Desinfec’t 8

Desinfec’t 8 (Nachfolger des textbasierten Knoppicillin) ist eine Live-CD basierend auf einem Fedora-12-Remix mit grafischer Benutzeroberfläche. Sie wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Desinfec’t 8 wird mit der c’t Ausgabe 02/10 am 4.1.10 zur Verfügung gestellt. Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de. Die Live-CD enthält u.a. wieder drei Virenscanner:

  • Linux Kernel 2.6.31.6
  • Avira AntiVir 3.0.5
  • BitDefender AntiVirus 7.90123
  • Kaspersky Anti-Virus 5.7.20
  • Desktop-Umgebung Gnome 2.28.1
  • Firefox 3.5.5
  • Brennprogramm Brasero 2.28.2

Wie schon bei der Knoppicillin Live-CD steht auch auf der Desinfec’t Live-CD ein Updater für die Virensignaturen zur Verfügung. Der Updater „kncupdater.exe“ befindet sich im Verzeichnis “LIVEOS”. Nach dem Start des Updaters muss man die Signaturen direkt auf einem Laufwerk oder einem USB-Stick in einem Ordner namens „d8update“ ablegen. Leider bleibt der Updater beim Akualisieren der Kaspersky Signaturen hängen. Die beiden anderen Virenscanner werden aktualisiert und auch nach dem Reboot von der Live-CD erkannt. Starten Sie dazu die Desinfec’t Live-CD und wählen den zweiten Bootmenü-Eintrag „HD-Update“. Der Menüpunkt zum Einspielen von lokalen Signaturdateien befindet sich im Desinfec’t-GUI-Hauptmenü unter „Updates“. Bei meinem Test habe ich den Menüeintrag nicht gefunden.

Bei Auswahl „Desinfec’t starten“ wird nach dem Hochfahren die Einrichtung einer Netzwerkkonfiguration (NetworkManager) ermöglicht. Ein ETH-Kabel ist hilfreich, die WLAN-Erkennung funktioniert nicht bei neuerer Hardware.

Die Live-CD bietet auch Startoptionen im Failsafe-Modus (Problemhardware) und ist geeignet für den Einsatz von alternativen Grafiktreibern (z.B. auch Standard-VESA Grafiktreiber).

Suchmodus: intelligent (ausführbare Dateien, Treiber, DLLs, etc.) oder vollständige Suche

Desinfektionsmodus: Test (Daten bleiben unverändert), Quarantäne (verschiebt erkannte Viren nach \infected), Löschen.

Nach Abschluß der Virenscans werden entspr. Log-Files angezeigt. Angeschlossene USB-Sticks werden von der Live-CD erkannt.

Download der Vorgängerversion: Knoppicillin 6.0.2

Das Knoppicillin-Nachfolgeprodukt “Desinfec’t” ist in der Version 8 auf der Software-Kollektion-CD 1 im c’t-Heft 02/10 enthalten. Aufgrund von Lizenzvereinbarungen mit den Herstellern kann es jedoch nicht als Download-Version online angeboten werden, ebenso wie die Knoppicillin-Version 7. In beiden Fällen muss man auf die CD-Version in den jeweiligen Heften zurückgreifen.

Zu Desinfec’t 8 gibt es im entspr. Forum eine Vielzahl von Fehlerhinweisen. Die Nachfolgeversion Desinfec’t 2011 liegt der c’t-Ausgabe 8/11 bei, die seit dem 26. März 2011 verfügbar ist. Version 2011 verwendet eine Ubuntu-10.10-Live-CD als Unterbau und läuft wesentlich stabiler.

Noch ein Hinweis: Ein Fehler im Programmablauf verhindert, dass die HD-Updates automatisch eingespielt werden. Starten Sie zur Umgehung des Problems Desinfec’t ganz normal, wählen Sie „Virensuche mit Desinfec’t“ und übergehen Sie die Fehlermeldung zu fehlenden Updates, sodass Sie ins Schnellstartmenü gelangen. Wählen Sie Dort „Menü“, „Updates“, „Lokal“ und in der Liste das Laufwerk, auf dem das d8update-Verzeichnis liegt.

