Desinfec’t

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Desinfec’t (vormals Knoppicillin)
Ct-Softwarekollektion 20-2004.jpg
c’t software kollektion 5
Basisdaten
Entwickler c’t-Redaktion
Aktuelle Version 2014 aus Heft 12/14
(19. Mai 2014)
Abstammung GNU/Linux
↳ Debian GNU/Linux
↳ KNOPPIX
↳ Knoppicillin (2004-2009)
↳ Ubuntu
↳ Desinfec’t 2011-2014
↳ Red Hat Linux
↳ Fedora
↳ Desinfec’t 8 (2010)
Architekturen IA-32
Lizenz proprietär
Sonstiges Preis: Ohne Virenscanner kostenlos (mit Virenscanner nur in einer Heftausgabe)
Sprache: Deutsch, uvm.
Website Desinfec’t, Knoppicillin 6.0.2 Download Edition

Desinfec’t ist eine auf Linux basierte Live-DVD zur Desinfektion von Rechnersystemen nach einem Virenbefall. Sie wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Bis 2009 trug die Distribution den Namen Knoppicillin. Anfangs war es eine CD, seit 2011 ist es aufgrund der Datenmenge eine DVD.

Konzept[Bearbeiten]

Das Konzept, den Virenscanner von einer Boot-CD zu starten, stellt sicher, dass die Betriebssystemumgebung des Scanners nicht verseucht sein kann. Ein Schädling kann so weder den Scanner selbst manipulieren, noch sich mit Funktionalitäten eines Rootkits unsichtbar machen, da sein Programmcode nicht während des Systemstarts von der Festplatte ausgeführt wurde. Ebenso kann er sich beispielsweise nicht in den Arbeitsspeicher kopieren und von dort aus erneut das System infizieren. Außerdem ist es von einer Live-CD auch dann noch möglich, das System zu booten, wenn eine Vireninfektion dies beim normalen Betriebssystem verhindert.

Desinfec’t ist damit ein wirksames Mittel bei einem Befall mit Schädlingen mit Rootkit-Eigenschaften, der mit herkömmlichen Virenscannern nicht aufgedeckt werden kann – bei anderen Rootkits kann es allerdings (im Gegensatz zu herkömmlichen Viren und Trojanern) sinnvoll sein, diese im aktiven System zu suchen, da ihre charakteristischen Eigenschaften nur dann erkannt werden können.

Die modifizierte Linux-Distribution beinhaltet mehrere teils kommerzielle Virenscanner und Treiber für alle gängigen Dateisysteme. Damit ist Desinfec’t und dessen Vorgänger Knoppicillin in der Lage, auch NTFS-Partitionen zu durchsuchen und zu säubern. Eine Aktualisierung der Virensignaturen ist während der laufenden Session automatisch über das Internet oder manuell per Diskette und USB-Stick möglich oder man erstellt sich eine Kopie der CD und integriert dabei gleich aktuelle Virensignaturen.

Knoppicillin basierte auf Knoppix als Distribution, woher sich auch der Name ableitet. Bei Desinfec’t wurde zunächst auf Fedora umgestellt, was jedoch von einigen Anwendern nicht gut angenommen wurde. Ab der zweiten Veröffentlichung, Version 2011, setzt Desinfec’t auf die Linux-Distribution Ubuntu auf.

Wegen der Lizenzen einiger Virenscanner ist Desinfec’t nur kostenpflichtig erhältlich und Knoppicillin lässt sich in der recht alten Version 6.0.2 von 2008 nicht komplett herunterladen. Zudem ist bei einigen Virenscannern ein Aktualisieren nur bis zu einem Jahr nach Erscheinen der CD möglich.

Geschichte[Bearbeiten]

Knoppicillin[Bearbeiten]

Version 3[Bearbeiten]

Das in Ausgabe 20/2004 erschienene Knoppicillin 3 enthält die drei Virenscanner von F-Secure, Sophos und Kaspersky Lab. Für den Zugriff auf NTFS-Partitionen sorgt der proprietäre Treiber von Paragon.

