Alles wichtige zu Virenscannern kurz zusammengefasst

In diesem Thema sollen alle wichtigen Dinge, die man bei der Einbindung von Virenscannern beachten muss, kurz vorgestellt werden.
Gleichzeitig soll dies auch eine Liste mit allen bekannten Kommandozeilenparametern der Viren-Programme werden.
Hier soll es Antworten geben, stellt eure Fragen also bitte woanders ;-)
Wer hier postet, sollte sich schon ganz sicher sein, dass alles was schreibt, richtig ist, und ein wenig Wert auf gute Formulierungen legen, ansonten muss er sich nicht wundern, wenn ich den vermeintlichen Tip gleich wieder lösche.


Frage: Warum schreibst du nicht einfach alle Parameter der dir bekannten Virenscanner auf?

A. ) Es gibt nicht „die ideale Kommandozeile“ für Virenscanner, den Kommandozeilen sind:

- Von der Jana-Version abhängig
- Vom installierten Betriebssystem abhängig
- Vom Virenscanner, der Version (proffessional oder freie Version?), dem Release und dessen Konfiguration, Installationspfad usw.
- Es gibt zu viele Eigenarten und Besonderheiten sowie potentielle Fehlerquellen, als dass ein einfaches posten von Parametern genügen würde.

Kurz gesagt möchte ich einfach vermeiden, dass jemand irgendwelche Parameter, ohne wenigstens einige grundsätzliche Dinge verstanden zu haben, einsetzt und sich dann wundert, warum alle Emails als Viren eingestuft werden, oder noch schlimmer, später Viren aufgrund einer falschen Konfiguration unbemerkt durchschlüpfen.

Original von Thomas:
Folgende Virenscanner habe ich getestet. Natürlich müßt Ihr die Verzeichnisse auf euere Installationen anpassen ! Die Rückgabewerte bei allen Scannern sind 0.

McAffe:
C:\Programme\Gemeinsame Dateien\Network Associates\VirusScan Engine\4.0.xx\SCAN.EXE,/ALL,/ANALYZE,/NOBEEP,/NOBREAK,/NODDA,/NOEXPIRE,/NOM
EM,/NORENAME,/NOJOKES,/NODELETE,/SILENT,/UNZIP,/APPEND,/REPORT D:\Jana\VirusReport.txt,/RPTALL,$FILE$

F-Prot:

Win2000/NT:
Durchsuche das Forum nach den F-Prot Batchfiles, Aufruf über Batchfile ist möglich!

Win98/SE/XP/Me

Original von Waldo: (DANKE!)

Hallo,
ich habe nun eine Lösung für F-Prot unter Windows 98/SE gefunden.
Der Aufruf von F-Prot gelingt direkt als .EXE nicht, als .PIF läuft der
Scanner korrekt durch.

Im .PIF (Eigenschaften von F-Prot.exe bearbeiten...) muss das folgende
eingetragen werden:
1. Programm: z.B.: c:\utils\f-prot\f-prot.exe
2. "beim Beenden schließen" anklicken
3. die Speicheroptionen auf Voreinstellung lassen

Ich habe die .PIF Datei, die mit F-Prot mitgeliefert wird vorher einfach
gelöscht.

In Jana den Scanneraufruf eintragen:
Für die Versionen 2.0X noch Kommata zwischen die Parameter !

c:\win98\command\start.exe /min /wait c:\utils\f-prot\f-prot.pif
/dumb /collect /packed /archive /noboot /nomem /nofloppy $FILE$

Der Aufruf mit Start.exe ist die Lösung für ein Speicherproblem unter Win98,
das Jana zum Absturz bringt (pagefault).


Gruß ...

Waldo

Wir haben damit auch endlich einen Virenscanner, der für private Zwecke kostenlos ist, für Win98/SE!

Alternativ geht es auch mit fprotexec von Andreas Hausladen, und/oder Checkexec vom selben Autor


AVG:
D:\Programme\Grisoft\AVG6\avgscan.exe,$FILE$,/NOMEM,/ NOHIMEM,/ARCW,/ARC,/MACROW,/SCAN,/HEUR

PC-CILLIN
D:\Install\Virus\PC-CILLIN\PCSCAN\pcscan.exe,$FILE$,/A,/AZ,/NM,/NB,/NS,/NC,
/Z

AntiVir von H+BEDV
Der Scanner von AntiVir von H+BEDV sollte in der Registrierten Version auch gehen, nur nicht in der kostenlosen, da die am Ende nach dem Scannen immer einen Tastendruck erwartet.