Knoppicillin 7

Knoppicillin ist eine Live-CD basierend auf der Knoppix Linux Distribution zur Desinfektion von Rechnersystemen. Sie wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Ab Version 8 (Ausgabe 2/10, Ende 2009) heißt die spezielle Linux-Distribution Desinfec’t. Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Mit Heft „c’t kompakt Security“ 02/2009 wurde Knoppicillin in der Version 7.0.3 vorgestellt. Die Live-CD enthält u.a. drei Virenscanner:

  • Linux Kernel 2.6.27.5
  • Avira AntiVir 7.9.1.3/2.1.12-193
  • BitDefender AntiVirus Scanner 7.60825
  • Kaspersky Anti-Virus 5.7.20
  • Knoppicillin-Updater 1.1 für Windows
  • Iceweasel/Firefox 3.6
  • Xorg 7.3 und IceWM
  • MidnightCommander

Besonders interessant ist der Startmodus 2 (HD-Update) der Live-CD. Auf der Live-CD befindet sich im Verzeichnis „KNOPPIX“ der Downloader für die einzelnen Signaturen der Virenscanner. Wenn man die exe-Datei zur Ausführung bringt wird automatisch auf der Festplatte des zu untersuchenden Systems ein Verzeichnis C:\k7update mit den einzelnen Virensignaturen erzeugt. Leider bleibt der Update beim Akualisieren der Kaspersky Signaturen hängen. Die beiden anderen Virenscanner werden aktualisiert und auch nach dem Reboot von der Live-CD (Modus 2) erkannt. Im Startmodus 2 ist auch der Einsatz eines USB-Sticks als Datenträger für die Signaturen möglich.

Der Downloader kann auch über einen ct-Link heruntergeladen werden.

Im Startmodus 1 wird die Einrichtung einer Netzwerkkonfiguration ermöglicht. Ein ETH-Kabel ist hilfreich, die WLAN-Erkennung funktioniert nicht bei neuerer Hardware.

Im Startmodus 3 startet der Linux Kernel im Failsafe-Modus für Problemhardware. Im Modus 4 startet schließlich das Diagnose-Knoppix mit grafischer Oberfläche.

Suchmodus: intelligent (ausführbare Dateien, Treiber, etc.) oder vollständige Suche

Desinfektionsmodus: Test (Daten bleiben unverändert), Quarantäne (verschiebt erkannte Viren nach \infected), Löschen.

Nach Abschluß der Virenscans werden entspr. Log-Files angezeigt. Angeschlossene USB-Sticks werden von der Live-CD erkannt.

Download der Vorgängerversion: Knoppicillin 6.0.2

Das Knoppicillin-Nachfolgeprodukt „Desinfec’t“ ist in der Version 8 auf der Software-Kollektion-CD 1 im c’t-Heft 02/10 enthalten. Aufgrund von Lizenzvereinbarungen mit den Herstellern kann es jedoch nicht als Download-Version online angeboten werden, ebenso wie die Knoppicillin-Version 7. In beiden Fällen muss man auf die CD-Version in den jeweiligen Heften zurückgreifen.

F-Secure Rescue CD

Die F-Secure Rescue CD V 3.11 basiert auf einer sehr einfachen textbasierten Linux Distribution (Knoppix). Die Live-CD ermöglicht ein beschädigtes System zu reparieren, Daten zu retten oder einen stand-alone Virenscan durchzuführen. Aufgrund der einfachen textbasierten Darstellung kommt das Rescue System mit unterschiedlicher Hardware problemlos klar.

Die Rescue CD kann als zip-Datei heruntergeladen werden und muss vor dem Brennen auf eine CD entpackt werden. Die engl.-sprachliche F-Secure Rescue CD bietet die Möglichkeit über ein ETH-LAN-Kabel ein Signatur-Update (Ablage USB-Stick\fsecure\ rescuecd) durchzuführen. Alternativ kann vor dem Festplattenscan auf einem USB-Stick die aktuelle Virensignaturdatei abgelegt (Offline-Modus) und über die Live-CD eingebunden werden.

