennummer. Diese wird von den meisten 
  Formatierprogrammen  sinnvollerweise  zufllig  gewhlt, da die Seriennummer 
  dazu herhalten mu, das TOS auf einen Diskettenwechsel aufmerksam zu machen.

  -> Bytes 12+13: Byte per sector.
  Dieser  Eintrag  gibt  an,  wieviel Bytes in einem Sektor der Disk enthalten 
  sind.  Normalerweise  sind  das 512, aber prinzipiell sind auch andere Werte 
  mglich  (der  Floppycontroller  lt  noch  128,  256  und 1024 zu). Dieser 
  Eintrag  ist  im INTEL-Format gehalten. Das heit, da das hherwertige Byte 
  erst  als  zweites angegeben ist. Um einen solchen Eintrag zu lesen, mu man 
  also  die  Bytes  vertauschen. In unseren Beispiel: 00 02 vertauscht gibt 02 
  00.  Und  $200  ist  genau 512 dezimal. Diese Schreibweise ist ebenfalls aus 
  Grnden  der  Kompatibilitt  zu  MS-DOS  gewhlt worden. DER BOOTSEKTOR IST 
  BRIGENS IMMER 512 BYTE LANG!!!

  -> Byte 14: Sectors per cluster.
  Anzahl der Sektoren pro Cluster (INTEL-Format). Die Diskettensektoren werden 
  vom Atari intern zu CLUSTERN (Verwaltungseinheiten) zusammengefat. Und zwar 
  im  Allgemeinen  je  zwei  Sektoren  zu  einem  Cluster.  Das Betriebssystem 
  verteilt  den  Diskettenplatz  nur  in einzelnen Clustern. Jede Datei - auch 
  wenn  Sie nur 1 Byte lang ist - belegt also mindestens einen Cluster auf der 
  Diskette.

  -> Bytes 15+16: Reserved sectors.
  Reservierte  Sektoren auf der Disk (INTEL-Format). Beim ST gibt es nur einen 
  reservierten Sektor, nmlich den Bootsektor.

  -> Byte 17: Number of FAT.
  Das TOS verwendet normalerweise zwei FATs auf einer Diskette. Sozusagen eine 
  "Sicherheitskopie",  was  aber wenig ntzt, da beide FATs meistens auf einer 
  Spur  liegen  und  daher  auch  zumeist  gleichzeitig den Sprung ins Nirwana 
  antreten.  In der FAT wird notiert, welche Cluster in welcher Reihenfolge zu 
  welcher Datei gehren. Wenn ein Virus diese FATs lscht, dann wird die Suche 
  der  zu einer Datei gehrenden Sektoren hnlich amsant, wie die berchtigte 
  Suche nach der Nadel im Heuhaufen.

  -> Bytes 18+19: Number of directory entries.
  In  diesem  Word  (wieder  im  INTEL-Format)  steht  die maximale Anzahl der 
  Eintrge   im  Wurzelverzeichnis.  Das  TOS  rundet  diese  Anzahl  auf  die 
  nchstkleinere  durch  16 ohne Rest teilbare Zahl ab. Die hier stehende Zahl 
  kann  also falsch sein; insbesondere frhere HYPERFORMAT-Versionen schrieben 
  gerne  "63",  obwohl der Platz nur fr 48 ausreicht. Unsere Beispieldiskette 
  hat  Platz  fr  $0070  =  112  Eintrge  (der  normale Wert). Ordner knnen 
  natrlich  weit  mehr  Dateien  enthalten,  dieser  Wert  gilt  NUR  fr das 
  Hauptdirectory.

  -> Bytes 20+21: Sectors per Disc.
  Hier steht die Gesamtzahl der physikalisch vorhandenen Sektoren auf der Disk 
  (einschlielich  der  reservierten).  Die  Beispieldiskette hat $05A0 = 1440 
  Sektoren.  Eine  normale, mit dem Desktop formatierte Disk hat 720 oder 1440 
  Sektoren, je nachdem ob sie einseitig oder doppelseitig ist.

  -> Byte 22: Media descriptor.
  Soll  das  Speichermedium nher beschreiben. Dieser Eintrag wird vom TOS nie 
  benutzt  und  ist  nur vorhanden, um die Kompatibilitt zu MS-DOS zu wahren. 
  Dabei  heit  $F8 einseitig/80 Tracks; $F9 heit doppelseitig/80 Tracks; $FC 
  heit  einseitig/40  Tracks  und FD heit doppelseitig/40 Tracks. Obwohl das 
  TOS  diesen Eintrag nicht verwendet, legen die aktuellen TOS-Versionen - und 
  auch  viele  Formatierprogramme - diesen Wert ordnungsgem an, da ansonsten 
  die Diskette auf vielen MS-DOS kompatiblen PCs nicht gelesen werden kann.

  -> Bytes 23+24: Sectors per FAT.
  Hier  steht  die  Anzahl der Sektoren pro FAT. Bei der Beispieldisk sind das 
  drei  Sektoren  (die  normale FAT-Lnge bei ATARI-Disks ist 5 Sektoren). Wie 
  man Byte 17 schon entnehmen konnte, befinden sich zwei FATs auf der Disk, so 
  da  normalerweise  insgesamt  10  Sektoren  fr  die FATs verbraten werden, 
  obwohl  sechs  ausreichend sind. Einige Formatierprogramme (wie zum Beispiel 
  HYPERFORMAT) krzen die FATs deshalb auch um je zwei Sektoren.

  -> Bytes 25+26: Sectors per Track.
  Die  Anzahl  der  Sektoren  pro  Spur.  Normalerweise,  wie  auch in unserem 
  Beispiel  neun  Stck.  Jeder  Sektor  mehr pro Track bringt ca. 80 Kilobyte 
  Speicherplatz  zustzlich auf der Diskette. Statt der normalerweise blichen 
  9  Sektoren  lassen sich auch problemlos 10 Stck unterbringen, da die Lcke 
  zwischen   Sektor   9   und   Sektor   1   gro   genug   ist.  Die  meisten 
  Formatierprogramme  bieten  diese  Mglichkeit.  Einige bringen mit ein paar 
  "Tricks" auch 11 unter.

  -> Bytes 27+28: Number of sides.
  Die  Anzahl  der  Diskettenseiten. Im Beispiel zwei; sollten Sie mehr Seiten 
  formatieren  knnen,  dann schicken Sie mir doch mal eine derartige Diskette 
  fr mein Gruselkabinett.

  -> Byte 29+30: Hidden sectors.
  Die Anzahl der verborgenen Sektoren auf der Disk. Wird vom TOS nicht benutzt 
  und  drfte  daher  auch  nur aus Kompatibilittsgrnden vorhanden sein. Der 
  Eintrag ist bei ST-Disketten immer 0.

  Alle  weiteren  Bytes  im  Bootsektor gehren zu einem eventuell vorhandenen 
  Bootprogramm  und  sollen  hier  nicht  weiter  errtert  werden.  Falls Ihr 
  Interesse  geweckt  wurde,  dann  sollten  Sie sich ein Buch zu diesem Thema 
  zulegen.

  ACHTUNG: Fr Festplattenbesitzer ist wichtig zu wissen, da beim Einschalten 
  des  Systems  (Kaltstart) zunchst in jedem Fall der Bootsektor der Diskette 
  in  Laufwerk A gelesen und gegebenenfalls ausgefhrt wird. Das gilt auch bei 
  Auto-Boot-fhigen  Platten.  Auch  bei jedem nachfolgenden Reset (Warmstart) 
  wird  als erstes auf den Bootsektor der Diskette zugegriffen. (Diese Aussage 
  ist  lediglich fr die alten TOS-Versionen 1.00 und 1.02 nicht richtig, hier 
  wird   nach  einem  Warmstart  der  Bootsektor  nicht  erneut  gelesen  bzw. 
  ausgefhrt!)

  Naturgem  ist  die Lnge solcher Bootprogramme beschrnkt (auf maximal 480 
  Bytes),  da  von  dem  512  Byte  langen Bootsektor noch 32 Bytes fr andere 
  Aufgaben   (die   oben   genannten  Diskettenstrukturinformationen  und  das 
  Prfsummen-Ausgleichswort)   reserviert   sind.   480  Bytes  sind  fr  ein 
  Virusprogramm  (selbstverstndlich  in  Assembler  programmiert) aber vllig 
  ausreichend. Viele Bootsektorviren bringen es auf kaum mehr als 200 Bytes.

  Versteckt  sich  der  Virus  auf  dem  Bootsektor  der  Diskette, wo er ohne 
  Hilfsmittel  nicht  zu erkennen ist, so wird er bei jedem Bootvorgang in den 
  Arbeitspeicher  geladen  (ohne  das  der  Benutzer  etwas  davon  merkt) und 
  reserviert  sich  dort  ein  Pltzchen.  Der  Bootvorgang wird dadurch nicht 
  merkbar  verlangsamt, der Anwender merkt von diesem Vorgang wirklich nichts! 
  Dann versucht er sich auf jede erreichbare Diskette zu kopieren, die man ins 
  Laufwerk  legt.  Auf  diese  Weise  hat  man  nach  relativ kurzer Zeit alle 
  Disketten  verseucht.  Wenn der Virus dann seinen Hauptteil startet, hat man 
  ihn meistens auch schon durch Diskettentausch an Bekannte weitergegeben, die 
  ihn ihrerseits ebenfalls ungewollt weiterverbreitet haben.

  Dieser   Schneeballeffekt  kann  nur  durch  konsequente  Anwendung  einiger 
  Vorsichtsmaregeln  gestoppt  werden,  auf  die ich im weiteren Verlauf noch 
  eingehen werde.

  Es  gibt  auch eine Mglichkeit, einen Bootsektorvirus im Arbeitsspeicher zu 
  installieren, OHNE da der Bootsektor ausfhrbar sein mu! Wie das geschieht 
  erfahren  Sie  weiter  unten  im  Text.  Hier  sei  nur  angemerkt,  da der 
  VIRENDETEKTOR  (ab Version 2.9e) auch solche Viren zuverlssig erkennt - und 
  zwar auch dann, wenn es sich um einen neuen, bisher unbekannten Virus dieser 
  Art  handelt!  Leider  sind  viele Virenkiller immer noch der Ansicht, nicht 
  ausfhrbare Bootsektoren seien prinzipiell unverdchtig.

  brigens  bleiben  viele  Viren auch nach einem Reset im Arbeitsspeicher des 
  Rechners.  Man sollte den Rechner fr mindestens 15 Sekunden ausschalten, um 
  sicher  zu  sein,  da sich kein Virus mehr im Speicher befindet. Ein kurzes 
  Aus-An  des  des  Rechners  reicht oft nicht, da die RAMs auch im stromlosen 
  Zustand noch ein kurzzeitiges Erinnerungsvermgen haben.


    b)            "Tarnkappen"-Viren

  Virenprogrammierer  sind  -  so  bedauerlich  dies  auch sein mag - wirklich 
  findige  Kpfe. Viele User sind inzwischen dazu bergegangen, ihre Disketten 
  zu  "immunisieren".  Was man darunter im einzelnen versteht, wird in Kapitel 
  VII.  genau  erlutert, hier soll nur soviel gesagt werden, da eine Art der 
  Immunisierung  darin  besteht,  beim Booten mit einer derartig immunisierten 
  Diskette  einen  Text auf den Bildschirm auszugeben, der ausbleibt, wenn der 
  Bootsektor von einem Virus befallen ist.

  Viele  Anwender,  die  Ihre  Disketten  mit  einem Immunisierungs-Bootsektor 
  versehen  hatten,  fhlten  sich lange Zeit sicher, denn gleichgltig welche 
  Diskette bei einem Reset im Laufwerk lag - solange die Immunisierungsmeldung 
  erschien,  war  ja alles in Ordnung. Diesen Umstand machen sich seit einiger 
  Zeit  auch  die  Virenprogrammierer  zunutze!  Ein  Virus,  der  einfach die 
  entsprechende  Immunisierungsmeldung  eines  Virenkillers  ausgibt, wird vom 
  Benutzer   mglicherweise   fr  einen  harmlosen  Immunisierungs-Bootsektor 
  gehalten.  Wenn  der Virus dann seinen bsartigen Absichten nachgeht, ist es 
  oftmals schon zu spt.

  Solche  "Tarnkappen"-Viren  gibt es inzwischen sowohl fr das ANTI-VIREN-KIT 
  von  G-DATA,  als  auch  fr  das Programm SAGROTAN. Beide Viren sind in der 
  Bootphase  nicht von den "echten" Immunisierungen zu unterscheiden. Der WOLF 
  Virus,  der  die  SAGROTAN-Meldung ("Kein Virus im Bootsektor") kopiert, ist 
  sogar  so  geschickt  codiert, da viele Virenkiller ihn fr einen harmlosen 
  Bootsektor   halten.   Auch   SAGROTAN   selbst   meldet   in   der  letzten 
  verffentlichten   Version   4.17   bei   diesem   Virus   einen  harmlosen, 
  MS-DOS-kompatiblen Bootsektor! Der Virus geht darber hinaus sehr sorgfltig 
  vor,  nach drei neuen Infizierungen verschwindet er wieder aus dem Speicher. 
  Sein eigentliches Ziel, die schrittweise Verkleinerung des Arbeitsspeichers, 
  nimmt  er  erst  in  Angriff,  nachdem er sich ausreichend oft vermehrt hat. 
  Angst um die RAM-Bausteine braucht nun aber niemand zu haben, der Virus kann 
  dem  Rechner  den  verringerten Speicher natrlich nur vortuschen. Nach der 
  Beseitigung  des  unerwnschten  Eindringlings  ist  auch  das  vermeintlich 
  verschwundene RAM wieder da.

  Keine  Frage,  da  Sie  mit  dem  VIRENDETEKTOR  auch  solche  Viren sicher 
  aufspren knnen.

  Vielleicht  fragt  sich  der  eine oder andere, wann fr die Immunisierungs- 
  meldung  des  VIRENDETEKTORS  ein  entsprechender  Virus  auftaucht, der die 
  Immunisierung kopiert, die vom VIRENDETEKTOR auf Wunsch erzeugt wird. Dieses 
  Problem  ist  letztlich  nie auszuschlieen, da der VIRENDETEKTOR inzwischen 
  mit  Abstand  der beliebteste Virenkiller fr den ST/TT im deutschsprachigen 
  Raum  ist, wre ein solches Mimikry fr einen Virenprogrammierer sicher eine 
  "lohnende" Sache.

  Dem   stehen   aber   zum   Glck  zwei  Dinge  entgegen:  Erstens  ist  die 
  Immunisierungsmeldung  des  VIRENDETEKTORS  so  lang, da im Bootsektor kein 
  Platz  fr  den  Virencode  brigbleibt.  Dadurch  mte  ein  solcher Virus 
  wesentlich  komplexer  aufgebaut sein, denn der Immunisierungstext mte aus 
  einem  weiteren  Sektor  nachgeladen werden. Zweitens wird der VIRENDETEKTOR 
  mit  Sicherheit  jeden  Virus,  der  diese Meldung kopiert, sofort mit Hilfe 
  seiner Analyseroutine erkennen.

  Fazit:   Wenn   Sie   eine   Diskette   bekommen,   die   beim   Booten  die 
  VIRENDETEKTOR-Immunisierung  meldet,  dann  sollten  Sie  sich  darauf nicht 
  verlassen,  sondern  vorsichtshalber die Diskette - wie jede neue Diskette - 
  mit  dem  VIRENDETEKTOR  berprfen.  Erst  dann ist auch der letzte Rest an 
  Unsicherheit  beseitigt. Wie gesagt, ein solcher Virus existiert - zumindest 
  zur  Zeit  - noch nicht, weil er nicht ganz so simpel zu erstellen wre, wie 
  die Masse der "0815"-Viren. Dennoch ist es prinzipiell nicht auszuschlieen, 
  da  sich  jemand an einem solchen Exemplar versucht. Die Virenerkennung des 
  VIRENDETEKTORS wird damit aber niemals berlistet werden knnen.


    c)            Linkviren

  Es gibt noch einen zweiten etwas anders arbeitenden Virentyp:

  Sogenannte  "Linkviren"  sind  Virenprogramme,  die sich an andere Programme 
  oder   Dateien  anhngen  und  dann  den  Zeiger  der  Einsprungadresse  des 
  befallenen   Programms   so   verndern,  da  dieser  auf  den  Anfang  der 
  Virusroutine zeigt.

  Der  Virus  wird dann aktiviert, sobald man das infizierte Programm startet. 
  Sodann  versucht  der  Replikationsteil des Virus alle erreichbaren und noch 
  nicht  infizierten  Programme  ebenfalls  mit dem Virus zu versehen. Bei den 
  meisten  Linkviren - z.B. dem Milzbrand Virus - wird pro Programmstart eines 
  verseuchten Programms nur EIN weiteres Programm infiziert.

  Vielleicht  fragen  Sie  sich,  warum  sich  der  Virus nicht gleich in alle 
  Programme   kopiert,  die  er  auf  der  Diskette  oder  RAM-Disk/Festplatte 
  erreichen  kann?  Der Grund fr diese freundliche Zurckhaltung liegt in der 
  Zeit,   die   der  Linkvirus  fr  die  Infizierung  bentigt.  Whrend  ein 
  Bootsektorvirus lediglich einen Sektor auf der Diskette manipulieren mu, um 
  sich  zu  verbreiten,  hat es ein Linkvirus weitaus schwerer. Er mu relativ 
  umfangreiche  nderungen  an  der  Struktur  der  zu infizierenden Programme 
  vornehmen.  Zudem  mu  er  die  mglichen Opfer, also noch nicht infizierte 
  Programmfiles,  erst  einmal  finden.  Damit  sind auch relativ umfangreiche 
  Massenspeicherzugriffe notwendig. Um nicht aufzufallen, schlielich darf der 
  Start  eines  verseuchten  Programms  nicht wesentlich lnger dauern als vor 
  seiner  Infizierung,  bleibt  nur  Zeit fr eine weitere Infizierung. Dieses 
  Verhalten ist der eine Grund fr die langsamere Verbreitung von Linkviren im 
  Gegensatz zu den Kollegen aus dem Bootsektor.

