News

Wieder mobile Speichermedien infiziert

Vor kurzem hatte ich es mit einem wirklich netten Weihnachtsgeschenk zu tun – einem neuen MP3 Player. Der erhielt allerdings noch ein wenig mehr, als der Beschenkte sich gewünscht hatte: Das Gerät war nämlich mit dem Schädling Worm.Win32Fujack.aa infiziert. Alles deutet darauf hin, dass der Player schon infiziert war, als die festliche Verpackung geöffnet wurde.

Die ganze Angelegenheit ist natürlich verdrießlich, aber Infektionen von mobilen Speichermedien sind nichts Neues. Es gab Fälle von infizierten Maxtor-Laufwerken und Alex hat kürzlich an dieser Stelle vom Kauf einer infizierten Kingston Flash Card berichtet.

Wir haben die betroffene Firma natürlich informiert. Uns wurde gesagt, es sei bekannt, dass vor ein paar Monaten eine teilweise infizierte Charge dieser MP3-Player ausgeliefert worden ist und man bemüht sei, das Problem zu lösen. Ausschließlich dieses bestimmte Modell – der Victory LT-200 – war betroffen.

Mir ist aufgefallen, dass allgemeine Unklarheit darüber herrscht, wie Windows mit USB-Medien verfährt, daher ergreife ich die Gelegenheit und versuche, einige Punkte zu klären.

Die meisten Schadprogramme, die auf mobile Speichermedien übergehen, nutzen die Windows Autorun-Funktion aus: Windows überprüft jedes Laufwerk dahingehend, ob es eine Datei autorun.inf im Wurzelverzeichnis enthält. Ist das der Fall, so überprüft Windows den Inhalt der Datei und unternimmt entsprechende Schritte. In den meisten Fällen enthält die Datei den Befehl darüber, dass eine bestimmte Datei automatisch laufen soll. Diese Prozedur wird automatisch für jede lokale Festplatte und für CD-ROMs durchgeführt.

Microsoft hat mit XP/SP2 einige Sicherheitsverbesserungen vorgenommen, so dass Windows nun auch überprüft, ob ein Gerät via USB mit dem PC verbunden ist. Trifft das zu, so werden die Befehle in der Datei autorun.inf nicht automatisch ausgeführt, sondern es öffnet sich ein Pop-Up-Fenster und der Anwender kann über das weitere Vorgehen entscheiden. Das ist gut, allerdings nicht perfekt. In XP führt Windows immer noch automatisch die Befehle aus der autorun.inf aus, wenn der Anwender via Explorer auf ein Laufwerk zugreift.

Auch wenn nicht 100%ig eine Infektion besteht, so besteht doch immerhin eine potentielle Gefahr.

Das fett gedruckte „Auto“ bedeutet, dass die Windows Standard-Aktion ausgeführt wird, wenn man auf das Laufwerk doppelklickt.

Ich wollte nun herausfinden, welche weiteren Verbesserungen Microsoft mit Vista eingeführt hat.

Wie der Screenshot zeigt, ist die Standard-Aktion nun „open“, was bedeutet, dass Windows nur mehr die Verzeichnis-Liste anzeigt.
Eine eindeutige Verbesserung. Trotzdem macht es Vista dem Anwender leichter, manuell die setup.exe (Fujack.aa) zu starten.

In Bezug auf Benutzerfreundlichkeit gegenüber Sicherheit ist Vista der Version XP überlegen. Ich bin gespannt, ob das Service Pack 3 für XP weitere Veränderungen mit sich bringt – man kann es nur hoffen.

Dieser Fall zeigt ganz klar, dass beim Umgang mit externen Speichermedien größte Vorsicht geboten ist – egal, ob diese frisch aus der Verpackung kommen oder von einem Freund oder Kollegen stammen. Eine der besten Maßnahmen zum Schutz vor Infizierungen besteht darin sicherzustellen, dass der Virenscanner aktiv ist. Meistens dauert es so seine Zeit, bis ein infiziertes Gerät vom Werk in den Laden gelangt, so dass die Antivirus-Software höchstwahrscheinlich in der Lage ist, die Malware zu erkennen.

Wieder mobile Speichermedien infiziert

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach