PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Infektionswege über USB Sticks...



Cimba
13.03.11, 12:57
Hallo,

welche Möglichkeiten eines Vireninfektion über einen USB Stick gibt es eigentlich und wie versteckt können sie stattfinden?

Die Methode über Autrun ist mir natürlich geläufig, aber gibt es eben auch andere Möglichkeiten? Ich denke mal, ein verseuchter Rechner kann einen USB Stick problemlos infizieren, sobald er eingesteckt wird, das würde mir noch einleuchten, aber wie sieht es aus, wenn man einen verseuchten USB Stick in einen sauberen Rechner ohne Autorun steckt und vom USB Stick auch erstmal nichts aufruft, ist dann eine Verseuchung des Rechner auch noch möglich?

Und meine letzte Frage dazu: wenn man einen verseuchten USB Stick mit dem Explorer betrachtet (und mit Anzeige von versteckten und Systemdateien), kann sich das Virenprogramm trotzdem unsichtbar machen (wie macht er das dann?), oder müsste man die Virendateien sehen können?

Und die allerletzte Frage dazu: gibt es irgendwelche Wege, sich vor solchen Infektionen besser zu schützen (ausser Autorun off, Virenscanner oder mit Linux auf den Stick schauen).

Auggie
13.03.11, 14:56
Willst Du mir allen Ernstes erzählen, das Du jeden USB-Stick vor der Nutzung mit einer Linux Live-CD durchsuchst?
Das ist doch sehr praxisfern......
Du kannst dafür sorgen:
- das Dein AV-Programm aktuell ist
- Dein OS aktuell ist
- Deinen gesunden Menschenverstand gebrauchen
Wie willst Du anhand eines Dateinamens erkennen, ob eine Datei infiziert ist? Das geht nämlich nicht, also nützt Dir die Inspektion mit dem Explorer gar nix. Sobald Du eine infizierte Datei aufrufst, schlägt Deine AV-Lösung an.

Merlin
13.03.11, 15:21
Und meine letzte Frage dazu: wenn man einen verseuchten USB Stick mit dem Explorer betrachtet (und mit Anzeige von versteckten und Systemdateien), kann sich das Virenprogramm trotzdem unsichtbar machen (wie macht er das dann?), oder müsste man die Virendateien sehen können?

Generell kannst du, wie Auggie schon sagte, ausführbare Dateien oder Links mit Schadcode nicht als solche erkennen, es sei denn hier handelt es sich um einen Schädling, der immer nach dem gleichen Muster vorgeht oder immer denselben Dateinamen nutzt. Bspw. sind Dateinamen mit wahllos erscheinenden Buchstaben und Zahlenkombinationen in den Windows Systemverzeichnissen sehr verdächtig. Trotzdem kann man dann immer noch nicht sagen, dass die Datei mit Bestimmtheit ein Virus ist, da Systemdateien generell sehr kurz benannt sind (teilweise immer noch nach dem alten 8+3 Namensschema) und so nicht viel Spielraum für aussagekräftige Namen bestehen. Im Prinzip bleibt nur der Scan mit dem Antivirenprogramm und bei einem Verdachtsfall (!) ggf. der Scan mit einem zweiten On-Demand-Scanner. Natürlich kann sich eine Datei auch optisch verstecken, indem sie nämlich das Attribut "Systemdatei" oder "Versteckt" besitzt. In beiden Fällen kann man jedoch den Windows Explorer so konfigurieren, dass diese Dateien sichtbar sind. Andere Möglichkeiten gibt es jedoch nicht.


Und die allerletzte Frage dazu: gibt es irgendwelche Wege, sich vor solchen Infektionen besser zu schützen (ausser Autorun off, Virenscanner oder mit Linux auf den Stick schauen).

