Den Wurm geschossen
Wenn Sie befürchten, dass Ihr PC von Viren befallen ist, kommt Knoppicillin zur Rettung. Es bietet Ihnen eine garantiert virenfreie Umgebung, in der Sie Ihr System mit drei verschiedenen Virenscannern testen und reinigen können, um es wieder auf die Beine zu bringen.
- Christiane RĂĽtten
Wenn sich der Windows-PC plötzlich merkwürdig verhält, sind trotz installiertem Antiviren-Programm möglicherweise Viren, Würmer oder sonstige Schadprogramme am Werk. Keine Software kann hunderprozentigen Schutz bieten, und selbst die besten Virenscanner bekommen erst innerhalb einiger Stunden bis Tage nach dem Auftreten eines brandaktuellen Schädlings dessen Signaturen ausgeliefert. Einmal am Schutzwall vorbeigekommen sind viele Störenfriede darauf programmiert, installierte Antiviren-Software gezielt zu umgehen und außer Gefecht zu setzen.
Die bootfähige Antiviren-CD Knoppicillin schickt daher gleich drei namhafte Virenscanner auf die Jagd: den BitDefender Antivirus Scanner, F-Secure Anti-Virus und Sophos SAVScan. Knoppicillin basiert auf der Linux-Live-CD Knoppix und ist auf einem Großteil auch aktueller PCs lauffähig. Dank der textbasierten Menüsteuerung sind keine besonderen Linux-Kenntnisse erforderlich.
Die CD ist zwar kein Ersatz für einen vollwertigen Virenscanner, der jeden Dateizugriff Ihres Betriebssystems penibel überwacht, doch sie kann Ihnen sogar in Situationen weiterhelfen, in denen herkömmliche Scanner konzeptbedingt versagen. Denn Knoppicillin ist vollständig unabhängig von den Daten auf der Festplatte und daher selbst dann noch lauffähig, wenn Schadsoftware Ihr System vollkommen unbrauchbar gemacht hat.
In einem Versuchslauf hatte das Rootkit AFX unser Windows-XP-Testsystem derart übel zugerichtet, dass es nach dem Booten nur noch einen Bluescreen zeigte. Ein Anmelden zur Desinfektion oder zum Retten wichtiger Daten war nicht mehr möglich. Nach einer Desinfektion mit dem Linux-Virenjäger ließ sich Windows wieder ohne große Probleme starten.
Doch leider hat auch Knoppicillin einen blinden Fleck: Der verwendete NTFS-Treiber ntfs-3g [2] unterstützt zwar auch die so genannten Alternate Data Streams (ADS) [3], doch keiner der eingesetzten Scanner kann in den versteckten Dateianhängseln nach Schädlingen suchen. Das Anti-Spyware-Programm Spybot Search & Destroy auf der Heft-CD sucht jedoch gezielt in verdächtigen Streams.
In die Stiefel
Zum Start von Knoppicillin legen Sie die Heft-CD direkt nach dem Einschalten des Rechners in das CD- oder DVD-Laufwerk. Die meisten PCs sind so konfiguriert, dass sie automatisch von der CD starten, wenn eine bootfähige CD eingelegt ist. Sollte wider Erwarten das fest installierte Betriebssystem hochfahren, waren Sie möglicherweise mit dem Einlegen nicht schnell genug oder Ihr PC-BIOS ist nicht entsprechend eingerichtet. Im ersten Fall müssen Sie den Rechner mit eingelegter CD lediglich neu starten, im zweiten Fall im BIOS-Setup die Bootreihenfolge Ihrer Laufwerke ändern.
Sollte sich Knoppicillin beim Hochfahren aufhängen, gibt es möglicherweise ein Problem mit den Hardware-Treibern. Knoppix, die Basis für Knoppicillin, bietet für solche Fälle über spezielle Boot-Parameter Umgehungsmöglichkeiten an, die die schuldigen Komponenten abschalten. Diese Optionen können Sie in der „boot“-Kommandozeile eingeben (siehe Abbildung). Die folgende Boot-Zeile kann als offizieller Knoppix-Geheimtipp gelten, um Rechner mit Bootproblemen doch noch flott zu bekommen:
1 acpi=off noapic pnpbios=off pci=bios irqpoll
Für Knoppicillin benötigt Ihr Rechner mindestens 128 MByte Arbeitsspeicher, empfohlen sind jedoch 256 MByte. Mit weniger als 256 MByte kann es während der Scans zu unvorhersehba-ren Programmabbrüchen kommen, die sich in Fehlermeldungen und unvollständigen Log-Dateien niederschlagen.