Neue Erkenntnisse

Andreas Hausladen hat für ein Tool avpersexec entwickelt, womit auch die kostenlose Version klappt.

Alternativ (bei den Betriebssystemen, wo Batchfiles klappen, also nicht win98SE/ME , bitte nach "echo j" im Forum suchen.

Norman Virus Control:

Original von rollmops:

Besser spät als nie!
"LW:\Pfad_zu_Norman\nvcc.exe" "$FILE$"
/CP /C /Q /U /V
Die Anführungszeichen sind wichtig und alles in eine Zeile.
Gruß
Manfred

Antwort:

1.) Nur eingehende Mails werden gescannt, NICHT ausgehende Mails.

2.) Nur Mails aus externen Mailkonten, also aus dem Internet, NICHT lokaler Mailverkehr wird gescannt.

Nachtrag : Ab der neuen Version Beta 3 können auch lokale und ausgehende Mails gescannt werden, Update empfehlenswert !

Antwort: 100% JA!

Selbst wenn man über einen On-Access Virenscanner verfügt, der alle Dateien, die auf die Festplatte geschrieben werden, oder auf die zugegriffen wird, nach Viren scannt, so sind die meisten Mails und ihre Anhänge doch kodiert (z.B. MIME, base64, etc.), so dass der Virenscanner Sie erst erkennt, nachdem der Janaserver sie decodiert übergeben hat.

Antwort:

1) Er muss kommandozeilenfähig sein.

2.)Er muss fähig sein, im Silent-Mode zu agieren, d.h.
von Anfang bis zum Ende ohne Meldungen und Frage-Fenster durchlaufen, quasi unsichtbar, weil dies bei Jana sonst einen Timeout verursachen würde.

Antwort:

Der Errorlevel ist ein Wert, der an das rufende Programm, in unserem Fall Jana, zurückgegeben wird, und Auskunft darüber gibt, ob das Programm ordnungsgemäß ausgeführt wurde, oder unerwartet beendet wurde. Es ist also quasi das ERGEBNIS einer Aufgabe, die das gerufene Programm erfüllen sollte.

Mit Hilfsprogrammen wie z.B. Errorlvl.bat und errorlevel.exe kann man den Errorlevel eines Programmes in unterschiedlichen Situationen ermitteln.
( Virus gefunden, kein Virus gefunden, datei nicht gefunden, falsche Parameter etc.), dies geht auch durch Auslesen der DOS-Umgebungsvariable errorlevel, nach der Ausführung des Programms.

Der Errorlevel 0 ist Standart für ein erfolgreiches Ausführen des Programmes ohne Vorkommnisse, und ist in 99% aller Fälle in Jana einzutragen.

Merksatz: Errorlevel 0 = null problemo !

Dass klingt für Sie zu abstrakt?

Stellen Sie sich zum besseren Verständnis einfach folgende Situation vor:
Ihr Chef gibt ihnen den Auftrag, schwierige, Unterlagen zu bearbeiten. Was bedeutet dass konkret?

- Der Chef aktiviert ihre Arbeitskraft für den Auftrag. (Ruft Sie dazu auf)
- Er erwartet von ihnen, dass Sie ihm mitteilen mit welchem ERGEBNIS Sie den Auftrag ausgeführt haben.
- Er erwartet von Ihnen, dass Sie ihm mitteilen, WANN Sie den Auftrag ausgeführt haben, denn er will ihnen ja eine neue Aufgabe geben, sobald Sie fertig sind, damit ihre Arbeitszeit nicht vergeudet wird.

Umgekehrt bedeutet dies ebenfalls:

- Er wird Sie solange nicht mit einer weiteren Aufgabe behelligen, wie Sie an dem Projekt arbeiten.
- Melden Sie sich nach einem gewissen Zeitraum nicht zurück, wird er ungeduldig und macht sich Sorgen.

Aufbau einer Email / Praktische Anwendung der Erkenntnisse.

