Kaspersky: Virus Removal Tool für Linux liefert erste Einschätzung
Kaspersky hat ein Virus Removal Tool für Linux veröffentlicht. Es bietet On-Demand eine erste Einschätzung zum Befall mit bekannter Malware.
(Bild: Erstellt mit Midjourney von heise online)
Kaspersky hat mit dem Virus Removal Tool für Linux (KVRT) einen reinen On-Demand-Virenscanner veröffentlicht, der IT-Verantwortlichen eine rasche (zusätzliche) Meinung zum Malware-Befall-Status eines Linux-Systems liefern kann. Der Mini-Virenscanner funktioniert ohne Installation auf diversen Linux-Distributionen.
Das Konzept eines zusätzlichen, reinen On-Demand-Scanners ist alles andere als neu. Der "kleine Bruder" des Microsoft Defenders namens Malicious Software Removal Tool (MSRT) dürfte vielen bekannt sein: Seit Anfang 2005 aktualisiert Microsoft es im Rahmen des monatlichen Patchdays – mit Erkennungen zu den zu der Zeit relevanten Malware-Familien – und lässt es auf vielen hundert Millionen Rechnern ausführen. Auch andere Hersteller hatten oder haben derartige On-Demand-Scanner im Angebot, Trend Micro etwa mit dem Vorgänger vom Online-Scanner Housecall oder McAfee mit Stinger, wobei McAfee irgendwann heimlich doch einen Hintergrundwächter installiert hatte.
On-Demand-Scanner für Linux
Kaspersky setzt das Konzept jetzt mit dem KVRT unter Linux um. Linux-Systeme stehen ebenso wie Windows-Geräte unter "Dauerbeschuss", viele Malware-Familien können sich in dem Open-Source-Betriebssystem einnisten und ausbreiten. Die Software lässt sich nach dem Herunterladen der Datei kvrt.run mit einem derzeitigen Umfang von 171 MByte direkt starten, nachdem sie als ausführbar markiert wurde. Das geschieht etwa an der Kommandozeile mittels Aufruf von chmod +x kvrt.run im Download-Verzeichnis. Die App fordert root-Rechte an, daher ist beim Starten in der Regel die Angabe des root-Passworts nötig.
Eine Online-Hilfeseite von Kaspersky erläutert den Umgang mit der Software, die auf Systemen mit mindestens einem GByte freien Platz auf Disk, Intel-CPU-Architektur, einem GByte an RAM sowie aktiver Internetverbindung lauffähig ist. Getestet hat das Unternehmen das Programm auf diversen Distributionen, etwa AlmaLinux, CentOS, Debian, Linux Mint, openSUSE Leap, Oracle Linux, Red Hat, SLES oder Ubuntu, um nur die am weitesten verbreiteten zu nennen. Sie soll aber auch auf diversen anderen Distributionen lauffähig sein, hier hilft am Ende lediglich ausprobieren.
Die Software untersucht das System auf bekannte Schädlinge und bietet bei Funden die Entfernung an; im Anschluss kann ein Neustart nötig sein. Updates kann sie nicht selbst anfordern. Wer einen aktuellen Signaturenstand nutzen will, muss die App von Kasperskys Webseite daher bei Bedarf neu herunterladen.
(Bild: Screenshot / dmk)
Um eine schnelle erste Übersicht zu bekommen, ob ein System mit Malware infiziert ist, sind solche On-Demand-Scanner nützlich. Zudem können weitere One-Shot-Tools wie chkrootkit oder rkhunter helfen, den Zustand eines Linux-Systems einzuschätzen – zumindest, ob bislang bekannte Malware darauf aktiv ist. Da immer weniger Hersteller unter Linux lauffähige Virenscanner anbieten, ist ein neu verfügbarer Scanner vielen sicherlich willkommen.
BSI-Warnung vor Kaspersky-Virenschutz
Im März 2022, rund drei Wochen nach dem Angriff von Russland auf die Ukraine, hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) "vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky" eine Warnung nach §7 des BSI-Gesetzes ausgesprochen. Zur Begründung hieß es:"Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden."
Auf Nachfrage von heise online, ob die Warnung noch Bestand habe, antwortete ein Sprecher des BSI: "Das BSI spricht eine §7-Warnung immer für ein konkretes Produkt aus. §7-Warnungen des BSI werden grundsätzlich nach bis zu sechs Monaten archiviert. Mit einer Archivierung ist keine automatische Entwarnung verbunden. Wird eine archivierte BSI-Warnung als fehlerhaft oder werden darin enthaltene Informationen als unzutreffend erkannt, so wird auch die archivierte BSI-Warnung entsprechend aktualisiert. Zu der von Ihnen genannten Warnung liegt dem BSI keine Information über eine Änderung des Sachverhalts vor."
Die Warnung konkret vor "Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky" hält das BSI aufrecht. Konkret erklärt die Behörde: "Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme". Das trifft auf den statischen On-Demand-Scanner jedoch großteils so nicht zu. In den vergangenen zwei Jahren sind bislang keine verdächtigen Aktivitäten von Kaspersky-Software bekannt geworden. Wer jedoch diesbezüglich Bedenken hat, sollte von dem Einsatz des KVRT absehen.
Das BSI hat auf unsere Anfrage geantwortet, ob die Warnung vor Kaspersky-Virenschutz noch aktuell ist. Wir haben die Antwort am Ende der Meldung ergänzt.
Im Text korrigiert, dass das MSRT noch immer ausgeliefert wird und nicht der Vorläufer, sondern eher eine abgespeckte Version des Microsoft Defender (etwa ohne Hintergrundscanner) darstellt.
(dmk)
