Desinfec’t

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von Knoppicillin)
Wechseln zu: Navigation, Suche
Desinfec’t (vormals Knoppicillin)
Ct-Softwarekollektion 20-2004.jpg
c’t software kollektion 5
Basisdaten
Entwickler c’t-Redaktion
Aktuelle Version 2016 aus Heft 12/2016
(28. Mai 2016)
Abstammung GNU/Linux
↳ Debian GNU/Linux
↳ KNOPPIX
↳ Knoppicillin (’04–’09)
↳ Ubuntu
↳ Desinfec’t (’11–’16)
↳ Red Hat Linux
↳ Fedora
↳ Desinfec’t 8 (2010)
Architekturen IA-32
Lizenz proprietär
Sonstiges Preis: Ohne Virenscanner kostenlos (mit Virenscanner nur in einer Heftausgabe)
Sprache: Deutsch, uvm.
Website Desinfec’t

Desinfec’t ist eine auf Linux basierte Live-DVD zur Desinfektion von Rechnersystemen nach einem Virenbefall. Sie wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Bis 2009 trug die Distribution den Namen Knoppicillin. Anfangs war es eine CD, seit 2011 ist es aufgrund der Datenmenge eine DVD.

Konzept[Bearbeiten | Quelltext bearbeiten]

Aktuelle Version: Desinfec’t 2016
Verfügbarkeit c’t 12/2016
Betriebssystem Ubuntu 14.04.4 LTS
Virenscanner Avira Antivirus
ESET NOD32 Antivirus
ClamAV
Kaspersky Anti-Virus
Zeitraum für Signaturen bis Juni 2017
Größe der DVD

Das Konzept, den Virenscanner von einer Boot-CD zu starten, stellt sicher, dass die Betriebssystemumgebung des Scanners nicht verseucht sein kann. Ein Schädling kann so weder den Scanner selbst manipulieren, noch sich mit Funktionalitäten eines Rootkits unsichtbar machen, da sein Programmcode nicht während des Systemstarts von der Festplatte ausgeführt wurde. Ebenso kann er sich beispielsweise nicht in den Arbeitsspeicher kopieren und von dort aus erneut das System infizieren. Außerdem ist es von einer Live-CD auch dann noch möglich, das System zu booten, wenn eine Vireninfektion dies beim normalen Betriebssystem verhindert.

Desinfec’t ist damit ein wirksames Mittel bei einem Befall mit Schädlingen mit Rootkit-Eigenschaften, der mit herkömmlichen Virenscannern nicht aufgedeckt werden kann – bei anderen Rootkits kann es allerdings (im Gegensatz zu herkömmlichen Viren und Trojanern) sinnvoll sein, diese im aktiven System zu suchen, da ihre charakteristischen Eigenschaften nur dann erkannt werden können.

Die modifizierte Linux-Distribution enthält mehrere teils kommerzielle Virenscanner und Treiber für alle gängigen Dateisysteme. Damit ist Desinfec’t wie sein Vorgänger Knoppicillin in der Lage, auch NTFS-Partitionen zu durchsuchen und zu säubern. Eine Aktualisierung der Virensignaturen ist während der laufenden Session automatisch über das Internet oder manuell per Diskette und USB-Stick möglich, oder man erstellt eine Kopie der CD und integriert dabei gleich aktuelle Virensignaturen.

Knoppicillin basierte auf Knoppix als Distribution, woher sich auch der Name ableitet. Bei Desinfec’t wurde zunächst auf Fedora umgestellt, was jedoch von einigen Anwendern nicht gut angenommen wurde. Ab der zweiten Veröffentlichung, Version 2011, setzt Desinfec’t auf die Linux-Distribution Ubuntu auf.

Wegen der Lizenzen einiger Virenscanner ist Desinfec’t nur kostenpflichtig erhältlich, während Knoppicillin sich in der recht alten Version 6.0.2 von 2008 nicht komplett herunterladen lässt. Zudem ist bei einigen Virenscannern eine Aktualisierung nur bis zu einem Jahr nach Erscheinen der CD möglich, also bis zum Erscheinen der neuen Desinfec't-Ausgabe.

Geschichte[Bearbeiten | Quelltext bearbeiten]

Knoppicillin[Bearbeiten | Quelltext bearbeiten]

Version 3[Bearbeiten | Quelltext bearbeiten]

Das in Ausgabe 20/2004 erschienene Knoppicillin 3 enthält die drei Virenscanner von F-Secure, Sophos und Kaspersky Lab. Für den Zugriff auf NTFS-Partitionen sorgt der proprietäre Treiber von Paragon.