Ausser den Autorun ausschalten und ggf. einen Scan mit dem Virenscanner durchzuführen gibt es keine Möglichkeit. Der Scan unter Linux halte ich ebenfalls für Quatsch. Vor dem Virenscanner kann sich ein Schädling nur verstecken, wenn dieser zuerst den Virenscanner infiziert bzw. abgeschaltet hat. Und wie wahrscheinlich ist es schon, dass ein Virus diesen deaktiviert in der Hoffnung, dass irgendwann mal ein infizierter USB Stick angeschlossen wird, auf dem sich genau das richtige Gegenstück befindet? Die Wahrscheinlichtkeit tendiert gegen 0. Also...einfach nur Autorun deaktivieren und nicht jedes Programm wahllos ausführen, sondern vorher darüber nachdenken, ob es sich um das handeln könnte, was man erwartet. Im Zweifelsfall einfach über virusttotal.com die Datei gegenprüfen.

Cimba
13.03.11, 16:07
Das mit dem Linux Live System halte ich auch für praxisfremd, hatte es nur der Vollständigkeitshalber erwähnt. Und für einen neu gekauften Stick wäre so eine Aktion ja trotzdem möglich.

Das ich Schadcode Dateien nicht erkennen kann, ist nur teilweise richtig. Wenn ich z.B. einen Stick mit nur Dokumenten oder Bildern einstöpsel und sich dann dort auf einmal ausführbare Dateien finden lassen, dann weiß ich auch ohne Scanner, das da was nicht stimmt. Darum eben meine Nachfrage, ob sich solche Dateien besonders gut verstecken könnten.

Der Hinweis auf den Scanner ist ja gut und schön, nur wenn ich in den Tests immer wieder lesen muss, daß selbst die besten Scanner noch 10% der Viren durchlassen, so ist ein gewisser Argwohn doch berechtigt.

Auggie
13.03.11, 17:38
Das ich Schadcode Dateien nicht erkennen kann, ist nur teilweise richtig. Wenn ich z.B. einen Stick mit nur Dokumenten oder Bildern einstöpsel und sich dann dort auf einmal ausführbare Dateien finden lassen, dann weiß ich auch ohne Scanner, das da was nicht stimmt. Der Hinweis auf den Scanner ist ja gut und schön, nur wenn ich in den Tests immer wieder lesen muss, daß selbst die besten Scanner noch 10% der Viren durchlassen, so ist ein gewisser Argwohn doch berechtigt.
Woher weißt Du, das auf dem Stick nur Dokumente und Bilder sind? Weil Dir das jemand gesagt hat.....super Idee, sich darauf zu verlassen und jegliche Vorsicht fahren zu lassen.
Wenn ich Dein System mit Schadsoftware infizieren will, so sind auf dem Stick selbstverständlich sowohl ausführbare Dateien wie auch auch andere Daten.
Sonst wäre es ja wirklich einfach.
Und was machst Du, wenn ich Dir einen Stick nur mit PDFs liefere?
Die sind nicht direkt ausführbar und trotzdem brandgefährlich......ich sitze an meinem Rechner und warte darauf, das Du endlich Deinen veralteten PDF-Reader startest und ich Dein System übernehmen kann.
Da Du mich ja kennst, bist Du garantiert nicht allzu argwöhnisch und lässt einen Scanner von einer Live-CD laufen.
Daher: OS und AV-Lösungen aktuell halten sowie die sogen. Standardanwendungen wie Bildbetrachter, PDF-Reader, Flashplayer etc. aktuell halten.

Du wirst keine einzige AV-Lösung finden, die Dir eine Erkennsrate von 100% liefert, davon abgesehen gibt es weder die beste AV-Lösung noch unterscheiden sich die Erkennungsraten so deutlich, zumindest i.d.R.
Sollte das tatsächlich so sein und sich über mehrere Monate nicht ändern, hat der Hersteller ein sehr großes Problem.
Die Frage, die man sich bei diesen Tests stellen muß, ist doch: Wie praxisnah ist der Test bzw. wie wahrscheinlich ist es, das mir genau die Malware, die der Scanner mal nicht erkannt hat, tatsächlich über den Weg läuft.
Schaut man sich an, mit was für Schadsoftware die Systeme infiziert sind, stößt man dauernd auf Malware, die jeder Scanner erkennt, weil die Signaturen schon lange in der Datenbank gespeichert sind. Die sind aufs System gelangt, weil der User sie aufs System gelassen hat.
Eine AV-Lösung ist nur so gut, wie es der User zulässt.