Ins Netz
Für eine erfolgreiche Pirsch benötigt Knoppicillin den tagesaktuellen Stand der Virensignaturen aus dem Internet. Die auf der CD enthaltenen Signaturen haben schon beim Erscheinen der CD mehrere Tage auf dem Buckel und sind daher veraltet. Ein Durchlauf mit solchen Signaturen kann Ihnen ein trügerisches Gefühl der Sicherheit vermitteln, wenn die Scanner neuere Schädlinge nicht entdecken können und melden, dass alles in Ordnung sei.
Wenn Sie einen gewöhnlichen DSL-Router haben oder über ein Netzwerk mit automatischer DHCP-Konfiguration online gehen, sind Sie fein raus. In diesem Fall laufen alle notwendigen Schritte automatisch ab. Falls Ihr PC mit einem Firmen- oder Universitätsnetz verbunden ist, müssen Sie unter Umständen noch einen Proxy-Server angeben. Seine Adresse lässt sich nicht zuverlässig automatisch erkennen. Sie können sie jedoch beispielsweise in den Browsereinstellungen eines laufenden Computers im gleichen Netzwerk auslesen oder beim zuständigen Administrator erfragen.
Falls Knoppicillin zur Einrichtung des Netzwerks Ihre Unterstützung braucht, öffnet sich der Dialog „Netzwerk-Setup“. Wählen Sie dort die Art des Internetzuganges. Nähere Informationen finden Sie im Kasten „Online mit DSL und ISDN“.
Nach dem Herstellen der Internet-Verbindung werden automatisch das System-Update vom Heise-Server eingespielt und die Virensignaturen der drei Scanner auf den aktuellen Stand gebracht. Wenn bei der Aktualisierung etwas schiefgelaufen ist, bekommen Sie dies in einem Warndialog mitgeteilt. Dort haben Sie die Wahlmöglichkeit, den vorangegangenen Schritt zu wiederholen, den Rechner neu zu starten oder ohne Updates fortzufahren.
Die Jagd beginnt
Nach dem Aktualisieren des Systems und der Virenscanner startet die textbasierte Menüführung. Erfahrene Linux-Anwender haben ab diesem Zeitpunkt auch die Möglichkeit, zur Eingabe von Kommandozeilenbefehlen beispielsweise mit Alt-F2 auf eine weitere Textkonsole umzuschalten.
Die Menüsteuerung fragt als Erstes nach den zu verwendenden Scannern. In der präsentierten Liste können Sie mit den Cursor-Tasten navigieren und mit Return einzelne Scanner an- und abwählen. In der Voreinstellung sind alle drei Scanner aktiv, um Ihnen einen größtmöglichen Schutz zu bieten. Wenn Sie mit der Auswahl zufrieden sind, wählen Sie den Menüpunkt „weiter“. Anschließend zeigt Ihnen die Menüsteuerung Detailinformationen zu den Versionen der Scanner und deren Signaturdatenbanken. Anhand der Datumsangaben können Sie sicherstellen, dass auch tatsächlich die aktuellen Signaturen verwendet werden.
Auf die Pirsch
Der einfachste und sicherste Betriebsmodus von Knoppicillin ist das Scannen sämtlicher erkannter Laufwerke. Wählen Sie dazu im Hauptmenü „Virentest“, dann „Computer auf Viren testen“ und „Virentest über alle Laufwerke starten“. Daten werden dabei nicht verändert, und Sie erhalten nach jeder durchsuchten Partition eine Übersicht aller Dateien, an denen es etwas zu beanstanden gibt. Nähere Informationen zu den Logs enthält der Kasten „Was steht in den Log-Dateien?“.
Anstatt gleich den ganzen Computer zu durchsuchen, können Sie auch einzelne Laufwerke durchsuchen, auf denen Sie Schädlinge vermuten. Das Verzeichnis /mnt/scan zu scannen, empfiehlt sich jedoch nur für fortgeschrittene Linux-Anwender, die die gewünschte Partition an dieser Stelle manuell einbinden müssen.
Durch die Boot-Option „autoscan“ können Sie Knoppicillin auch anweisen, ohne unnötige Nachfragen direkt mit dem Scannen aller erkannten Laufwerke im System zu beginnen. Die dafür eingesetzten Scanner können Sie über eine weitere Boot-Option steuern: Beispielsweise schickt „1 autoscan scanner=sf“ Sophos vor F-Secure und „1 autoscan scanner=b“ nur BitDefender zur automatischen Suche ins Feld.