Bei der Produktion der CDs hatte sich ein Fehler eingeschlichen, der erst kurz vor dem Jahreswechsel 2004/2005 festgestellt wurde und dazu führte, dass die Signaturdateien für den Virenscanner von Sophos nicht mehr aktualisiert werden konnten.

Die c’t-Redaktion darf zwar wegen der enthaltenen proprietären Software kein komplettes ISO-Abbild von Knoppicillin Version 3.1 im Internet zum Download bereitstellen, hat aber eine Aktualisierung erstellt, welche auch gleich aktualisierte Virensignaturen mit dem Stand von Januar 2005 enthält.

Eine eigene, auf Version 3.1 aktualisierte Knoppicillin-CD kann mittels der Software Jigdo sowie der Original-CD Softwarekollektion 5 hergestellt werden.

Version 4[Bearbeiten | Quelltext bearbeiten]

Dem Heft 23/2005 wurde das aktualisierte Knoppicillin 4 auf CD beigelegt, das die Virenscanner von Kaspersky Lab und Sophos inklusive entsprechender Aktualisierungsberechtigung für ein Jahr enthält. NTFS-Partitionen werden mittels der libntfs-Bibliothek angesprochen; diese ermöglicht zwar noch keinen vollständigen Schreibzugriff, genügt aber zum sicheren Löschen von infizierten Dateien.

Version 5[Bearbeiten | Quelltext bearbeiten]

Mit Heft 21/2006 erschien das aktualisierte Knoppicillin 5, das die Virenscanner von Bitdefender Antivirus Scanner, F-Secure Anti-Virus und Sophos SAVScan inklusive entsprechender Aktualisierungsberechtigung für ein Jahr enthält. In der c’t spezial „Security“ im März 2007 ist eine aktualisierte Version 5.2 enthalten. Nachdem das Datenformat bei Sophos 2007 geändert wurde, ist dieser Scanner nicht mehr mit aktuellen Signaturen benutzbar.

Version 5.2[Bearbeiten | Quelltext bearbeiten]

Die Version 5.2 erschien mit dem Sonderheft c’t special 03/2007 mit dem Titel „Security“.

Version 6[Bearbeiten | Quelltext bearbeiten]

Die Version 6 erschien mit Heft 26/2007, im Dezember 2007. Enthalten sind die Virenscanner von Avira AntiVir und Bitdefender mit Aktualisierungsberechtigung für ein Jahr.

Version 7[Bearbeiten | Quelltext bearbeiten]

Version 7 ist mit Ausgabe 26/08 der c’t erschienen. Auf x86-Apple-Computern mit mehreren Boot-Partitionen werden nun auch Daten-Partitionen im Format HFS Plus gemounted und gescannt, sofern man diese nicht explizit im Knoppicillin-Assistenten abwählt. Allerdings berichten einige Benutzer,[1] dass die CD auf ihren Rechnern nicht bootet. Dieses Verhalten wird auf eine Inkompatibilität mit dem Award-BIOS zurückgeführt[2] und lässt sich nur durch Ändern des Inhalts der CD umgehen. Hierfür hat die c’t ein Patchprogramm zur Verfügung gestellt.[3]

Mit dem Mitte September 2009 erschienenen Heft „c’t kompakt Security“ gab es eine neuere Version, die aber ebenfalls Knoppicillin 7 heißt.

Inhalt:

  • Linux Kernel 2.6.27.5
  • Avira AntiVir 7.9.1.3/2.1.12-193
  • Bitdefender AntiVirus Scanner 7.60825
  • Kaspersky Anti-Virus 5.7.20
  • Knoppicillin-Updater 1.1 für Windows
  • Iceweasel/Firefox 3.6
  • Xorg 7.3 und IceWM
  • Midnight Commander, MyBashBurn und vsftpd

Desinfec’t[Bearbeiten | Quelltext bearbeiten]

Version 8[Bearbeiten | Quelltext bearbeiten]

Der Nachfolger von Version 7 heißt nun Desinfec’t, trägt die Versionsnummer 8 und ist mit Ausgabe 2/10 der c’t erschienen (Erscheinungsdatum: 4. Januar 2010).