Zum Download der aktuellen Signaturdatei muss der Link aufgerufen werden, was bei mir nicht funktioniert hat. Das File sdbupdate9.run muss auf den leeren USB-Stick kopiert werden. Bei eingestecktem USB-Stick ist ein Reboot mit der Live-CD durchzuführen. Alle erkanten Festplatten oder eingesteckte USB-Sticks werden per default nach Malware durchsucht.

Virenbehandlung: Malware-Dateien werden umbenannt nach *.virus.

Angeblich soll auch PhotoRec und TestDisk auf der Rescue CD sein.

AVG Rescue CD

Die AVG Rescue CD basiert auf einer textbasierten Linux Distribution (vmlinuz). Die Live-CD ermöglicht ein beschädigtes System zu reparieren, Daten zu retten oder einen stand-alone Virenscan durchzuführen. Aufgrund der textbasierten Darstellung kommt das Rescue System mit unterschiedlicher Hardware problemlos zurecht.

Die Rescue CD kann als iso-Datei heruntergeladen werden und muss danach auf eine CD-ROM gebrannt werden. Die AVG CD bietet die Möglichkeit über ein ETH-LAN-Kabel ein Signatur-Update durchzuführen. Alternativ kann vor dem Festplattenscan auf dem zu untersuchenden Windows-System die aktuelle Virensignaturdatei abgelegt (Offline-Modus) und über die Live-CD eingebunden werden.

Scanmethode: Alle Dateien scannen, Einschränkungen möglich.

Virenbehandlung: Alle löschen, alle umbenennen, auswählen und individuell.

Bedrohungen: Viren, Würmer, Trojaner, Spyware oder Adware.

Neben dem textbasierten Dateimanager MidnightCommander (F9-Taste für Hauptmenü)steht auch ein Windows-Registrierungseditor, Ping, TestDisk (Wiederherstellen gelöschter Dateien, verlorener Partitionen, MBR-Datensätzen, etc.), Memtest86+ und PhotoRec (Restauration gelöschter Dateien) zur Verfügung. Angeschlossene USB-Sticks werden erkannt.

BitDefender Rescue CD

Die BitDefender Rescue CD basiert auf einer Xubuntu-Linux Distribution (based on Debian, xfce4 Desktop, isolinux zum Booten, Knoppix) mit GUI-Scanner. Die Live-CD ermöglicht ein beschädigtes System zu reparieren, Daten zu retten oder einen stand-alone Malware-Scan durchzuführen. Das Rescue System kommt mit unterschiedlicher Hardware (Core i3, Core 2 duo, Standard SVGA-kompatible Grafikkarte) zurecht.

Die Rescue CD kann als iso-Datei heruntergeladen werden und muss danach auf eine CD-ROM gebrannt werden. BitDefender bietet die Möglichkeit über ein WLAN die Virensignaturen aktuell zu halten (Core 2 Duo tut, Core i3 tut nicht). Ohne WLAN kann alternativ auch ein normales ETH-LAN-Kabel zum Signatur-Update zum Einsatz kommen.

Scanmethode: Alle Dateien scannen, Einschränkungen möglich.

Wenn der Virenscanner der Bitdefender Rescue CD einen Virus erkennt, kann man wählen, ob man den Virus löscht, in die Quarantäne verschiebt oder nur protokolliert.

Bedrohungen: Viren, Würmer, Trojaner, Spyware oder Rootkits.

Neben den Dateimanagern (Konqueror, Nautilus, Thunar, textbasierter MidnightCommander) steht auch ein Mozilla Firefox, ein Terminal, Foxit Reader, TestDisk 6.11 und GParted zur Verfügung. Angeschlossene USB-Sticks werden erkannt. Laufwerke, die nicht unter Windows benannt wurden, werden als [LocalDisk-0] dargestellt und beziehen sich wahrscheinlich auf die (C:) Windows-basierte Typenpartition, [LocalDisk-1] bezieht sich auf (D:) und so weiter.

Auffällig ist die lange Ladezeit der Boot-CD und die hektisch reagierende Maus, die über Einstellungen erst mal gebändigt werden muss.