Nun wieder auf unsere Virenscanner bezogen:

Jana beauftragt ein Programm und erwartet ein Ergebnis (=Errorlevel) zurück.

Jana wird ungeduldig, wenn es keine Antwort zurückbekommt.
Ein so genannter Timeout tritt auf.

Jana ruft immer nur einen Virenscanner gleichzeitig auf, d.H. Scanvorgänge erfolgen hintereinander, und nicht paralell .

Antwort:

1.) Lange Dateinamen (mehr als 8 Zeichen) werden in Dos (in der Regel) nicht unterstützt, dar Jana die Dateipfade und Namen als Windows-Programm aber lang übergibt, wird es hier zu Problemen führen, das DOS-Programm findet die Dateien nicht, und gibt einen Fehler aus.
Lösung: Lange Dateinamen wie c:\programme\Mailserverprogramme\Jana2\mail\ vermeiden, stattdessen z.b. c:\mailserv\jana2\mail\

Anmerkung: wer sich jetzt Sorgen macht, das Attachments in Mails mit langen Dateinamen wie z.B. Killervirus.exe nicht gescannt werden, braucht keine Angst zu haben, Jana würde diese Datei als temp01.exe o.ä. übergeben.

Lösung:

Kopieren Sie die nächste Zeile in eine Textdatei (TXT) und ändern Sie die Dateiendung zu (COM), und Sie erhalten den Eicar Standart Testvirus:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Original von e.roos

Hi,

unter http://www.trendmicro.de/virinfo/eicar.html gibt es den EICAR-Testfile in normaler, einfach und doppelt gezippter Form. Gut zum Testen.

Antwort:

Errorlevel 259 bedeutet, das der gerufene Virenscanner ein Timeout prduziert, d.h. länger für die Bearbeitung der übergebenen Dateien braucht, als von Jana dafür vorgesehen. Das momentan eingestellte Zeitlimit beträgt 1 Minute, Thomas hat angekündigt, in der nächsten Version das Timeout auf 5 Minuten zu erhöhen.

Da aber in den allermeisten Fällen ein Virenscanner weniger als 2 Sekunden für das Scannen einer Email brauchen sollte, ist dies ein sicheres Indiz dafür, das eure Virenscannereinbindung schief gelaufen ist.
Wenn alles andere (falsche Parameter, lange Dateinamen usw. ) als Fehlerquelle ausgeschlossen wurden, bleibt als Ursache eine nicht mehr reagierende command.com, die als ausführendes Programm für Programme ( .exe, .com etc.) agiert.

command.com bzw. cmd.exe muss also mit speziellen Zusatz-Parametern ausgeführt werden.

Lösungsansätze für WIN NT:
- Eine Batchdatei, wie von Waldo für F-prot beschrieben, erstellen. Milka hat diese Methode aquivalent auf InoculateIT angewendet, und ebenfalls Erfolg gehabt.

Lösungsansätze für Win 98SE:
-Da mir hier die Zusatz-Parameter nicht bekannt sind, kann ich hier keine Lösung anbieten.
Diesen Benutzern bleibt also nur ein Ausweichen auf andere Scanner, bis mal einer die Paras rausbekommt.

Bekannte Gründe für Timeouts

- Ein Virenscanner wird nicht korrekt gestartet, und hängt sich auf.

- Der Virenscanner wartet auf eine Benutzereingabe, wie eine Dialogbestätigung etc., die nicht erfolgt.

- Aus einer Batchdatei kann ein Rückgabewert nicht an Jana zurüchgegeben werden (Bei Win9 . Obwohl das Programm erfolgreich ausgeführt wurde, erreicht diese meldung nicht den Janaserver.

- Ein Scanvorgang dauert zu lange. (riesige Dateigrössen, oder archivierte Dateien, die erst entpackt werden müssen)

... und stürzt jetzt nach jedem Neustart sofort wieder ab. Was muss ich tun?

Antwort:

Um den Server wieder starten zu können, musst du einfach die Emails und die decodierten Anhänge aus dem Ordner Mail verschieben.
Gemeint sind hier z.B. in_0001.mai
Wenn du nachher das Problem gelöst hast, d.h. den Virenscan verändert oder abgestellt, kannst du die Mails einfach wieder zurückkopieren, nach dem nächsten Serverstart werden sie dann normal versendet. Die Attachments kannst du einfach löschen.