Bei der Produktion der CDs hatte sich ein Fehler eingeschlichen, der erst kurz vor dem Jahreswechsel 2004/2005 festgestellt wurde und dazu führte, dass die Signaturdateien für den Virenscanner von Sophos nicht mehr aktualisiert werden konnten.

Die c’t-Redaktion darf zwar wegen der enthaltenen proprietären Software kein komplettes ISO-Abbild von Knoppicillin Version 3.1 im Internet zum Download bereitstellen, hat aber eine Aktualisierung erstellt, welche auch gleich aktualisierte Virensignaturen mit dem Stand von Januar 2005 enthält.

Eine eigene, auf Version 3.1 aktualisierte Knoppicillin-CD kann mittels der Software Jigdo sowie der Original-CD Softwarekollektion 5 hergestellt werden.

Version 4[Bearbeiten]

Dem Heft 23/2005 wurde das aktualisierte Knoppicillin 4 auf CD beigelegt, das die Virenscanner von Kaspersky Lab und Sophos inklusive entsprechender Aktualisierungsberechtigung für ein Jahr enthält. NTFS-Partitionen werden mittels der libntfs-Bibliothek angesprochen; diese ermöglicht zwar noch keinen vollständigen Schreibzugriff, genügt aber zum sicheren Löschen von infizierten Dateien.

Version 5[Bearbeiten]

Mit Heft 21/2006 erschien das aktualisierte Knoppicillin 5, das die Virenscanner von BitDefender Antivirus Scanner, F-Secure Anti-Virus und Sophos SAVScan inklusive entsprechender Aktualisierungsberechtigung für ein Jahr enthält. In der c’t spezial „Security“ im März 2007 ist eine aktualisierte Version 5.2 enthalten. Nachdem das Datenformat bei Sophos 2007 geändert wurde, ist dieser Scanner nicht mehr mit aktuellen Signaturen benutzbar.

Version 5.2[Bearbeiten]

Die Version 5.2 erschien mit dem Sonderheft c’t special 03/2007 mit dem Titel „Security“.

Version 6[Bearbeiten]

Die Version 6 erschien mit Heft 26/2007, im Dezember 2007. Enthalten sind die Virenscanner von Avira AntiVir und BitDefender mit Aktualisierungsberechtigung für ein Jahr.

Version 7[Bearbeiten]

Version 7 ist mit Ausgabe 26/08 der c’t erschienen. Auf x86-Apple-Computern mit mehreren Boot-Partitionen werden nun auch Daten-Partitionen im Format HFS plus gemounted und gescannt, sofern man diese nicht explizit im Knoppicillin-Assistenten abwählt. Allerdings berichten einige Benutzer,[1] dass die CD auf ihren Rechnern nicht bootet. Dieses Verhalten wird auf eine Inkompatibilität mit dem Award-BIOS zurückgeführt[2] und lässt sich nur durch Ändern des Inhalts der CD umgehen. Hierfür hat die c’t ein Patchprogramm zur Verfügung gestellt.[3]

Mit dem Mitte September 2009 erschienenen Heft „c’t kompakt Security“ gab es eine neuere Version, die aber ebenfalls Knoppicillin 7 heißt.

Inhalt:

  • Linux Kernel 2.6.27.5
  • Avira AntiVir 7.9.1.3/2.1.12-193
  • BitDefender AntiVirus Scanner 7.60825
  • Kaspersky Anti-Virus 5.7.20
  • Knoppicillin-Updater 1.1 für Windows
  • Iceweasel/Firefox 3.6
  • Xorg 7.3 und IceWM
  • Midnight Commander, MyBashBurn und vsftpd

Desinfec’t[Bearbeiten]

Version 8[Bearbeiten]

Der Nachfolger von Version 7 heißt nun Desinfec’t, trägt die Versionsnummer 8 und ist mit Ausgabe 2/10 der c’t erschienen (Erscheinungsdatum: 4. Januar 2010).

