So maximieren Sie den Malware-Schutz Ihrer Wechsellaufwerke

Original Artikel von Christian Potencia (Threat Response Engineer, Trend Micro)

Wechsellaufwerke sind heute eine der häufigsten Infektionsquellen für Malware. Würmer nutzen diese Übertragungswege, um ihren Schadteil zu verbreiten und dadurch immer mehr Benutzer-PCs zu infizieren.

Benutzer müssen einige Gegenmaßnahmen ergreifen, um ihren Computer zu schützen. Beispielsweise können Wechsellaufwerke mit Hilfe der Autostart-Funktion vor Würmern geschützt werden:

Eine verbreitete Vorgehensweise zum Schützen von Wechsellaufwerken ist es, einen Ordner oder eine Datei zu erstellen und sie in AUTORUN.INF umzunennen. Dadurch wird verhindert, dass Malware automatisch, sogar ohne ohne Eingreifen des Benutzers, auf dem Computer ausgeführt wird. Wenn diese Datei schon vorher erstellt wird, können Würmer im Idealfall nicht auf diese Weise aktiviert werden.

Diese Methode hat allerdings ihre Tücken: Würmer können die vorhandene AUTORUN.INF-Datei oder den gleichnamigen Ordner löschen und dann durch eine bösartige Version ersetzen. Damit wäre jede vom Benutzer für diese Datei ergriffene Schutzmaßnahme vergeblich. Die AUTORUN.INF-Datei kann aber wirksamer geschützt werden, wenn das Ausführen von Änderungen mittels Dateiberechtigungen eingeschränkt wird.

Hinweis: Stellen Sie sicher, dass Ihr externes Laufwerk mit NTFS formatiert wurde, da bei dieser Vorgehensweise eine spezielle NTFS-Funktion verwendet wird. Wurde Ihr Wechsellaufwerk über FAT oder FAT32 formatiert, sichern Sie zunächst alle Daten auf dem Laufwerk, und formatieren Sie es dann erneut über NTFS. Dazu ist möglicherweise Windows Vista oder Windows 7 erforderlich.

  1. Erstellen Sie einen neuen Ordner „AUTORUN.INF“ im Stammverzeichnis des Wechsellaufwerks.
  2. Erstellen Sie vier weitere Ordner am selben Speicherort, die Sie jeweils „recycle“, „recycler“, „recycled“ und „setup“ nennen.

    Hinweis: Das Erstellen der Ordner recycle, recycler, recycled, setup ist optional, wird aber empfohlen, da Malware diese Namen häufig verwendet.

  3. Öffnen Sie eine Befehlszeile (cmd.exe), und wechseln Sie in das Stammverzeichnis des Wechsellaufwerks.
  4. Legen Sie die Ordnerattribute mit Hilfe des folgenden DOS-Befehls fest:

    attrib autorun.inf /s /d –a +s +r

    Zum Vergrößern klicken

    Abbildung 1: Die Ordnerattribute festlegen

  5. Legen Sie die Berechtigungsstufe des Ordners mit Hilfe des folgenden DOS-Befehls fest:
    cacls autorun.inf /c /d administrators

    Zum Vergrößern klicken

    Abbildung 2: Die Berechtigungsstufe des Ordners festlegen

  6. Wenn „Sind Sie sicher (J/N)“ angezeigt wird, wählen Sie „J“, und drücken Sie die Eingabetaste.
  7. Versuchen Sie nun, den erstellten Ordner zu löschen, zu ändern, umzubenennen, zu kopieren oder zu öffnen, um die Einstellungen zu testen. Wenn Sie keine dieser Aktionen durchführen können, haben Sie die Berechtigungsstufe erfolgreich festgelegt.

Abbildung 3: Diese Nachricht wird angezeigt, wenn der Benutzer den erstellten Ordner löschen möchte.

Neben den oben beschriebenen Schritten können Benutzer auch Hardware-basierte Schutzmaßnahmen ergreifen: Bestimmte Wechsellaufwerke haben einen externen Schalter, der den Schreibzugriff auf das Gerät verhindert. Dadurch kann Malware keine Änderungen am Laufwerk vornehmen, also auch keine Datei AUTORUN.INF erstellen. Da diese Vorgehensweise etwas unbequem ist, ist es nach wie vor eine gute Idee, die oben beschriebene Maßnahme zu verwenden.

In der Vergangenheit hat Trend Micro bereits Blogs über bekannte Bedrohungen veröffentlicht, die sich über Wechsellaufwerke verbreiteten:

Mit einem geschützten Wechsellaufwerk hätte man die Ausbreitung dieser Bedrohungen ganz einfach verhindern können.

2 Gedanken zu „So maximieren Sie den Malware-Schutz Ihrer Wechsellaufwerke

  1. Alexander Bohl

    Hi zusammen…

    was spricht dagegen manuell in der Registry oder mit einem Freeware Tool wie XPantispy oder TweakUI einfach den Autostart für alle oder einzelne Laufwerksbuchstaben zu deaktivieren?

    LG Alex

  2. Pingback: Trend Micro warnt: Neuer AutoRun-Wurm nutzt Action Key | Deutschflüsterer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*