Cimba
13.03.11, 17:53
Woher weißt Du, das auf dem Stick nur Dokumente und Bilder sind?
Weil es vielleicht mein Stick ist und ich weiß, was ich darauf speicher? Und wenn es der Stick von jemand anders ist und er nicht weiß, wie die ausführbare Datei auf den Stick gekommen ist, kann man das Programm ja zu Virustotal hochladen und dann weiter sehen. Leg doch nicht jedes Wort auf die Goldwaage und nimm doch einfach mal an, daß ich Vorsicht walten lasse und hier nur um die Möglichkeiten bescheid wissen will!



Weil Dir das jemand gesagt hat.....super Idee, sich darauf zu verlassen und jegliche Vorsicht fahren zu lassen.
Wer sagt dir denn, das ich jede Vorsicht fahren lasse? Darum frage ich doch hier nach! Vergleich mich doch nicht mit jemanden, der sinnlos auf jede ausführbare Datei klickt!



Schaut man sich an, mit was für Schadsoftware die Systeme infiziert sind, stößt man dauernd auf Malware, die jeder Scanner erkennt, weil die Signaturen schon lange in der Datenbank gespeichert sind. Die sind aufs System gelangt, weil der User sie aufs System gelassen hat.
Eine AV-Lösung ist nur so gut, wie es der User zulässt.
Das ist eben die goldene Frage, ob das wirklich so ist! Von *meinen* Erfahrungen aus muss ich dir Recht geben, liest man aber diverse Artikel, gewinnt man den Eindruck, das Viren allgegenwärtig sind und eine Infektion nur eine Frage der Zeit ist, wenn man sich im Internet bewegt. Passend dazu wird auch hier im Forum jedesmal das "Mysterium" Virus bestätigt, in dem bei jeder Infektion die Neuinstallation empfholen wird, weil man sich nicht sicher sein kann, ob ein gereinigtes System wirklich sauber ist (warum nicht, wenn der Virenscanner so zuverlässig ist).

Da ich u.a. auch beruflich gezwungen bin, USB Sticks anzustöpseln, egal wie sehr es mir gegen den Strich geht, würde ich eben mein Wissen diesbezüglich gerne festigen wollen, darum eben die Nachfrage, was so alles möglich wäre.

Auggie
13.03.11, 18:15
Weil es vielleicht mein Stick ist und ich weiß, was ich darauf speicher? Und wenn es der Stick von jemand anders ist und er nicht weiß, wie die ausführbare Datei auf den Stick gekommen ist.....
Wenn es Dein Stick, sollte man davon ausgehen können, das der Stick sauber ist. Oder verleihst Du den Stick?
Einfach so gelangen auf einen Stick keine Daten, sie müssen da raufkopiert werden.
Beste Möglichkeit, um sich vor einem unauffälligem Kopieren zu schützen:
Manche Sticks, leider die etwas teureren, haben einen Schreibschutz. Ist der Stick schreibgeschützt, kann auch nichts unbeaufsichtigt auf den Stick kopiert werden.
Für den umgekehrten Weg, vom Stick aufs System, geht das zwar, aber solltest natürlich wissen, das Dein System sauber ist und Du Dateien unbedenklich kopieren kannst.
Wenn Du das nicht sicher weißt, würde ich gar keine Daten weitergeben.

