Zum Inhalt springen Zur Navigation springen
Desinfec’t 2024: All-in-One-Scanner für Malware & Co.?

Desinfec’t 2024: All-in-One-Scanner für Malware & Co.?

Malware, Trojaner, Viren: Alle wollen das Gleiche, das System kompromittieren. Eine Universallösung für solche Probleme ist der desinfec’t Live USB-Stick von heise. Doch hält er auch, was er verspricht? Dieser Artikel geht auf die Neuerungen des Programms ein und welche Vorteile, diese mit sich bringen, aber auch welche Kompromisse man eventuell eingehen muss.

Installation und Funktionsweise von Desinfec’t 2024

Die Vorbereitungen, um den USB-Stick nutzen zu können, sind schnell abgeschlossen. Der Stick funktioniert als bootfähiges USB-Gerät, das auf Grundlage eines Ubuntu Linux Betriebssystem läuft. Windows Anwender sollten sich jedoch nicht davon abschrecken lassen, da der Stick so konzipiert wurde, dass dieser sehr benutzerfreundlich aufgebaut ist.

Eine Installation des Live-Systems muss jedoch noch durchgeführt werden. Hierzu bietet der Anbieter das Tool „Desinfect2USB“ an, mit welchem ein USB-Stick in den desinfec’t Stick verwandelt werden kann.

Er ist äußerst kompatibel mit herkömmlichen Betriebssystemen, insbesondere mit Microsoft Windows, wofür er ursprünglich entwickelt wurde. Dennoch können auch macOS- und Linux-Systeme analysiert werden. Ziel ist es, Anwendern die Möglichkeit zu geben, ihren PC nach Malware, Viren und ähnlichem zu durchsuchen, ohne dass sie über fachspezifische Vorkenntnisse verfügen müssen.

Desinfec’t nutzt hierzu mehrere integrierte Antivirus Engines und Tools, um eine Analyse und auch anschließende Reinigung des Systems zu ermöglichen. Durch das Booten über den USB-Stick wird das Zielbetriebssystem an sich nicht genutzt, was eine Aktivierung der eventuell vorhandenen Malware auf dem System so gut wie ausschließt.

Toolbestand erweitert – Malwareerkennung & Analyse

Erkennungstools

In der neuesten Version des desinfec’t Sticks spielen der Thor Lite Scanner und Open Threat Scanner (OTS) eine große Rolle. Diese sind dafür bekannt auch größere IT-Infrastrukturen systemweit nach Virensignaturen zu scannen.

Mit dem desinfec’t 2024 erweitert der Anbieter sein Live-System um Scanningtools wie diese beiden, aber auch Malware Analyse-Tools schließen sich dem Bestand des Systems an. Das Tool „Detect It Easy“ fängt mit der Identifizierung und Analyse von Dateitypen an. Das Tool kann neben gängigen Dateiformaten auch Archivformate, Video-, Audio und Bilddateien erfolgreich identifizieren und scannen. Skripte, die auf dem System ausgeführt werden und oft schadhafte Inhalte aktivieren, können ebenfalls mit dem Tool erkannt werden. Die Ergebnisse werden anschließend mit einer Datenbank abgeglichen, die mehr als 2000 Einträge besitzt. Eine zusätzliche Funktion bietet die Möglichkeit die gefundenen Ergebnisse bzw. deren Hashwerte direkt auf Virustotal.com überprüfen zu lassen.

Unter Windows sind Portable Executables (PE) Bestandteil von ausführbaren Dateien wie z.B. der .exe Dateiendung. Ein Scanningtool sollte also auch dieses Dateiformat erkennen und analysieren können. „Detect It Easy“ ist auch auf solche Herausforderungen vorbereitet, denn es kann eine Vielzahl unterschiedlicher Verschleierungsmethoden durch Malware erkennen und analysieren. Oft nutzen Malware-Entwickler Methoden wie Packer, Crypter oder Protectoren, um die Analyse der Malware zu erschweren. Dabei wird das quelloffene Kommandozeilentool UPX (the Ultimate Packer for eXecutables) oft benutzt, um Malware zu komprimieren. Nachteil für Malwareentwickler: Das Tool ist nur zum Komprimieren gedacht. Wenn es also von desinfec’t identifiziert wird, kann es schnell entpackt und analysiert werden, da es seit der neuesten Version von desinfec’t fester Bestandteil des Programms ist.

Analysetools für Malware Code

Neben der sogenannten statistischen Analysemethode, bei der ohne Programmausführung der Malware diese analysiert werden kann, gibt es auch die dynamische Analysemethode. Hier müsste die Malware erst ausgeführt werden, um diese als solche identifizieren zu können. Dabei werden Funktionen, wie z.B. eine Commmand and Control Server Adresse (C2) aufzurufen, erst aktiviert, sobald die Malware entschlüsselt und ausgeführt wird.

