Wieder mobile Speichermedien infiziert

Vor kurzem hatte ich es mit einem wirklich netten Weihnachtsgeschenk zu tun – einem neuen MP3 Player. Der erhielt allerdings noch ein wenig mehr, als der Beschenkte sich gewünscht hatte: Das Gerät war nämlich mit dem Schädling Worm.Win32Fujack.aa infiziert. Alles deutet darauf hin, dass der Player schon infiziert war, als die festliche Verpackung geöffnet wurde.

Die ganze Angelegenheit ist natürlich verdrießlich, aber Infektionen von mobilen Speichermedien sind nichts Neues. Es gab Fälle von infizierten Maxtor-Laufwerken und Alex hat kürzlich an dieser Stelle vom Kauf einer infizierten Kingston Flash Card berichtet.

Wir haben die betroffene Firma natürlich informiert. Uns wurde gesagt, es sei bekannt, dass vor ein paar Monaten eine teilweise infizierte Charge dieser MP3-Player ausgeliefert worden ist und man bemüht sei, das Problem zu lösen. Ausschließlich dieses bestimmte Modell – der Victory LT-200 – war betroffen.

Mir ist aufgefallen, dass allgemeine Unklarheit darüber herrscht, wie Windows mit USB-Medien verfährt, daher ergreife ich die Gelegenheit und versuche, einige Punkte zu klären.

Die meisten Schadprogramme, die auf mobile Speichermedien übergehen, nutzen die Windows Autorun-Funktion aus: Windows überprüft jedes Laufwerk dahingehend, ob es eine Datei autorun.inf im Wurzelverzeichnis enthält. Ist das der Fall, so überprüft Windows den Inhalt der Datei und unternimmt entsprechende Schritte. In den meisten Fällen enthält die Datei den Befehl darüber, dass eine bestimmte Datei automatisch laufen soll. Diese Prozedur wird automatisch für jede lokale Festplatte und für CD-ROMs durchgeführt.

Microsoft hat mit XP/SP2 einige Sicherheitsverbesserungen vorgenommen, so dass Windows nun auch überprüft, ob ein Gerät via USB mit dem PC verbunden ist. Trifft das zu, so werden die Befehle in der Datei autorun.inf nicht automatisch ausgeführt, sondern es öffnet sich ein Pop-Up-Fenster und der Anwender kann über das weitere Vorgehen entscheiden. Das ist gut, allerdings nicht perfekt. In XP führt Windows immer noch automatisch die Befehle aus der autorun.inf aus, wenn der Anwender via Explorer auf ein Laufwerk zugreift.

Auch wenn nicht 100%ig eine Infektion besteht, so besteht doch immerhin eine potentielle Gefahr.

Das fett gedruckte „Auto“ bedeutet, dass die Windows Standard-Aktion ausgeführt wird, wenn man auf das Laufwerk doppelklickt.

Ich wollte nun herausfinden, welche weiteren Verbesserungen Microsoft mit Vista eingeführt hat.

Wie der Screenshot zeigt, ist die Standard-Aktion nun „open“, was bedeutet, dass Windows nur mehr die Verzeichnis-Liste anzeigt.
Eine eindeutige Verbesserung. Trotzdem macht es Vista dem Anwender leichter, manuell die setup.exe (Fujack.aa) zu starten.

In Bezug auf Benutzerfreundlichkeit gegenüber Sicherheit ist Vista der Version XP überlegen. Ich bin gespannt, ob das Service Pack 3 für XP weitere Veränderungen mit sich bringt – man kann es nur hoffen.

Dieser Fall zeigt ganz klar, dass beim Umgang mit externen Speichermedien größte Vorsicht geboten ist – egal, ob diese frisch aus der Verpackung kommen oder von einem Freund oder Kollegen stammen. Eine der besten Maßnahmen zum Schutz vor Infizierungen besteht darin sicherzustellen, dass der Virenscanner aktiv ist. Meistens dauert es so seine Zeit, bis ein infiziertes Gerät vom Werk in den Laden gelangt, so dass die Antivirus-Software höchstwahrscheinlich in der Lage ist, die Malware zu erkennen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.