Basierte Knoppicillin noch auf einer Knoppix-Live-Distribution, so setzt Desinfec’t auf eine Fedora 12-Live-CD als Unterbau. Wie dem Forum zur offiziellen Projektseite zu entnehmen ist, waren einige Anwender mit diesem Umstieg nicht zufrieden. In einigen Beiträgen geht es darum, dass etliche neue Fehler mit Version 8 auftraten die in Knoppicillin Version 7 nicht vorhanden waren. Letztmalig wird eine CD als Medium benutzt, alle folgenden Versionen müssen aufgrund gewachsener Datenmengen auf DVD erscheinen.

Version 2011[Bearbeiten]

Desinfec’t 2011 liegt c’t-Ausgabe 8/11 bei, die ab dem 26. März 2011 erhältlich ist. Es verwendet nun eine Ubuntu-10.10-Live-CD als Unterbau. Enthalten sind wieder die kommerziellen Viren-Scanner von Avira, BitDefender und Kaspersky, sowie das freie ClamAV. Erstmals lässt sich die Distribution mit der Desinfec’t-DVD als Ausgangspunkt auf einen USB-Stick übertragen und dieser dann startfähig machen. Damit hat man den Vorteil, ein Boot-Medium zu besitzen, auf dem man die Virus-Definitionen stets aktuell halten und im Bedarfsfall auch wichtige Dateien sichern kann. Allerdings ist das Live-Linux in dieser Form dann kompromittierbar, sofern ein USB-Stick ohne Schreibschutzschalter verwendet wird. Neben dem eigentlichen Desinfec’t befindet sich auch die Software-Kollektion 2/2011 auf der DVD, die deshalb 2,1 GB groß ist.

Version 2012[Bearbeiten]

Der c’t-Ausgabe 9/12 mit dem Datum 10. April 2012 liegt Desinfec’t 2012 bei. Gegenüber Desinfec’t 2011 wurde hauptsächlich die Bedienbarkeit verbessert. Wie die Vorversion baut es auf Ubuntu auf, diesmal auf dem Live-System 11.10 “Oneiric Ocelot”. Es enthält Ein-Jahres-Abos für die Viren-Scanner Avira AntiVir, BitDefender und Kaspersky Anti-Virus, sodass sich deren Virus-Definitionen über eine Internetverbindung innerhalb dieses Zeitraums unentgeltlich aktualisieren lassen. Auch das freie ClamAV ist wieder enthalten. Neu ist die Möglichkeit, Virenfunde mit einem Standardpasswort zu verschlüsseln, damit ein Virus-Scanner die umbenannte Datei nicht fälschlicherweise ein zweites Mal entdeckt. So ist sichergestellt, dass wichtige Inhalte wiederherstellbar sind und gleichzeitig ein System als sauber bestätigt werden kann. Die als Software-Kollektion 2/2012 betitelte DVD ist 1,7 GB groß.

Version 2013[Bearbeiten]

Desinfec’t 2013[4] liegt der mit dem Datum 22. April 2013 versehenen c’t-Ausgabe 10/13 bei. Es beruht auf Ubuntu 12.04.02 Long Term Support und kann daher auch mit UEFI umgehen. Es beinhaltet wieder Ein-Jahres-Abos der Viren-Scanner von Avira, BitDefender und Kaspersky sowie das freie ClamAV. Als große Neuerung enthält Desinfec’t nun eine startbereite Version von TeamViewer, was die Fernwartung bzw. die Hilfe z. B. für Familienangehörige erheblich erleichtern soll. Auch die Windows-Version von TeamViewer Portable befindet sich auf dem Medium. Truecrypt ist aus lizenzrechtlichen Gründen allerdings nicht mehr Bestandteil der Version 2013, kann aber nachträglich installiert werden. Das Transferieren auf einen USB-Stick ist ebenfalls wieder vorgesehen. Das Starten im UEFI-Modus ist Dank Ubuntu sogar bei eingeschaltetem Secure Boot möglich. In Einzelfällen kann es jedoch passieren, dass man Secure Boot und eventuell sogar den UEFI-Modus abschalten muss, um im BIOS-Modus zu starten, damit es funktioniert. Bei Windows 8 muss das Betriebssystem jedoch vor dem Start von Desinfec’t ganz heruntergefahren werden, da sich Windows 8 sonst normalerweise im Hyperboot-Modus befindet und ein Schreiben auf das NTFS-Dateisystem in diesem Modus zu Datenverlust führen würde. Ein Script zum vollständigen Herunterfahren von Windows 8 befindet sich auf dem Desinfec’t-Medium („shutdown“). Die DVD mit der Beschriftung Software-Kollektion 2 umfasst 1,2 GiB.

