- Desinfec’t
-
Desinfec’t ist eine auf Linux basierte Live-CD zur Desinfektion von Rechnersystemen nach einem Virenbefall. Sie wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Bis 2009 trug die Distribution den Namen Knoppicillin.
Inhaltsverzeichnis
Konzept
Das Konzept, den Virenscanner von einer Boot-CD zu starten, stellt sicher, dass die Betriebssystemumgebung des Scanners nicht verseucht sein kann. Ein Schädling kann so weder den Scanner selbst manipulieren, noch sich mit Funktionalitäten eines Rootkits unsichtbar machen, da sein Programmcode nicht während des Systemstarts von der Festplatte ausgeführt wurde. Ebenso kann er sich beispielsweise nicht in den Arbeitsspeicher kopieren und von dort aus erneut das System infizieren. Außerdem ist es von einer Live-CD auch dann noch möglich, das System zu booten, wenn eine Vireninfektion dies beim normalen Betriebssystem verhindert.
Desinfec’t ist damit ein wirksames Mittel bei einem Befall mit Schädlingen mit Rootkit-Eigenschaften, der mit herkömmlichen Virenscannern nicht aufgedeckt werden kann – bei anderen Rootkits kann es allerdings (im Gegensatz zu herkömmlichen Viren und Trojanern) sinnvoll sein, diese im aktiven System zu suchen, da ihre charakteristischen Eigenschaften nur dann erkannt werden können.
Die modifizierte Linux-Distribution beinhaltet mehrere teils kommerzielle Virenscanner und Treiber für alle gängigen Dateisysteme. Damit ist Desinfec’t und dessen Vorgänger Knoppicillin in der Lage, auch NTFS-Partitionen zu durchsuchen und zu säubern. Eine Aktualisierung der Virensignaturen ist während der laufenden Session automatisch über das Internet oder manuell per Diskette und USB-Stick möglich oder man erstellt sich eine Kopie der CD und integriert dabei gleich aktuelle Virensignaturen.
Knoppicillin basierte auf Knoppix als Distribution, woher sich auch der Name ableitet. Bei Desinfec’t wurde zunächst auf Fedora umgestellt, was jedoch von einigen Anwendern nicht gut aufgenommen wurde. Die zweite Desinfec’t-Veröffentlichung, Version 2011, setzt auf die Linux-Distribution Ubuntu.
Wegen der Lizenzen einiger Virenscanner ist Desinfec’t nur kostenpflichtig erhältlich und Knoppicillin lässt sich in der recht alten Version 6.0.2 von 2008 nicht komplett herunterladen. Zudem ist bei einigen Virenscannern ein Aktualisieren nur bis zu einem Jahr nach Erscheinen der CD möglich.
Geschichte
Knoppicillin
Version 3
Das in Ausgabe 20/2004 erschienene Knoppicillin 3 enthält die drei Virenscanner von F-Secure, Sophos und Kaspersky Lab. Für den Zugriff auf NTFS-Partitionen sorgt der proprietäre Treiber von Paragon.
Bei der Produktion der CDs hatte sich ein Fehler eingeschlichen, der erst kurz vor dem Jahreswechsel 2004/2005 festgestellt wurde und dazu führte, dass die Signaturdateien für den Virenscanner von Sophos nicht mehr aktualisiert werden konnten.
Die c’t-Redaktion darf zwar wegen der enthaltenen proprietären Software kein komplettes ISO-Abbild von Knoppicillin Version 3.1 im Internet zum Download bereitstellen, hat aber eine Aktualisierung erstellt, welche auch gleich aktualisierte Virensignaturen mit dem Stand von Januar 2005 enthält.
Eine eigene, auf Version 3.1 aktualisierte Knoppicillin-CD kann mittels der Software Jigdo sowie der Original-CD Softwarekollektion 5 hergestellt werden.
Version 4
Dem Heft 23/2005 wurde das aktualisierte Knoppicillin 4 auf CD beigelegt, das die Virenscanner von Kaspersky Lab und Sophos inklusive entsprechender Aktualisierungsberechtigung für ein Jahr enthält. NTFS-Partitionen werden mittels der libntfs-Bibliothek angesprochen; diese ermöglicht zwar noch keinen vollständigen Schreibzugriff, genügt aber zum sicheren Löschen von infizierten Dateien.
Version 5
Mit Heft 21/2006 erschien das aktualisierte Knoppicillin 5, das die Virenscanner von BitDefender Antivirus Scanner, F-Secure Anti-Virus und Sophos SAVScan inklusive entsprechender Aktualisierungsberechtigung für ein Jahr enthält. In der c’t spezial „Security“ im März 2007 ist eine aktualisierte Version 5.2 enthalten. Nachdem das Datenformat bei Sophos 2007 geändert wurde, ist dieser Scanner nicht mehr mit aktuellen Signaturen benutzbar.
Version 5.2
Die Version 5.2 erschien mit dem Sonderheft c’t special 03/2007 mit dem Titel „Security“.