Durchladen
Sollten die Scanner bei einem Suchdurchlauf tatsächlich auf ungewollte Schädlinge stoßen, kann auch scharf geschossen werden. Knoppicillin bietet im Menü „Virentest“ das Untermenü „Viren entfernen“. Es unterscheidet sich in der Bedienung nicht von dem Menü für den Virentest, allerdings löscht ein darüber gestarteter Durchlauf ohne weitere Nachfrage alle infizierten Dateien, die die Scanner finden.
Knoppicillin geht mit gefundenen Infektionsherden allerdings nicht gerade zimperlich um. Da es in der Regel nicht möglich ist, eine infizierte Datei wieder in den Originalzustand zu versetzen, wird sie vollständig entfernt. In der Praxis kann das bedeuten, dass große Mailbox- oder Archivdateien vollständig gelöscht oder geleert werden, auch wenn nur eine einzelne enthaltene E-Mail oder Datei befallen ist. Im schlimmsten Fall ist es möglich, dass sich der Schädling in wichtigen Systemdateien eingenistet hat, ohne die der PC nicht mehr fehlerfrei startet.
Eine empfehlenswerte Herangehensweise ist daher, Knoppicillin zunächst nur lesend auf die Jagd zu schicken. Anschließend sollten Sie sorgfältig die Log-Dateien studieren, bevor Sie infizierte Dateien per Menüsteuerung löschen lassen oder manuell per Kommandozeile behandeln. Vor einer automatischen Desinfektion sollten Sie unbedingt ein Backup aller wichtigen Daten anlegen [4]. Das geht mit ein wenig Linux-Erfahrung auch unter Knoppicillin, erfordert jedoch entweder eine ausreichend große Backup-Festplatte oder geübten Umgang mit den Kommandozeilen-Tools mkisofs oder rsync [5].
Wie auch am Ende eines reinen Suchdurchlaufes bekommen Sie zum Abschluss der Desinfektion mit der MenĂĽsteuerung die Protokolldateien angezeigt, die alle wichtigen durchgefĂĽhrten Aktionen zusammenfassen.
Bis aufs Ă„uĂźerste
Knoppicillin bietet sowohl fürs Suchen als auch fürs Desinfizieren den Modus „höchste Suchstufe“. Im Gegensatz zur normalen Einstellung nimmt sich der Linux-Jäger damit jede einzelne Datei auf Ihrem PC vor, um sie genauestens zu untersuchen. Allerdings ist dieser Suchmodus wesentlich langsamer und benötigt mehr Speicher für einen erfolgreichen Durchlauf. Ihr System sollte für die höchste Suchstufe über mindestens 512 MByte RAM verfügen.
In unseren Tests haben wir auch vermehrt Abstürze der Scanner beobachtet, wenn wir sie in diesem Modus auf eine umfangreiche Windows-Installation - beispielsweise mit einer großen Medienbibliothek auf der Festplatte - losgelassen haben. Für die allermeisten Einsätze ist der Normalmodus jedoch ausreichend.
Zu Hilfe!
Sollten Sie bei der Virenjagd Hilfe benötigen, finden Sie auf der Knoppicillin-Projektseite [6] häufig gestellte Fragen und weitere Informationen. Das nützt allerdings gar nichts, wenn die kleinen Schmarotzer Ihr reguläres Betriebssystem völlig außer Gefecht gesetzt haben. Zu diesem Zweck können Sie unter Knoppcillin auch den Internet-Browser Firefox in einer grafischen Benutzerumgebung starten. Er ist mit den wichtigsten Security-Seiten und Virenlexika der Hersteller als Bookmarks vorkonfiguriert.
Wechseln Sie zum Start von Firefox mit Alt-F2 auf ein Terminal und geben Sie dort den Befehl init 4 ein. Nach kurzer Zeit startet der Fenstermanager. Den Browser erreichen Sie über die kleine blaue Weltkugel am unteren Bildschirmrand oder über das Startmenü. Sie können jederzeit mit den Tastenkombinationen Strg-Alt-F1 und Alt-F5 zwischen dem Textmodus und dem Grafikmodus umschalten. Die grafische Oberfläche können Sie über den Punkt „Abmelden“ im Startmenü oder durch den Kommandozeilenbefehl init 2 wieder beenden.
Bitte bedenken Sie aber, dass Browser und Benutzeroberfläche zusätzlichen Arbeitsspeicher von bis zu 100 MByte für sich beanspruchen. Zur Vermeidung von Speicherproblemen und Zugriffskonflikten sollten Sie sie nicht während eines laufenden Scanvorganges starten.