Version 2014[Bearbeiten]

Die der c’t-Ausgabe 12 aus 2014 (19. Mai 2014) beiliegende Version von Desinfec’t 2014 wird von der Redaktion im zugehörigen Heft-Artikel als Modellpflege bezeichnet. Somit baut es auf bereits Bewährtem auf und bringt hauptsächlich Aktualisierungen und kleinere Detailverbesserungen. Als Grundlage dient Ubuntu Linux 12.04.4 LTS (Februar 2014), sodass sich gegenüber der Vorversion Desinfec’t 2013 eine bessere Hardware-Unterstützung ergibt; außerdem sind damit gleichzeitig einige Fehler in Ubuntu behoben. Neu ist die Funktion, Virenfunde direkt an Virustotal hochzuladen, was die Identifikation und Bewertung von Virenfunden erleichtern soll. Die DVD mit der Beschriftung Software-Kollektion 2 umfasst 1,4 GiB.

Sonstiges[Bearbeiten]

Das Konzept, einen Computer zum Zwecke forensischer Untersuchungen von einem sterilen Medium zu booten, ist nicht neu oder erst mit Knoppicillin eingeführt worden. Früher waren dafür schreibgeschützte Disketten üblich, die aber heutigen Anforderungen in Bezug auf Speicherkapazität nicht mehr gerecht werden.

Wegen der mit enthaltenen Scannern verbundenen Lizenzen ist Knoppicillin und Desinfec’t an den Erwerb einer Heftausgabe der c’t gebunden, während im Laufe der Zeit neben kommerziellen Produkten auch freie entstanden, die diesem Zweck dienen und auf DOS/Windows oder Linux-Derivaten basierenden bootbaren CDs erschienen wie z. B. UBCD oder Helix. Neben anderen forensischen Tools sind oft auch Virenscanner darauf enthalten, die entweder vollständig frei oder zumindest für den nichtkommerziellen Gebrauch frei sind.

Auch auf verschiedenen Versionen der Knoppix-Live-CD/DVD, auf deren Konzept Knoppicillin beruht, waren bisher Virenscanner enthalten, so z. B. F-Prot von F-Secure (ursprünglich von FRISK Software aus Island) oder auch ClamAV. Zudem bieten einige Hersteller auch eigene Rettungs-CDs zum kostenlosen Download an, z. B. Avira Rescue System, BitDefender Rescue CD, Kaspersky Rescue Disk.

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. http://www.heise.de/ct/foren/S-Notfall-CD-bootet-nicht/forum-148541/msg-15967751/read/
  2. http://www.heise.de/ct/foren/forum-2/msg-15974451/read/
  3. ftp://ftp.heise.de/pub/ct/projekte/knoppicillin/ctpatcher.zip
  4. Jürgen Schmidt: Virenjagd mit Komfort. Desinfec’t jetzt einfacher vom Stick und mit Fernwartung. In: c’t. Heise Zeitschriften Verlag GmbH & Co. KG, 20. April 2013, abgerufen am 22. April 2013 (Desinfec’t 2013).