F - Prot Testbericht

Vorbemerkung: Die erste Fassung zu diesem Bericht veröffentlichte ich am 2.08. 2001 bei CIAO. Auf diesen Tag beziehen sich Zeitangaben im Bericht. Habe aber inzwischen weitere Programmaktualisierungen aus dem Internet heruntergeladen und kann meine positive Einschätzung nur nochmals bestätigen.

Virenscanner und Virendesinfektionsprogramm F-Prot

********Erfahrungen aus der Vergangenheit********

Seit Jahren schätze ich dieses Programm aufgrund seiner Zuverlässigkeit, auch wenn es im DOS-Fenster unter Windows läuft. Die letzten 2 oder 3 Jahre vermochte es im Gegensatz zu früheren Zeiten mich eher zu beruhigen, als dass es Viren erkannte, desinfizierte oder löschte.
In früheren Zeiten waren es eher die berüchtigten Bootsviren, die, einmal in den Arbeitsspeicher gelangt, dort zuerst und dann aus dem Bootsektor gelöscht werden mussten.

Die letzten 2 Jahre vergaß ich zuweilen auch, die vierteljährliche Aktualisierung durchzuführen, war mein jetziger PC und sein Vorgänger doch jeweils sauber und nur auf Schülerdisketten, die ich zuvor immer scannte, entdeckte und entfernte ich mehr oder weniger harmlose Viren. Doch auch dies kam schon über 2 Jahre lang nicht mehr vor. Zusätzlich scannte ich noch mit einem anderen bekannten Virussuchprogramm. Kurzum, ich war beruhigt.

Ach ja, zum Schutz gegen trojanische Pferde /Backdoors -Programme ließ ich ein Firewallprogramm laufen. Ein weiteres Programm warnt mich, sobald irgendein Programm einen Eintrag in die Registry vornimmt.


********Bezug und Funktionsweise von F-PROT********

Obwohl es in verschiedenen Zeitschriften gestestet als eines der Virenprogramme mit der höchsten Erkennungsquote und äußerst seltenen Fehlalarmen gilt, ist die DOS-Version für Privatanwender kostenlos. Man kann es von verschiedenen Universitätsrechner laden, da es dort sehr verbreitet ist. In Google F-PROT eingegeben, sucht man sich aus den zahlreichen Treffern eine DOWNLOAD Seite mit der allerneuesten Version und einer schnellen Verbindung aus. Diese ZIP-Datei wird entpackt und installiert, eine Sache von wenigen Minuten.

Auch aus WINDOWS heraus lässt es sich ohne jegliche Probleme durch Anklicken des ICONS vom Desktop aus starten, auch wenn es dann im DOS-Fenster läuft. Der Aufbau ist sehr schlicht und funktional.
Sollten die Erkennungsdateien älter als 3 Monate sein, gibt es eine Warnung, mit zu alten läuft das Programm nicht, sondern fordert auf, das neuere Update zu laden.
Versionsnummer und Datum in der Programmkopfzeile weisen auf die Aktualität hin.

4 Programmfenster rechts, SCAN, OPTIONS (Einstellungen) INFO und QUIT
Links in den dazugehörigen Unterfenstern überprüft man seine Einstellungen, z.B. bei Search, welche Laufwerke mit oder ohne Unterverzeichnisse durchsucht werden sollen.
Bei ACTION entscheidet man sich für Disinfektion, Löschen oder Umbenennen entweder mit oder ohne Nachfrage bzw. für einen reinen Statusbericht. Durch rote Farbe und BEEP-Ton werden auf Treffer aufmerksam gemacht.


********Erfolgreicher Einsatz von F-PROT gegen W32SirCam********

Anlass: Vor 3 Tagen erhielt ich eine E-Mail meiner älteren Schwester mit einem Anhang, scheinbar einer Winword *.doc Datei. Merkwürdig erschien mir, dass meine uralte ADDCOM Mail Adresse, die zwar noch in OUTLOOK vorhanden, aber von mir nicht mehr weitergegeben wurde, Zieladresse war. Es war spät, einen Text in der E-Mail gab ´s nicht, also speicherte ich den Anhang ab und löschte die E-Mail.

