Desinfec't 2011
Wenn Sie befürchten, dass Ihr PC von Viren befallen ist, kommt Desinfec't zur Rettung. Es startet eine garantiert virenfreie Umgebung, in der Sie Ihr System mit bis zu vier Virenscannern testen und anschließend reinigen können.
Die Erfahrung zeigt, dass sich trotz installierter Antiviren-Software Schädlinge einschleichen können. Wer in einer solchen Situation auf Nummer sicher gehen will, findet mit Desinfec’t den idealen Helfer. Es kann das System mit bis zu vier verschiedenen Viren-Scannern nach Schadsoftware durchsuchen. Unter der Haube arbeiten die renommierten Scan-Engines von Avira, Kaspersky und Bitdefender; hinzu kommt das Open-Source-Projekt ClamAV.
Die DVD aus c't 8/11 startet ein garantiert sauberes System, sodass selbst trickreiche Schädlinge mit speziellen Tarnkappenfunktionen keine Chance haben, der Entdeckung zu entgehen. Desinfec’t verwendet dazu ein abgespecktes Linux – das Live-System von Ubuntu 10.10. Diese Distribution haben wir gewählt, weil sie eine sehr breite Hardware-Unterstützung bietet und sehr gut getestet ist. Kein selbstgezimmertes Linux kann sich in dieser Beziehung damit messen. Trotzdem kann es passieren, dass es gerade mit Ihrer Hardware nicht klappt, etwa weil Board, RAID-System oder Netzwerk-Adapter nicht unterstützt werden. In solchen Fällen hilft mit etwas Glück eine der alternativen Boot-Optionen oder die Hilfe zur Ubuntu-Live-CD auf http://wiki.ubuntuusers.de/Ubuntu-CD_Problembehebung.
Nach einem erfolgreichen Start erscheint der Desinfec’t-Desktop mit dem Icon für „Viren-Scan starten“. In einem verkabelten Heimnetz hinter einem Router hat Desinfec’t in diesem Stadium auch bereits via DHCP eine IP-Adresse bekommen und damit eine funktionsfähige Netzwerkverbindung, um seine Viren-Signaturen auf den aktuellen Stand zu bringen. Man erkennt das am Doppelpfeil in der oberen Desktop-Leiste, der beim Berühren mit der Maus anzeigt: „Kabelnetzwerkverbindung ‚Auto eth0’ ist aktiv“. Erscheint stattdessen ein WLAN-Symbol mit rotem Ausrufezeichen, heißt es dort „Keine Netzwerkverbindung“. Dann zeigt ein Klick auf das Symbol die vorhandenen Funknetze an, in die Sie sich ganz einfach einklinken können: Wählen Sie das gewünschte Netz aus, geben Sie das WLAN-Passwort ein und ignorieren Sie die Nachfrage, ein Passwort für den Schlüsselbund zu setzen.
Zu diesem Zeitpunkt hat Desinfec’t Ihre Festplatten-Laufwerke noch nicht angefasst. Wenn Sie den „Viren-Scan starten“, erscheint ein Dialog, über den Sie alle „FAT- und NTFS-Partitionen automatisch einbinden“ können. Haben Sie dabei etwas Geduld. Da alles von DVD geladen werden muss, reagiert das System nicht ganz so flott wie von Festplatte gestartet und wer zu schnell nochmals klickt, hat plötzlich zwei oder drei Fenster offen.
Da Desinfec’t auf gar keinen Fall bei einem Routinecheck versehentlich etwas beschädigen soll, hängt es die Laufwerke dabei im Nur-Lesen-Modus ein. Änderungen an der Festplatte lässt das System damit grundsätzlich nicht zu. Wenn Sie die Alternative „Laufwerk jetzt manuell einbinden“ wählen und dazu den Ubuntu-Dateimanager benutzen, werden die Laufwerke aber standardmäßig gleich beschreibbar gemountet.
Als nächstes erscheint ein Auswahldialog, welche Scanner Sie starten wollen. Standardmäßig haben wir nur die ersten zwei aktiviert, weil der Scan sonst gerade auf älteren Systemen recht lange dauert und unter Umständen sogar mit Speicherproblemen abstürzen kann. Diese Voreinstellung heißt keineswegs, dass man die anderen Scanner nicht einsetzen sollte; auf halbwegs modernen Systemen ab 2 GByte Arbeitsspeicher haben wir keine Speicherprobleme mehr gesehen. Gerade Kaspersky hat eine exzellente Engine; lediglich ClamAV fällt im direkten Vergleich etwas ab. Experimentieren Sie ein bisschen, bis Sie Ihre bevorzugte Scanner-Kombination gefunden haben.
