Trojaner-Befall: Uni Gießen nutzt Desinfec't für Aufräumarbeiten
Mit einem speziell angepassten Reinigungssystem aus der c't-Redaktion geht die Uni seit einigen Tagen auf Jagd nach Schädlingen im Netz.
Nach einem massiven Schädlingsbefall vermutlich durch Emotet und dessen Gefolge war die Uni Gießen zunächst komplett lahmgelegt; 38.000 Studierende und Mitarbeiter waren offline. Für die Jagd nach den Schädlingen im Uni-Netz setzen die Experten vor allem auf Desinfec't – einem Spezialsystem für die Virensuche, das die c't-Redaktion jährlich zusammenstellt.
Die Uni Gießen ließ dazu Desinfec't von einem Experten in einem Notfalleinsatz speziell auf ihre Bedürfnisse anpassen. Desinfec't ist ein speziell für das Aufspüren und Beseitigen von Schadprogrammen zusammengestelltes Linux-System, das auch Computer-Laien einfach nutzen können. Dabei geht Desinfec't mit bis zu vier Virenscannern auf die Jagd nach Schädlingen. Das Problem dabei: Wegen der hohen Mutationsrate des Verwandlungskünstlers Emotet fanden diese die in Gießen eingefallenen Schädlinge lange Zeit nicht.
Desinfec't für Profis
Die Gießener erstellten also aus den bei ersten Analysen vorgefundenen Malware-Samples eigene Signaturen für den Universal-Scanner Yara und beauftragten den Desinfec't-Experten Mattias Schlenker damit, das in Desinfec't einzubauen. Mit einigen weiteren Anpassungen etwa für einen weitgehend automatisierten Virenscan im Offline-Betrieb baute Schlenker einen optimierte Version, die jetzt eine wichtige Rolle bei den Aufräumarbeiten in Gießen spielt.
heise Security und die c't-Redaktion stehen bereits in Kontakt mit Schlenker und der IT-Adminstration der Uni Gießen. Die Idee ist, im Nachgang des Vorfalls zu klären, ob und wie wir die Erweiterungen in Desinfec't 2020 einfließen lassen können. Im Raum steht auch ein Projekt "Desinfec't für Profis", das etwa Kurse, Webinare oder andere Angebote speziell für den Einsatz von Desinfec't im Firmenumfeld anbietet. Wer Interesse daran hätte, erstelle doch einen kurzen Kommentar mit dem Betreff "D4P" im Forum unter diesem Artikel – gerne auch mit Anregungen und weiteren Ideen dazu. (ju)