Thema: Windows: USB-Stick-Würmer haben es künftig schwerer

[SiLæncer]

Änderung kommt zunächst mit dem Release Candidate von Windows 7

Der Conficker-Wurm ist einer der Würmer, die sich über USB-Sticks oder Speicherkarten von Digitalkameras verbreiten. Diese Möglichkeit will Microsoft deutlich einschränken. Autostart gibt es in Zukunft nur noch für optische Datenträger.
Microsoft überarbeitet mit Windows 7 die Autorun-Funktion innerhalb des Betriebssystems, um so das Eindringen von Würmern besser zu verhindern. Auch Windows XP und Vista sollen von diesen Verbesserungen noch profitieren.

Einer dieser Würmer, die in der Vergangenheit auf sich aufmerksam machten, war der Conficker-Wurm. Er befiel zahlreiche Netzwerke von innen, indem er über USB-Sticks eingeschleppt wurde und so weitere Verbreitung fand. Schutzmaßnahmen gegen das Eindringen von Würmern über das Internet halfen nicht. Die Folgen waren vor allem auf Windows-XP-Rechnern zu sehen, die in den Standardeinstellungen einfach alles ausführen, was auf einem USB-Stick entsprechend deklariert wurde.

Der Anwender konnte nur auf einen Virenscanner hoffen, der die Schadsoftware schon kannte. Abhilfe schaffte unter anderem eine Änderung im Gruppenrichtlinieneditor, in dem USB-Autorun deaktiviert und so die Lücke geschlossen wurde.

Nutzer von Windows Vista sind besser geschützt, denn das Betriebssystem fragt zunächst, ob das Programm tatsächlich ausgeführt werden soll, das sich auf dem USB-Stick befindet. Allerdings wurden von den Wurmautoren geschickt Autorun-Einträge auf den Sticks installiert, die dem Anwender ein harmloses Öffnen von Dateien vorgaukelten. Dazu wurde einfach das Symbol für das Öffnen von Ordnern als Programmsymbol genutzt und das Programm etwa in "Open folder to view files" umbenannt. Das sieht harmlos aus und sorgt dafür, dass viele Nutzer darauf hereinfallen.

Mit Windows 7 will Microsoft die Autorun-Funktion deutlich einschränken. Wechseldatenträger wie USB-Sticks, SD-Karten von Digitalkameras oder externe Festplatten werden mit Autorun-Einträgen nicht mehr so behandelt wie früher. Windows ignoriert diese Einträge einfach.

Die Autorun-Funktion wird nicht komplett abgeschaltet, sie bleibt für optische Datenträger erhalten. Dass ein Wurm auf einer DVD landet, ist zwar nicht unmöglich, aber unwahrscheinlicher als auf einem USB-Stick. Wer also eine DVD mit einem Programm gekauft hat, wird auch in Zukunft einen Autorun-Dialog von Windows zu Gesicht bekommen, der die Installation der Software anbietet.

Wie sich Windows bei Mischdatenträgern verhält, verriet Microsoft nicht im Detail: Einige USB-UMTS-Sticks oder USB-U3-Sticks gaukeln dem Betriebssystem eine CD vor, die von Würmern eigentlich nicht befallen wird. Diese Art von USB-Sticks müsste also weiterhin Autorun anbieten. DVD-RAMs oder MO-Discs als optische Medien mit Eigenschaften von Wechselfestplatten dürften dem Nutzer der neuen Logik zufolge keine Autorun-Einträge anbieten.

Der neue Umgang mit Autorun-Einträgen auf Wechseldatenträgern wird zuerst im Windows 7 Release Candidate zu sehen sein, der am 5. Mai 2009 erscheinen soll. Windows Vista und Windows XP sollen etwas später über ein Update von dem selektiven Autorun profitieren.

Quelle : www.golem.de

[SiLæncer]

Wechseldatenträger wie USB-Sticks bergen ein beachtliches Malware-Risiko, wie eine aktuelle Analyse der Daten aus dem ThreatSense.Net ergibt. Das sind rund 90 Mio. Computer weltweit, die mit Produkten des Sicherheitsspezialisten ESET geschützt sind.