Der Scan
Der Scan
Ein Scan von Mailboxen und Archiven verlängert die Wartezeit und vor allem auch den Speicherbedarf beträchtlich. Da die dort eventuell vorhandenen Schädlinge keine akute Infektion des Systems bedeuten – sie sind ja nicht aktiv –, ist diese Option standardmäßig abgeschaltet. Anschließend haben Sie noch die Möglichkeit, die zu untersuchenden Laufwerke weiter einzuschränken, um beispielsweise das riesige MP3-Archiv auf Laufwerk D: nicht mit zu testen. Standardmäßig werden alle unter /media eingehängten Laufwerke geprüft.
Dann geht es los. Zunächst holt Desinfec’t für alle aktivierten Scanner die neuen Signaturen und dann kommt der eigentliche Scan, der sich durchaus über mehrere Stunden hinziehen kann. Dabei gehen diverse Fenster auf und wieder zu; insbesondere bei Bitdefender friert das Ausgabefenster nach „Plugins loaded“ so lange ein, dass man meinen könnte, Bitdefender hätte sich aufgehängt – was jedoch hoffentlich nicht der Fall ist. Wer dennoch zweifelt und sicher ist, dass sein System genug Arbeitsspeicher dafür hat, kann unter „System“ die Systemüberwachung starten und sieht dort, dass die CPU durchaus noch beschäftigt ist.
Ansonsten empfiehlt es sich insbesondere auf schwachbrüstigen Systemen mit 1 GByte RAM oder weniger, das System während der Wartezeit sich selbst zu überlassen und sich in Geduld zu üben. Vergessen Sie nicht, dass der Arbeitsspeicher neben den aktiven Scannern und deren nicht gerade kleinen Signaturdatenbanken auch die heruntergeladenen Dateien beherbergen muss.
Nach getaner Arbeit hängt Desinfec’t die Laufwerke unter /media wieder aus und erstellt zwei Report-Dateien auf dem Desktop. Hat einer der Scanner etwas Verdächtiges gefunden, erscheint außerdem eine Nachricht und Desinfec’t öffnet den HTML-Report mit Firefox – leider wieder erst mit einer DVD-Gedenk-Verzögerung von einigen Sekunden.
Gelegentlich meldet Desinfec’t auch, dass einer der Scans abgebrochen wurde. Das kann viele Ursachen haben und muss nichts Schlimmes bedeuten. So haben wir es erlebt, dass Scanner beim Untersuchen besonders großer Archive aus Speichermangel verendet sind oder Kaspersky sich an einer völlig harmlosen Datei reproduzierbar verschluckt hat. Manchmal geben die Log-Dateien Aufschluss über die Ursache, manchmal hören sie einfach mittendrin auf.
Reinigen + Extras
Don’t panic
Haben die Scanner etwas Verdächtiges aufgespürt, sollte man unbedingt Ruhe bewahren. Jetzt einfach reinigen ist ein Vabanque-Spiel, bei dem schon manches Windows über den Jordan gegangen ist. Zunächst sollte man herausfinden, was der Scanner überhaupt zu meckern hat. Dabei stellt sich manchmal heraus, dass er lediglich eine „Potentially Unwanted Software“ (PUA) aufgespürt hat – was durchaus der absichtlich installierte Netzwerk-Sniffer sein könnte. Oder die Heuristik stört sich an einem verdächtigen EXE-Packer. Grundsätzlich sollte man allen Warnungen, die „Suspicious“, „Generic“, „Heuristic“ oder deren Abkürzungen enthalten, eine gehörige Portion Misstrauen entgegenbringen.
Für weitere Nachforschungen zeigt der Report unter dem Dateinamen die Viren-Kennung und verlinkt diese auch gleich mit der Suche in der Schädlingsdatenbank des jeweiligen Herstellers. Liefert die keinen Treffer, hilft es manchmal, die Versionsbezeichnung wegzulassen. Darüber hinaus erreicht man über die Firefox-Lesezeichen unter „Online-Analyse“ diverse Dienste, bei denen man einzelne Dateien noch weiteren Tests unterziehen kann.