Noch ein Tip:
Wenn wegen deines Virenscanners dein Janaserver zum ersten Mal abgestürzt ist, sehe es auch mal positiv. denn: Du kannst schnell die Mails (in_0001.mai usw.) in einen anderen Ordner kopieren, und hast so einen Testsatz Mails, die du zum weiteren Testen deiner Emails benutzen kannst, ohne ständig online gehen zu müssen, und ohne extra ein Konto aus dem internen Mailversand herausnehmen zu müssen. (Mails werden ja NUR gescannt, wenn von extern!)

Ein Virenscanner sollte unbedingt auf allen Rechnern des Netzwerkes instaliert sein, dazu weisst ein normaler "Desktop-Virenscanner" zu wenig Fähigkeiten auf, um den Serververkehr mitüberwachen zu können.

Hi Leute,

Ich hatte Probleme mit dem Virenscannen in den empfangenen mails. Nach einigen Stunden (nicht übertrieben) habe ich folgendes herausgefunden:

Achtet darauf, daß ihr das JanaMail-Verzeichnis und den Virenscanner nicht in ein Verzeichnis ala <nobr>"C:\Program Files\blablabla"</nobr> steckt. In dem kompletten Verzeichnisnamen darf kein Leerzeichen sein!

Hoffe, das hilft ein wenig weiter...

Matthias

Problem: Lange Dateinamen

1.) Lange Dateinamen (mehr als 8 Zeichen) werden in Dos (in der Regel) nicht unterstützt, dar Jana die Dateipfade und Namen als Windows-Programm aber lang übergibt, wird es hier zu Problemen führen, das DOS-Programm findet die Dateien nicht, und gibt einen Fehler aus.
Lösung: Lange Dateinamen wie c:\programme\Mailserverprogramme\Jana2\mail\ vermeiden, stattdessen z.b. c:\mailserv\jana2\mail\


Lücken sind in DOS-Namen ebenfalls nicht vorgesehen ;-)

Nachtrag: Seit jana 2.2.2 kann Jana explizit in die Dos-Konvention umgewandelte Dateinamen übergeben (siehe FILE-SP) womit Fehler bei langen Dateinamen vermieden werden.

Parameter für Virenscanner ermitteln

Ich kann leider nicht alle Scanner testen, besonders nicht die kostenpflichtigen.

Wenn es aber die Möglichkeit zur Zusammenarbeit mit Jana gibt, kriegen wir dies, notfalls gemeinsam raus.

1.)Schaut in der Programmhilfe nach, durchsucht den Index nach Schlagwörtern wie "Kommandozeile", "Dos-Modus", Parametern etc. steht da was zu einer möglichen Kommandozeilentauglichkeit/Parametern?

2.) Geht in den Programmordnerdes Virenscanners, schaut nach, welche ausführbaren Dateien es dort gibt, und lasst euch von den Programmnamen inspirieren. Startet die MSDOS- Eingabeaufforderung und führt die Programme testweise aus! (Natürlich nicht Uninstall.exe etc. !)
Was steht da? Was haben die Programme für eine Funktion? Wenn eine lange Liste von Infotext durchrappelt, leitet sie mit >> in eine Textdatei um.
Ruft testweise Parameter wie -h, /h oder /help zusammen mit den Programmen auf. Ein kommandozeilenfähiger Virenscanner gibt in der Regel immer eine Liste von möglichen Parametern aus, wenn er ohne solche gestartet wird, oder im Hilfemodus gestartet wird

3. Klickt mit der rechten Maustaste auf verschiedene Dateitypen/Ordner im Desktop, damit das Auswahlmenü erscheint. Steht in der Liste irgendwo was wie "Scan for viruses" "Virenscan", "auf Viren Prüfen" "F-Secure" etc.?
Wenn ja, dann findet man die Parameter meist in der REGISTRY, weil es sich bei solchen Menüeintragen ja um Programmaufrufe handelt, die in der Registry vermerkt sind.

4. Durchsucht gründlich den Stammordner des Scanners nach Informations- und Hilfedokumenten und anderen Textdateien. Besonders interessant sind Dateien mit Namen wie "command.txt", "Parameter.txt" etc.