Passend dazu wird auch hier im Forum jedesmal das "Mysterium" Virus bestätigt, in dem bei jeder Infektion die Neuinstallation empfholen wird, weil man sich nicht sicher sein kann, ob ein gereinigtes System wirklich sauber ist (warum nicht, wenn der Virenscanner so zuverlässig ist).
Dann liefere für diese Aussage auch mal entsprechende Threads, wo das generell empfohlen wird.
Das hat hier noch niemand getan; wenn ein Neuaufsetzen empfohlen wurde, dann deshalb, weil entweder eine Multiinfektion vorgelegen hat, ein Schädling sich nicht wirklich entfernen lässt oder aber man davon ausgehen, welche Daten der Schädling bis zu seiner Entdeckung weiter gegeben hat. Nich jeder Schädling ist spezialisiert, oftmals wird erst mal alles an Zugangsdaten mitgenommen, das man kriegen kann.....zu Geld machen lässt sich alles.

Wenn man hinter jeder Ecke gleich einen Scharlatan vermutet, dann hilft nur eines:
Kein Datenaustausch und kein Internet.
Den Eindruck bekommt man leider tatsächlich, wenn man sich die PC-Gazetten und so manche Sicherheitsseite mit ihren reisserischen Überschriften ansieht.

Da ich u.a. auch beruflich gezwungen bin, USB Sticks anzustöpseln, egal wie sehr es mir gegen den Strich geht, würde ich eben mein Wissen diesbezüglich gerne festigen wollen, darum eben die Nachfrage, was so alles möglich wäre.
Wenn der Sicherheitsbeauftragte im Betrieb es durchgehen lässt, das von Außen Sticks ins System eingebunden werden können, ohne das es eine Zugangskontrolle und Überprüfung gibt, hat der Betrieb ein großes Problem.
Im geschäftlichen Umfeld würde ich sowieso das Anstöpseln von Sticks generell verbieten und stattdessen die Datenweitergabe über VPN umsetzen.
Das lässt sich aber nicht mit der Situation auf einem Privatrechner vergleichen.

Was an tarnen und täuschen alles möglich ist, ist eigentlich nur abhängig von der Kreativität des Malwareprogrammierers.
Dagegen hilft nur der gesunde Menschenverstand, eine gehörige Portion Skepsis sowie aktuelle Standardsoftware.

Cimba
13.03.11, 19:39
Wenn es Dein Stick, sollte man davon ausgehen können, das der Stick sauber ist.
Da sind wir wieder bei dem "sicher sein"! Kann man das eben wirklich? Ich nutze den Stick zwar hauptsächlich nur zwischen 2 Rechnern, der eine Rechner ist aber eben der besagte Dienstrechner und ob man sich trotz Virensoftware da eben sicher sein kann, ist so die Frage. Daher wäre es ja interessant, ob die Aussage: "da sind keine ausführbaren Dateien, also sind beide Rechner in dieser Hinsicht sauber" zutreffend ist, oder nicht.


Einfach so gelangen auf einen Stick keine Daten, sie müssen da raufkopiert werden.
Ist das eben eine definitive Aussage? Das System erkennt ja den Stick beim einstecken, jetzt ist eben die Frage, ob man mit APIs z.B. bei erkennen der Sticks auch gleich automatisch was raufkopieren könnte.



Dann liefere für diese Aussage auch mal entsprechende Threads, wo das generell empfohlen wird.
Das hat hier noch niemand getan; wenn ein Neuaufsetzen empfohlen wurde, dann deshalb, weil entweder eine Multiinfektion vorgelegen hat, ein Schädling sich nicht wirklich entfernen lässt oder aber man davon ausgehen, welche Daten der Schädling bis zu seiner Entdeckung weiter gegeben hat. Nich jeder Schädling ist spezialisiert, oftmals wird erst mal alles an Zugangsdaten mitgenommen, das man kriegen kann.....zu Geld machen lässt sich alles.
Die Gründe sind mir nicht bekannt, sie werden in den Threads leider auch selten erwähnt, daher mag es durchaus gute Gründe geben, ein System neu aufsetzen zu müssen, sie bleiben aber eben selten erklärt.