Steht tatsächlich eine Reinigung des Systems an, hat es sich bewährt, die Dateien an Ort und Stelle umzubenennen. Hängt man etwa an den Dateinamen die zusätzliche Endung „.INFECTED“ an, zeigt ein eventuell existierender Autostart-Eintrag in Windows ins Leere und das System bootet wieder sauber. Außerdem besteht nicht die Gefahr, dass man die Datei durch einen versehentlichen Klick selbst startet. Und erweist sie sich doch als harmlos, kann man die Änderung jederzeit wieder rückgängig machen. Der Nachteil dieses Vorgehens ist, dass der Kontroll-Scan kein sauberes System meldet, weil er die unschädlich gemachte Datei unter Umständen erneut findet. Wer das nicht mag, kann die inkriminierten Dateien einschließlich der Log-Dateien auf einem USB-Stick in Sicherheit bringen und dann löschen.
Um eine infizierte Datei umzubenennen, startet man etwa durch einen Klick auf „Log-Dateien“ einen Dateimanager – das Linux-Äquivalent zum Explorer. In dessen linker Spalte findet sich unter „Orte“ das Laufwerk unter dem gleichen Namen, unter dem es vorher bereits auf dem Desktop sichtbar war. Ein Klick darauf hängt es wieder ein – diesmal beschreibbar. Dann kann man sich durch den Verzeichnisbaum zur verdächtigen Datei vorarbeiten; ein Rechtsklick mit der Maus und „Umbenennen“ macht sie unschädlich. Wer übrigens im Kontextmenü ein finales Löschen vermisst, kann das durch Umschalt-Entf auslösen. Nach getaner Arbeit sollte man das Laufwerk über einen Rechtsklick wieder „aushängen“, um Beschädigungen am Dateisystem zu vermeiden.
Extras
Als Alternative zum weitgehend vorgefertigten Scan finden sich unter „Einzel-Scanner“ noch Möglichkeiten, Avira, ClamAV und Kaspersky mit angepassten Optionen zu starten. BitDefender kam für eine Integration in die einheitliche Oberfläche leider zu spät, sodass man sich dort durch die Oberfläche des Herstellers klicken muss.
Bei den anderen bietet eine bewusst schlicht gehaltene Oberfläche Zugang zu einem Schnellscan und über den „Expertenmodus“ zu den wichtigsten Optionen der Scanner. Zu beachten ist dabei, dass das angebotene automatische Einhängen die Laufwerke dabei gleich beschreibbar einbindet, weil die Scanner auch Optionen zum Desinfizieren oder Löschen von Schad-Software anbieten (von deren Einsatz wir aber explizit abraten).
Wer Desinfec’t regelmäßig einsetzt, möchte sich vielleicht die aktualisierten Signaturstände nicht jedes Mal komplett aus dem Internet ziehen. Deshalb gibt es im Ordner Expertentools die Option „Virensignaturen auf USB-Stick kopieren“. Das funktioniert wegen eines Problems im Dateisystem AUFS leider nicht mehr nach einem Scan, sondern muss direkt nach dem Booten und vor dem ersten Aktualisieren der Signaturen aktiviert werden.
Dann legt Desinfec’t auf einem USB-Stick mit mindestens 1 GByte freiem Platz ein Verzeichnis /desinfect mit einer Swap-Datei und einer Container-Datei für die Signaturen an. Steckt dieser Stick beim nächsten Booten am Rechner, bindet es beides erneut ein und lädt nur die in der Zwischenzeit hinzugekommenen Signaturen nach. Bei einem System mit weniger als 1 GByte RAM versucht Desinfec’t übrigens von selbst, die Speichersituation durch das Einbinden eines USB-Sticks zu entschärfen. Wir übernehmen aber keine Garantie, dass das dann tatsächlich klappt.
Wie der Name bereits nahelegen soll, sind die Expertentools für Leute gedacht, die wissen, was sie tun. Wer mit dem Assistenten das Passwort in der Windows-SAM-Datei zurücksetzt oder gar mit dem Tool dc3dd die gesamte Festplatte unwiederbringlich löschen möchte, ist dabei und bei eventuell auftretenden Problemen auf sich selbst gestellt.
Der USB-Stick
Desinfec't vom USB-Stick
Als experimentelle Zusatzfunktion integriert Desinfec’t 2011 erstmals die Möglichkeit, das System bootfähig auf einen Flash-Speicher zu übertragen, zum Beispiel einen USB-Stick oder eine SD-Karte. So kann man Desinfec’t auch auf Rechnern ohne DVD-Laufwerk einsetzen. Zudem bootet und arbeitet das System schneller als von der Heft-DVD, was an den geringeren Zugriffszeiten des Flash-Speichers liegt. Voraussetzung ist lediglich, dass das BIOS die Möglichkeit bietet, vom gewählten Medium zu booten.