5. Informiert euch auf der Homepage und FAQ's des Herstellers.

und zum Schluss:
-wählt nun aus der Liste der zum Programm gefundenen Parameter die tauglichen aus, und setzt eine Kommandozeile daraus zusammen, testet die mögliche spätere Jana-Kommandozeile von der DOS-Eingabeaufforderung oder mit passenden Batches
indem ihr statt des späteren $FILE$ eine Testdatei (sowohl Testvirus als auch eine harmlose!) mit übergebt.

Nun habt ihr eine individuell zu eurem Betriebssystem, eurer Ordnerkonstellation und eurer Virenscannerversion passende Kommandozeile.

Hier noch mal die Scanroutine von Jana, dass sollte dir einiges klar machen:

1. Jana lädt eine Mail aus dem Netz runter.
2. Jana hat einen eingebauten Mime-Decoder (Anmerk. Die Mime-Komprimierung von Mails, bewirkt ja, dass der Virenscanner die Viren in Mails nicht findet.) Damit entpackt Jana die Mail in ihre Einzelteile (d.h. die Attachments), und speichert die Dateien einzeln im Ordner Mail mit der Endung .TMP ab.
3. Hat man z.B. eine Mail mit zwei Attachments, z.B. ein Bild, und eine Worddatei, so legt Jana insgesamt drei Dateien zum Scannen an, eine Kopie der gesamten Email, und jeweils eine für die Attachments.
4. Nun macht Jana nichts anderes, als den Virenscanner zu starten, und zwar mehrmals hintereinander, wobei bei jedem Duchlauf für $FILE$ eine der oben genannten Dateien, genauer gesagt der Dateipfad eingesetzt wird. Von der Funktion des Ganzen, ist es also nichts anderes, als würdest du selbst diese Kommandozeile in Dos eingeben ( Lediglich die Kommas machen den Unterschied! )
5. Das einzige was Jana jetzt noch macht, ist auf eine positive Antwort des Virenscanners zu warten (Rückgabewert 0).
6. Jetzt verstehst du z.B.auch sicher, warum der Virenscanner nicht den ganzen Ordner, sondern nur die einzelne Datei darf, und diese KEINESFALLS löschen, am besten auch nicht säubern ! Es handelt sich ja sowieso nur um eine KOPIE DER ORIGINALNACHRICHT, wird diese alsogelöscht /gesäubert existiert der Virus natürlich noch im Original (Decodiert). Schlimmer noch, der Virenscanner denkt "Auftrag ausgefüllt - Virus vernichtet" und gibt evtl. einen positive Rückgabewert an Jana zurück, Jana denkt wiederum, alles sei OK, und schickt die Mail zum ahnungslosen Empfänger ! Das durch das Löschen von Dateien, Zugriff sperren etc. Jana abstürzt ist ja auch kein Wunder mehr, den Jana will z.B. die temporären Dateien wieder aus dem Mail-Ordner raushaben, wenn alles gescannt wurde, und wenn die Datei dann gesperrt ist, bzw. verschwunden, hat Jana ein Problem.

Hallo Fatso,

Das Problem bei NAV2002 besteht darin, dass die für die Mailprüfung verantwortliche DLL NAVPROXY unter den Betriebssystemen Windows NT/2000/XP erst vom Norton AntiVirus Agent (Navapw32.exe) gestartet wird wenn der Benutzer sich anmeldet.

Siehe dazu in der Registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Ist der Benutzer abgemeldet wird auch der Agent Navapw32.exe beendet und damit ist auch nicht mehr die Mailprüfung aktiv.

Das Hauptproblem besteht also darin, dass Navapw32.exe kein Systemprozess sondern ein Userprozess ist, im Klartext Symantec denkt nicht richtig nach wenn sie Software entwickeln.

Lösungsmöglichkeiten:

1. Kommandozeilenprüfung von Jana benutzen

Nachteil:
Auf dem Jana-PC muss Autoprotect abgeschaltet werden, sonst löscht dieser bei angemeldeten Benutzer die temporär von Jana ausgepackte Mail weg. Standardprüfungen der Festplatte des Jana-PC mit NAV2002 bei gleichzeitig eingehender Mail und Prüfung der selben führen zu Zugriffkonflikten und Schutzverletzungen (Schon gehabt).