Unter der Lupe
Knoppicillin ist nicht nur auf die Virenjagd spezialisiert. Teil der Meute ist auch ein Grundstock an wichtigen Kommandozeilen-Tools, mit denen fortgeschrittene Linuxer eine ganze Bandbreite an Netzwerk-, Hardware- oder Dateisystemproblemen diagnostizieren und beheben können. Der Artikel „Doktor Tux, Systemdiagnose und Wartung mit Linux“ auf Seite 130 (c't 21/06) beschäftigt sich mit einigen der auf der CD enthaltenen Werkzeugen und deren Verwendung.
Literatur
[1] Dr. Oliver Diedrich, Virenjäger, Knoppicillin-4: Der c't-Virenscanner, c't 23/05, S. 130
[2] Informationen ĂĽber den Linux-NTFS-Treiber
[3] Daniel Bachfeld, Gefahr aus der Schattenwelt, Alternate Data Streams als Versteck für Schädlinge
[4] Axel Vahldiek, Christoph Hoppe, Absicherer, Backup-Programme fĂĽr Windows XP, c't 9/06, S. 116
[5] JĂĽrgen Schmidt, Beruhigungsmittel, Backups fĂĽr kleine Linux-Server, c't 7/06, S. 212
[6] Projektseite von Knoppicillin
[7] Diskussionsforum zu Knoppicillin
| "PC auf Nummer sicher" | |
| Weitere Artikel zum Thema "PC auf Nummer sicher" finden Sie in der c't 21/2006: | |
| Schädlinge systematisch aufspüren | S. 156 |
| Sicherheitswerkzeuge auf der Heft-CD | S. 164 |
| Auf Virenjagd mit Knoppicillin-5 | S. 168 |
Die wichtigsten Neuerungen in KĂĽrze
- BitDefender Antivirus Scanner v7.60428
- F-Secure Anti-Virus 4.65
- Sophos SAVScan 4.03.0
- MenĂĽsteuerung c't-CD Version 3.2
- Basissystem Knoppix 5.1
- vollwertiger NTFS-Schreibzugriff mit ntfs-3g
- Firefox-Browser fĂĽr Internet-Recherche
- Autoscan-Modus
- flexible Steuerung durch Boot-Parameter
- ausgewählte Diagnose- und System-Utilities
Online mit DSL und ISDN
Die meisten DSL-Zugänge erfolgen mittlerweile über eigenständige DSL-Router, die sich um die Internetverbindung kümmern. In diesem Fall ist in der Regel keine weitere Konfiguration mehr nötig.
Falls Ihr DSL-Modem jedoch direkt am PC angeschlossen ist oder Sie per ISDN ins Internet gehen, benötigt Knoppicillin Ihre Zugangsdaten. Wählen Sie zunächst im Dialog „Netzwerk-Setup“ (siehe Abbildung) die Art des Internet-Zuganges.
Für einen DSL-Zugang benötigen Sie Ihren Benutzernamen und das Zugangskennwort. Bei einem T-Online-Zugang setzt sich der vollständige Benutzername aus der Anschlusskennung, der T-Online-Nummer und der Mitbenutzernummer (in der Regel 0001) zusammen und hat das Format:
<Anschluss><T-O.-Nr.>#<Mitbenutzer>@t-online.de
Die sonstigen Fragen, die Ihnen der DSL-Konfigurationsdialog stellt, können Sie im Zweifel mit der Vorgabe beantworten. Die Verbindung wird abschließend automatisch gestartet.
Zum Aufbau einer ISDN-Verbindung benötigen Sie sowohl die Einwahlnummer Ihres Providers als auch Benutzername und Kennwort. Wählen Sie dazu zunächst im Netzwerk-Setup den Punkt „Einwahl per ISDN“ und nachfolgend „ISDN-Einstellungen“. Im Untermenü Hardware wählen Sie „Auto-Detect“ oder den exakten Typ Ihrer ISDN-Karte aus. Provider-Telefonnummer, -Login und Passwort gehören in die entsprechenden Felder. Mit „Einstellungen speichern/aktivieren“ schließen Sie die Konfiguration ab.