  Ein  zweiter  Faktor,  der die Ausbreitung von Linkviren behindert, liegt im 
  Zeitpunkt  der  Infizierung:  Da  die  weitere Infizierung zumindest bei den 
  nicht  speicherresidenten  Linkviren  gleich  beim Starten eines verseuchten 
  Programms  erfolgt, knnen neben den Programmen auf der Festplatte und einer 
  eventuell  vorhandenen  RAM-Disk nur die Programme auf den zu dieser Zeit in 
  Laufwerk  A  oder  B  liegenden Disketten befallen werden. Das erschwert die 
  Ausbreitung eines Virus auf Systemen, die nur ber ein Diskettenlaufwerk und 
  keine  Festplatte  verfgen.  Der  Virus  kann  nur  die  Programme  auf der 
  Diskette,  von  der  das  verseuchte  Programm  gestartet  wurde, erreichen. 
  Allerdings  stellt  auch  auf solchen Systemen die RAM-Disk einen geeigneten 
  bertragungsweg da.

  Derartige Viren sind also besonders fr Festplattenbesitzer gefhrlich, weil 
  sie   sich   dann  auf  Dauer  fast  genauso  lawinenartig  verbreiten,  wie 
  Bootsektorviren.

  ACHTUNG:  Es  gibt  auch  Linkviren, die sich (wie ihre Bootsektor-Kollegen) 
  resident  im  Arbeitsspeicher  einnisten  und von dort aus jedes erreichbare 
  Programm  infizieren.  "Jedes  erreichbare  Programm" heit dabei, da jedes 
  Programm  infiziert  werden  kann,  das  von  einem nicht schreibgeschtzten 
  Medium  gestartet  wird,  whrend  der  Virus  im  Speicher  ist. Obwohl die 
  Mehrzahl   der   Linkviren   nicht   nach  diesem,  sondern  nach  dem  oben 
  beschriebenen   Schema   arbeiten,  sind  die  speicherresidenten  Linkviren 
  besonders  gefhrlich, da ihre Verbreitungsgeschwindigkeit wesentlich grer 
  ist!

  Natrlich  sind  von  Linkviren befallene Programme pltzlich lnger als vor 
  der  Infizierung;  einige  Viren  befallen  deshalb  nur Programme, die eine 
  bestimmte Mindestlnge haben, um so weniger schnell aufzufallen. Einige VCS- 
  Viren  arbeiten  beispielsweise  so. Auch der Milzbrand Virus lt Programme 
  unter 10 Kilobyte Lnge unbehelligt.

  Auch der Start eines befallenen Programms bentigt pltzlich mehr Zeit. Aber 
  wer merkt schon, ob die Textverarbeitung statt nach 12 Sekunden erst nach 16 
  Sekunden geladen ist.

  Es  gibt  auch  Virusprogramme,  die  zu  keiner Vergrerung der befallenen 
  Programme  fhren! Im einfachsten Fall berschreibt der Virus einen Teil des 
  infizierten  Programms  mit  dem  Virusprogramm. Das infizierte Programm hat 
  seine  Lnge  dann  natrlich  nicht  verndert, es ist aber auch nicht mehr 
  vollstndig  vorhanden,  so  da es beim Start normalerweise abstrzen wird. 
  Sehr  groe  Programme knnen aber in wesentlichen Bereichen auch nach einer 
  Infektion   durch   einen   berschreibenden   Virus   noch   funktionieren. 
  Geschicktere  Viren  lagern  einen  Teil  des infizierten Programms in einen 
  unbenutzten Massenspeicher-Bereich aus und laden ihn spter nach. Auf dem ST 
  kmen  dafr  z.  B. der Track 80 und 81 in Frage. Der Virus macht sich also 
  durch  einen  zustzlichen  Disketten/Festplattenzugriff  bei  Aufruf  einen 
  Programmes  bemerkbar.  Auch  dadurch verlngert sich das Programm natrlich 
  nicht. Ein Virus mit einer derartigen Arbeitsweise ist allerdings auf dem ST 
  (noch) nicht bekannt.

  Noch  geschickter ist es, wenn der Virus einen Teil des befallenen Programms 
  komprimiert,  um so fr sich selbst Platz zu schaffen. Beim Starten wird der 
  entsprechende  Programmteil  dann  wieder entkomprimiert. Auch solche Viren, 
  auf MS-DOS-Rechnern bereits im Umlauf, haben den ST bisher verschont.

  Viren  knnen  sich  im Prinzip berall dahin schreiben, wo die Hardware ein 
  Ablegen  von  Daten  erlaubt.  Also hauptschlich in RAM und Massenspeicher. 
  Ungefhrdet   sind   dagegen   ROM,   EPROM,   CPU,   Monitor  und  hnliche 
  Hardware-Erweiterungen (nicht jedoch deren Treibersoftware!!!).

  Die  batteriegepufferte  Uhr im ST kann einem Virus nicht als Aufenthaltsort 
  dienen,  da  dort  zum  einen  nicht  einmal 128 Byte Speicher zur Verfgung 
  stehen  und  zum  anderen  keine  Mglichkeit  existiert,  mit  der sich ein 
  Programm  aus  dem  RAM  des  Uhrchips  wieder im Hauptspeicher installieren 
  knnte. Wer glaubt, es gehe doch und absolut sicher gehen will, der entfernt 
  die Batterien fr etwa 20 Sekunden und setzt sie dann wieder ein.


    d)            Linkviren in gepackten Programmen

  "Was sind gepackte Programme", werden vermutlich einige Leser wissen wollen. 
  "Packen" bedeutet in diesem Zusammenhang "komprimieren". Seit langem bekannt 
  sind  die  Standardpacker ARC, LHARC, ZIP, ZOO und andere. Diese archivieren 
  beliebige  Files  in  eine  einzige  komprimierte  Datei.  Besonders fr die 
  Datenbertragung mittels Modem und Telefonleitung ist diese Methode beliebt, 
  da  eine Komprimierung hier Zeit und damit Geld spart. Aber auch fr Backups 
  oder  hnliches  sind  solche  Programme  zu  gebrauchen. Ihr Nachteil liegt 
  darin,  da  mit diesen gepackten Dateien nicht gearbeitet werden kann. Wenn 
  man  sie  braucht,  mssen  sie  zunchst  wieder  entpackt  werden. Fr die 
  tgliche Arbeit ist dieses Verfahren also nicht zu gebrauchen.

  Einige  Programmierer  haben  sich  nun  berlegt,  wie  man diesen Nachteil 
  umgehen   knnte.   Sie   entwickelten   Programme  wie  PFX-PAK,  ICE-PACK, 
  TURBO-PACKER+  oder PACK2. Was diese Programme machen? - Ganz einfach: Diese 
  Programme  erstellen aus einem Programm ein gepacktes Programm, welches aber 
  nach  wie  vor  ausfhrbar  bleibt  und  sich  beim  Programmstart  zunchst 
  blitzschnell  selbst entpackt! Der Vorteil liegt auf der Hand, die Programme 
  belegen nur noch 50-60% des Speicherplatzes auf der Diskette oder Festplatte 
  und werden zudem von Diskette schneller gestartet, da der Zeitbedarf fr das 
  Entpacken  durch  die  verkrzte  Ladezeit  mehr  als  wettgemacht wird. Der 
  geringfgig  erhhte  Zeitbedarf  fr das Laden von Festplatte oder RAM-Disk 
  wird angesichts des eingesparten Platzbedarfs in Kauf genommen.

  Ich mchte an dieser Stelle einen hufig vorkommenden Irrtum klarstellen: Es 
  besteht  anscheinend  die  weit  verbreitete  Annahme,  da  ein  Packen von 
  Programmfiles  einen  zustzlichen  Schutz vor Linkviren darstellt. Dies ist 
  aber nicht der Fall.

  Auch  wenn  das Packen von Programmen einige Vorteile bietet, ein Schutz vor 
  Linkviren  ist dadurch NICHT gegeben. Zwar kann das gepackte Programm selbst 
  nicht  mehr  befallen werden, aber statt dessen ist die Entpack-Routine, die 
  ja  bei  jedem  Programmstart  ausgefhrt  wird,  nun  Ziel  des  Virus. Die 
  Ausbreitung von Linkviren wird also weder verhindert noch verlangsamt!

  Richtig   gefhrlich   wird   es,   wenn  ein  bereits  befallenes  Programm 
  nachtrglich  gepackt wird. Entweder, weil der Befall nicht bekannt ist oder 
  weil  jemand auf diese Weise Viren "unter die Leute" bringen will. Letzteres 
  ist  tatschlich  ein  ernstes  Problem!  Auf diese Weise gepackte Programme 
  werden  nmlich  beim  Starten fr den Benutzer unbemerkt im Arbeitsspeicher 
  entpackt.  Wird  ein mit einem Linkvirus befallenes Programm nach dem Befall 
  mit  einem  dieser  Packer eingepackt, so erkennt keines der bislang auf dem 
  Markt  befindlichen  Virenkillerprogramme diesen Linkvirus, da dann auch der 
  Virencode  in  gepackter  Form  auf  dem  Massenspeicher  vorliegt  und  der 
  Virenkiller  nicht  mehr in der Lage ist, solche Virencodeteile zu erkennen, 
  obwohl  der  Virus beim Starten eines gepackten Programms nach wie vor aktiv 
  wird.

  Leider  haben  einige  "Spavgel"  diese Art der Virenverteilung inzwischen 
  entdeckt.  Sie  sollten  also  solche  Programme  vor  dem berprfen wieder 
  entpacken.  Da  der  Anwender  bei  einem neuen Programm i.a. nicht erkennen 
  kann, ob es gepackt vorliegt, meldet der VIRENDETEKTOR seit der Version 3.1, 
  ob  ein  Programm  gepackt  vorliegt  und mit welchem Packer es ggf. gepackt 
  wurde.  Der  VIRENDETEKTOR erkennt in der aktuellen Version folgende Packer: 
  PFX-PAK,  Turbo-Packer+,  ICE-Pack, DCSquish, BA-Packer, PACK 2.0, JAM-Pack, 
  Automation  Compacter  und  CRUNCHER.TTP. In Deutschland ist der PFX-PAK von 
  Thomas  Quester  das  beliebteste  und  am hufigsten verwendendete Programm 
  dieser Art, nicht zuletzt weil es als SHAREWARE-Programm sehr preiswert ist.

  Fr  den  im  deutschsprachigen  Raum  am strksten verbreiteten Packer (den 
  PFX-PAK)  sollte  der  VIRENDETEKTOR  sogar  die  Mglichkeit  vorsehen, ein 
  gepacktes   Programm  zu  entpacken  und  in  seiner  ausgepackten  Form  zu 
  berprfen.  Diese Mglichkeit war in der Beta-Version auch schon eingebaut, 
  ich  mute sie allerdings kurzfristig wieder ausbauen, da es gelegentlich zu 
  unerklrlichen  Abstrzen  kam, die nicht eindeutig reproduzierbar waren und 
  deren Ursache ich nicht klren konnte. Bis zur Version 3.2 wird diese Option 
  mit  Sicherheit  realisiert  werden.  Da  der Entpackvorgang im RAM abluft, 
  fhrt  dieser  zustzliche  Prfvorgang  (der abschaltbar ist) kaum zu einer 
  Verlangsamung  der  berprfung.  Auch  fr  den  ICE-PACK  (der z.B. in den 
  Niederlanden  und  in  GB  weit  verbreitet  ist) ist eine solche Prfung im 
  ungepackten Zustand in Vorbereitung.

  Fr  die  anderen  Packer  (die  aber  zusammen weniger als 20 % Marktanteil 
  haben)  besteht  leider auch nach dem nchsten Update noch keine Mglichkeit 
  des  automatischen Entpackens durch den VIRENDETEKTOR. Hier mu der Benutzer 
  diese  Programme  manuell entpacken und dann erneut berprfen. Da sechs der 
  oben  genannten acht Packer PD/Freeware/Shareware sind, ist es kein Problem, 
  sich  diese  Packer zu besorgen. Sollten Sie diese Packer nicht besitzen und 
  keine   anderweitige   Bezugsquelle   haben,   dann   sollten  Sie  bei  der 
  Registrierung  die  drei  Utility-Disketten  gegen einen Unkostenbeitrag von 
  10,-  DM  mitbestellen.  Auf  einer dieser Diskette finden Sie die genannten 
  Packer,  so  da  Sie  verdchtige  Programme  vor  der  berprfung  selbst 
  entpacken  knnen. Davon abgesehen werden Sie feststellen, da einige dieser 
  Packer  sehr  ntzliche  Werkzeuge  sind,  wenn  es  darum  geht,  Platz auf 
  Disketten  oder auf der Festplatte zu sparen. Fr ATARI-User ohne Festplatte 
  kommt  hinzu,  da  gepackte  Programme  von  Diskette  wesentlich schneller 
  gestartet werden knnen.

  Die  Erstellung  der  CRC-Prfsumme  hilft natrlich auch bei der Bekmpfung 
  solcher Viren.


    e)            Viren in CPX-Modulen

  Keine  Panik! Hier werden Sie nichts von "CPX-Viren" lesen, denn diese Viren 
  gibt  es  zum  Glck noch nicht. Falls Sie beim Lesen des letzten Satzes nur 
  verstndnislos  mit  dem  Kopf  geschttelt haben, dann lassen Sie sich kurz 
  erlutern, was ein CPX-Modul ist:

  Das  neue,  modulare  Kontrollfeld XCONTROL von Atari ist ein Accessory, das 
  sogenannte  "CPX-Module" nachladen kann. Diese CPX-Module sind wiederum eine 
  Art  Accessory  und  dienen i.a. zu Konfigurationszwecken. Ein solches Modul 
  besteht   aus   einem   512   Byte   langen   Header   und   einer  normalen 
  GEMDOS-Programmdatei.

  Die  bekannten  Linkviren  knnen solche CPX-Module nicht infizieren. Es ist 
  aber  durchaus mglich, da in Zukunft auch Linkviren auftauchen, die solche 
  CPX-Module  infizieren.  Daher  werden  ab  Version  3.1c  diese  CPX-Module 
  ebenfalls in die CRC-Prfung (sofern eingeschaltet) einbezogen.


    f)            Neue, bisher unbekannte Linkviren

  Der  beste  Schutz  vor  unbekannten Linkviren ist ein stndiges Updaten des 
  VIRENDETEKTORS.  Es  erbrigt sich darauf hinzuweisen, da die Versionen aus 
  den diversen PD-Serien _nicht_ aktuell sein knnen. Bis eine neue Version in 
  eine  PD-Serie  kommt,  vergehen 6-8 Wochen. Dazu kommt noch, da ein groer 
  Teil  der  PD-Versender  die Programme nicht updaten, so da ber diesen Weg 
  oft uralte Versionen im Umlauf sind. Wer registrierter Anwender ist, bekommt 
  natrlich   umgehend   die   aktuellen  Programmversionen,  die  stndig  an 
  eventuelle neue Linkviren angepat werden.

  Glcklicherweise hlt sich der Fortgang bei der  Entwicklung neuer Linkviren 
  in  ertrglichen  Grenzen.  Diese sind nicht so leicht zu programmieren, wie 
  die  Kollegen  im Bootsektor und verbreiten sich zudem wesentlich langsamer. 
  Oft  handelt  es  sich  bei  neuen  Linkviren  um  alte  Bekannte,  die  nur 
  geringfgig  manipuliert  wurden. Je nach Umfang und Art dieser Manipulation 
  kann  es  aber durchaus sein, da der VIRENDETEKTOR diesen vernderten Virus 
  nicht  mehr erkennt. Um aber ein weiteres Stck Sicherheit zu bieten, werden 
  alle  berprften  Programme  auf  typische  Hinweise  fr  den Befall durch 
  Linkviren  analysiert.  Ein  erkannter Verdacht wird dann gemeldet. Wenn Sie 
  mir  ein  solches  verdchtiges  Programm zuschicken, kann ich eine genauere 
  Analyse  mittels  eines  Disassemblers  vornehmen,  die diesen Verdacht dann 
  entweder  besttigt  oder  entkrftet.  Die  vom  VIRENDETEKTOR vorgenommene 
  Analyse  kann  aber  unmglich  alle  denkbaren neuen Linkviren finden, eine 
  zustzliche  Verwendung  der  CRC-Prfsummenbildung  ist  in  jedem  Fall zu 
  empfehlen.

  Bei  mehr  als 3.000 testweise berprften Programmen hat sich diese Analyse 
  bislang  bewhrt  und  ist  sehr  sicher  gegen  Fehlalarme.  Dennoch ist es 
  mglich,  da diese Funktion zu einem Fehlalarm fhrt. In der Datei NEWS.TXT 
  finden  Sie  eine  Liste,  in  der  sich  die bisher bekannten unverseuchten 
  Originalprogramme   befinden,  bei  denen  ein  "Virenverdacht"  unbegrndet 
  gemeldet wird.


    g)            Alle Link- und Bootsektorviren im berblick

  Eine  ausfhrliche  Liste mit allen bekannten Link- und Bootsektorviren, die 
  sowohl  Verbreitungsweise  als  auch Wirkung der einzelnen Viren beschreibt, 
  werden  sie  an dieser Stelle nicht finden. Allerdings nicht etwa, weil eine 
  solche  Liste  nicht existiert, sondern weil diese Infos bereits im Programm 
  selbst  integriert  sind.  Unter  dem Menpunkt "Viren-Datenbank" finden Sie 
  genaue Details zu fast 50 verschiedenen Viren.