Wiewohl Online-Bedrohungen in aller Munde sind, hatte im bisherigen Jahresverlauf 2009 die Malware INF/AutoRun die weltweite größte Verbreitung. Sie nutzt die Windows-AutoRun-Funktion, um Schadsoftware zu verbreiten - und sticht damit Gamer-Trojaner, flache Antivirensoftware und andere Bedrohungen aus. Seit Windows 95 gibt es die AutoRun-Funktion, die nicht nur seriöser Software die Installation von Wechselmedien erleichtert. Auch Malware kann sich dadurch etwa von USB-Sticks. "Seit Ende 2008 und vor allem 2009 können wir einen starken Anstieg an Schädlingen verzeichnen , welche die AutoRun-Funktion ausnutzen", erklärt Martin Penzes, Technischer Direktor von ESET Österreich, im Gespräch mit pressetext.

Dass INF/AutoRun in der Malware-Statistik führt, hängt damit zusammen, dass viele verschiedene Schädlinge diesen Trick nutzen. Unter dieser Bezeichnung zusammengefasst ist diese Gruppe nur die Spitze des Eisbergs. Beispielsweise nutzen auch manche Varianten des nach wie vor verbreiteten Wurms Conficker diese Verbreitungsmethode. Mit dem Start von Windows 7 könnte diese Form der Bedrohung allerdings zurückgehen, da AutoRun hier standardmäßig nur noch für optische Laufwerke aktiv ist.
Auf dem zweiten Platz im bisherigen ESET-Jahresrückblick findet sich mit Win32/PSW.OnlineGames eine Trojaner-Familie, die zum Klau von Account-Daten bei Online-Spielen gedacht ist. "Auch diese Malware verbreitet sich unter anderem mit der AutoRun-Funktion", betont Penzes. Sie unterstreicht gleichzeitig, wie interessant Gamer als Ziel für Cyberkriminelle sind.

Schon im Sommer hat G Data ermittelt, dass der Schwarzmarkt-Handel mit Spiele-Accounts ein florierendes Geschäft ist. "Allein der Umstand, dass PSW.OnlineGames in unserer Statistik so weit oben ist, zeigt, dass er sehr lukrativ sein muss", bestätigt dies nun Penzes. Dabei zeigen sich freilich auch regionale Unterschiede. "Die Malware ist besonders stark in China verbreitet, dort gibt es nämlich viele Menschen, die Computer spielen", so der Experte.

In einzelnen Ländern weicht die Lage teils deutlich vom globalen Trend ab. So belegt in Österreich eine Ad- und Spyware den ersten Platz, die auf Drive-by-Downloads setzt. "Das zeigt, dass Österreicher unvorsichtig bzw. unüberlegt im Internet surfen", meint Penzes. Das Land sei schon seit geraumer Zeit mit Adware überschwemmt. "Das lässt sich darauf zurückführen, dass die User alles anklicken, wo es etwas zu gewinnen gibt - obwohl es sich da natürlich meist um vorgetäuschte Gewinne handelt", sagt der Sicherheitsexperte.

Social-Engineering-Tricks sind allgemein eine gute Methode zur Malware-Verbreitung. Das zeigt sich auch an vielen falschen Antiviren-Programmen, die User mit angeblichen Infektionen zur Installation bewegen. Zwar gibt es hier keine einzelne Malware, die eine wirklich hohe Verbreitung erreicht. "Würde man alle Fake-AVs unter einem Namen in der Statistik führen, wäre diese Bedrohung aber mit Sicherheit unter den Top Ten und wahrscheinlich sehr weit vorne", meint Penzes abschließend.

Quelle : www.pcwelt.de

[SiLæncer]

Microsoft hat nach langer Zeit ein Update für ältere Windows-Versionen veröffentlicht, das die von Malware-Autoren häufig zur Installation ihrer Schadsoftware missbrauchte Autorun-Funktion einschränkt.

Mit dem Update KB967940 wird nun die Möglichkeit abgeschafft, bei USB-Laufwerken und anderen Speichermedien Dateien per Autorun automatisch nach dem Anschluss am PC ausführen zu lassen. Nur für optische Medien bleibt die Funktion uneingeschränkt nutzbar.

In einem Blog-Eintrag erklärte Adam Shostack vom Microsoft Security Response Center (MSRC), dass man die Einschränkung von Autorun zwar schon Anfang 2009 ankündigte, das entsprechende Update aber jetzt erst über die automatische Updatefunktion von Windows ausliefert, weil man Drittanbietern genügend Zeit einräumen wollte, um ihre Produkte umzustellen.

KB967940 wird nun über Windows Update als "wichtiges, nicht sicherheitsrelevantes Update" verbreitet. Es war bisher über die Microsoft-Homepage erhältlich und betrifft alle noch unterstützten Versionen von Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008.

Quelle : http://winfuture.de