Neuer AutoRun-Wurm nutzt Action Key

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro)

Würmer nutzen immer wieder Autorun.inf als Autostart-Technik. Über diese Datei können Würmer automatisch ausgeführt werden, jedes Mal wenn auf ein infiziertes Laufwerk zugegriffen wird. Mittlerweile haben User Workarounds gefunden, um die bösartige Datei per Hand zu entfernen. Sie nutzen unter anderem die Befehlszeile, um die Datei zu löschen, deaktivieren AutoPlay oder verwenden Windows Explorer (rechter Mausklick und Auswahl Explorer).

Doch auch die Kriminellen sind nicht untätig und finden immer neue Techniken, um ihre bösartigen Machwerke trotz Workarounds zu verbreiten. Eine dieser Techniken nutzt  Action Key in der Datei autorun.inf. Dabei handelt es sich um einen Parameter in autorun.inf, der nur von Wechsel- und festen Laufwerken unterstützt wird. Die Hauptaufgabe des Paramters besteht darin, den Text anzugeben, der im AutoPlay-Dialog des Handlers erscheint, der das Programm darstellt, das in dem Eintrag open oder shellexecute spezifiziert wird.




Um Workarounds zu umgehen, setzt der Wurm in diesen Parameter einen der folgenden Texte:

  • Open folder to view files
  • Open folder to view files using Windows Explorer

Einen solchen Wurm hat Trend Micro als  WORM_KOLAB.CQ identifiziert. Dessen AutoRun-Code zeigt der folgende Screenshot:

Infolge des Eintrags action=Open für das Lesen von Dateien wird die bösartige Datei jedes Mal ausgeführt, wenn ein Nutzer auf ein infiziertes Laufwerk über Windows Explorer zuzugreift.

Nutzer müssen noch mehr Vorsicht walten lassen, um sich vor Malware zu schützen. Externe Geräte wie digitale Bilderrahmen, iPods und andere MP3-Player, PDAs, USB Sticks, Flash Drives und digitale Kameras können Malware enthalten, die das Netzwerk zu Hause korrumpiert. Zusätzliche Sicherheitsmaßnahmen können etwa im Monitoring der externen Geräte und im Aktualisieren aller vorhandenen Sicherheitssoftware bestehen

Für Geschäftsanwender sollten unternehmensweite Sicherheitsregeln bezüglich des Datenzugriffs und der Nutzung von externen Geräten aufgestellt und deren Einhaltung durchgesetzt werden. Zusätzliche Informationen zum Schutz von Wechsellaufwerken finden sich unter „So maximieren Sie den Malware-Schutz Ihrer Wechsellaufwerke“. Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, denn die Content-Sicherheitsinfrastruktur erkennt die Dateien mittels des File Reputation Service als Schädling.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*