  Da  diese  Datenbank  nicht  notwendig  ist,  um  whrend  der Testphase die 
  Tauglichkeit  des  VIRENDETEKTORS beurteilen zu knnen, ist dieser Menpunkt 
  in  der  unregistrierten  Version gesperrt. Wenn Sie sich dazu entschlieen, 
  dieses  Programm  regelmig  zu  nutzen  und dann auch den Sharewarebeitrag 
  entrichten,    erhalten    Sie   eine   Diskette   mit   der   vollstndigen 
  Programmversion,  in  der  eine Beschreibung jedes einzelnen Virus zu finden 
  ist.  Dies ist eine kleine Erinnerung daran, da dieses Programm - auch wenn 
  es frei kopiert werden darf - nicht ganz "umsonst" ist.


  III.            Wie beugt man Virenbefall vor?
                  
  Wie  schtzt  man sich vor Viren? Scheinbar wei es fast jeder, das beweisen 
  die  gestiegenen  Verkaufszahlen diverser Virenkiller. Trotzdem ist Vorsicht 
  geboten,  denn  in  den  Programmierern  von  Computerviren  schlummert  ein 
  skrupelloser  Ehrgeiz.  Aus ihrem zerstrerischen Engagement entwickeln sich 
  immer geschicktere Viren, zumal diese Programmierer stndig nach neuen Wegen 
  suchen, um das Heer der Virenkiller zu berlisten.

  Will  man  sich vor ihnen schtzen, so ist es ntzlich, sich zumindest einen 
  berblick   ber   die   verschiedenen   Typen   und   ihre   Arbeits-   und 
  Verbreitungsweise  zu  verschaffen. Wenn Sie diesen Text bis hierher gelesen 
  haben,  dann haben sie die prinzipielle Arbeitsweise von Viren auf dem ST/TT 
  hoffentlich etwas besser kennengelernt.

  Aber  auch bei Computerviren gilt der oft strapazierte Spruch "Vorbeugen ist 
  besser  als  heilen".  (Toll,  wie  sich  immer  neue  Beziehungen  zwischen 
  Informatik und Medizin finden lassen.)

  Mit  "Vorbeugen"  ist  dabei das Befolgen einiger elementarer Regel gemeint, 
  die hier kurz erwhnt werden sollen:

           Die 10 goldenen Regeln zum Schutz vor Virusprogrammen:
           ======================================================

    1. Nie  mit  Originalen  sondern  nur  mit  Sicherheitskopien  arbeiten!
       (Die Unart, Software mit einem Diskettenkopierschutz zu versehen, ist
       zum Glck fast nur noch bei Spiele-Software verbreitet.)

    2. Booten Sie immer mit einer eigenen,  stets  schreibgeschtzten  Disk!
       (Denken  Sie daran, da auch bei autobootfhigen Festplatten zunchst
       der Bootsektor der Diskette in Laufwerk A gelesen wird!)

    3. Aktivieren Sie wenn  mglich  den  Schreibschutz  der  Diskette!  Sie
       sollten  fr  RAM-Disk  und Festplatte gegebenenfalls das beiliegende
       Accessory verwenden.

    4. Bei  fremden Disketten die Harddisk ausschalten und das Zweitlaufwerk
       leer lassen. Nach Beendigung des Programms den Rechner ausschalten!

    5. Wenn  mglich zwischen Programm- und  Daten-Disketten  unterscheiden,
       erstere stets schreibschtzen!

    6. Auf Raubkopien verzichten! (Naja, das sollte wohl  selbstverstndlich
       sein...)

    7. Ein Reset ist kein sicherer Schutz vor Viren im RAM, nur  AUSSCHALTEN
       (mind. 15 Sekunden) beseitigt auch resetfeste Viren!

    8. Neue Software zunchst mit  dem  VIRENDETEKTOR  berprfen!  (Mehrere
       PD-Versender,  aber  auch  bekannte  Firmen haben schon versehentlich
       verseuchte Disketten ausgeliefert!)

    9. Den VIRENDETEKTOR regelmig updaten lassen, damit Sie immer mit  der
       neusten Version, die regelmig an die aktuelle Virenentwicklung  an-
       gepasst wird, arbeiten! Virenprogrammierer kommen  stndig  auf  neue
       Ideen,  wie zum Beispiel  die  Entwicklung  von  Bootsektorviren  auf
       NICHT ausfhrbaren  Bootsektoren  gezeigt  hat.  Bei  keiner  anderen
       Programmsparte sind regelmige Updates so wichtig,  wie  bei  Viren-
       killern! Bedenken Sie, da die Versionen, die auf den  Disketten  von
       PD-Versendern erscheinen, NIE den aktuellen Stand des  VIRENDETEKTORS
       widerspiegeln - und damit zumeist auch nicht den aktuellen Stand  der
       Virenentwicklung!  Wie  Sie  registrierter  Benutzer  werden  und  so
       regelmig in den Besitz der neusten Version gelangen,  erfahren  Sie
       am Schlu dieses Textes.

   10. Wenn sich doch ein Virus bei Ihnen  eingeschlichen  hat,  informieren
       Sie alle, an die Sie den Virus eventuell weitergegeben haben knnten;
       kopieren  Sie  Ihnen  den   VIRENDETEKTOR   (natrlich  nur die   un-
       registrierte Version im kompletten Ordner) am besten gleich mit!

  Eine  weitere  Art  der  Vorbeugung gegen Bootsektorviren ist die sogenannte 
  "Immunisierung"  von  Bootsektoren.  Darauf  werde  ich  weiter  unten  noch 
  ausfhrlich eingehen.

  Leider  gibt  es  bei  Computerviren  wie  auch  bei  ihren Kollegen aus der 
  Biologie  kein  Allheilmittel.  Selbst  das strenge Befolgen dieser Tips ist 
  keine  Garantie,  da  es  nicht doch irgendwann einmal einem Virus gelingt, 
  Ihre Disketten oder die Festplatte zu infizieren und Schaden anzurichten. So 
  hat   man   beispielsweise   bis  vor  kurzer  Zeit  angenommen,  ein  nicht 
  ausfhrbarer  Bootsektor  sei  in  jedem  Fall  als harmlos einzustufen. Wie 
  inzwischen bekannt ist, war dies eine krasse Fehleinschtzung!

  Diese Tips sind allerdings zum jetzigen Zeitpunkt gegen alle bekannten Viren 
  auf dem ATARI ST ein absolut sicherer Schutz.


  IV.             An welchen Effekten erkennt man Computerviren?
                  

  Ich  habe schon einige prinzipielle Effekte, die von Viren verursacht werden 
  knnen,  in Kapitel I erwhnt. Es gibt aber noch viel bsartigere Viren, sie 
  knnen  teilweise sogar Schden an der Hardware verursachen, indem sie z. B. 
  den  Schreib-/Lesekopf  des  Laufwerks/Festplatte laufend gegen den Anschlag 
  bewegen  oder  (bei  IBM-Kompatiblen mit Hercules-Karte) die Graphikkarte so 
  programmieren, da diese irreparablen Schaden nehmen kann.

  Besitzer  von Farbmonitoren droht auch noch eine andere Gefahr! Man kann den 
  ST  dazu  bewegen, auch im Farbbetrieb auf die (monochrome) Bildfrequenz von 
  71  Hz  umzuschalten. Damit ndert sich die Zeilenfrequenz von 16 MHz auf 36 
  MHz. Den "Notreset", den der ST normalerweise bei solcherlei Unfug ausfhrt, 
  kann  man  softwaremig  sperren.  Wenn Sie einmal ein dutzend Farbmonitore 
  brig haben, sollten Sie ruhig ausprobieren, wie lange der Farbmonitor diese 
  Prozedur   berlebt.  Derzeitige  Hochrechnungen  schwanken  zwischen  einer 
  Sekunde und wenigen Minuten. Sicher ist jedenfalls, da Ihr Farbmonitor nach 
  recht  kurzer  Zeit  jede weitere Mitarbeit fr alle Zeiten verweigern wird. 
  (Letzte  Tests  mit dem Original-ATARI-Farbmonitor haben gezeigt, da einige 
  Bildschirme dieser Prozedur durchaus fast eine halbe Stunde gewachsen sind.) 
  Ein  Virus,  der  es auf die Zerstrung Ihrer Hardware abgesehen hat, knnte 
  sich  diesen  Umstand  zunutze  machen.  Das  bisher  kein  derartiger Virus 
  aufgetaucht ist, liegt wahrscheinlich an der schwierigen programmtechnischen 
  Umsetzung des soeben gesagten.

  Sie  sehen  also,  da auch die Hardware einem potentiellen Virus jede Menge 
  Angriffspunkte bietet.

  Glcklicherweise  sind  nicht  alle  Viren auf dem ST dermaen bsartig. Ein 
  paar Beispiele sollen das verdeutlichen:

  Ein  (Bootsektor-)Virus  dreht,  nachdem er sich fnf mal weiterkopiert hat, 
  die  vertikale  Bewegungsrichtung  der  Maus um 180 Grad. Dieser Virus strt 
  also "nur" Ihren normalen Arbeitsflu, ohne das es zu Datenverlust kommt.

  Ein  anderer  Virus schreibt, nachdem man drei Stunden am Rechner gearbeitet 
  hat,  die  Meldung  "Ihr  Computer  hat AIDS" auf den Monitor und stoppt den 
  Prozessor.  Abgesehen  davon,  da  dies  ein  ausgesprochen  geschmackloser 
  "Scherz"  ist,  wird jemand, der drei Stunden einen Text eingegeben hat ohne 
  abzuspeichern, ber diesen Virus wenig lachen knnen.

  Ein  weiterer  Virus  berschreibt  in  jedem VBL-Interrupt, also nach jedem 
  Bildaufbau  (d.h.  71 mal pro Sekunde beim Monochrom- und 50 bzw. 60 mal pro 
  Sek.  beim  Farbmonitor)  ein  beliebiges  Byte im Arbeitsspeicher mit einem 
  Zufallswert.

  Die  Folge  ist ein Absturz des Rechners, sobald wichtige Programmteile oder 
  ein Teil des Betriebssystems getroffen werden.

  Wenn  Sie  bei  der Arbeit mit dem ST feststellen, da einige Programme beim 
  Starten  deutlich  lnger  brauchen  als  vorher,  dann  ist grte Vorsicht 
  angezeigt.  Es  ist sehr wahrscheinlich ein Linkvirus, der diese Verzgerung 
  beim Start verursacht. Sollten Sie bei der berprfung mit dem VIRENDETEKTOR 
  keinen  Befall  feststellen,  dann  bedeutet  dies  noch  nicht  die vllige 
  Entwarnung!  Denn  auch dann, wenn Sie mit der neusten VIRENDETEKTOR-Version 
  arbeiten, ist es mglich, da bei Ihnen ein neuer Linkvirus aufgetaucht ist, 
  der  bislang noch nicht erkannt wird. Hier greift als zustzlicher Schutz in 
  erster Linie die CRC-Prfsummenbildung, die ich Ihnen nochmals wrmstens ans 
  Herz  legen  mchte.  Sind  Sie sich nicht sicher, ob sich ein Linkvirus bei 
  Ihnen  eingenistet  hat,  dann  schicken  Sie  mir  eine  Diskette  mit  dem 
  mglicherweise  verseuchten  Programm. Ich werde Ihnen die Diskette umgehend 
  zurckschicken  und  sofern  es  sich  tatschlich  um einen neuen Linkvirus 
  handelt, bekommen Sie auch gleich eine Version des VIRENDETEKTOR, die diesen 
  neuen   Virus  erkennt.  Selbstverstndlich  gilt  dieses  Angebot  nur  fr 
  registrierte  Benutzer,  schon deshalb, weil nur diese immer mit der neusten 
  Version arbeiten!

  Wenn  Sie bisher noch nichts von Computerviren bemerkt haben, so gehren Sie 
  entweder   zu   denen,  deren  Disketten  noch  "virenfrei"  sind  oder  Sie 
  beherbergen  auf  Ihren Disketten nur "harmlose" Bootsektorviren. Gerade auf 
  dem  ST  gibt  es einige Virenprogramme, die sich nur auf jeden erreichbaren 
  Bootsektor  kopieren,  ohne  berhaupt  eine bsartige Wirkung zu entfalten. 
  Jedoch  auch  solche Viren knnen Schaden anrichten, weil z.B. manche Spiele 
  den   Bootsektor   als   Lader   oder  als  Kopierschutz  benutzen  und  ein 
  Bootsektorvirus  das Programm somit unbrauchbar macht. Auch MS-DOS-Disketten 
  (PC-Ditto/PC-Speed) mgen einen Virus im Bootsektor berhaupt nicht.

  Manchmal  werden Viren aber auch nicht als solche erkannt, weil Effekte, die 
  nur  gelegentlich  auftreten, oft auf Programmfehler, defekte Disketten oder 
  hnliches geschoben werden.

  In   der   im   Programm   integrierten   Viren-Datenbank  finden  Sie  alle 
  Informationen  zu  den bislang bekannten Viren bersichtlich nach Virennamen 
  sortiert.

  Allerdings   sollte   man   auch   nicht   gleich  bei  jedem  Absturz  oder 
  Programmfehler einen Virus fr den beltter halten! Denn leider gibt es fr 
  den  ST  zum  Teil so besch...eidene Software, da berhaupt kein Virus mehr 
  ntig  ist,  um  den  Anwender  zum  Wahnsinn zu treiben! Auch das TOS hatte 
  zumindest  in  den  ersten  Versionen  einige  Eigenschaften, die den Schlu 
  nahelegten,  ATARI  wollte eigentlich kein Betriebssystem, sondern einen 192 
  KByte groen Mammutvirus programmieren. ;-)

  Schlielich  knnen  sowohl  defekte  Disketten  als  auch  ein beschdigter 
  Rechner  als Ursache fr diverse Probleme in Erscheinung treten. Neben einem 
  Virenkiller  sind  daher  auch ein Diskprfprogramm und ein Memorytester zur 
  Lokalisierung  von  Fehlern  ntzlich.  Wer  nicht  ber derartige Utilities 
  verfgt,  der kann bei mir drei (doppelseitige) Disketten mit insgesamt etwa 
  4,5  MB  (!)  der  wichtigsten  Hilfsprogramme  (PD/Freeware/Shareware)  und 
  Online-Packer erhalten.

  Auf   diesen   Disketten   finden   Sie   unter  anderem  ein  Programm  zur 
  Funktionsberprfung  der  RAM-Chips,  ein  Programm, das Ihre Disketten auf 
  physikalische  Defekte  berprft  (und rettet, was noch zu retten ist), ein 
  Programm  zur  Wiederherstellung  versehentlich gelschter Dateien und viele 
  weitere ntzliche Kleinigkeiten.

  Diese  Disketten knnen Sie als registrierter Benutzer (und nur als solcher) 
  bei  mir  erhalten!  Dazu erhht sich Ihre Registrierungsgebhr lediglich um 
  10,- DM Unkostenbeitrag. Nheres dazu finden Sie in Kapitel IX.

  Mit  dem  Programm  VIRENDETEKTOR  haben Sie nun das geeignete Mittel in der 
  Hand,  um einen Virus zu entdecken, bevor er Unheil anrichten kann oder sich 
  ber die gesamten Datenbestnde verbreitet hat.

  Eine genaue Beschreibung der bekannten Viren fr den ST/TT finden Sie in der 
  Viren-Datenbank,  in der auch auf Verbreitungsweise und Manipulationsaufgabe 
  jedes  einzelnen  Virus  eingegangen  wird.  Da dieser Menpunkt nur in der 
  registrierten Programmversion des VIRENDETEKTORS zugnglich ist, dient nicht 
  zuletzt als kleiner Anreiz, die Sharegebhr zu zahlen.


  V.              Neues von der Virenfront
                  

  Die Entwicklung neuer Viren fr den ST scheint nicht mehr in dem Tempo voran 
  zu schreiten, wie noch vor einigen Jahren. Das kann zum einen am gestiegenen 
  Verantwortungsbewutsein  der  Virenprogrammierer liegen (wer's glaubt ...), 
  oder  aber  an  der  gestiegenen  Vorsicht  der  Anwender (wohl eher). Zudem 
  verfgen  die meisten ST-Besitzer inzwischen ber einen Virenkiller, mit dem 
  Sie Ihre Disketten berprfen knnen.

  Lediglich  die  Gerchtekche  kchelt  weiter  vor  sich  hin.  Fr  einige 
  Zeitschriften   ist  das  Thema  "Computerviren"  inzwischen  zum  beliebten 
  Seitenfller geworden. Mit der Angst vor Computerviren lt sich die Auflage 
  anscheinend  deutlich steigern. Man bietet den Lesern ein paar drittklassige 
  Virenkiller  Marke  "Bootsektor-Ex"  zum abtippen und bringt ein paar "echte 
  Insidertips".  Da  kommt  dann ab und zu die Nachricht von einem Supervirus, 
  das  sogar  schreibgeschtzte  Disketten  befallen soll (absoluter Bldsinn, 
  weil  physikalisch nicht mglich), man hrt von Original-Software, die einen 
  Virus verbreitet, wenn Sie unrechtmig kopiert wird (noch bldsinniger) und 
  hnlichen Gruselmrchen.

