Elias Schwerdtfeger

Ich habe es eben auf einem Computer von jemanden anders während einer Aktualisierung des System mit der folgenden Meldung zu tun gehabt, die ich bis heute noch nicht gesehen hatte (natürlich habe ich die Meldungen von apt ein bisschen runtergekürzt):

# apt update
[...]
Aktualisierung für 27 Pakete verfügbar. Führen Sie »apt list --upgradable« aus, um sie anzuzeigen.
# apt upgrade
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
Paketaktualisierung (Upgrade) wird berechnet... Fertig
Die folgenden Pakete werden aktualisiert (Upgrade):
[...]
Möchten Sie fortfahren? [J/n] y
[...]
grub-pc (2.02-2ubuntu8.12) wird eingerichtet ...
i386-pc wird für Ihre Plattform installiert.
grub-install: Warnung: Der Sektor 48 wird bereits vom Programm »FlexNet«
verwendet und wird daher übergangen. Diese Software kann in Zukunft Start- oder
andere Probleme hervorrufen. Bitte fragen Sie dessen Autoren, ob es möglich ist,
keine Daten im Boot-Bereich zu speichern.
Installation beendet. Keine Fehler aufgetreten.
[...]
# _

Ich habe eine ganze Zeitlang gebraucht, bis ich herausbekam, was dieses »FlexNet« ist und wo es mutmaßlich herkommt. Es handelt sich um eine DRM-Gängelung und Technikverhinderung, die eine Ausführung von Progammcode unterbinden soll, wenn keine Lizenz vorliegt. Im mir vorliegenden Fall wurde diese nicht zusammen mit einem großen, teuren Softwarepaket heimlich installiert, was bereits böse und nutzerverachtend genug wäre, sondern mit höchster Wahrscheinlichkeit bei der Installation eines kostenlosen Adobe Readers heimlich installiert. Der Adobe Reader wurde auf dem befallenen Rechner nur ein einziges Mal benutzt, um ein besonders »widerspenstiges« PDF lesen und drucken zu können. Er wurde hinterher wieder deinstalliert, und zwar wurde er nach der kurzen »Adobe-Nutzererfahrung« sehr gern wieder deinstalliert. Nach glaubwürdiger Aussage des betroffenen Anwenders wurde auf dem Rechner niemals eine andere proprietäre Software verwendet. Es handelte sich auch nicht um ein Dual-Boot-System, bei dem eine Windows-Software verantwortlich sein könnte.

Dass man die Adobe-Bloatware so schnell wieder deinstalliert hat, heißt leider noch lange nicht, dass Adobe sich in seinem Deinstaller darum gekümmert hätte, seinen kryptotrojanischen DRM-, Gängel- und Technikverhinderungscode wieder vom System zu entfernen. Also ist Handarbeit angesagt, und zwar sehr gefährliche Handarbeit. Denn wenn man im Bootsektor rumfummelt, hat man eventuell hinterher einen Computer, der nicht mehr bootet. Ein Mensch mit reinen, wenn auch schon durchaus fortgeschrittenen Anwenderkenntnissen steht da leicht vor einer Situation, die ihn überfordert.

Und hey, Adobe, was zum hackenden Henker hat Software im Bootsektor zu suchen?! Der Bootsektor ist zum Booten da. Schaut ihr euch eure Gängelscheiße jetzt direkt von Kriminellen ab, die dort ihre Schadsoftware ablegen‽ Oder, um es mit der Wikipedia zu sagen (die Hervorhebung ist von mir):

Die DRM-Software FlexNet steht in der Kritik, da sie ähnlich einem Rootkit Daten direkt in den Master Boot Record schreibt und dabei eventuell vorhandene Daten überschreibt. Das kann zu Problemen mit Bootloader-Programmen wie GRUB oder dem Verschlüsselungsdienst TrueCrypt führen, welche denselben Bereich im MBR verwendet

Die folgenden Hinweise sind mit höchster Vorsicht zu genießen. Sie gelten für »debianoide« Distributionen, also zum Beispiel auch für das so beliebte Ubuntu. Ich kann hier nicht auf jeden möglichen Fall eingehen. Wer unerfahren ist, sollte auf jeden Fall jemanden um Hilfe bitten, der sich auskennt. Das ist keine Schande und vielleicht sogar eine gute Gelegenheit, etwas zu lernen.