Version 6
Die Version 6 erschien mit Heft 26/2007, im Dezember 2007. Enthalten sind die Virenscanner von Avira AntiVir und BitDefender mit Aktualisierungsberechtigung für ein Jahr.
Version 7
Version 7 ist mit Ausgabe 26/08 der c’t erschienen. Auf x86-Apple-Computern mit mehreren Boot-Partitionen werden nun auch Daten-Partitionen im Format HFS plus gemounted und gescannt, sofern man diese nicht explizit im Knoppicillin-Assistenten abwählt. Allerdings berichten einige Benutzer,[1] dass die CD auf ihren Rechnern nicht bootet. Dieses Verhalten wird auf eine Inkompatibilität mit dem Award-BIOS zurückgeführt[2] und lässt sich nur durch Ändern des Inhalts der CD umgehen. Hierfür hat die c’t ein Patchprogramm zur Verfügung gestellt.[3]
Mit dem Mitte September 2009 erschienenen Heft „c’t kompakt Security“ gab es eine neuere Version, die aber ebenfalls Knoppicillin 7 heißt.
Inhalt:
- Linux Kernel 2.6.27.5
- Avira AntiVir 7.9.1.3/2.1.12-193
- BitDefender AntiVirus Scanner 7.60825
- Kaspersky Anti-Virus 5.7.20
- Knoppicillin-Updater 1.1 für Windows
- Iceweasel/Firefox 3.6
- Xorg 7.3 und IceWM
- Midnight Commander, MyBashBurn und vsftpd
Desinfec’t
Version 8
Der Nachfolger von Version 7 heißt nun Desinfec’t, trägt die Versionsnummer 8 und ist mit Ausgabe 2/10 der c’t erschienen (um den 31. Dezember 2009).
Basierte Knoppicillin noch auf einer Knoppix-Live-Distribution, so setzt Desinfec’t auf eine Fedora 12-Live-CD als Unterbau. Wie dem Forum zur offiziellen Projektseite zu entnehmen ist, waren einige Anwender mit diesem Umstieg nicht zufrieden. In einigen Beiträgen geht es darum, dass etliche neue Fehler mit Version 8 auftraten die in Knoppicillin Version 7 nicht vorhanden waren.
Version 2011
Desinfec’t 2011 liegt c’t-Ausgabe 8/11 bei, die ab dem 26. März 2011 erhältlich ist. Es verwendet nun eine Ubuntu-10.10-Live-CD als Unterbau. Enthalten sind wieder die kommerziellen Viren-Scanner von Avira, BitDefender und Kaspersky, sowie das freie ClamAV. Erstmals lässt sich die Distribution mit der Desinfec’t-DVD als Ausgangspunkt auf einen USB-Stick übertragen und dieser dann startfähig machen. Damit hat man den Vorteil, ein Boot-Medium zu besitzen, auf dem man die Virus-Definitionen stets aktuell halten und im Bedarfsfall auch wichtige Dateien sichern kann. Allerdings ist das Live-Linux in dieser Form dann kompromittierbar, sofern ein USB-Stick ohne Schreibschutzschalter verwendet wird. Neben dem eigentlichen Desinfec’t befindet sich auch die Software-Kollektion 2/2011 auf der DVD, die deshalb 2,1 GB groß ist.
Sonstiges
Das Konzept, einen Computer zum Zwecke forensischer Untersuchungen von einem sterilen Medium zu booten, ist nicht neu oder erst mit Knoppicillin eingeführt worden. Früher waren dafür schreibgeschützte Disketten üblich, die aber heutigen Anforderungen in Bezug auf Speicherkapazität nicht mehr gerecht werden.
Wegen der mit enthaltenen Scannern verbundenen Lizenzen ist Knoppicillin und Desinfec’t an den Erwerb einer Heftausgabe der c’t gebunden, während im Laufe der Zeit neben kommerziellen Produkten auch freie entstanden, die diesem Zweck dienen und auf DOS/Windows oder Linux-Derivaten basierenden bootbaren CDs erschienen wie z. B. UBCD oder Helix. Neben anderen forensischen Tools sind oft auch Virenscanner darauf enthalten, die entweder vollständig frei oder zumindest für den nichtkommerziellen Gebrauch frei sind.
Auch auf verschiedenen Versionen der Knoppix-Live-CD/DVD, auf deren Konzept Knoppicillin beruht, waren bisher Virenscanner enthalten, so z. B. f-prot von F-Secure (ursprünglich von FRISK Software International aus Island) oder auch ClamAV.
Weblinks
- Mit Knoppicillin auf Virenjagd – Offizielle Knoppicillin-Projektseite von Heise.de
- Mit Desinfec’t auf Virenjagd – Offizielle Desinfec’t-Projektseite von Heise.de
- Arbeiten mit Knoppicillin – Einführung der Landesakademie für Fortbildung und Personalentwicklung an Schulen des Landes Baden-Württemberg
Einzelnachweise
Wikimedia Foundation.