  Eine  wichtige Neuigkeit - die inzwischen schon gar nicht mehr besonders neu 
  ist - mchte ich Ihnen aber nicht vorenthalten: Es gibt Bootsektorviren, die 
  sich im Arbeitsspeicher installieren, OBWOHL der Bootsektor NICHT AUSFHRBAR 
  ist!!!

  Wie das geht? - Sehen Sie selbst:

  Das  Betriebssystem  des  STs hat ein undokumentiertes Feature, mit dem sich 
  Programme  resetfest  im  Speicher  installieren knnen. Nach dem Booten von 
  Diskette  oder Platte, aber noch vor Ausfhrung der Programme im AUTO-Ordner 
  durchsucht  das  Betriebssystem  den  gesamten  Arbeitsspeicher  nach  einer 
  Speicher-Doppelseite  (mit  gerader Seitennummer, also $400, $600, ...), die 
  folgende Eigenschaften erfllt:

  - erstes Long-Word ist die Magic-Number $12123456
  - in den zweiten vier Bytes steht ein Zeiger auf den  Anfang  der  Speicher-
    seite
  - Die (Word-)Summe aller Bytes in diesem 512 Bytes langen Bereich ist $5678

  Die  Suche  luft von PHYSTOP abwrts bis $600. Sollte der ST fndig werden, 
  so   wird   ein   dort  befindliches  Programm  ausgefhrt.  Zuvor  hat  das 
  Betriebssystem  den  Bootsektor der Diskette in den Arbeitsspeicher geladen, 
  um  zu  prfen,  ob  der  Bootsektor  ausfhrbar  ist.  Dort  verbleibt  der 
  Bootsektor  als  "Daten-Leiche",  auch  wenn  er  NICHT ausgefhrt wird. Nun 
  braucht  ein  Bootsektorvirus nur die entsprechenden Magics an den richtigen 
  Stellen  zu  enthalten und der Virus wird installiert, OBWOHL der Bootsektor 
  eigentlich  nicht  ausfhrbar  ist!  Derartige Viren knnen dann - einmal im 
  Speicher  installiert  - durchaus noch Code-Teile nachladen. Diese sind dann 
  auf  normalerweise  unbenutzten  Bereichen  (z.B.  Sektor 4 und 5 der beiden 
  FATs)  gespeichert,  so  da  der  zustzliche  Platzbedarf  des Virus nicht 
  auffllt.

  Die  meisten Virenkiller (auch der VIRENDETEKTOR bis 2.9d) sind diesen Viren 
  bislang auf den Leim gegangen, da nicht ausfhrbare Bootsektoren als harmlos 
  klassifiziert wurden. Damit ist nun allerdings Schlu!

  Zu  erwhnen  bleibt  noch,  da  diese Viren nicht TOS-unabhngig sind. Sie 
  laufen  also  nur  auf  jeweils einer einzigen TOS-Version, da die absoluten 
  Adressen  des  Diskettenpuffers,  das ist der Teil des Speichers, in den der 
  Bootsektor  eingelesen  wird, sich von TOS-Version zu TOS-Version verschoben 
  haben.  Somit  stimmt  die  Lage  des Magics immer nur fr eine TOS-Version, 
  wobei  allerdings 1.04 und 1.06 die gleiche Diskettenpufferadresse besitzen. 
  Ein  Virenprogrammierer  mu  somit  mehrere  leicht  modifizierte Versionen 
  seines   Virus   in   Umlauf  bringen,  um  alle  TOS-Versionen  abzudecken. 
  Glcklicherweise  gibt's ja jetzt auch schon 2.05 und 2.06 und 3.01 und 3.05 
  und  ...  sollte  sich die Adresse des Diskettenpuffers bei diesen Versionen 
  jeweils  verschoben  haben,  dann laufen die "alten" Viren, die sich auf das 
  beschriebene Feature stzen, nicht mehr auf den neuen TOS-Versionen. Es wird 
  aber nur eine Frage der Zeit sein, bis es auch fr diese TOS-Versionen einen 
  entsprechend arbeitenden Virus gibt.

  Vor  einiger  Zeit gab es auerdem ein "Update" des Virus-Construction-Sets. 
  Zur Zeit wird diese Version aber meines Wissens nirgendwo vertrieben. Es ist 
  ohnehin   erstaunlich,  da  gegen  ein  derartiges  Programm,  welches  auf 
  Knopfdruck  nahezu  beliebige  Linkviren  erzeugt,  noch  nicht  gerichtlich 
  vorgegangen   worden   ist.  Zumal  einige  Softwarehuser  fast  ebensoviel 
  Rechtsanwlte wie Programmierer beschftigen.

  Seit  der Version 3.0 hat sich nicht mehr viel getan, neue Linkviren gibt es 
  nicht, lediglich ein paar neue Bootsektorviren haben sich angefunden.

  Da  die  Virenprogrammierer  sich  dennoch  nicht  vllig vom ST abgewendet 
  haben, zeigen immer wieder neue Versuche, Computerviren so zu programmieren, 
  da   diese   dem   Anwender   mglichst   lange   verborgen   bleiben.  Die 
  "Tarnkappen"-Viren,  die  ja  schon  erwhnt  wurden,  sind auch ein solcher 
  Versuch.

  Doch  nicht  immer  sind  es  neue  oder  besonders geschickte Viren, die zu 
  zweifelhaftem  Ruhm  gelangen.  Ein besonders aktuelles Beispiel der letzten 
  Monate,  bei  der ein Virus auf einer Heftdiskette im ganzen Land verbreitet 
  wurde, betrifft einen alten Bekannten: Auf der Diskette zur Septemberausgabe 
  92 der ST-Zeitschrift "TOS" befand sich nmlich der SIGNUM/BPL Virus. Er ist 
  wohl  der  am  weitesten  verbreitete  Bootsektorvirus auf dem Atari ST. Man 
  schtzt,  da weltweit etwa 1,5 Millionen Kopien davon existieren. Da er nun 
  wieder  einmal  Thema  der aktuellen Diskussion ist, soll seine Arbeitsweise 
  hier kurz erwhnt werden:

  Mit  der  bekannten  Textverarbeitung  gleichen  Namens  hat der Virus trotz 
  gegenteiliger  Gerchte  nichts  zu tun. Wie alle Bootsektorviren kopiert er 
  sich  in  den Speicher, sofern von einer infizierten Diskette gebootet wird. 
  Dort  wartet er, bis auf eine nicht schreibgeschtzte Diskette in Laufwerk A 
  oder  B  zugegriffen  wird. Sind die ersten beiden Byte im Bootsektor dieser 
  Diskette  nicht  $6038  (der  typische Sprungbefehl BRA $38 am Anfang dieses 
  Virus  und vieler Bootprogramme), dann kopiert er sich auf diesen Bootsektor 
  (er infiziert also die eingelegte Diskette) und tut zunchst nichts weiter.

  Dies  ndert  sich,  wenn der Virus auf einen Bootsektor trifft, bei dem die 
  ersten  beiden  Byte  $6038  sind und bei dem an einer bestimmten Stelle der 
  Wert  $1092  (dezimal brigens 4242 (42-Crew???)) steht. Ist dann zudem noch 
  ein  Zhler  des  Virus kleiner als ein entsprechender Zhler im berprften 
  Bootsektor,  dann  wird dieser Bootsektor ausgefhrt, gleichgltig ob er fr 
  das Betriebssystem tatschlich ausfhrbar ist.

  Der  SIGNUM/BPL  Virus  knnte  also  eine  Art  "Hilfsvirus" fr einen ganz 
  anderen Virus sein, der mangels Ausfhrbarkeit von den meisten Usern erstens 
  nicht  gefunden und zweitens, falls bemerkt wird, da da etwas im Bootsektor 
  steht,   trotzdem   nicht   weiter   beachtet  wird.  Dieser  Virus  verfgt 
  hchstwahrscheinlich ber einen Zhler.

  Dieser  "zweite  Teil"  ist  aber  bislang  nirgendwo  aufgetaucht.  Da  der 
  SIGNUM/BPL  Virus  ohne  diesen zweiten Teil keine Aktionen startet, die dem 
  Anwender  auffallen  knnten,  ist  seine  weite  Verbreitung  nicht  weiter 
  verwunderlich.    Auch    ausfhrbare    Bootsektoren   (Spiele-Lader   oder 
  Immunisierungs-Bootsektoren)  werden nicht berschrieben, sofern sie mit dem 
  blichen $6038 beginnen - allerdings trifft das nicht auf alle Bootprogramme 
  zu. Zudem gibt es von diesem Virus bereits Mutationen, die sich generell auf 
  jeden Bootsektor kopieren.

  Doch  auch ohne den bislang unbekannten zweiten Teil kann der Virus Probleme 
  bereiten,   da  zum  Beispiel  zuvor  MS-DOS-kompatible  Disketten  nun  von 
  MS-DOS-Rechnern   nicht   mehr  gelesen  werden  knnen.  Zudem  fhrt  eine 
  infizierte  Diskette  auf  einem TOS 2.05, zu dem der Virus nicht kompatibel 
  ist, zu Abstrzen beim Bootvorgang.


  VI.             So funktioniert der VIRENDETEKTOR
                  

  Der  VIRENDETEKTOR ist, wie schon im Vorwort beschrieben, uerst einfach in 
  der  Handhabung!  Das  Programm  ist  auf allen STs lauffhig; bentigt wird 
  allerdings  ein  Monitor  (bzw.  eine  Grafikkarte),  die mindestens 640*400 
  Punkte  liefert. Wer nur einen ST mit Farbmonitor hat, braucht sich nun aber 
  nicht  enttuscht abzuwenden. Es gibt zwar keine Version des VIRENDETEKTORS, 
  die  auf  dem  ST  mit  Farbmonitor luft, da beispielsweise die Darstellung 
  eines  kompletten  Bootsektors in Hex und ASCII in der mittleren oder gar in 
  der  niedrigen ST-Monitorauflsung nicht vernnftig zu realisieren ist, aber 
  mit einem kleinen Trick kommen auch Farbmonitor-Besitzer in den Genu dieses 
  Programms:

  Der  Trick  heit  MONOCHROM-EMULATOR!  Dabei handelt es sich um ein kleines 
  Programm, da auf dem ST-Farbmonitor die hohe Auflsung darstellt. Natrlich 
  kann man von diesem Programm keine Wunder erwarten, d.h. die Bildschrfe und 
  Auflsung  erreicht  natrlich nicht die eines SM 124, es stehen schlielich 
  auch  nur  halb soviel Bildschirmpunkte zur Verfgung. Ein lngeres Arbeiten 
  z.B.  mit  Signum  wird mit diesem Emulator deshalb auch kaum zum Vergngen. 
  Fr  die  Virenjagd  mit  dem  VIRENDETEKTOR  ist  der Emulator aber auf dem 
  Farbmonitor eine halbwegs akzeptable Lsung, da zumindest die Meldungen, die 
  das Programm ausgibt, einigermaen lesbar sind. Trotzdem ist die Anschaffung 
  eines SM 124 unbedingt zu empfehlen.

  Wer  lediglich einen Farbmonitor am ST betreibt und keinen Emulator besitzt, 
  kann  einen  solchen  bei  mir  erhalten! Registrierte Benutzer schicken mir 
  einfach   eine  formatierte  Disk  und  einen  ausreichend  (!)  frankierten 
  Rckumschlag.  Wer  noch  nicht  registriert ist, gibt bei der Registrierung 
  (nheres  dazu  in  Kapitel VIII) bitte an, da er den Emulator bentigt. Er 
  wird dann kostenlos beigelegt.

  Im  groen  und ganzen sind die Funktionen der einzelnen Menpunkte ja schon 
  erlutert  worden,  hier  finden  Sie zu dem einen oder anderen Punkt einige 
  ergnzende Erluterungen:

  
  Der   Startbildschirm  enthlt  neben  der  Angabe  von  TOS-,  GEMDOS-  und 
  GEM-Version,  dem  TOS-Datum und der Anfangsadresse des Betriebssystems eine 
  Liste von sieben Systemvariablen.
  

  Dies  sind TRAP #1 (zeigt auf den Dispatcher fr die GEMDOS-Traps), TRAP #13 
  (zeigt  auf  den  Dispatcher  fr  die  BIOS-Traps), TRAP #14 (zeigt auf den 
  Dispatcher  fr die XBIOS-Traps), resvektor, hdv_bpb (zeigt auf die Routine, 
  die  den  Bios  Parameter  Block  eines  logischen Laufwerks zurckliefert), 
  hdv_rw  (zeigt  auf  die  Routine  zum  Lesen/Schreiben  von Laufwerken) und 
  hdv_mediach  (zeigt  auf die Routine zur Bestimmung des Medienwechsel-Status 
  eines logischen Laufwerks).

  Normalerweise  zeigen diese Systemvariablen ins Betriebssystem, es sei denn, 
  ein  speicherresidentes Programm hat sie auf eine eigene Adresse "verbogen". 
  Dies   ist   z.B.   fr  Hardisk-Treiber  notwendig.  Auch  das  beiliegende 
  Accessory/Programm  WPROTECT verbiegt hdv_rw, denn WPROTECT mu ja irgendwie 
  mitbekommen,   wenn   ein   schreibender   Zugriff   auf  ein  softwaremig 
  schreibgeschtztes  Medium  versucht  wird, um diesen mit der entsprechenden 
  Meldung  zurckzuweisen.  Diese  sieben  Systemvektoren werden aber auch von 
  Viren  in der Regel verndert. Dabei ndert natrlich nicht jeder Virus auch 
  jede dieser sieben Systemvariablen.

  Weil  sich  inzwischen  eine  groe  Zahl  von  Programmen  an  den diversen 
  Systemvektoren  zu  schaffen machen, gibt es das sogenannte "XBRA-Protokoll" 
  (eXtended BRAner). Es geht auf den amerikanischen Programmierer Moshe Braner 
  zurck  und  wurde  von  Julian  F. Reschke erweitert (siehe auch ST-Magazin 
  10/88, S. 66 und 4/90, S. 58 f.).

  Mit  Hilfe  dieses  Protokolls,  bei  dem  neben dem ursprnglichen Wert der 
  Systemvariablen  auch  eine  4-Byte-Kennung  des Programms gespeichert wird, 
  (bei  WPROTECT  ist die Kennung z.B. "WPRO") kann sich ein "Vektorverbieger" 
  auch  nachtrglich  wieder  aus  der  Kette  aushngen,  die ja von mehreren 
  Programmen  verndert  werden  kann. Zudem kann ein Programm erkennen, ob es 
  bereits in diesem Vektor installiert ist. Verwenden alle Programme, die sich 
  in  einen  Systemvektor  einhngen,  dieses  XBRA-Protokoll, so kann man die 
  Kette  verfolgen,  bis man letztlich im Betriebssystem endet. Dies zeigt der 
  VIRENDETEKTOR  auch  an,  es  werden  jeweils  die Programmkennungen und die 
  Adresse, auf die der Vektor umgebogen wurde, ausgegeben. Letztlich endet die 
  Liste  mit  der  Pseudokennung  "->BS",  die  anzeigt,  da  man  wieder  im 
  Betriebssystem  angekommen  ist.  Leider halten sich wie schon erwhnt nicht 
  alle  Programme  an diesen Standard. Somit kann es sein, da diese Kette mit 
  einem "????" endet. Dann wurde der Systemvektor von einem Programm verbogen, 
  welches  das  XBRA-Protokoll  nicht  befolgt.  Dies  knnte also auch darauf 
  hindeuten, da sich an dieser Stelle ein Virus eingeklinkt hat.

  Damit  nicht zwei Programme die gleiche 4-Byte-Kennung verwenden, werden die 
  bereits  an andere Programme vergebenen XBRA-Kennungen von Julian F. Reschke 
  (EMail: julian@math.uni-muenster.de oder jr@ms.maus.de) gesammelt.

  Bei  der  Funktion 'Bootsektor berprfen' wird der Bootsektor des gewhlten 
  Laufwerks (A oder B) eingelesen. Dann berprft das Programm zunchst ob der 
  gelesene  Bootsektor  ausfhrbar ist. Falls das der Fall ist, so wird er mit 
  allen  Bootsektoren,  die  das  Programm  kennt  (in dieser Version sind das 
  immerhin  ber  70  Stck),  verglichen.  Kann  VIRENDETEKTOR den Bootsektor 
  identifizieren, so wird festgestellt, ob es sich um einen Virus handelt oder 
  um   einen   legalerweise   ausfhrbaren   Bootsektor   (z.B.   Aladin-Disk, 
  60Hz-Bootsektor,  TOS-Bootsektor,  Lader  fr  ein Spiel, ...). Das wird dem 
  Benutzer  natrlich  mitgeteilt  (z.B.  "Diese  Disk ist eine ALADIN-Disk"). 
  Diese  Mitteilungen  knnen  unter  dem  Menpunkt  "Weitere  Optionen"  mit 
  "Info-Meldungen  ein/ausschalten" auch unterdrckt werden. Damit ist bei der 
  berprfung  einer  groen  Zahl von Disketten ein noch schnelleres Arbeiten 
  mglich. Wenn das Bootprogramm nicht zwingend erforderlich ist, kann es auch 
  auf Wunsch entfernt werden.