Seit der desinfec’t 2024 Version besitzt das Programm ein Tool, dass auch ohne die Malware auszuführen, verschlüsselte Informationen extrahieren und lesen kann. Das Tool FLOSS (FLARE Obfuscated String Solver) von Mandiant tritt dem Bestand von desinfec’t bei und hilft bei der Herausforderung von verschlüsselten Stücken im Schadcode. Nutzende können also die dekodierten Strings sehen und dementsprechend analysieren.

Malware Angriffsmuster erkennen

Ein weiteres sehr nützliches Tool im Bestand ist Capa, was ebenfalls von Mandiant entwickelt worden ist. Es ist ein wenig abstrakter als FLOSS, da es die „Fähigkeiten“ einer Malware erkennt und dem Nutzenden ausgibt. Egal ob es sich etwa um das Manipulieren von Registry Daten oder auch die Kommunikation mit C2 Servern handelt. Das Tool arbeitet mit sogenannten Capa Regeln, welche ebenso wie „Detect It Easy“ auf statistischen Analysemethoden basieren. Ein Problem hierbei ist, dass es Schwierigkeiten mit komprimierten Dateien haben kann oder mit Code, der erst zu Laufzeit entschlüsselt wird. Das Tool erkennt weniger den Schadcode an sich. Es bewertet eher das Verhalten des Codes bzw. der Malware an sich und überlässt die Interpretation des Verhaltens dem Nutzenden.

Die Analyseergbnisse jedoch gibt das Tool auch teilweise mit Ergebnissen der ATT&CK-Framework der MITRE Corporation zurück, welche im Securitybereich eine der größten Datenbanken pflegt, was Angriffsmuster u.Ä. angeht. Hierbei kann dann nachgeschaut werden, um was für eine Art von Angriffsmuster es sich bei der Malware handelt.

Nachteile von Desinfec’t 2024

WLAN-Passwort im Klartext gespeichert

Viele Systeme haben neben ihren Funktionen, die zur Sicherheit beitragen sollen, auch kleinere Aspekte, die gegen eine Benutzung solcher Geräte sprechen. Beim Start des desinfec’t Live Ubuntu Sticks sollte eine Internetverbindung vorhanden sein. Diese wird genutzt, um die Virensignaturen zu aktualisieren. Dies ermöglicht eine vollumfängliche Programmnutzung.

Hierbei kommt jedoch das Problem auf, dass bei der Verbindung zu einem WLAN-Netzwerk das dazugehörige Passwort im Klartext temporär auf dem Live-Stick abgelegt wird. Wenn sich der Nutzende dazu entscheidet, das Passwort für zukünftige Vorhaben zu speichern, wird dies dauerhaft im Klartext auf dem Stick gespeichert.

Ein USB-Gerät ist ein Gerät, welches schnell verloren gehen kann. Wenn es in die falschen Hände gelangt, kann es dazu genutzt werden, um in das WLAN-Netzwerk zu gelangen. Der Hersteller weist ausdrücklich darauf hin, dass dies eine Gefahr darstellt und der Nutzende sich über diese bewusst sein muss.

Secure Boot blockiert USB-Stick möglicherweise

Da Systeme immer sicherer werden und auch Microsoft immer strenger wird, was beispielsweise das Booten von Systemen angeht, kann es zukünftig beim Starten des Live-Sticks zu Problemen kommen und dies kann durch Secure Boot seitens Microsoft Windows verweigert werden. Dieser Abwehrmechanismus soll gegen sogenannte Bootviren schützen, welche sich vor dem Booten einnisten können und somit schon vor dem Starten des Betriebssystems im System sind.

Antivirenscanner für Installation deaktivieren

Bei der Installation des Programms müssen manche Virenscanner deaktiviert werden. Meistens will der AV-Scanner den USB Stick davon „abhalten“ bösartige Daten zu löschen. Es kann jedoch als Nachteil interpretiert werden, dass man seinen AV-Scanner deaktivieren muss, um einen „guten“ Live USB Stick installieren zu können.

Gelungenes Update des All-in-One-Scanners

Tortz der gennanten Nachteile ist die neue Version von c’t Desinfec’t ein gelungenes Produkt, um schnell und unkompliziert ein System auf Malware-Befall zu überprüfen und deren Wirkungsweise zu bewerten. Zudem umfasst der USB-Stick mittlerweile einige Tools wie Thor Lite, die erfahrenen Anwendern oder IT-Forensikern eine tiefergehende Analyse des befallenen Systems ermöglichen. Bei einem Preis von 6,20 € für das digitale Heft, inklusive der Desinfec’t Installationsdateien, ist das sicherlich für den ein oder anderen einen Blick wert.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.