2. Navapw32.exe auch bei abgemeldeten Benutzer laufen lassen

Mit einem Programm als Systemdienst den Prozess Navapw32.exe überwachen. Wenn der Prozess nicht mehr da ist, über den Systemdienst Navapw32 neu starten.
Siehe dazu ein Posting von mir, Stichwort Serversalive:
http://www.janaforum.de/jana_forum/threa...=1490&boardid=3

Nachteil:
- Das Meldungsfenster der Mailprüfung läßt sich nicht abschalten.
- Nach meinem derzeitigem Erkenntnisstand erfolgen Einträge über einen durch NAVPROXY.DLL gefundenen Virus im Ereignisprotokoll von Win NT/2000/XP nur, wenn Navapw32.exe durch den Systemdienst gestartet wurde. Läuft Navapw32.exe unter dem angemeldeten User als Userprozess erfolgt kein Eintrag im Ereignisprotokoll von NT/2000/XP.

Bei der Vorgehensweise bei Virusbefall sollte die Option "erst reparieren, dann isolieren, wenn nicht erfolgreich" gewählt werden. Wenn die Mail wichtigen Text enthält, kann man die Maildatei aus der Quarantänekonsole von NAV2002 als Datei auch wieder herstellen. Autoprotect muss dazu aber abgeschaltet sein. Aber bitte vorsichtig sein !

Desweiteren sollte auch nioch die Option "Bei verarbeiten von E-Mail Taskleisten Symbol anzeigen" deaktiviert werden.

Unabhängig von der Mailprüfung führe ich zeitgesteuert 1x in 24 Stunden eine Gesamtprüfung des Jana-PC durch, um doch eventuelle Durchrutscher zu entdecken.

Ein Antivirenprogramm auf den Clients ist natürlich auch Pflicht.

Im übrigen deutet Symantec in ihren Supportdiskussionsforen durch die Blume an, das Mutationen von z.B. BadTrans Viren auch schon mal nicht gefunden werden wenn die Mutation noch nicht in den Virendefinitionsdateien enthalten war. Im Klartext, sie bessern immer noch nach wenn Mutationen auftreten.

Wie sich das ganze unter Win98/ME mit NAV2002 verhält kann ich nicht sagen. Müßte mal jemand analysieren.

MfG

Thrombo

Aufbau einer Email - Emails sicher lesen


Viele Leute beschäftigen sicher mit der Frage, was zu tun ist, wenn man eine Email vom Janaserver mit der Mittteilung "Virus-in Email entdeckt " erhält:


Falsch wäre, die Email im Anhang (Endung *.eml) einfach zu öffnen.

Dann würde ja der potentiell darin enthaltene schädliche Anhang genauso ausgeführt, als hätte ich die Email direkt bekommen.


Ein guter erster Ansatz ist zuerst einmal, die Email-Datei im Anhang auf der Festplatte zu speichern.


Falsch wäre nun aber wiederum einfach nur einen Virenscanner über die Datei zu jagen, also einen Scan durchzuführen.

Denn die potentiell gefährlichen Anhänge liegen ja immer noch im Email-MIME Format, also verschlüsselt in der Email vor.

Diese muss der Virenscanner also nicht unbedingt erkennen !


Richtig ist z.B. die Email mit einem Editor zu öffnen, und nach inhaltlichen Merkmalen auf schädlichen Inhalt zu überprüfen.

Aber du hast doch gerade gesagt, Emails wären MIME-kodiert ?

Dass stimmt, aber der Kopf der Datei, Textelemente der Mail wie der Body (auch HTML-Text) , sowie die Dateinamen der Attachments liegen in Klartext darin vor. Ein Blick in eine Email mi einem Editor macht das sehr schnell deutlich.

Wie können also überprüfen:

• Absender der Email
  
• Empfänger der Email
  
• Betreff
  
• Inhalt des Body, worum es geht, und ob es sich um Plaintext oder HTML handelt (z.B. IFRAME Html-Quellcode enthalten?)
  
• Dateinamen der Attachements, Typ, gefährliche Endung, Doppelendung vorhanden ja/nein ?
  

Nach diesen Kennzeichen bewerten wir die Mail dann.