  Falls es sich um einen Virus handelt, wird das ebenfalls gemeldet (natrlich 
  auch  bei  abgeschalteten  Info-Meldungen)  und zwar sowohl mit seinem Namen 
  (fr  Viren, deren Herkunft im Dunkeln liegt, ist dieser Name allerdings von 
  mir  erfunden  und somit wenig aussagekrftig) sowie mit dem Hinweis, in der 
  wievielten Generation er vorliegt (natrlich nur bei mutierenden Viren, also 
  Viren, die ein oder mehrere Bytes als Zhler verwenden).

  Dann kann der Virus auf Knopfdruck gelscht werden, d.h. der Bootsektor wird 
  unter  Aussparung  der Seriennummer und der Diskettenstruktur-Information im 
  Bereich  $08-$1D  vollstndig  genullt.  Gegebenenfalls  wird  die  gewhlte 
  Immunisierung aufgebracht.

  Sollte  das  Programm  einen  ausfhrbaren  Bootsektor  nicht identifizieren 
  knnen, so wird auch das gemeldet und der Benutzer hat die Mglichkeit, eine 
  Routine   aufzurufen,  die  das  Bootprogramm  auf  bestimmte  Virenmerkmale 
  untersucht.   Das   Bootprogramm  wird  dann  als  gefhrlich  oder  harmlos 
  klassifiziert.

  Der  dafr  verwendete  Algorithmus  hat  sich  bis heute in allen Tests als 
  absolut  zuverlssig erwiesen! Es gibt nur eine einzige Mglichkeit, da ein 
  Virus  diese  berprfung  (und die hnlich arbeitender Anti-Virenprogramme) 
  unerkannt bersteht. Ich werde mich dazu aber nicht nher uern, da ich den 
  Programmierern von Computerviren nicht auch noch Hilfestellung geben mchte. 
  Bisher  ist  jedenfalls  allem  Anschein  nach  ein solcher Virus noch nicht 
  aufgetaucht.

  Sollte dennoch einmal die Meldung erscheinen "Keine exakte Aussage mglich", 
  so  ist  es  am  einfachsten,  wenn  Sie mit den in eine Datei geschriebenen 
  Bootsektor  zur  genaueren  Analyse  zuschicken. Ansonsten bleibt Ihnen noch 
  folgender  Test,  um  festzustellen, ob es sich mglicherweise doch um einen 
  Virus handelt:

  Nehmen Sie zwei leere Disketten, die ich im folgenden mit A und B bezeichnen 
  werden.  Falls Sie eine Festplatte besitzen, so schalten Sie diese unbedingt 
  ab!

  Sorgen  Sie zunchst dafr, da Ihr Rechner frei von Viren ist, d.h. Rechner 
  ausschalten und mit garantiert sauberer oder ganz ohne Diskette booten.

  Kopieren  Sie  nun die gesamte Diskette mit dem unbekannten Bootprogramm auf 
  Disk  A.  Verwenden  Sie  dazu ein Kopierprogramm (z.B. FCopy oder Bitte ein 
  Bit), damit auch der Bootsektor bertragen wird. Formatieren Sie dann Disk B 
  neu.  Nun  booten  Sie  von  Disk  A und legen, nachdem das gewohnte Desktop 
  erschienen  ist,  Disk B ein. Falls es sich bei dem unbekannten Bootprogramm 
  auf  Disk  A  um  einen  Virus  handelt,  so wird dieser sich bei der ersten 
  Gelegenheit  auf  den  Bootsektor  der  frisch formatierten Disk B kopieren. 
  Diese  Gelegenheit  schaffen  Sie  nun, indem Sie Disk B ins Laufwerk legen, 
  sich  das Inhaltsverzeichnis anzeigen lassen und 'Arbeit sichern' im Desktop 
  anwhlen.

  Schalten Sie Ihren Rechner einen Augenblick aus und dann wieder ein - um ein 
  eventuellen  Virus  aus dem RAM zu verjagen, natrlich ohne Disk A oder B im 
  Laufwerk!  Nun  knnen  Sie  den Bootsektor von Disk B mit dem VIRENDETEKTOR 
  berprfen.

  Sollte der Bootsektor von Disk B nun ein unbekanntes Bootprogramm enthalten, 
  dann kann das nur ein Virus sein!

  Diese  Vorgehensweise  ist  leider  etwas umstndlich, dafr sollte sie aber 
  auch  so  gut  wie  nie notwendig werden! Wesentlich einfacher knnen Sie es 
  sich  machen,  wenn Sie mir einen verdchtigen Bootsektor, den Sie zuvor mit 
  dem  VIRENDETEKTOR in eine Datei geschrieben haben, auf Diskette zur Analyse 
  zuschicken.   Sie   erhalten  ihre  Diskette  selbstverstndlich  mit  einer 
  aktualisierten Version des VIRENDETEKTORS zurck. Wer meine Virensammlung um 
  ein  neues  Exemplar bereichert, kommt zudem noch in den Genu einer kleinen 
  Belohnung!

  Wenn der untersuchte Bootsektor nicht ausfhrbar ist, so wird geprft, ob es 
  sich  um  einen ganz normalen Bootsektor handelt oder ob Daten im Bootsektor 
  stehen.  Das  knnen  z.B. ein Copyright sein, Reste eines ehemaligen Virus, 
  der mit einem fremden Viren-Killer bearbeitet worden ist oder hnliches. Wer 
  mchte,  kann  auch  diese Daten lschen, obwohl davon keine Gefahr ausgehen 
  kann.

  Bei  der  berprfung  einer  gesamten  Partition  oder  eines Laufwerks auf 
  Linkviren  werden seit Version 2.9d auch alle "versteckten" Files berprft. 
  Das  sind Dateien, bei denen das "hidden"-Attribut im Directory gesetzt ist. 
  Diese   Files   werden   im   Directory   (und  AUCH  in  der  systemeigenen 
  Fileselect-Box)   nicht  angezeigt.  Gleiches  gilt  auch  fr  Dateien  mit 
  gesetztem "system"-Attribut.

  Die  berprfung  auf  Linkviren  kann durch Drcken der ESCAPE-Taste (bitte 
  eine Weile gedrckt halten) vorzeitig abgebrochen werden. Sollten Sie einmal 
  aus   Versehen   die   ESCAPE-Taste  gedrckt  haben,  wiederholen  Sie  die 
  berprfung einfach noch einmal.

  Bei  der  berprfung werden alle Dateien mit den Extensionen PR*, AC*, APP, 
  TOS,   GTP  und  TTP,  sowie  mit  den  vier  selbstdefinierten  Extensionen 
  bercksichtigt.  Damit  werden  zum  Beispiel  auch Programme im Auto-Ordner 
  erfat, die in *.PRX oder *.PR umbenannt wurden.

  Mit  der  Funktion  "Einzelne  Programme berprfen" knnen Sie auch Dateien 
  anwhlen, die keine ausfhrbaren Programme sind. Natrlich ist es vollkommen 
  sinnlos,  beispielsweise  eine  Bildschirmgrafik  oder  eine ASCII-Datei auf 
  Virenbefall zu untersuchen. Der VIRENDETEKTOR meldet dies entsprechend, wenn 
  es  sich  nicht  um  eine Programmdatei handelt und erstellt dann auch keine 
  CRC-Prfsumme.

  Ich    werde    oft    gefragt,    weshalb   der   VIRENDETEKTOR   bei   der 
  Linkvirenberprfung  so  schnell  arbeitet.  Der Begriff "schnell" ist zwar 
  relativ unbestimmt, aber wer ber eine schnelle Festplatte verfgt, oder die 
  berprfung   auf   einer   RAM-Disk  vornimmt,  wird  tatschlich  von  der 
  Geschwindigkeit  des  VIRENDETEKTORS angenehm berrascht oder sogar erstaunt 
  sein. Leider ist die Geschwindigkeit von der Version 3.0 auf die Version 3.1 
  etwas  zurckgegangen,  ich werde in nchster Zeit noch einige Optimierungen 
  vornehmen.  In  der Version 3.1b ist die Geschwindigkeit der berprfung von 
  Programmen  auf  Linkviren  mit  eingeschalteter CRC-Prfsummenbildung schon 
  wieder  um ca. 25% gestiegen. Dies macht sich allerdings nur bei Festplatten 
  oder  RAM-Disks  bemerkbar,  beim  Zugriff  auf  Disketten macht der relativ 
  langsame  Massenspeicherzugriff  den  Lwenanteil der verbrauchten Zeit aus. 
  Bisweilen wird der eine oder andere Anwender ein wenig misstrauisch, ob denn 
  bei  dieser  Geschwindigkeit  alles  mit rechten Dingen zugehe oder ob nicht 
  vielleicht  die berprfung nur deswegen so schnell sei, weil eben schlampig 
  gearbeitet   werde.   Nun,   diesen   Befrchtungen   mchte  ich  energisch 
  entgegentreten!

  Um  einmal  zu  verdeutlichen,  warum der VIRENDETEKTOR so schnell arbeitet, 
  werde   ich  kurz  erlutern,  was  bei  der  berprfung  einer  Datei  auf 
  Linkvirenbefall  geschieht.  Zunchst  einmal  wird  anhand des Dateianfangs 
  berprft,  ob  es  sich  berhaupt um ein ausfhrbares Programm handelt. Es 
  bleibt  Ihnen  unbenommen,  Ihre  Lieblingsbilder mit der Extension *.PRG zu 
  versehen,  der  VIRENDETEKTOR  erkennt,  da  es  sich  nicht um ausfhrbare 
  Programme  handelt  und meldet dann, da ein Virenbefall einer solchen Datei 
  somit  nicht  mglich  ist.  (Ein  Starten  dieser  Datei  im  Desktop fhrt 
  natrlich  auch zu einer Fehlermeldung.) Fr diesen Fall ist die berprfung 
  somit bereits beendet.

  Falls  es sich aber um ein ausfhrbares Programm handelt, so wird nicht etwa 
  die  gesamte  Datei  in den Arbeitsspeicher geladen (das wrde viel zu lange 
  dauern  und  ist  vllig  unntig),  sondern  nur  der  Teil,  der von einem 
  eventuell  vorhandenen  Linkvirus  tatschlich  verndert  wrde.  Insgesamt 
  mssen  nur knapp 300 Bytes gelesen werden, was auch von einer Diskette noch 
  in  akzeptabler Zeit zu machen ist. Danach werden die eingelesenen Teile der 
  Datei  auf  eine  Vernderung durch einen der bekannten Linkviren berprft. 
  Falls  der  CRC-Check  eingeschaltet  ist,  wird  zudem  ber  den  Teil des 
  Programmes,   der  sich  bei  einem  Linkvirenbefall  verndern  MUSS,  eine 
  CRC-Prfsumme  gebildet. Damit ist bei spteren berprfungen gewhrleistet, 
  da  auch  ein Befall durch bislang unbekannte Linkviren zuverlssig erkannt 
  wird,   selbst   wenn   die   Analyse  auf  unbekannte  Linkviren,  die  der 
  VIRENDETEKTOR durchfhrt, keinen Befall meldet.

  Sie  sehen  also,  da  der  VIRENDETEKTOR nur relativ wenig Massenspeicher- 
  zugriffe   bentigt.   Gerade   diese   sind   aber   im  allgemeinen  dafr 
  verantwortlich,  wenn ein Virenkiller ein "Schlaftablettenfeeling" aufkommen 
  lt.  Es  ist vllig unsinnig, ein komplettes Programm von mehreren hundert 
  Kilobyte  komplett  in den Arbeitsspeicher zu laden, auch die Berechnung der 
  Checksumme  ber  eine  komplette  Programmdatei  ist nervttend langsam und 
  absolut  unsinnig.  Ich  bin  sogar sicher, da sich die Geschwindigkeit des 
  VIRENDETEKTORS  noch  um  ein paar Prozent steigern lt, viel ist aber wohl 
  nicht  mehr  herauszuholen. Immerhin hat sich die Arbeitsgeschwindigkeit von 
  Update  zu  Update  bis  zur Version 3.0g kontinuierlich gesteigert und das, 
  obwohl sich die Anzahl der Viren, die das Programm erkennt, ebenfalls erhht 
  hat!  Der geringe Geschwindigkeitsrckgang seit der Version 3.1, den Sie bei 
  der  berprfung  von Disketten berhaupt nicht bemerken werden, ist auf die 
  neuen  Programmfunktionen  zurckzufhren (insbesondere darauf, da nun mehr 
  CRC-Prfsummen  pro  Programmnamen  mglich  sind  und darauf, da auch nach 
  gepackten Programmen gesucht wird).

  Wenn  Ihnen  der  Aufbau  der Dialogboxen auf dem Bildschirm zu langsam ist, 
  dann sollten Sie einen sogenannten "Software-Blitter" verwenden (NVDI, TURBO 
  ST  oder QUICK ST). Ich kann hier aus Kompatibilittsgrnden nicht mehr viel 
  herauskitzeln,  schlielich soll der VIRENDETEKTOR auf allen ATARI ST/STE/TT 
  Rechnern und mit diversen Grafikkarten laufen.

  Ein  wichtiger  Punkt  bei der Beurteilung eines Anti-Virenprogramms ist die 
  Anflligkeit  fr  Fehlalarme.  D.h.  wie  hufig  kommt  es  vor,  da eine 
  vermeintliche  Infizierung  durch  einen  Virus  diagnostiziert wird, die in 
  Wahrheit nicht vorhanden ist. Der VIRENDETEKTOR verhlt sich in diesem Punkt 
  relativ  unproblematisch.  Wird  ein  unbekannter  Bootsektor  als infiziert 
  gekennzeichnet,  so kann man tatschlich zu beinahe 100% davon ausgehen, da 
  es  sich  um  einen bislang unbekannten Virus handelt. Es ist jedenfalls bis 
  heute  kein  harmloses  Bootprogramm  aufgetaucht, welches vom VIRENDETEKTOR 
  irrtmlich  fr  einen  Virus gehalten worden wre. Bei Linkviren ist es so, 
  da die bekannten Linkviren immer erkannt werden - wird ein Befall gemeldet, 
  so  kann  es  sich  nicht  um  einen  Fehlalarm handeln. Die berprfung der 
  CRC-Prfsumme  ist  allerdings mit einer gewissen Unsicherheit behaftet. Zum 
  einen  kann  nicht ausgeschlossen werden, da ein Programm zum Zeitpunkt der 
  Prfsummenerstellung  bereits  von  einem bislang unbekannten Virus befallen 
  ist,  zum  anderen  kann es zu Vernderungen an Programmen kommen, die nicht 
  durch  Virenbefall  verursacht  worden  sind, die aber durch eine vernderte 
  CRC-Prfsumme den Verdacht auf Virenbefall nahelegen.

  WPROTECT.ACC und WPROTECT.PRG, sowie die weiteren Dateien im Ordner WPROTECT 
  sind  ein  Bestandteil  des Lieferumfangs des VIRENDETEKTOR. Eine Weitergabe 
  dieser  Dateien  und  des Quellcodes ist auch ohne die weiteren Files dieses 
  SHAREWARE-Pakets  zulssig,  nicht  jedoch  umgekehrt! WPROTECT ist seit der 
  Version 1.02 wieder Public Domain, der Autor gestattet die Weitergabe jedoch 
  nur in der unvernderten Version.

  Das   Accessory   mu   auf  das  Hauptdirectory  Ihrer  Bootpartition  oder 
  Bootdiskette  kopiert  werden und wird dann beim nchsten Reset installiert, 
  das Programm gehrt in den AUTO-Ordner. brigens sind Programm und Accessory 
  identisch.  Sie  brauchen es nur umzubenennen. Der Einfachheit halber ist es 
  im VIRENDETEKTOR-Ordner doppelt vorhanden.

  Das  Accessory  ermglicht  es Ihnen, beliebige Partitionen Ihrer Festplatte 
  oder  Ihre  RAM-Disk  vor  Schreibzugriffen  zu  schtzen.  Nach  Aufruf des 
  Accessories  erscheint  eine Dialog-Box, in der Sie mit der Maus unter allen 
  angemeldeten   Laufwerken   anwhlen   knnen.   Sie   knnen  die  gewhlte 
  Konfiguration  auch  abspeichern.  Nheres zur Bedienung von WPROTECT finden 
  Sie in der Datei WPROTECT.TXT.

  Eine  mit  WPROTECT  schreibgeschtzte  Partition oder RAM-Disk verhlt sich 
  genau  wie  eine schreibgeschtzte Diskette. Beim Versuch etwas zu schreiben 
  oder zu lschen erscheint die von dort bekannte Alert-Box. Der Schreibschutz 
  kann  auch  von  den  zur  Zeit  im Umlauf befindlichen Viren nicht umgangen 
  werden,    dennoch    bietet   er   nicht   den   absoluten   Schutz   eines 
  Hardware-Schreibschutzes!

  Das  Accessory  wurde  auf den TOS-Versionen 1.00, 1.02 1.04, 2.05, 3.01 und 
  3.05,  mit  diversen  RAM-Disks  sowie  mit  den  Festplatten  SH204, SH205, 
  Megafile  30  und  einigen  SCSI-Platten getestet. Es luft mit dem AHDI von 
  Atari  ebenso  zusammen,  wie  mit  dem CBHD vom Scheibenkleister und Julian 
  Reschkes  HUSHI.  TROTZDEM  empfehlen  wir  bei der Verwendung eines anderen 
  Treibers (insbesondere bei VORTEX-Treibern) Vorsicht walten zu lassen.