Den Eindruck bekommt man leider tatsächlich, wenn man sich die PC-Gazetten und so manche Sicherheitsseite mit ihren reisserischen Überschriften ansieht.
Sag ich doch :)



Wenn der Sicherheitsbeauftragte im Betrieb es durchgehen lässt, das von Außen Sticks ins System eingebunden werden können, ohne das es eine Zugangskontrolle und Überprüfung gibt, hat der Betrieb ein großes Problem.
Wem sagst du das! Aber es ist nunmal so und es hat ja auch unbestreitbare Vorteile.

Auggie
13.03.11, 20:16
Die Gründe sind mir nicht bekannt, sie werden in den Threads leider auch selten erwähnt, daher mag es durchaus gute Gründe geben, ein System neu aufsetzen zu müssen, sie bleiben aber eben selten erklärt.
Die Gründe habe ich aufgezählt. Es ist eben abhängig vom Einzelfall.
Pauschal wird hier niemand ein Neuaufsetzen empfehlen, und das man diese Empfehlung nicht begründet, glaube ich auch nicht so wirklich. Von meiner eigenen Person behaupte ich frech, das ich wenigstens 1x eine Begründung liefere, warum ich das System neu einrichten würde.


Da sind wir wieder bei dem "sicher sein"! Kann man das eben wirklich?Sag ich doch :)
Über sein eigenes System sollte man schon Bescheid wissen.......
Bei Dateien aus einer anderer Quelle als mein eigener Rechner sollte man grundsätzlich davon ausgehen, das die Daten manipuliert sein können und entsprechend umsichtig sein.

Ist das eben eine definitive Aussage? Das System erkennt ja den Stick beim einstecken, jetzt ist eben die Frage, ob man mit APIs z.B. bei erkennen der Sticks auch gleich automatisch was raufkopieren könnte.
Dann müsste der Autostart von Wechseldatenträgern aktiviert sein.
Zumindest von Windows 7 kann ich behaupten, das der standardmäßig dort nicht aktiv ist; das sind die Erfahrungen von Conficker, der sich auch über USB-Sticks verbreitet hat.
Seit dem wird selbst von Microsoft empfohlen, den Autostart von Wechseldatenträgern zu deaktivieren.

Wem sagst du das! Aber es ist nunmal so und es hat ja auch unbestreitbare Vorteile.
Was hat das für Vorteile für ein Unternehmensnetzwerk, wenn Daten ohne ausreichende Kontrolle getauscht werden können?
Gar keine, es bringt nur den Nachteil mit sich, das die Wahrscheinlichkeit steigt, das sich das Netzwerk infiziert.
Das sollte aber ein vernünftiger Netzwerkadmin wissen und entsprechende Richtlinien zur Verhinderung erlassen.
Wenn Dein Arbeitsplatz derart unsicher ist, das Daten ohne Zugangskontrolle getauscht werden können, würd ich von dort gar keine Daten auf mein System lassen. Wobei sich sowieso die Frage stellt, aus welchem Grunde Unternehmensdaten mit einem privaten System getauscht werden müssen.
Da sollte und muß man trennen......wenn ich eine Präsentation erstellen muß für die nächste Bilanzvorstellung, mache ich das auf dem Arbeitsplatzrechner und nicht zuhause.

Cimba
13.03.11, 20:32
Von meiner eigenen Person behaupte ich frech, das ich wenigstens 1x eine Begründung liefere, warum ich das System neu einrichten würde.
Ich werde dich daran erinnern, wenn ich mal (hoffentlich nie) deine Hilfe brauche ;)



Über sein eigenes System sollte man schon Bescheid wissen.......
Ich denke, ich weiß darüber bescheid und kümmere mich auch entsprechend darum, aber wie schon erwähnt, kommen dann Artikel in Zeitschriften und tun so, als ob sich Viren auf den Rechner beamen können.