Der USB-Flash-Speicher für die Installation von Desinfec’t muss mindestens 1ˇGByte groß sein, für die Viren-Signaturen ist ein zweiter Stick mit ebenfalls mindestens 1ˇGByte Kapazität erforderlich. Praktischer ist es, größere USB-Sticks ab 2ˇGByte zu verwenden, die dann in mehrere Partitionen aufgeteilt werden: jeweils eine 1-GByte-Partition für Desinfec’t beziehungsweise Signaturen und den Rest als Daten-Partition für zu sichernde Dateien. Da Windows nur die erste Partition sieht, legt man die Daten-Partition als erste an.
Alle Partitionen sollten den Typ FAT32 haben. Die Partitionierung ändert man in Desinfec’t über „System/Systemverwaltung/GParted Partitionierungswerkzeug“. Achten Sie unbedingt darauf, dass Sie rechts oben das richtige Laufwerk auswählen; die angezeigte Größe hilft dabei.
Um Desinfec’t zu übertragen, startet man den Rechner von der Heft-DVD und ruft im Ordner Expertentools auf dem Desktop das Programm zur Erstellung eines bootfähigen Desinfec’t-Sticks auf. Auf die Möglichkeit, den Datenträger zu löschen, sollte man bei großen USB-Sticks verzichten – dabei würde die zuvor eingerichtete Partitionierung ebenfalls gelöscht.
Unter Windows können Sie das Programm UNetbootin auf der DVD im Verzeichnis \desinfect benutzen. Es lässt sich ohne vorherige Installation starten – allerdings dauert es einige Sekunden, bis das Frontend erscheint. Dort schaltet man den Übertragungsmodus von Distribution auf Abbild, trägt als Image-Typ ISO ein und wählt über die Dateiauswahl das Desinfec’t-Abbild desinfect-2011.iso. Anschließend muss man, falls es mehrere USB-Laufwerke gibt, noch das richtige Ziellaufwerk einstellen und klickt dann auf OK. Unter Linux erledigt das der Startmedienersteller usb-creator. Wichtig ist dabei, dass man keinen Extrabereich zum Speichern der Daten reserviert, sondern die Daten beim Herunterfahren verwerfen lässt.
Damit der Rechner vom USB-Stick startet, muss die Boot-Reihenfolge geändert werden. Dazu verwendet man am besten die Boot-Laufwerksauswahl des BIOS, die viele neuere Rechner kurz nach dem Einschalten anbieten. Typische Tasten für die Laufwerksauswahl sind F8, F11 und F12; meist gibt der Bootscreen einen Hinweis auf die beim jeweiligen Rechner zu drückende Taste.
Bei älteren Rechnern muss man die Boot-Reihenfolge noch in den BIOS-Einstellungen ändern, sofern sie überhaupt die Möglichkeit bieten, von USB-Medien zu booten. Häufig wird die Boot-Reihenfolge entweder im Menü unter Advanced Features oder einem ähnlich klingenden Eintrag eingestellt oder es gibt dafür ein eigenes Menü. Nach dem ersten Booten legt dann „Expertentools/ Virensignaturen auf USB-Stick kopieren“ die benötigten Container an, die Desinfec’t später automatisch verwendet. Die Signatur-Partition des Sticks wird dabei nach /opt/desinfect/usb gemountet.
USB-Sticks, die mit UNetbootin erstellt wurden, verwenden eine eigene Version des Boot-Loaders Syslinux, die die grafische Boot-Auswahl von Desinfec’t nicht anzeigt. Somit erhalten Sie bei solchen USB-Sticks nur ein sehr schlichtes Text-Bootmenü. Das kann auch sein Gutes haben. Sollte ein (älterer) Rechner von einem via Desinfec’t erstellten USB-Stick nicht starten, funktioniert vielleicht die Syslinux-Variante von UNetbootin.
Wir haben uns nach Kräften bemüht, Desinfec’t so einfach und selbsterklärend wie möglich zu machen. Wenn Sie dennoch Fragen oder Tipps zur Verbesserung haben, empfehlen wir Ihnen einen Besuch auf der Projektseite zu Desinfec't und im Desinfect-Forum auf heise Security. (ju) (ju)