  Die  Bedienung  des  Accessories  ist  seit der Version 1.0 sehr komfortabel 
  geworden.   Das   Auto-Ordnerprogramm   belegt  weniger  als  ein   Kilobyte 
  Hauptspeicher, das Accessory begngt sich immerhin noch mit deutlich weniger 
  als 10 Kilobyte Hauptspeicher. Damit ist seine Verwendung auch auf einem 0,5 
  MB  Rechner  kein Problem! Genaueres erfahren Sie in der Datei WPROTECT.TXT. 
  Fr  die  Programmierung des Accessories geht mein Dank an Christoph Conrad, 
  der auch sonst einiges zum VIRENDETEKTOR beigetragen hat.

  Als  letzten  Hinweis  mchte  ich  Sie noch daran erinnern, da Sie vor der 
  Arbeit   mit   VIRENDETEKTOR   dafr   sorgen,   da   sich  kein  Virus  im 
  Arbeitsspeicher  aufhlt. Das wrde sich nmlich sonst nach Restaurieren des 
  Bootsektors  gleich  wieder  dort einnisten. VIRENDETEKTOR berprft zwar zu 
  Beginn, ob sich ein Virus im Speicher aufhlt und meldet sich, wenn es einen 
  Virus findet, ich kann jedoch nicht dafr garantieren, da diese berprfung 
  wirklich  jeden Virus im Arbeitsspeicher entdeckt. Dies gilt besonders dann, 
  wenn noch weitere Programme im Speicher resident sind, die sich ebenfalls an 
  diversen Systemvektoren zu schaffen machen (Harddisk-Treiber, u.. ...)!

  Deshalb ist dringend zu empfehlen, vor dem Start von VIRENDETEKTOR mit einer 
  garantiert sauberen Diskette zu booten! (Sollten Sie sich nicht sicher sein, 
  ob  Sie  berhaupt  noch  eine unverseuchte Diskette besitzen, so booten Sie 
  einfach ohne Diskette, das dauert zwar etwa 40 Sekunden, ist dafr aber auch 
  totsicher.)


  VII.            "Immunisierung" - Schutz vor Bootsektorviren???
                  

  Viele  Anti-Virenprogramme  versprechen eine "Immunisierung" des Bootsektors 
  zum  Schutz  vor  Bootsektorviren. Diese "Immunisierung" soll den Bootsektor 
  vor  dem  Zugriff  eines  Virus schtzen oder den Befall zumindest erkennbar 
  machen, bevor der Virus sich weiter verbreitet und Schaden anrichtet.

  Um dieses Ziel zu erreichen sind zwei Methoden verbreitet:

  Zum  einen  kann  man  an  den  Beginn  des Bootsektors die Kombination 9656 
  ($6038)  schreiben,  das  ist im Maschinencode ein BRA +$38, also ein Sprung 
  zum Beginn eines Bootprogramms.

  Dieses  zunchst unsinnig erscheinende Vorgehen, schlielich existiert weder 
  ein Bootprogramm, noch ist der Bootsektor berhaupt ausfhrbar, hat durchaus 
  einen   Sinn.   Viele  Bootsektorviren  schauen  freundlicherweise  vor  der 
  Infizierung  eines Bootsektors nach, ob sich schon ein ausfhrbares Programm 
  im  Bootsektor  befindet  und  verzichten  dann auf eine Infizierung. Dieses 
  Nachschauen  besteht  aus  einer  Kontrolle  der  beiden  ersten  Bytes  des 
  Bootsektors,  findet  sich  dort  ein $6038, so nimmt der Virus die Existenz 
  eines  Bootprogramm  an  und  lt  die  Finger  vom  Bootsektor. Damit sind 
  solchermaen  immunisierte  Disketten  tatschlich  vor  dem Zugriff einiger 
  Viren sicher.

  Allerdings hat dieses Verfahren auch seine Schattenseiten, da es erstens nur 
  vor  Viren  schtzt,  die  freundlicherweise  die  oben erwhnte berprfung 
  vornehmen   (wie   es   z.B.   der  SIGNUM/BPL  Virus  oder  der  Virus  der 
  Bayrischen-Hackerpost tun) und somit keinen sicheren Schutz darstellt, sowie 
  zweitens  -  und  das ist sicher ein ebenso schwerwiegender Nachteil - einen 
  eventuellen  MS-DOS  kompatibelen  Bootsektor  (z.B.  fr  den PC-Ditto) fr 
  MS-DOS ungeniebar macht.

  TOS  und  MS-DOS  haben nmlich ein sehr hnliches Diskettenformat, man kann 
  MS-DOS  Disketten  deshalb  problemlos mit einem ATARI ST lesen und auch auf 
  dem umgekehrten Weg ist das mglich, wenn beim Formatieren einige Feinheiten 
  beachtet  werden. (Einige Formatierprogramme - wie z.B. HYPERFORMAT 3.xx tun 
  das  bereits.) Eine dieser Feinheiten ist die Bytefolge $EB 34 90 (8086-Code 
  fr  einen relativen Sprung und ein NOP) mit welcher der Bootsektor beginnen 
  mu,  wenn  er von einer MS-DOS Maschine gelesen werden soll. TOS ist es bei 
  nicht  ausfhrbaren  Bootsektoren  vllig egal was dort steht, MS-DOS ist da 
  leider etwas empfindlich.

  ber  den  Sinn  einer  solchen  Immunisierung  kann also gestritten werden; 
  einige  Anti-Virenprogramme  fhren sie durch (z.B. G-DATA ANTI-VIREN-KIT I, 
  VDU, ...) andere nicht (SAGROTAN, ANTIBIOTUKUM, ...)!

  Eine  Unverschmtheit ist allerdings die Behauptung, diese Immunisierung sei 
  ein  zuverlssiger  Schutz  vor allen bekannten Bootsektorviren, wie sie zum 
  Beispiel  von  G-DATA  in  Bezug auf ihr Anti-Viren-Kit I aufgestellt wurde. 
  Entweder diente diese Behauptung der bewuten Kufertuschung, um das eigene 
  Produkt  geldbeutelfllenderweise  an  den  Mann/die  Frau  zu bringen (sehr 
  wahrscheinlich)  oder  sie  war  ein Zeichen vlliger Unkenntnis (eigentlich 
  genauso  wahrscheinlich),  denn  tatschlich  gibt  es  bereits  seit langem 
  mehrere(!) Bootsektorviren die diese "Immunisierung" vllig kalt lt.

  Die  zweite  Immunisierungsmethode wurde aus der Erkenntnis geboren, da die 
  oben  genannte Methode nicht der Weisheit letzter Schlu sein kann. Die Idee 
  ist  recht einfach: Man schreibe ein Bootprogramm in den Bootsektor, welches 
  sich  beim  Booten  mit einer Meldung auf dem Bildschirm bemerkbar macht. Es 
  schreibt  zum  Beispiel  "Diskette  OK."  auf den Bildschirm. Sollte nun ein 
  Virus  diese Diskette befallen (und somit unser Bootprogramm berschreiben), 
  so  fehlt beim nchsten Booten diese Meldung und der Benutzer wei, da sich 
  ein  Virus  im  Bootsektor  befindet.  Dieser  Virus  kann  dann  mit  einem 
  Anti-Virenprogramm vernichtet werden.

  Mit  dieser  Art  der  Immunisierung wird inzwischen recht hufig gearbeitet 
  (SAGROTAN,  ANTIVIR,  G-DATA  ANTI-VIREN-KIT III ...). Natrlich verrt sich 
  jeder Virus durch das Ausbleiben der Schutzmeldung, allerdings ist neben der 
  Unvertrglichkeit   mit   MS-DOS   (siehe  oben)  zu  beachten,  da  dieses 
  Schutzprogramm  nur  bei  Disketten  verwendet  werden  kann,  die noch kein 
  (ntzliches)  Bootsektorprogramm enthalten. Zudem mssen dann natrlich alle 
  Disketten,  von  denen eventuell mal gebootet wird mit diesem Schutzprogramm 
  versehen werden, denn ein Ausbleiben der Meldung beim Booten wird ja als ein 
  Zeichen fr Virenbefall interpretiert.

  Geben  Sie  eine  solchermaen  behandelte  Diskette an jemanden weiter, der 
  diese  Art  von  Schutzbootsektor  noch  nicht  kennt,  so  kann er zu allem 
  berflu noch fr einen neuen Virus gehalten werden.

  An  dieser  Stelle hatte ich in einer lteren Version dieses Textes zu einer 
  vorherigen  Version  des  VIRENDETEKTORS geschrieben: "Auf den ersten Virus, 
  der  sich  mit  "Bootsektor OK" meldet warte ich noch...". Nun, dieses Thema 
  scheint  jemand  aufgegriffen  zu haben, denn inzwischen gibt es tatschlich 
  mehrere  Viren, die beim Booten eine hnliche Meldung ausgeben und damit dem 
  Benutzer einen Immunisierungs-Bootsektor vorgaukeln. Ich habe diese Viren ja 
  bereits  im Kapitel ber "Tarnkappen"-Viren erwhnt. Sie sehen also, was von 
  solchen  Meldungen  zu  halten ist. Denn neben diesem kurzen Text bietet der 
  Bootsektor dann noch ausreichend Platz fr den Virencode.

  Dennoch  ist diese Art der "Immunisierung" besser, als die Immunisierung mit 
  dem  Pseudobranch  ($6038).  Fr  Festplattenbesitzer, die immer die gleiche 
  (schreibgeschtzte)  Diskette im Laufwerk haben, aber von der Platte booten, 
  kann Sie sogar empfohlen werden.

  Eine  weitere Masche ist ein Schutzprogramm der letztgenannten Art, das sich 
  selbst  wie ein Virus auf jeden noch nicht ausfhrbaren Bootsektor schreibt! 
  Dieses  Bootprogramm  meldet  sich  beim  Booten  mit dem Kommentar, da der 
  Bootsektor  nicht  verseucht ist. Ursprung ist ein Anti-Virenprogramm namens 
  VIRUS-DESTRUCTION-UTILITY (VDU) 3.2 aus den Niederlanden.

  Ich  halte  das fr eine uerst ble Sache, denn ob ich meine Disketten mit 
  einem   solchen   Bootprogramm   versehe,  mchte  ich  schon  gerne  selbst 
  entscheiden.  Es  darf  nicht  dazu  kommen,  da  jeder Programmierer seine 
  Programme, nur weil er sie fr eine segensreiche Entwicklung hlt, auf diese 
  Weise  unkontrolliert verbreitet! Diese Erkenntnis ist glcklicherweise auch 
  dem  Autor  dieses Virenkillers gekommen, denn in den neuen Versionen seines 
  Programmes ist diese Art der "Immunisierung" nicht mehr enthalten.

  Nach  meiner  Ansicht  sind  alle diese Immunisierungs-Bemhungen eigentlich 
  unntig.  Wer  seine  Programme  und Disketten einmal komplett berprft und 
  gegebenenfalls  von  Viren  befreit  hat,  desweiteren  jedes  neue Programm 
  zunchst mit dem VIRENDETEKTOR berprft (das gleiche bei Disketten, die man 
  verliehen  hat),  dazu die oben genannten Vorsichtsmaregeln befolgt, sollte 
  in Zukunft keinen rger mehr mit Computerviren haben.

  Da  man  ber  die  Immunisierung  von  Bootsektoren  aber  wohl auch anders 
  urteilen  kann  und  ich  jedem Anwender die Mglichkeit offenlassen mchte, 
  nach  eigener  Fasson glcklich zu werden, bietet der VIRENDETEKTOR ab Vers. 
  2.9  auch  die  Mglichkeit  zur  Erzeugung  eines solchen "Immunisierungs"- 
  Bootsektors.   Damit   komme   ich   den   Wnschen   einiger  Anwender  des 
  VIRENDETEKTORS   nach   -   wie  Sie  sehen  lohnt  es  sich  durchaus,  als 
  (registrierter)  Anwender  Verbesserungsvorschlge  zu  machen. Wenn mglich 
  werden diese in der nchsten Programmversion bercksichtigt. Und da ich mich 
  nicht  entscheiden  konnte,  welcher  der  beiden  erwhnten Immunisierungs- 
  Methoden  ich  den  Vorzug geben sollte, drfen Sie sich entscheiden, welche 
  Methode Sie anwenden wollen, sofern Sie ein Freund solcher Manahmen sind.

  Ich  habe es mir aber nicht verkneifen knnen, noch eine kleine Verbesserung 
  an   der  Methode  mit  dem  ausfhrbaren  Bootsektor-Immunisierungsprogramm 
  vorzunehmen.  Wenn  Sie  mit dem VIRENDETEKTOR einen solchen Immunisierungs- 
  bootsektor   auf   die   Diskette   schreiben,  DANN  BLEIBT  DIESE  DENNOCH 
  MS-DOS-kompatibel  (selbst  wenn  sie es vorher nicht war). Probieren Sie es 
  ruhig auf einem PC einmal aus.

  Als   dritte   Immunisierung   besteht   noch   die  Mglichkeit,  sich  vom 
  VIRENDETEKTOR  ein  kleines  Programm in den Autoordner schreiben zu lassen, 
  das  den  Bootsektor  bei  jedem  Booten  auf  Vernderungen berprft. Dazu 
  braucht  der  Bootsektor  nicht  manipuliert  zu werden, er wird einfach zum 
  Vergleich  in  eine  Datei  auf  die Diskette geschrieben. Der groe Vorteil 
  dieser  Methode  ist  die  absolute  Sicherheit,  denn  der  Bootsektor kann 
  jederzeit  bei  Befall  wieder durch den Originalbootsektor, der ja in einer 
  Datei  vorliegt,  ersetzt  werden.  Allerdings  ist dieses Verfahren nur fr 
  diejenigen  von  Interesse,  die  von  Disketten booten. Festplattenbesitzer 
  sollten - wenn berhaupt - eine der beiden erstgenannten Immunisierungsarten 
  verwenden.

  Bei  der  Immunisierung mittels Autoordnerprogramms ist zu beachten, da Sie 
  eine  solche  Diskette  nach Mglichkeit nicht als einzelne Dateien, sondern 
  mit  einem  Kopieroprogramm  (oder  mit  der  Diskcopy-Funktion  im Desktop) 
  kopieren.  Denn  nur  in  diesem  Fall  wird auch eine Kopie des Bootsektors 
  erstellt.  Kopieren  Sie  alle Dateien einzeln auf eine andere Diskette oder 
  ndern  Sie  beim  Kopieren  mit  einem  Kopierprogramm die Formatierung der 
  Diskette   (z.B.   Umkopieren   einer  einseitigen  auf  eine  doppelseitige 
  Diskette),  dann  wird  der Bootsektor der Zieldiskette im allgemeinen nicht 
  mit  dem  Bootsektor  der  Quelldiskette identisch sein. Dies wird bei einem 
  Bootvorgang von der Zieldiskette dazu fhren, da das Immunisierungsprogramm 
  im  Autoordner  den  vermeintlich  "manipulierten"  Bootsektor anmeckert. In 
  diesem   Fall  drfen  Sie  UNTER  KEINEN  UMSTNDEN  den  alten  Bootsektor 
  "restaurieren"  -  denn  dann haben Sie den Bootsektor der Quelldiskette auf 
  der  Zieldiskette.  Und  wenn  das  Format  dieser  beiden  Disketten  nicht 
  identisch  war,  werden Sie Ihren Daten auf dieser Diskette wohl Adieu sagen 
  mssen,  sofern  Sie  den  Bootsektor  nicht mittels eines Diskettenmonitors 
  wieder mit den ursprnglichen Formatinformationen fttern knnen.

  Kopieren  Sie  also  beim "Filecopy" die Datei mit dem Bootsektorduplikat im 
  Autoordner  NICHT mit auf die Zieldiskette. Nach dem nchsten Booten von der 
  Zieldiskette  erstellt  das  Immunisierungsprogramm  im Autoordner sich eine 
  neue Kopie des Bootsektors und alles ist in bester Ordnung.

  Beim  Programmstart  ist  die  Immunisierung  abgeschaltet,  wird  also  ein 
  Bootsektor neu geschrieben weil er z.B. von Viren befallen war, dann wird er 
  gelscht  (bis auf die Disketten-Strukturinformationen und die Seriennummer) 
  und  MS-DOS-kompatibel gemacht. Haben allerdings "Immunisierung durch $6038" 
  gewhlt,   dann  wird  diese  Bytefolge  in  die  beiden  ersten  Bytes  des 
  Bootsektors   geschrieben   und  der  Rest  des  Bootsektors  gelscht.  Als 
  Alternative   bietet   sich   noch   die  Mglichkeit  "Immunisierung  durch 
  Bootprogramm"  an,  bei  der ein ausfhrbares Bootprogramm in den Bootsektor 
  geschrieben  wird.  Dieses  Programm  meldet sich dann beim Booten mit einem 
  Glockenton  und  dem  Hinweis, da der Bootsektor nicht befallen ist. Dieser 
  Text  ist  im  Unterschied  zu  den Meldungen anderer Anti-Virenprogramme so 
  lang,  da  sich  jeder  davon  berzeugen  kann,  da  dieses  Bootprogramm 
  tatschlich  nichts anderes machen kann, als diesen Text ber Cconws (Gemdos 
  9) auszugeben. Fr andere Routinen ist da wirklich kein Pltzchen mehr frei. 
  Abgesehen   davon   ist  dieser  Bootsektor  TROTZ  der  Immunisierung  noch 
  MS-DOS-kompatibel.

  Dieses Bootprogramm gibt es inzwischen in verschiedenen Varianten, da einige 
  PD-Hndler,   die  Ihre  Disketten  mit  dem  VIRENDETEKTOR  berprfen  und 
  immunisieren,  von  mir  eine "Spezialversion" mit ihrer Geschftsadresse im 
  Bootsektor  erhalten  haben.  Selbstverstndlich  erkennt  der VIRENDETEKTOR 
  jeden dieser Bootsektoren als "eigenes" Produkt und meldet ihn entsprechend.