Basierte Knoppicillin noch auf einer Knoppix-Live-Distribution, so setzt Desinfec’t auf eine Fedora 12-Live-CD als Unterbau. Wie dem Forum zur offiziellen Projektseite zu entnehmen ist, waren einige Anwender mit diesem Umstieg nicht zufrieden. In einigen Beiträgen geht es darum, dass etliche neue Fehler mit Version 8 auftraten, die in Knoppicillin Version 7 nicht vorhanden waren. Letztmals wird eine CD als Medium benutzt, alle folgenden Versionen müssen aufgrund gewachsener Datenmengen auf DVD erscheinen.

Version 2011[Bearbeiten | Quelltext bearbeiten]

Desinfec’t 2011 liegt c’t-Ausgabe 8/11 bei, die ab dem 26. März 2011 erhältlich ist. Es verwendet nun eine Ubuntu-10.10-Live-CD als Unterbau. Enthalten sind wieder die kommerziellen Viren-Scanner von Avira, Bitdefender und Kaspersky, sowie das freie ClamAV. Erstmals lässt sich die Distribution mit der Desinfec’t-DVD als Ausgangspunkt auf einen USB-Stick übertragen und dieser dann startfähig machen. Damit hat man den Vorteil, ein Boot-Medium zu besitzen, auf dem man die Virus-Definitionen stets aktuell halten und im Bedarfsfall auch wichtige Dateien sichern kann. Allerdings ist das Live-Linux in dieser Form dann kompromittierbar, sofern ein USB-Stick ohne Schreibschutzschalter verwendet wird. Neben dem eigentlichen Desinfec’t befindet sich auch die Software-Kollektion 2/2011 auf der DVD, die deshalb 2,1 GB groß ist.

Version 2012[Bearbeiten | Quelltext bearbeiten]

Der c’t-Ausgabe 9/12 mit dem Datum 10. April 2012 liegt Desinfec’t 2012 bei. Gegenüber Desinfec’t 2011 wurde hauptsächlich die Bedienbarkeit verbessert. Wie die Vorversion baut es auf Ubuntu auf, diesmal auf dem Live-System 11.10 “Oneiric Ocelot”. Es enthält Ein-Jahres-Abos für die Viren-Scanner Avira AntiVir, Bitdefender und Kaspersky Anti-Virus, sodass sich deren Virus-Definitionen über eine Internetverbindung innerhalb dieses Zeitraums unentgeltlich aktualisieren lassen. Auch das freie ClamAV ist wieder enthalten. Neu ist die Möglichkeit, Virenfunde mit einem Standardpasswort zu verschlüsseln, damit ein Virus-Scanner die umbenannte Datei nicht fälschlicherweise ein zweites Mal entdeckt. So ist sichergestellt, dass wichtige Inhalte wiederherstellbar sind und gleichzeitig ein System als sauber bestätigt werden kann. Die als Software-Kollektion 2/2012 betitelte DVD ist 1,7 GB groß.

Version 2013[Bearbeiten | Quelltext bearbeiten]

Desinfec’t 2013[4] liegt der mit dem Datum 22. April 2013 versehenen c’t-Ausgabe 10/13 bei. Es beruht auf Ubuntu 12.04.02 Long Term Support und kann daher auch mit UEFI umgehen. Es beinhaltet wieder Ein-Jahres-Abos der Viren-Scanner von Avira, Bitdefender und Kaspersky sowie das freie ClamAV. Als große Neuerung enthält Desinfec’t nun eine startbereite Version von TeamViewer, was die Fernwartung bzw. die Hilfe z. B. für Familienangehörige erheblich erleichtern soll. Auch die Windows-Version von TeamViewer Portable befindet sich auf dem Medium. Truecrypt ist aus lizenzrechtlichen Gründen allerdings nicht mehr Bestandteil der Version 2013, kann aber nachträglich installiert werden. Das Transferieren auf einen USB-Stick ist ebenfalls wieder vorgesehen. Das Starten im UEFI-Modus ist Dank Ubuntu sogar bei eingeschaltetem Secure Boot möglich. In Einzelfällen kann es jedoch passieren, dass man Secure Boot und eventuell sogar den UEFI-Modus abschalten muss, um im BIOS-Modus zu starten, damit es funktioniert. Bei Windows 8 muss das Betriebssystem jedoch vor dem Start von Desinfec’t ganz heruntergefahren werden, da sich Windows 8 sonst normalerweise im Hyperboot-Modus befindet und ein Schreiben auf das NTFS-Dateisystem in diesem Modus zu Datenverlust führen würde. Ein Script zum vollständigen Herunterfahren von Windows 8 befindet sich auf dem Desinfec’t-Medium („shutdown“). Die DVD mit der Beschriftung Software-Kollektion 2 umfasst 1,2 GiB.