Bei Dateien aus einer anderer Quelle als mein eigener Rechner sollte man grundsätzlich davon ausgehen, das die Daten manipuliert sein können und entsprechend umsichtig sein.
Daher ja der Grund meiner Nachfrage, WIE umsichtig man sein muss ... von den nebulösen Zeitschriftenartikeln losgelöst von Erfahrungsträgern berichtet.


Dann müsste der Autostart von Wechseldatenträgern aktiviert sein.
Zumindest von Windows 7 kann ich behaupten, das der standardmäßig dort nicht aktiv ist; das sind die Erfahrungen von Conficker, der sich auch über USB-Sticks verbreitet hat.
Seit dem wird selbst von Microsoft empfohlen, den Autostart von Wechseldatenträgern zu deaktivieren.
Der ist auch bei Windows XP seit dem letzten Update deaktiviert. Trotzdem (ich habe rudimentäre Programmierkenntnisse) ist es eben denkbar, das ein Programm im Hintergrund läuft und auf neu angemeldete Laufwerke reagieren kann. Ob das von Virenprogrammen auch wirklich so gemacht wird, weiß ich nicht.


Was hat das für Vorteile für ein Unternehmensnetzwerk, wenn Daten ohne ausreichende Kontrolle getauscht werden können?
Die erwähnten Vorteile sind auf die private Nutzung der Rechner bezogen. Und die Kontrolle ... immerhin wird ja ein Virenscanner auf den Rechnern installiert.


wenn ich eine Präsentation erstellen muß für die nächste Bilanzvorstellung, mache ich das auf dem Arbeitsplatzrechner und nicht zuhause.
Ich bin zum Glück nicht in der Situation, zu hause dienstliche Arbeiten zu verrichten, aber lass die sagen, daß sowas heutzutage einfach von den Arbeitnehmern erwartet wird! Sei also froh, wenn du diese Einstellung in deinem Job so vertreten kannst!

Auggie
13.03.11, 22:03
Ich denke, ich weiß darüber bescheid und kümmere mich auch entsprechend darum, aber wie schon erwähnt, kommen dann Artikel in Zeitschriften und tun so, als ob sich Viren auf den Rechner beamen können.
PC-Gazetten erreichen vor allem eines mit ihren Meldungen (sieht man ja an Dir): es wird Panik verbreitet.

Daher ja der Grund meiner Nachfrage, WIE umsichtig man sein muss ... von den nebulösen Zeitschriftenartikeln losgelöst von Erfahrungsträgern berichtet.
Hatte ich ja bereits geschrieben: Davon ausgehen, das jegliche Dateien, die von Außen auf Dein System gelangen, manipuliert sein können.

Ich bin zum Glück nicht in der Situation, zu hause dienstliche Arbeiten zu verrichten, aber lass die sagen, daß sowas heutzutage einfach von den Arbeitnehmern erwartet wird! Sei also froh, wenn du diese Einstellung in deinem Job so vertreten kannst!
Wenn mein Arbeitgeber von mir erwartet, das ich außerhalb meiner Arbeitszeit dienstliche Arbeiten mit meinem Heim-Rechner erledige, erwarte ich von ihm, das die notwendigen Sicherheitsvorkehrungen umgesetzt sind:
Ein aktuelles OS, ein aktueller Virenscanner, aktuelle Standardsoftware, VPN zum Datenaustausch und vernünftig implementierte Gruppenrichtlinien.
Wenn er das nicht umsetzen will, werde ich auch keine dienstlichen Arbeiten auf meinem Heim-PC erledigen......für das trage ich nämlich die Verantwortung, welche Daten da rauf kommen, ist meine Sache und geht meinem Arbeitgeber genau gar nix an, da hat er auch keine Handhabe gegen.
Es sei denn, ich arbeite sowohl im Büro als auch von zuhaus aus, das wird dann allerdings auch über VPN umgesetzt, d.h. ich klinke mich von zuhaus direkt ins Firmennetzwerk ein.
Private Nutzung des Arbeitsplatzrechners ist übrigens sogar ein Kündigungsgrund.