  Ich  mchte  noch  anmerken,  da  die  gewhlte Immunisierung in jedem Fall 
  aufgebracht  wird,  wenn  ein neuer Bootsektor erzeugt wird. Also nicht nur, 
  wenn  ein  Virus  vernichtet  wird,  sondern auch dann, wenn sie ein anderes 
  Bootprogramm  von  der  Diskette  entfernen  wollen.  Wollen  Sie  also eine 
  Immunisierung   gleich   welcher  Art  wieder  entfernen,  dann  mu  "Keine 
  Immunisierung" gewhlt sein.


  VIII.           Was tun im Fall des (Be)falls?
                  

  Bei  Bootsektorviren ist die Rettung der Software meistens kein Problem. Mit 
  Anti-Viren-Programmen,   z.B.   mit   dem   VIRENDETEKTOR   ist  ein  einmal 
  identifizierter  Virus  im Bootsektor schnell beseitigt. Denn gleichen Zweck 
  erfllt   ein   Disk-Monitor,  allerdings  mu  man  dann  wissen,  wie  ein 
  Virusprogramm  aussieht,  welche  Bytes  im  Bootsektor nicht genullt werden 
  drfen  (Diskettenstruktur-Information im Bereich $08-$1D) und umstndlicher 
  ist es auerdem.

  Bei  Viren die sich direkt in Programme einklinken ist die ganze Sache nicht 
  so  einfach.  Man bentigt schon hervorragende Assemblerkenntnisse und einen 
  guten  Debugger,  um  ein  Programm  zu  retten.  Oft ist es auch dann nicht 
  mglich, mit einem Anti-Viren-Programm "auf Knopfdruck" jedenfalls bis heute 
  noch nicht. Gegenteilige Behauptungen einiger Virenkiller haben sich im Test 
  bislang  noch  alle  als heie Luft herausgestellt. Lediglich die Entfernung 
  des "Milzbrand Virus" ist bereits erfolgreich gelungen.

  Wenn  sich  also  ein Linkvirus in Ihre Programmsammlung eingeschlichen hat, 
  dann   sollten   Sie   alle   verseuchten   Programme   lschen   und  durch 
  Sicherheitskopien  ersetzen.  Wenn  Sie  keine Sicherheitskopien angefertigt 
  haben, knnen Sie die befallenen Programme auf die Verlustliste setzen; aber 
  wer arbeitet schon mit Originalen ohne Sicherheitskopie!?!

  Sollten  Sie  einmal  von  einem  wichtigen Programm keine Kopie angefertigt 
  haben  (na, na,...) oder sollte auch das Original verseucht sein (wohl nich' 
  im  Panzerschrank  aufbewahrt, wa?), dann knnen Sie das Programm, sofern es 
  noch   einwandfrei   luft,   auf   eine   separate  Diskette  kopieren  und 
  weiterbenutzen.  Das  kann jedoch nur eine absolute "Notlsung" sein und die 
  folgenden Regeln mssen Sie  u n b e d i n g t  beachten:

    1. Starten Sie ein infiziertes  Programm  nur  wenn  keine  Diskette  im
       Zweitlaufwerk  liegt  und  lassen  Sie  Ihre   Festplatte   unbedingt
       ausgeschaltet.

    2. Kopieren Sie nie verseuchte  mit  sauberen  Programmen  zusammen  auf
       eine Diskette.

    3. Geben Sie Datum und  Uhrzeit  beim  Systemstart  nicht  ein,  sondern
       belassen Sie das Systemdatum als aktuelles Datum (manche Viren werden
       erst ab einem bestimmten Datum aktiv).

    4. Kennzeichnen Sie die Diskette mit dem verseuchten Programm!!!

    5. Geben Sie  n i e  verseuchte Programme weiter!

    6. Rechner nach Benutzung des Programms  a u s s c h a l t e n !!!

  Besser ist natrlich, wenn Sie rechtzeitig eine Sicherheitskopie angefertigt 
  haben  und  das  infizierte  Programm  lschen knnen. Glcklicherweise sind 
  Linkviren  auf  Grund ihrer Verbreitungsweise (noch) weit weniger hufig als 
  ihre Kollegen im Bootsektor.

  Falls Sie bei Ihrer Software Virenbefall festgestellt haben, informieren Sie 
  umgehend alle, an die Sie eventuell verseuchte Disketten weitergegeben haben 
  knnten!!!

  Hoffentlich  wissen  Sie  nun  in  etwa  was  ein  Computervirus ist, wie er 
  arbeitet  und  wie  man  sich vor diesen ungebetenen Gsten schtzt. Weitere 
  Informationen  finden  Sie  vor  allem  in  einschlgigen Fachzeitschriften. 
  (Erwhnenswert  erscheinen  mir  folgende Ausgaben: c't 4/87 und 7/88, Happy 
  Computer  5/88, Atari Special 4/87 und 1/89, Chip 9/87, ST-Magazin (68000er) 
  9/88  und  3/89,  TOS  11/90 u.s.w ...! Die Liste erhebt keinen Anspruch auf 
  Vollstndigkeit, denn ich kann schlielich nicht alles lesen.

  Zum Ende noch eine Anmerkung:

  Falls  Sie  zu den Fanatikern gehren, die selbst Viren schreiben oder falls 
  Sie  mit  dem  Gedanken  spielen  selbiges  zu versuchen - denken Sie an die 
  Folgen  fr  andere  User. Aber auch fr den Viren-Programmierer selbst kann 
  seine Ttigkeit unangenehme Folgen haben. Im Strafgesetzbuch heit es:

  "Wer   rechtswidrig   Daten  lscht,  unterdrckt,  unbrauchbar  macht  oder 
  verndert,  wird  mit  Freiheitsstrafen  bis  zu zwei Jahren oder Geldstrafe 
  bestraft. Der Versuch ist strafbar."

  Daneben  sind  auch  die zivilrechtlichen Folgen nicht unerheblich. Wenn der 
  von  Ihnen  programmierte  Virus  einem  anderen  einen finanziellen Schaden 
  zufgt  und  Sie als Verursacher ausfindig gemacht werden knnen, werden Sie 
  unter Umstnden mit hohen Schadenersatzforderungen zu rechnen haben.

  Gegebenenfalls    knnen    zudem   weitere   Paragraphen   des   StGB   auf 
  Virenprogrammierer in Anwendung gebracht werden.

  Auch wenn Sie meinen, Ihr Virus fge niemandem Schaden zu - Finger weg!!!

  Es  gibt  z.B.  einen  Bootsektorvirus auf dem ST, der eigentlich nichts tun 
  sollte,  als  sich  nur  zu verbreiten. Der Schpfer dieses Virus hat sicher 
  keinen  Schaden  anrichten  wollen,  durch  einen  Programmierfehler(!) kann 
  dieser Virus jedoch den Rootsektor der Festplatte zerstren! Dieses Beispiel 
  zeigt,  da  man  von  der Virenprogrammierung besser die Finger lt. Zudem 
  gibt es wahrlich genug ntzliche Dinge zu programmieren!


  IX.             Das SHAREWARE-Vertriebskonzept
                  

  Das  Programm  VIRENDETEKTOR ist  S H A R E W A R E .  Falls Sie nicht genau 
  wissen, was der Begriff "SHAREWARE" bedeutet, hier eine kurze Erluterung:

  Mit "SHAREWARE" bezeichnet man Programme, die frei kopiert und weitergegeben 
  werden  drfen,  sofern  sie  weder  verndert  noch  kommerziell vertrieben 
  werden.  Wer  mit  einem  SHAREWARE-Programm  regelmig arbeitet, zahlt dem 
  Autor eine Registrierungsgebhr. Deren Hhe hngt sowohl von der Komplexitt 
  des  Programms  ab,  als  auch davon, was nach der Registrierung an weiterer 
  Anwender-Untersttzung erfolgt.

  Diese  Gebhr  kann  bei  einigen  Programmen  durchaus dreistellige Betrge 
  ausmachen,  liegt aber immer wesentlich niedriger, als man fr vergleichbare 
  kommerzielle  Produkte  ausgeben mte. Nach Zahlung dieses Betrages ist man 
  "legaler"  Anwender  und  erhlt  dann weitere Leistungen, wie z.B. Updates, 
  gedruckte  Manuals,  Untersttzung  falls  Fragen  oder Schwierigkeiten beim 
  Einsatz des Programms auftauchen, ... usw.!

  SHAREWARE-Programme   sind   KEINE   Frei-Programme   (Public-Domain),   die 
  Urheberrechte  an  diesen  Programmen  bleiben  bestehen,  allerdings drfen 
  Kopien  der  Disketten  frei  weitergegeben werden, damit andere potentielle 
  Anwender  die  Programme  prfen  knnen.  Das  Nutzungsrecht  wird erst mit 
  Zahlung  der Registrierungsgebhr erworben. Um es nochmals klar zum Ausdruck 
  zu  bringen:  Die  Benutzung  des  Programms  durch  nicht registrierte User 
  verstt  gegen  geltendes  Recht!  Lediglich  eine  kurze Testphase ist bei 
  SHAREWARE-Programmen  gestattet.  Natrlich  kann  niemand kontrollieren, ob 
  jemand  das Programm benutzt ohne sich registrieren zu lassen. SHAREWARE ist 
  eben Vertrauenssache!

  Das  SHAREWARE-Konzept  bietet  sowohl  dem  Autor als auch dem Benutzer des 
  Programms Vorteile:

  Der  Autor  hat  keine Unkosten fr Vertrieb und Werbung - der Benutzer kann 
  das  Programm  testen  und zahlt den vergleichsweise geringen Betrag fr die 
  Registrierung  nur  dann, wenn ihm das Programm zusagt. Im deutschsprachigen 
  Raum   hat  sich  deshalb  auch  der  Begriff  "PRF-VOR-KAUF-Software"  fr 
  SHAREWARE etabliert.

  Wrde  der VIRENDETEKTOR als kommerzielles Programm vertrieben, dann blieben 
  mir  (dem  Programmautor)  vom  Verkaufspreis  bestenfalls 10-20% brig. Das 
  wrde heien, da der VIRENDETEKTOR ca. 100 DM kosten mte, damit mir (nach 
  Abzug  der  Kosten  fr  Versand,  etc.) der gleiche Betrag brigbliebe, wie 
  jetzt  als  SHAREWARE-Programm.  Damit  drfte  der  Vorteil  von  SHAREWARE 
  augenfllig werden!

  Public-Domain Programme sind dagegen Programme, bei denen der Autor auf alle 
  Rechte  verzichtet  (im  Gegensatz  zu  SHAREWARE)  und die somit z. B. auch 
  verndert  werden  drfen,  sofern  das  Copyrightvermerk  des  Autors nicht 
  entfernt  wird.  Beim ST wird allerdings vielfach nicht so genau zwischen PD 
  und  SHAREWARE  unterschieden.  Im  brigen  hat der Begriff "Public-Domain" 
  selbst  keine  Rechtsverbindlichkeit.  Oft  wird auch bei PD-Programmen eine 
  Vernderung  des Programms ausdrcklich untersagt und um eine Spende fr den 
  Autor  gebeten. Im Gegensatz zu SHAREWARE-Programmen ist diese Spende jedoch 
  freiwillig.

  Wichtig  ist jedenfalls, da Sie bei SHAREWARE mit dem Kauf der Diskette bei 
  einem  PD-Versender  noch  nicht  fr  das  Programm  bezahlt haben, sondern 
  lediglich  fr  dessen  Dienstleistung!  Preiswerte PD-Hndler verlangen fr 
  eine  Diskette  3-5  DM,  mehr  als  10 DM sollten Sie keinesfalls bezahlen. 
  Natrlich  hngt  der  Diskettenpreis auch sehr vom Service des Hndlers ab, 
  das  Einsortieren  von  Updates  und  die Anfertigung eines aussagekrftigen 
  Katalogs  wollen  schlielich  auch  bezahlt  werden. Eine andere Quelle fr 
  SHAREWARE  und  PD-Software  sind Mailboxen und Diskettentausch mit Freunden 
  und Bekannten. Bei Sharewareprogrammen erwerben Sie das Nutzungsrecht an dem 
  Programm erst durch Zahlung der Registrierungsgebhr an den Programmautor!

  Leider ist die Zahlungsmoral bei vielen ST-Besitzern (wie brigens auch beim 
  Amiga)  nicht  sonderlich  ausgeprgt.  Dabei  ist dieses Verhalten ziemlich 
  kurzsichtig.    Auf    dem    amerikanischen    PC-Softwaremarkt   ist   das 
  Sharewareangebot   inzwischen  nicht  zuletzt  deshalb  so  umfangreich  und 
  qualitativ hochwertig, weil die Autoren dieser Programme mit der Ehrlichkeit 
  der  Anwender rechnen knnen. Wer in Europa SHAREWARE fr den ST entwickelt, 
  wird  jedoch  auf Grund der mangelnden Resonanz schnell entmutigt. Das fhrt 
  dazu,  da  der  Anteil guter PD- und Sharewareprogramme weiter sinkt. Jedes 
  gute  Programm  wird  nur  noch  kommerziell  vermarktet,  der  Vertrieb als 
  SHAREWARE funktioniert nur sehr beschrnkt. Als Folge zahlt der Anwender fr 
  ein  kommerzielles  Programm  das  vier- bis fnffache im Vergleich zu einem 
  gleichwertigen Sharewareprogramm.

  Natrlich  gibt  es  auf  dem  PD-Markt  auch eine Menge Schrott, so manches 
  Programm  ist  die Diskette nicht wert, auf der es gespeichert ist. Aber Sie 
  gehen  im  Unterschied zu kommerzieller Software keinerlei Risiko ein. Bevor 
  Sie fr ein Programm zahlen, knnen Sie es auf Herz und Nieren testen. Diese 
  Mglichkeit  besteht  bei  kommerziellen  Programmen  nicht, hier mssen Sie 
  oftmals die berhmte Katze im Sack kaufen.

  Jeder,  der  sich  bei  den  Autoren, deren Sharewareprogramme er regelmig 
  nutzt,   registrieren   lt,  frdert  und  belebt  die  Entwicklung  guter 
  SHAREWARE-Programme fr den ST.

  Doch  nun  zurck  zum  VIRENDETEKTOR.  Wenn  Sie  das  Programm  regelmig 
  verwenden,  dann  sollten  Sie  sich  registrieren lassen. Wer einen Drucker 
  besitzt,  hat  es  am  einfachsten,  in  dem  er sich die Datei REGISTER.TXT 
  ausdrucken  lt.  Ich  denke  nach  einer  vierwchigen  Testphase kann man 
  entscheiden,  ob  man  den  VIRENDETEKTOR  bezahlen  will,  oder  ob man das 
  Programm nicht weiter benutzen will, weil es einem nicht zusagt.

  Die   Registrierungsgebhr   fr   den   VIRENDETEKTOR   betrgt   30,-  DM! 
  (Beziehungsweise  40,-  DM  incl.  der  drei  Utility-Disketten - dazu siehe 
  unten.)

  Schicken  Sie  diesen  Betrag  bitte als Verrechnungsscheck (oder in Bar) an 
  meine Adresse:
                               Volker Shnitz
                               Beginenstr. 17
                               D-5100  Aachen

  Fr diesen Betrag erhalten Sie:

    1. Sofort die gerade aktuelle Version  des  VIRENDETEKTORS  zugeschickt.
       Mit der Originaldiskette knnen Sie dann aus dem  VIRENDETEKTOR  (den
       Sie natrlich auch weiterkopieren drfen) eine  registrierte  Version
       mit Ihrer persnlichen Seriennummer erstellen. Diese Version  erlaubt
       dann auch den Zugriff auf die Viren-Datenbank und enthlt keine  "Er-
       innerungen" an die Zahlungsmoral mehr, darf in dieser Form dann  aber
       auch nicht mehr weiterkopiert werden.

    2. Eine aktualisierte Fassung dieses Textes,  der  auch  auf  eventuelle
       neue ST-Viren eingeht.

    3. Alle zuknftigen Updates des VIRENDETEKTORS gegen eine geringe Gebhr
       fr Porto, Diskette und Verpackung!

    4. Auf Wunsch (bitte angeben) ein Beispiel-Listing in Assembler fr  die
       Arbeitsweise eines (relativ harmlosen) Virus.

    5. Falls Sie nur einen ST mit Farbmonitor besitzen, knnen Sie  bei  mir
       einen  MONOCHROM-EMULATOR  erhalten.  Dabei handelt es  sich  um  ein
       kleines Programm, welches auf dem Farbmonitor die hohe Auflsung dar-
       stellt.  Die Qualitt dieses Emulators lt  zwar  sehr  zu  wnschen
       brig, da ein Farbmonitor/Fernseher nicht ber die Mglichkeiten  des
       SM 124 verfgt, fr die  Virenjagd  mit  dem  VIRENDETEKTOR  ist  der
       Emulator aber auf dem Farbmonitor gerade noch akzeptabel.
       Geben  Sie  bitte  bei  der  Registrierung  an,  ob  Sie den Emulator
       bentigen!