Sämtliche Kommandozeilenakrobatik setzt root-Rechte voraus. Wer Ubuntu verwendet und sich nicht direkt als root anmelden kann, tippt am besten vorher…

$ sudo -s
[sudo] Passwort für username:
# _

…in der Kommandozeile und gibt sein Passwort ein, um eine root-Shell zu erhalten. Alles geschieht ohne Sicherheitsgurt, Helm oder Airbag. Eventuelle Fehler haben unter Umständen zur Folge, dass man seinen Rechner hinterher nicht mehr hochfahren kann. Der folgende Reparaturtipp ist deshalb auch völlig ohne Gewähr. Wenn etwas schiefgeht, bitte die Hassmail nicht an mich senden, sondern an Adobe, die für diese gängelnde und verantwortungslose Krüppelscheiße verantwortlich sind.

So, und jetzt zur kurzen Anleitung, wie man diesen gefährlichen Müll wieder loswerden kann.

Schritt 1: Sektorgröße ermitteln

# fdisk -lu /dev/sda
Festplatte /dev/sda: 1,4 TiB, 1500297682432 Bytes, 2930268911 Sektoren
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Festplattenbezeichnungstyp: dos
Festplattenbezeichner: 0x000d8a55

Gerät      Boot     Anfang       Ende   Sektoren Größe Kn Typ
/dev/sda1  *          2048 2921883647 2921881600  1,4T 83 Linux
/dev/sda2       2921885694 2930268159    8382466    4G  5 Erweiterte
/dev/sda5       2921885696 2930268159    8382464    4G 82 Linux Swap / Solaris
# _

Wenn hinter »Sektorgröße« 512 Bytes steht, ist alles in Ordnung. Ansonsten (das ist aber sehr unwahrscheinlich) auf keinen Fall kenntnislos irgendeine hier folgende Kommandozeile auf den Rechner loslassen!

Schritt 2: Backup des Bootsektors anlegen

Das ist nicht wirklich erforderlich, aber ermöglicht ein Zurückspielen, wenn in den nächsten Schritten etwas schiefgeht. Außerdem kann man den so gesicherten Bootsektor einfach zurückspielen, wenn sich erst später herausstellt, dass man dieses »FlexNet« doch für irgendeine unentbehrliche kommerzielle Software benötigt.

# dd if=/dev/sda of=first-63-sectors-of-sda bs=512 count=63
63+0 Datensätze ein
63+0 Datensätze aus
32256 Bytes (32 kB, 32 KiB) kopiert, 0,0481811 s, 669 kB/s
# _

Um diesen Bootsektor zurückzuspielen, was hoffentlich nicht nötig ist, muss einfach nur if und of vertauscht werden.

Schritt 3: »FlexNet« löschen

Hierzu muss man wissen, in welchem Sektor »FlexNet« installiert war, und das wird in der oben zitierten Fehlermeldung von grub-install angezeigt. In meinem Fall war es Sektor 48, es können aber auch andere Sektoren sein.

Das folgende Kommando schreibt unter Umgehung des Dateisystems und auf unterster technischer Ebene direkt auf die Festplatte. Es ist gefährlich. Es kann große Probleme verursachen. Genau deshalb wurde hoffentlich vorher ein Backup des Bootsektors angelegt. Macht das bitte! Diese zehn Sekunden Vorsicht können den Unterschied zwischen einen völlig versauten Tag und einem entspannten Aufatmen nach dem Zurückspielen eines Backups ausmachen. Ich habe Erfahrung. Erfahrung ist die Summe von Misserfolgen. Ich mache das mit dem Backup. Wer glaubt, schlauer als ich zu sein und deshalb aufs Backup verzichten zu können, habe viel Spaß mit seinem Glauben! Ich habe da kein Mitleid. Ganz im Gegenteil. Ich hoffe, diese Warnung war deutlich genug…

# dd if=/dev/zero of=/dev/sda bs=512 count=1 seek=48
1+0 Datensätze ein
1+0 Datensätze aus
512 Bytes kopiert, 0,000745338 s, 687 kB/s
# _

Nach seek muss natürlich der betroffene Sektor stehen. In meinem Fall war es 48. Dieser Sondermüll namens »FlexNet« kann aber auch unter einer anderen Sektornummer liegen. Auf jeden Fall ist der von Adobe heimlich in den Bootsektor installierte DRM-Müll gelöscht, wenn man den richtigen Sektor angegeben hat.