Zurück im ISDN-Hauptmenü wählen Sie „Verbinden“ und dann „ISDN-System anhalten“ gefolgt von „ISDN-System starten“. Wenn alles richtig gelaufen ist, sollte in der Zeile „Online-Status anzeigen“ nun „ippp0 is not connected“ stehen, und Sie können den Dialog mit „Zurück“ beenden. Das ISDN-System baut eine Verbindung erst auf, wenn Daten über die Leitung geholt werden müssen und beendet sie danach auch wieder selbsttätig. Für ein vollständiges Update müssen 15 bis 25 MByte an Daten übertragen werden. Bei einer einfachen ISDN-Verbindung kann das bis zu einer Dreiviertelstunde dauern.
| Wo ist mein C:-Laufwerk? | |
| Partitionen und Laufwerksbuchstaben: ein Beispiel | |
| hda | erste IDE-Platte |
| hda1 | C: (primäre Partition) |
| hda2 | erweiterte Partition |
| hda5 | E: (logisches Laufwerk) |
| hda6 | F: (logisches Laufwerk) |
| hdb | zweite IDE-Platte |
| hdb1 | D: (primäre Partition) |
| hdb2 | erweiterte Partition |
| hdb5 | G: (logisches Laufwerk) |
| besondere Laufwerkstypen | |
| hdc | CD-Laufwerk |
| sda1 | USB-Stick oder SATA-Platte |
| pdc_* | Promise-Host-RAID-Partition |
| isw_* | Intel-Host-RAID-Partition |
| via_* | Via-Host-RAID-Partition |
Was steht in den Log-Dateien?
Nach den Scan-Durchläufen und durch Wahl des Menüpunktes „Reports anzeigen“ gibt Ihnen Knoppicillin den Inhalt der bisher entstandenen Log-Dateien aus. Um zur nächsten Log-Seite vorzublättern, drücken Sie einfach die Leertaste, mit „b“ kommen Sie eine Seite zurück und mit „q“ können Sie die angezeigte Log-Datei schließen. Mit „/Suchbegriff“ können Sie auch nach Schlüsselbegriffen suchen. Wer sich die Dateien lieber per Kommandozeile anzeigen lässt, findet sie im Verzeichnis /tmp/k5logs.
Jeder Report enthält je Scandurchlauf eine Kopfzeile mit dem Startzeitpunkt und dem Linux-Namen der untersuchten Partition (siehe Tabelle „Wo ist mein C:-Laufwerk?”). Es folgen einige interne Versionsinformationen des Scanners und eine Liste aller Dateien (erkennbar an dem vorangestellten /mnt/scan), bei denen eine Infektion oder ein Fehler festgestellt wurde. Das Ende der Liste bildet eine kurze Zusammenfassung des Scanvorganges, darin die Zahl der infizierten Dateien. Möglicherweise fehlt diese Zusammenfassung, wenn der Scanner mit einem Fehler abgebrochen hat.
Im Menü „Virentests“ unter dem Punkt „Reports kopieren“ lassen sich die Reports auch auf einen beliebigen Datenträger sichern. Wählen Sie anschließend den Namen der Partition oder des Gerätes, auf dem gespeichert werden soll. Einen USB-Stick müssen Sie spätestens einige Sekunden vor Anwahl des Menüpunktes einstecken, da er sonst nicht in der Laufwerksliste erscheint. Er trägt für gewöhnlich den Namen sda1 oder sbd1 und ist leicht an der Größenangabe zu erkennen. Im ausgewählten Laufwerk erhalten Sie ein Zip-Archiv „k5logs.zip“ mit allen angefallenen Log-Dateien, die nach dem Schema „Partition-Scannername.log“ benannt sind, sowie zwei Log-Dateien mit technischen Informationen über Ihr System und den Boot-Vorgang. So können Sie die Logs auch mit Ihrem gewohnten Textverarbeitungsprogramm studieren.
Wenn Sie von dieser Möglichkeit Gebrauch machen wollen, sollten Sie unbedingt das Knoppicillin-Update aus dem Internet einspielen lassen. Es behebt einen Fehler bei der Reportspeicherfunktion, der sich kurz vor dem Mastern der CD eingeschlichen hat.
| Boot-Optionen fĂĽr Fortgeschrittene | |
| autoscan | startet ohne weitere Abfragen einen Scan ĂĽber alle Laufwerke |
| full | scannt immer mit höchster Suchstufe (nicht empfohlen) |
| noupdate | ĂĽberspringt alle Internet-Updates (nicht empfohlen) |
| scanner=... | legt zu verwendende Scanner und deren Reihenfolge per Kurzbuchstaben fest: b fĂĽr BitDefender, f fĂĽr F-Secure und s fĂĽr Sophos (Default: bfs) |
| screen=... | legt eine Bildschirmauflösung für den Grafikmodus fest, beispielsweise 1280x1024 |
| proxy=... | spezifiziert einen Proxy im Format http://proxy.domain.de:8080 |
| debug | zeigt ausfĂĽhrliche Boot-Informationen und liefert eine Root-Shell nach der Hardware-Erkennung |
(cr)