Hi Raphael,

Zitat:

Falsch wäre, die Email im Anhang (Endung *.eml) einfach zu öffnen.

man muss dazusagen, dass man in der Texte.dat in Zeile 71 bei
358 OrginalEmail.eml
den Dateinamen für eine virenversuchte Mail angeben kann. Aus Sicherheitsgründen würde ich empfehlen diese Zeile in
358 OrginalEmail.txt
umzuändern, denn dann kann man den Anhang ohne Bedenken öffnen und die Header lesen.

Ein länger Artikel zu dem Thema, den ich bei wer-weiss-was.de gepostet habe:

Für die alten Hasen hier im Forum nix Neues, aber für Newbies vielleicht ganz interessant.


Emails serverseitig auf Viren/Trojaner überprüfen


Einführung: Die Frage nach dem "Warum?"


Die Möglichkeit, dass Emails schon auf dem Emailserver auf Viren gescannt
werden, wünscht sich so mancher Netzwerksadministrator, egal, ob er nur ein
kleines Heimnetzwerk betreut, oder aber den Emailverkehr eines grossen
Unternehmens überwacht. Denn der Administrator weiss nur zu gut: Heutzutage
werden Viren, Wurmer und andere destruktive Programme zum allergrößten Teil
über Emails verbreitet, der Emailverkehr in ein Netzwerk herein ist also
einer der wichtigsten neuralgischen Punkte, die es zu überwachen gilt, um
ein Netzwerk vor ungewollten Eindringlingen zu schützen. Sicherzustellen
gilt auch, dass ein Netzwerksteilnehmer, der sich einen Virus, Trojaner oder
Wurm "eingefangen hat",genauer gesagt sein anfälliges Emailprogramm, diesen
nicht intern andere Netzwerksteilnehmer unbemerkt weiterverbreitet, oder an
externe Emailempfänger versendet.
So kann z.B. ein Mitarbeiter eines Unternehmens, auf dessen Rechner der
lokale Virensanner nicht auf dem aktuellen Stand ist, und der beispielsweise
eine veraltete Microsoft Outlook Version benutzt, unbeabsichtigt nicht nur
seine Kollegen mit verseuchten Emails bombardieren, sondern auch mal eben
schnell den gesammten Kundenstamm, der in seinem Adressbuch zu
Referenzzwecken vermerkt ist, mit verseuchten Emails vergraulen. Dass ist
der Alptraum jedes Administrators. Denn mal ganz ehrlich: Die meisten Würmer
sind zwar relativ harmlos, weil sie sie oft nur Verbreitungsroutinen und
keine Schadroutinen haben, denoch geht für ein Unternehmen der Imageschaden
oft ins unermessliche, wenn aus dem Firmennetzwerk heraus solche Würmer an
Kunden versendet wurden.
Tatsache ist also, dass ein Administrator eine Menge "Erziehungsarbeit" bei
den Netzwerksnutzern leisten muss, will er ohne serverseitige
Virenüberprüfung auskommen: Er muss seine Nutzer ständig ermahnen, die
jeweils aktuellsten Sicherheitsupdates ihres Emailprogrammes aufzuspielen,
oder ein sichereres (aber in der Regel unkomfortableres, und daher
verpöntes, Emailprogramm zu nutzen), die Virenscanner ständig upzudaten, und
am schlimmsten: er muss letztendlich jeden Netzwerksteilnehmer zum
erfahrenen Viren(er)kenner ausbilden.

Was steckt technisch hinter dem serverseitigem Virenscan?

Leider genügt es nicht, wie viele Leute annehmen, einfach einen
leistungsfähigen On-Access Virenscanner auf dem Emailserver meines
Netzwerkes zu installieren, denn Emails sind in der Regel kodiert (MIME,
Base64 etc. ) so dass in den Email enthaltene Attachments in der Email in
verschlüsselter Form vorliegen, und daher vom Virenscanner nicht so ohne
weiteres überprüft werden, selbst wenn bei Speichern der Email zur weiteren
Verteilung ein "On-Access-Scan" des Virenscanners erfolgt. Faktisch muss der
Virenscanner in der Lage sein, die Email als solche zu erkennen, zu
decodieren, und dann alle Anhänge separat zu scannen.