Schritt 4: GRUB neu installieren

Jetzt sollte eine Installation des Bootmanagers völlig problemlos und ohne erschröckliche Fehlermeldungen durchlaufen:

# grub-install /dev/sda
i386-pc wird für Ihre Plattform installiert.
Installation beendet. Keine Fehler aufgetreten.
# _

Wenn das der Fall ist: Herzlichen Glückwunsch, das Problem ist gelöst. Der nächste Schritt ist völlig ungefährlich und wird problemlos sein.

Wenn es zu Fehlern kommt, bitte einfach das Backup des funktionierenden Bootsektors, das in Schritt 2 angelegt wurde, zurückspielen, genau so, wie ich es dort kurz beschrieben habe, also durch Vertauschen von if und of. Das ursprüngliche Problem besteht dann zwar weiter, aber der Rechner bootet wenigstens erstmal noch. Vielleicht jemanden mit einigermaßen profunden Kenntnissen fragen, ob er sich darum kümmert, bevor es zukünftig nach einem Update zu einem Problem kommt, bei dem hinterher der Rechner nicht mehr hochfährt.

Eventuelle Hassmails an Adobe adressieren, nicht an mich. Ich habe es mir nicht ausgedacht, irgendwelchen DRM-Müll in Bootsektoren zu schreiben. Das war Adobe. Ich will betroffenen Anwendern nur dabei helfen, diesen gefährlichen Sondermüll wieder loszuwerden, um sicherzustellen, dass sie auch in Zukunft ihr Betriebssystem hochfahren können.

Schritt 5: update-grub ausführen

Ich weiß nicht genau, ob das wirklich nötig ist, und deshalb empfehle ich es zur Nachahmung. Früher, als wir Linuxer noch den sehr einfach gestrickten LILO als Bootmanager verwendet haben, habe ich immer völlig verstanden, was ich mache. Das ist lange her.

# update-grub
Sourcing file `/etc/default/grub'
GRUB-Konfigurationsdatei wird erstellt …
[...]
erledigt
# _

Es kann dabei durchaus zu ein paar Warnungen kommen, aber richtige Fehler sollten nicht auftreten. Falls es dennoch passieren sollte, bitte einfach das Backup des funktionierenden Bootsektors, das in Schritt 2 angelegt wurde… ach, ihr wisst schon!

Schritt 6: Niemals wieder Software von Adobe installieren!

Eine Klitsche wie Adobe, die derartige von der Organisierten Internetkriminalität abgeschauten Vergewohltätigungen »nötig« hat und es in Kauf nimmt, dass der Rechner eines Anwenders dermaßen zerschossen wird, dass er unter Umständen nicht mehr hochfährt, hat sich aus dem zivilisierten Miteinander verabschiedet. Das sind Feinde, bei denen man sich bestenfalls noch fragt, warum die nicht für die Schäden, die von ihrem Schrott angerichtet werden, haften müssen. Leider sind wir im Zeitalter des »Geistigen Eigentums«, in dem es zu einer ständigen Ausweitung von gutherrenartigen Privilegien irgendwelcher Rechteinhaber und Rechteverwalter auf Kosten der ganzen Menschheit kommt. Selbst eine gefährliche, an eine Sabotage erinnernde Zerstörung der Integrität eines Bootsektors – der, wie schon erwähnt, für das Booten eines Betriebssystemes und nicht für irgendetwas anderes da ist – führt da zu keinerlei juristischen Konsequenzen.

Wer da mitmacht und derartige Software auf seinem Computer benutzt, erklärt sein Einverständnis mit derartigem Gutsherrengehabe irgendwelcher »geistigen Eigentümer«. Das ist dumm. Und es ist gefährlich. Ein Rechner, der nach einem Update nicht mehr hochfährt, ist ein verdammt großer Schaden, der einem schnell einen ganzen Tag beschränkter Lebenszeit versauen kann. Einmal ganz davon abgesehen, dass solches Vorgehen tief blicken lässt. Ich weiß jedenfalls nicht, welche sonstigen versteckten trojanischen und möglicherweise gefährlichen Zusatzfunktionen noch in derart nutzerverachtend DRM-verseuchter Software enthalten sind. Wie »groß« der »Respekt« vor den Anwendern ist, sieht man an den heimlich reingewürgten Zumutungen, die mit diesem »FlexNet« verbunden sind.

Sollte es doch einmal dazu kommen, dass sich eine Installation von Software mit diesem »FlexNet« nicht vermeiden lässt (nicht nur Adobe mutet diesen Müll seinen Anwendern zu), bitte einfach eine virtuelle Maschine dafür benutzen, bevor man seinen Computer zerschießt! Das spart begrenzte Lebenszeit und Nervenkraft.