    6. Viele Probleme,  die  sich  hnlich  wie  Virenbefall  uern,  gehen
       tatschlich auf andere Ursachen zurck. Neben  Hardwaredefekten  sind
       hauptschlich  schlechte  Disketten  als  Schuldige  auszumachen.  Um
       solchen Dingen auf den Grund zu gehen, bentigt man neben einem guten
       Virenkiller  auch  einige  weitere  Utilities,  mit  denen  man  z.B.
       Hardwarefehler  findet  oder beschdigte Disketten erkennt. Wer nicht
       ber  derartige  Utilities   verfgt,   der   kann   bei   mir   drei
       (doppelseitige)  Disketten mit ca. 4,5 Megabyte (!)  der  wichtigsten
       Hilfsprogramme  erhalten. Auf einer dieser  drei  Disketten  befinden
       sich zudem die Online-Packer, die der VIRENDETEKTOR  erkennt  (soweit
       diese frei kopierbar sind). Der Inhalt der Disketten ist  komprimiert
       und  kann problemlos innerhalb weniger Minuten  automatisch  entpackt
       werden.  Auf diesen Disketten finden Sie unter anderem  ein  Programm
       zur  Funktionsberprfung der RAM-Chips, ein Programm, um  Ihre  Dis-
       ketten  auf  physikalische Defekte zu berprfen (und zu retten,  was
       noch  zu  retten ist),  ein  Programm  zur   Wiederherstellung   ver-
       sehentlich gelschter Dateien und vieles mehr.
       Als  registrierter Benutzer erhalten Sie diese  ntzlichen  Disketten
       fr  einen  Unkostenbeitrag  von  10,-  DM!  Schicken  Sie  bei   der
       Registrierung  zehn Mark mehr, dann fallen keine weiteren Kosten  fr
       Porto  und Verpackung an, Sie erhalten die Utility-Disketten zusammen
       mit  Ihrem  neuen  Exemplar  des  VIRENDETEKTOR.  Wenn  Sie   bereits
       registriert  sind,  und die Disketten separat bestellen, kommen  noch
       2,- DM fr Porto und Verpackung hinzu. Fr 12,- DM (Scheck oder Zehn-
       markschein  +  2,-  in Briefmarken) erhalten Sie dann  umgehend  eine
       Menge ntzlicher Software.

  Sollten Sie mit Ihrer Hard- oder Software Probleme haben, die in irgendeiner 
  Weise  mit  Viren zusammenhngen, so stehe ich Ihnen gerne mit Rat (und Tat) 
  zur Seite!

  Sie  sehen  also,  da  sich  eine  Registrierung in jedem Fall lohnt (unter 
  Umstnden auch finanziell - siehe 1.)!

  Ich will auch nicht verschweigen, was es bei einer Registrierung NICHT gibt: 
  Es gibt KEINE aufwendige Verpackung - dies wrde die Sharegebhr nur unntig 
  in die Hhe treiben. Zur Zeit gibt es auch noch kein gedrucktes Handbuch. Im 
  Moment  erstelle  ich  aber ein komplett berarbeitetes bebildertes und sehr 
  umfangreiches  Handbuch,  da in gedruckter und gebundener Form zusammen mit 
  der  Version  3.2 erscheinen wird. Dieses Handbuch wird den Umfang der Datei 
  HANDBUCH.TXT  bei  weitem  bersteigen  und  auch  mit  einem  ausfhrlichen 
  Stichwortverzeichnis   versehen   sein.   Neben   detaillierten   Infos   zu 
  Computerviren  wird  auch  der VIRENDETEKTOR in allen Funktionen ber das in 
  dieser Datei beschrieben Ma hinaus beschrieben werden. Es ist klar, da ich 
  dieses  Handbuch  nicht kostenlos mitliefern kann, die Druckkosten liegen zu 
  hoch,   um   diese  auch  noch  mit  dem  Sharewarebeitrag  zu  finanzieren. 
  Registrierte  User  werden  bei  Erscheinen des Handbuchs benachrichtigt und 
  knnen  das  Handbuch dann auf Wunsch bei mir beziehen. Der Preis steht noch 
  nicht  fest,  da  ich  die  genauen  Druckkosten noch nicht kenne. Vorlufig 
  empfehle  ich  Ihnen, diesen Text auszudrucken, dann haben Sie ein Handbuch, 
  nach  dem  sich  viele andere SHAREWARE-Programmautoren die Finger schlecken 
  wrden.  Zum Ausdrucken dieses Textes ist es am gnstigsten, den Drucker auf 
  12 cps (ELITE) und auf einen Rand von 6-8 Zeichen einzustellen.

  Um  den  Aufwand  und die Kosten so klein wie mglich zu halten, werden auch 
  keine  Registrierungen  per Nachnahme abgewickelt. Rechnungen oder hnliches 
  stelle ich nur auf ausdrcklichen Wunsch aus. Lediglich kommerzielle Nutzer, 
  die  eine  "Spezialversion"  des  VIRENDETEKTORS  bestellen  mchten  (siehe 
  Kapitel X) erhalten diese selbstverstndlich ohne einen zustzlichen Hinweis 
  gegen Rechnung.

  Sollten  Sie  auch  einen  MS-DOS-kompatiblen  Rechner besitzen - oder einen 
  PC-Emulator  (PC-Speed, AT-Speed, AT-Once, ...), dann bentigen Sie auch fr 
  dieses  System einen Virenkiller, denn der VIRENDETEKTOR luft natrlich nur 
  unter  TOS.  Ich  kopiere  Ihnen auf Wunsch gerne die aktuellste Version des 
  McAfee-VirusScan  mit  auf die VIRENDETEKTOR-Diskette (natrlich kostenlos). 
  Dieser SHAREWARE-Virenkiller ist ohne Zweifel das leistungsfhigste Programm 
  dieser  Art  unter  MS-DOS. Ich habe stndig die aktuellste Version - direkt 
  aus den USA - vorrtig. Beachten Sie, da auch dieses Programm SHAREWARE ist 
  und Sie es bei regelmiger Benutzung bezahlen mssen.


  X.              Hinweise fr kommerzielle Nutzer und PD-Versender
                  

  Wenn  Sie  dieses  Programm zu kommerziellen Zwecken einsetzen (zum Beispiel 
  zur berprfung aller von Ihnen vertriebenen Disketten oder hnlichem), dann 
  knnen Sie von mir eine "Spezialversion" bekommen. Damit ist es zum Beispiel 
  mglich,  alle Disketten mit einem Immunisierungsbootsektor zu versehen, der 
  beim Booten einen Text IHRER WAHL (ca. 380 Bytes) ausgibt. Zum Beispiel:

                      VIRENDETEKTOR sagt:
                      *************************************
                      *                                   *
                      *      Diese Diskette wurde von     *
                      *            XYZ-Software           *
                      *            Hampelweg 69           *
                      *            1234  A-Dorf           *
                      *     auf Virenbefall berprft     *
                      *                                   *
                      *************************************

  Dieser  Text  oder  Teile  des  Textes  knnen auf Wunsch invers dargestellt 
  werden.

  Dies  ist  nicht  nur  eine  gute  Werbung  fr  Sie, schlielich bleibt der 
  Bootsektor  auch erhalten, wenn PD-Disketten privat weiterkopiert werden, es 
  zeigt  auch,  da  Sie  diese  Diskette  mit  einem  der  leistungsfhigsten 
  Virenkiller  auf  Virenfreiheit  berprft  wurde.  Damit hat der Kufer die 
  Gewissheit, auch tatschlich virenfreie Software zu bekommen.

  Auerdem  ist  der  VIRENDETEKTOR zur Zeit der einzige Virenkiller, der Ihre 
  Disketten  trotz  der  Immunisierung  in  einem  MS-DOS-kompatiblen  Zustand 
  belt.

  Fr   eine   derartige   Anpassung   des   VIRENDETEKTORS  erhht  sich  die 
  Registrierungsgebhr  um  50,-  DM;  falls  Sie noch nicht registriert sind, 
  erhalten Sie eine solche Version also fr 80,- DM.

  Eine nderung des Textes (wenn sich z.B. Ihre Geschftsanschrift ndert) ist 
  jederzeit gegen eine Gebhr von 10,- DM mglich.

  Schreiben  Sie  den  gewnschten  Text  bitte deutlich und geben Sie inverse 
  Bereiche durch unterstreichen oder Fettdruck an.

  Ich  bin  auch gerne bereit, andere Sonderwnsche zu bercksichtigen, sofern 
  der Aufwand dafr in einem angemessenen Rahmen bleibt.

  Bitte  beachten  Sie  folgendes:  Alle Rechte an diesem Programm liegen beim 
  Autor,  daher darf das Programm ohne meine Zustimmung nicht verkauft werden, 
  keinem  kommerziellen  Produkt  beigelegt  werden  (Verbot  der  Zugabe  zum 
  Warenverkauf) und nicht in Mailboxen angeboten werden, in denen der Download 
  gebhrenpflichtig ist!

  Die  fr  die  Versionen 3.1 bis 3.1f eingefhrte "Sperrfrist" fr Mailboxen 
  habe ich (zumindest vorlufig) wieder fallengelassen.

  EIN  VERTRIEB  BER CHANNEL VIDEODAT ODER VERGLEICHBARE SYSTEME IST SEIT DER 
  3.0 AUSDRCKLICH UNTERSAGT!

  Die  Weitergabe  des  VIRENDETEKTORS  durch  PD-Anbieter  ist  aber durchaus 
  gestattet, sofern dem Kunden nur die Kosten fr die Dienstleistung (also das 
  Kopieren  der  Diskette)  und  damit  zusammenhngende  Kosten  in  Rechnung 
  gestellt  werden.  Sollte  der  Preis  fr  den  VIRENDETEKTOR  (incl. einer 
  Diskette)   eine   Summe  von  10,-  DM  bersteigen,  gehe  ich  von  einer 
  kommerziellen    Vermarktung    des    Programms    aus,    die   nach   dem 
  Urheberschutzgesetz ohne meine Zustimmung nicht gestattet ist!

  Alle  PD-Serien,  in die der VIRENDETEKTOR ab Version 3.1 aufgenommen werden 
  soll,  drfen  keinen  weitergehenden  Einschrnkungen  unterliegen, was die 
  Anfertigung  und  Weitergabe  sowohl von privaten wie  auch von gewerbsmig 
  vertriebenen  Kopien  betrifft,  sofern  diese Einschrnkungen nicht ohnehin 
  inhaltlicher Bestandteil der Datei HINWEIS.TXT sind.

  Daraus  ergibt sich, da die bernahme von VIRENDETEKTOR-Versionen ab 3.1 in 
  die  sogenannte  PD-POOL  Serie,  fr  deren  Disketten  ab  Disk  2231  ein 
  sogenanntes  "Autorenhonorar"  gezahlt  wird und deren gewerblicher Vertrieb 
  PD-POOL  Mitgliedern  vorbehalten  bleibt,  UNTERSAGT ist. Gleiches gilt fr 
  andere PD-Serien, die vergleichbaren Bedingungen unterliegen.

  Solche  "Autorenbeteiligungen"  haben  meiner Ansicht nach mit Public Domain 
  oder  SHAREWARE nichts zu tun! SHAREWARE bedeutet, da man ein Programm eben 
  gerade  NICHT  VORHER,  sondern  erst  dann  bezahlt, wenn man es regelmig 
  benutzt!  Da  PD-Hndler  fr  ihre  Arbeit eine kleine Gebhr pro Diskette 
  verlangen mssen, ist selbstverstndlich. Doch abgesehen von den 3-4 DM, die 
  man  bei  preiswerten Hndlern pro Diskette zahlt, ist das Programm zunchst 
  einmal  kostenlos.  Ich  will auch kein Geld von Leuten, denen mein Programm 
  nach einer Testphase dann doch nicht gefllt.

  Um  es  nochmals zu betonen: Eine Weitergabe des Programms durch PD-Anbieter 
  ist  dann  gestattet,  wenn die Gebhr fr das Kopieren (incl. der Diskette) 
  einen Betrag von 10,- DM nicht bersteigt!

  Es  wre schn, wenn Sie als PD-Anbieter sich auch dann bei mir als Anwender 
  registrieren  lieen,  wenn  Sie  dieses  Programm  NICHT  selbst verwenden! 
  Schlielich   liefern   die  PD-  und  SHAREWARE-Autoren  Ihnen  quasi  Ihre 
  "Lebensgrundlage".  Und  ein  wenig  Resonanz wrde manche SHAREWARE-Autoren 
  vielleicht  davon abhalten, Ihre Programme ber andere Kanle zu verbreiten. 
  Bei  vielen  SHAREWARE-Programmen  gehen die Autoren nmlich inzwischen dazu 
  ber,  den  PD-Versendern  die  Weitergabe  Ihrer  Programme  zu untersagen. 
  Aktuelle  Beispiele  sind die Programme GEMINI, RUFUS, SYSMON und eine groe 
  Zahl an weiteren erstklassigen SHAREWARE-Programmen.

  Ich  habe  allerdings auch Verstndnis, wenn sich ein PD-Versender nicht bei 
  jedem  SHAREWARE-Autor, dessen Programm er vertreibt, registrieren lt. Die 
  Unkosten  wren  in diesem Falle viel zu hoch. Aber berlegen Sie einmal, ob 
  Sie  sich  nicht  wenigstens  jeden  Monat  bei EINIGEN Autoren registrieren 
  lassen.  Schlielich  profitieren auch SIE von der Bereitschaft der Autoren, 
  Ihre Programme als SHAREWARE oder Public-Domain zu verbreiten.

  Der  kommerzielle  Vertrieb  von  Disketten  (also  auch  der  Vertrieb  von 
  PD-Disketten),  auf  denen  der  Immunisierungs-Bootsektor des VIRENDETEKTOR 
  aufgebracht wurde, ist nur registrierten Benutzern gestattet!


  XI.             Schluwort
                  

  Ich  hoffe,  dieser Text hat Ihnen einen kleinen Einblick in die Lage an der 
  "Virenfront"  auf  dem  Atari  ST gegeben und der VIRENDETEKTOR hat Ihnen im 
  Kampf  gegen Computerviren gute Dienste geleistet. Ich wrde mich freuen von 
  Ihnen zu hren - fr Anregungen und Kritik habe ich immer ein offenes Ohr.

  Selbstverstndlich habe ich alle Sorgfalt walten lassen, um ein fehlerfreies 
  Programm  zu  erstellen.  Trotzdem  sind  Fehler  nie  ganz auszuschliessen. 
  Deshalb kann weder die juristische Verantwortung noch irgendeine Haftung von 
  Seiten  des  Autors  fr  eventuelle  Schden  an Daten oder Programmen, die 
  direkt oder indirekt auf die Benutzung dieses Programms zurckzufhren sind, 
  bernommen werden!

  Viel Spa bei der Arbeit mit dem ST und wenig rger mit Viren wnscht Ihnen

                             Volker Shnitz


  Anhang:
  
  Hier finden Sie eine Reihe von Antworten zu Fragen, die mir bislang mehrfach 
  zum VIRENDETEKTOR gestellt wurden.

  Sollten  Sie  noch  irgend  etwas  von  mir wissen wollen, sollten Sie nicht 
  sicher  sein,  ob  ein  Problem auf Virenbefall oder auf eine andere Ursache 
  zurckzufhren  ist  oder  falls Sie mir eine Diskette zur genaueren Analyse 
  zuschicken wollen, dann beachten Sie bitte folgendes: Ich antworte gerne auf 
  Fragen von registrierten Benutzern, ich bin auch gerne bereit, Hilfestellung 
  bei Problemen rund um den ST/TT zu geben, ich mchte Sie jedoch um folgendes 
  bitten:  Legen  Sie  ausreichend  Rckporto bei, wenn Sie eine Antwort haben 
  wollen  oder  wenn Sie Ihre Diskette zurckgeschickt haben mchten. Ich kann 
  Anfragen ohne Rckporto leider in Zukunft nicht mehr beantworten.


  FRAGE:  Bei  einigen  Spieledisketten meldet der VIRENDETEKTOR ein oder zwei 
  "virentypische  Eigenschaften",  kommt aber dennoch zu dem richtigen Schlu, 
  da  es  sich hchstwahrscheinlich nicht um einen Virus handelt. Wie ist das 
  zu erklren?

  ANTWORT: Auch harmlose Bootsektoren knnen das eine oder andere Virenmerkmal 
  enthalten, je nachdem was das Bootprogramm tut. Der VIRENDETEKTOR erkennt an 
  Anzahl  und  Art der gefundenen Merkmale, die auch unterschiedlich gewichtet 
  werden,  ob  es  sich  um einen Virus handelt oder nicht. Wenn Sie mir einen 
  unbekannten   Spielebootsektor   als   Datei   zuschicken,  werde  ich  eine 
  entsprechende  Erkennung  in die nchste Programmversion einfgen. Geben Sie 
  bitte den Namen des Spiels ebenfalls an.


  FRAGE:  Manchmal  wird  deutlich  hrbar  auf  meine Festplatte zugegriffen, 
  obwohl  das  gerade  laufende  Programm  keine  Lade-  oder Speichervorgnge 
  durchfhrt.  Der  VIRENDETEKTOR  findet  aber auch keinen Virus. Woran liegt 
  das?

  ANTWORT:  Einige  Festplatten fhren in gewissen Zeitabstnden selbststndig 
  eine   automatische   Rekalibrierung  der  Spurlage  durch.  Dies  wird  oft 
  flschlicherweise  fr  einen  Schreib-  oder  Lesezugriff durch einen Virus 
  gehalten.  Somit  ist das beschriebene Verhalten also vllig normal und kein 
  Grund zur Besorgnis.



  ****************************************************************************

  Bitte ndern Sie weder dieses File noch das dazugehrige Programm! Falls Sie 
  diese  Diskette  oder  das Programm VIRENDETEKTOR weiterkopieren, dann bitte 
  mit allen Files (auer den Dateien VIRENDET.HD und VIRDPROT.INF)!