Version 2014[Bearbeiten | Quelltext bearbeiten]

Die der c’t-Ausgabe 12 aus 2014 (19. Mai 2014) beiliegende Version von Desinfec’t 2014 wird von der Redaktion im zugehörigen Heft-Artikel als Modellpflege bezeichnet. Somit baut es auf bereits Bewährtem auf und bringt hauptsächlich Aktualisierungen und kleinere Detailverbesserungen. Als Grundlage dient Ubuntu Linux 12.04.4 LTS (Februar 2014), sodass sich gegenüber der Vorversion Desinfec’t 2013 eine bessere Hardware-Unterstützung ergibt; außerdem sind damit gleichzeitig einige Fehler in Ubuntu behoben. Neu ist die Funktion, Virenfunde direkt an Virustotal hochzuladen, was die Identifikation und Bewertung von Virenfunden erleichtern soll. Die DVD mit der Beschriftung Software-Kollektion 2 umfasst 1,4 GiB.

Version 2015[Bearbeiten | Quelltext bearbeiten]

In der Ausgabe 14 von 2015 (13. Juni 2015) lag die Desinfec’t 2015 bei. Sie basiert auf Ubuntu 14.04 LTS und enthält die Virenscanner von Avira, Bitdefender, ClamAV und Kaspersky. Neu hinzugekommen ist der Easy-Scan-Modus, mit dem die Suche noch einfacher vonstattengehen soll. In diesem werden bei einer Internetverbindung automatisch Signaturupdates heruntergeladen. Anschließend werden alle Windows-Laufwerke von dem Scanner Aviras untersucht. Bei einer Installation auf einem USB-Stick wird freier Speicher für Auslagerungsdateien und Log-Dateien verwendet. In einem Verzeichnis finden sich "Experten"-Tools, wie z. B. einen Registry-Editor, der Kaspersky Windows Unlocker oder ein Skript zum Entfernen eines Windows-Passwortes.

Version 2016[Bearbeiten | Quelltext bearbeiten]

In der Ausgabe 12 von 2016 (28. Mai 2016) lag die aktualisierte Version Desinfec't 2016 auf DVD bei. Sie basiert auf Ubuntu 14.04 LTS. Statt Bitdefender ist in dieser Version Eset als Scanner enthalten.

Sonstiges[Bearbeiten | Quelltext bearbeiten]

Das Konzept, einen Computer zum Zwecke forensischer Untersuchungen von einem sterilen Medium zu booten, ist nicht neu oder erst mit Knoppicillin eingeführt worden. Früher waren dafür schreibgeschützte Disketten üblich, die aber heutigen Anforderungen in Bezug auf Speicherkapazität nicht mehr gerecht werden.

Wegen der mit enthaltenen Scannern verbundenen Lizenzen ist Knoppicillin und Desinfec’t an den Erwerb einer Heftausgabe der c’t gebunden, während im Laufe der Zeit neben kommerziellen Produkten auch freie entstanden, die diesem Zweck dienen und auf DOS/Windows oder Linux-Derivaten basierenden bootbaren CDs erschienen wie z. B. UBCD oder Helix. Neben anderen forensischen Tools sind oft auch Virenscanner darauf enthalten, die entweder vollständig frei oder zumindest für den nichtkommerziellen Gebrauch frei sind.

Auch auf verschiedenen Versionen der Knoppix-Live-CD/DVD, auf deren Konzept Knoppicillin beruht, waren bisher Virenscanner enthalten, so z. B. F-Prot von F-Secure (ursprünglich von FRISK Software aus Island) oder auch ClamAV. Zudem bieten einige Hersteller auch eigene Rettungs-CDs zum kostenlosen Download an, z. B. Avira Rescue System (welches ebenfalls auf Ubuntu basiert), Bitdefender Rescue CD, Kaspersky Rescue Disk.

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Heise online Forum: Notfall CD bootet nicht, 6. Dezember 2008.
  2. Heise online Forum: Boot-Probleme mit der Notfall-CD in Heft 26, Christiane Rütten, 8. Dezember 2008.
  3. a b Heise online: Mit Knoppicillin auf Virenjagd, Christiane Rütten, 6. Dezember 2008 (ctpatcher.zip); abgerufen am 10. März 2016.
  4. Heise online: Virenjagd mit Komfort – Desinfec’t jetzt einfacher vom Stick und mit Fernwartung, Jürgen Schmidt, 20. April 2013 (Desinfec’t 2013); abgerufen am 22. April 2013.