Anwendungen, die die Technik unterstützen:

Es gibt proffessionelle Virenscanner-Lösungen speziell für Unternehmen die
das serverseitige Scannen von Emails übernehmen, diese sind aber oft sehr
mit sehr hohen Anschaffungskosten verbunden. Letztendlich ist die Technik,
greift man auf kommerzielle Produkte zurück, also nur für grössere
Unternehmen bezahlbar, für nicht so finanzkräftige Institutionen wie z.B.
Schulen, Vereine, private Netzwerke gilt: Aufgrund des hohen Preises müssen
sie auf Sicherheit verzichten.

Einzelne Emailkonten Providerseitig auf Viren zu prüfen lassen, wie es z.B. 1und1 anbietet, ist keine wirklichen Alternative:

- Es ist ebenfalls kostenpflichtig
- Alle Emails (auch interne Emails, z.B. an Kollegen) müssten über den Provider gehen, was den Internetzugang stark belastet.
- man beauftragt ein Fremd-Unternehmen mit dem Virenschutz, verliert letztendlich die Kontrolle über den Vorgang, weil sich das Ganze in einem Bereich abspielt, auf den man keinen Einfluss nehmen kann.

Doch es gibt auch Lösungen für jedermann: Es gibt Server, wie den Janaserver
von Thomas Hauck (Freeware für Privat und nichtkommerzielle Einrichtungen
www. janaserver.de) die in ihrem Emailservermodul eine Funktion zum Aufruf
eines kommandozeilen-basierten Virenscanners (z.B. der kostenlose f-prot
oder Antivir von H+BDV) eingebaut haben, d.h. jede Email, die den Server
durchläuft, wird dekodiert und deren Anhänge an einen Virenscanner zum
Testen übergeben. Das Ergebnis des Virenscanners (Errorlevel) wird
ausgewertet, und bei einem Virenfund die verseuchte Mail dem Administrator
in gesicherter Form zugestellt.

Mit dem Zusatztool für den Janaserver "Checkexec" (jetzt: JanaMailProtect) von Andreas Hausladen (www.janatools.net) wird der Virenscan von der Pflicht zur Kür:
Er und sein Team haben Untersuchungsmethoden entwickelt, wonach man selbst
Emails als gefährdend einstufen kann, deren enthaltener Virus/Trojaner so
neu ist, dass ihn die Virenscanner noch nicht kennen!

Grundüberlegungen dabei sind z.B. gewesen:

1. Emailattachments müssen über Html-Tags im Body der Email gestartet
werden, z.B. mit dem IFRAME-Tag, sollen Sie automatisiert ausgeführt werden.
Das Entfernen/Auskommentieren dieses Tags verhindert das automatisierte
Ausführen von Anhängen.

2. Viele Viren/Würmer und Trojaner verwenden Doppelendungen, um z.B. hinter
einer vermeindlichen Textdatei eine ausführbare Anwendung zu kaschieren,
denn unter Windows werden bekannte Dateiendungen standartmässig
ausgeblendet. Der User sieht also z.B eine readme.txt Datei, obwohl es sich
in Wirklichkeit um eine readme.txt.exe, also um eine Anwendung handelt. Das
standartmässige Einstufen solcher Doppelendungen als Virus filtert bereits
über 90% aller aktuell im Umlauf befindlichen Würmer und Trojaner aus, ohne
die Notwendigkeit eines Virenscans!

3. Manche Dateiendungen haben in Emails einfach nichts zu suchen! Oder kann
sich jemand der Leser erinnern, schon mal eine *.HTA Datei bekommen zu
haben, ohne dass dahinter nicht ein böses Ansinnen steckte? Es würde mich
wundern... Deshalb wurde ein Filter für hochgefährdende Dateitypen
eingebaut, so kann der User z.B. Emails mit *.exe, *.com, *.vbs und weitere
eigenen definierte Attachments ausfiltern lassen.

Insgesamt also ein ausgereiftes Scansystem, das man mit etwas
Grundlagenwissen selbst an seine eigenen Sicherheitsbedürfnisse anpassen
kann.

Raphael Georg Haugwitz, Dezember 2002

Hallo,

http://bernd-wurst.de/jana/artikel/virenscanner.php

Ich hoffe du hast nichts dagegen wenn ich das in meine Sammlung mit aufnehme.

cu, Bernd

Antwort von Raphael: Gerne !