Am nächsten Tag rief ich das Dokument auf. Verwundert stellte ich fest, dass es sich trotz der 156 KB nur um einen kurzen tabellarischen Lebenslauf, allerdings offenkundig von der Festplatte meiner Schwester, handelte. Gleichzeitig fragte mich mein Registry-
Überwachungsprogramm, ob ich einen neuen Eintrag zulassen wollte. Ich nahm an, dass ein neues Betrachtungsprogramm mit der Datei gekoppelt sei und willigte ein. (Kardinalfehler!)

Doch dann kam mir das Ganze zu merkwürdig vor. Ich überprüfte alle neuen Registry-Einträge und neuen Dateien dieses Tages. Rasch stieß ich auf Dateien, die ich nicht zuordnen konnte. Ich löschte sie. Neu gebootet und...sie waren trotz Löschung wieder da!

Im Autostartverzeichnis der Registry löschte ich die neuen Einträge und alles, was nicht zuzuordnen war. Neu gebootet und...alle Einträge wieder da.
Jetzt erst setzte ich F-PROT ein. War aber leider veraltet. Trotzdem kam der Hinweis auf eine vermutliche BACKDOOR Datei. Diese gelöscht, auf die neuste F-PROT Version aktualisiert und den Scan Vorgang wiederholt. Innerhalb von 4 Minuten fand F-Prot die 4 Übeltäter, ein brandneuer E-Mail Wurm, disinfizierte bzw. löschte sie. Auch alle fehlerhaften Registry-Einträge wurden korrigiert.

Meine Schwester verständigt und siehe da, ihr PC war heillos verseucht. Die E-Mail war ohne ihr Wissen abgesandt worden, das Dokument war echt.
Im Internet fanden sich zu diesem Virus folgende Informationen:
W32.Sircam.worm
SirCam verschickt sich selber über alle gefundenen Mailadressen aus dem Windows Adressbuch und dem Browsercache des Internet Explorers. Da SirCam über eine eingebaute SMTP-Routine verfügt benötigt er noch nicht einmal das Mailprogramm Outlook bzw. Outlook Express, wie es sonst bei fast allen Mailwürmern der Fall ist. Doch kann er auch das Mailprogramm benutzen, soweit es vorhanden ist.

Eine infizierte, eingehende Mail trägt folgende Merkmale:
Dateiname: wird durch den Wurm stets neu generiert. Es sind Endungen wie *.exe, *.bat, *.com, *.pif und *.lnk möglich (mehr dazu siehe weiter unten)
Dateinlänge: 137.216 Bytes. Jedoch nur die Originaldatei, die meißten Anhänge haben eine Größe von 200 bis 250 KB. Der Virus verschickt in einigen Fällen auch eine zufällig "gefundene" Datei auf dem System als zweiten Anhang mit.

Den Rest, weitere 2 Seiten bei Bedarf unter: http://www.trojaner-info.de/aktuell.shtml

Nun, F-PROT konnte mir mein System wieder fehlerfrei herstellen, natürlich auch, weil ich sehr schnell reagiert hatte und der Virus seine zerstörerische Arbeit noch nicht aufgenommen hatte. Das Gemeine war, dass die PIF Endung nicht zu sehen war, sondern ich glaubte an eine *.doc Datei.

Also, auch von bekannten Personen die Anhänge in E-Mails gründlichst überprüfen, bevor man sie aufruft. Sollte irgendetwas spanisch vorkommen, sofort sein aktualisiertes F-Prot starten. Habe zwar anschließend noch ein für diesen Wurm spezielles Antivirenprogramm aus dem Internet genutzt, doch das war langsamer und bestätigte mir zu meiner Erleichterung den Disinfektionserfolg.

Also, auch bei allerneusten Viren, Backdoors oder Trojanischen Pferden, F-PROT hilft zuverlässig.