Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Praxistipp: Wie Conficker Autoplay für Infektionen nutzt

Social-Engineering-Trick per Autoplay

Praxistipp: Wie Conficker Autoplay für Infektionen nutzt

27. März 2009, 16:24 Uhr | Werner Veith
Ist USB-Stick mit dem »W32.Downadup.B« infiziert, bietet er dem Anwender mittels Autoplay eine Viewer-Software zu installieren. Geht dieser darauf ein, ist der Rechner ebenfalls infiziert.

Am meistens verbreitet sich die Malware »W32.Downadup.B«, auch Conficker genannt über einen nicht geschlossenen Exploit in Windows. Der Schädling nutzt aber etwa auch die Windows-Autoplay-Funktion, um den Anwender zu überlisten.

Eigentlich ist es erschreckend auf wie wenig Systemen ein Patch gegen den Exploit »MS08-067« installiert ist. Dies hat die starke Verbreitung des Internetschädlings »W32.Downadup.B« beziehungsweise Conficker gezeigt. Doch die Malware kennt auch noch andere Wege, den Anwender zu überlisten. Mittels der Autoplay-Funktion versucht sie den Nutzer dazu verleiten, die Schadware auf seinem Rechner zu installieren. Steckt ein User etwa einen mit Downadup infizierten USB-Stick in den Rechner ein, startet unter Windows-XP Autoplay: Dieses bietet dem Nutzer unter anderem an, eine Software für die Dateibetrachtung zu installieren. Akzeptiert der Anwender dies ohne tiefer darüber nachzudenken, infiziert Downadup auch seinen Rechner. Um auf diesen Trick nicht reinzufallen, ist es am Besten, Autoplay zu deaktivieren. Dieses Vorgehen erklären Ben Nahorney und John Park in dem »The Downadup Codex«-Handbuch (S. 32ff) von Symantec, dass alle Funktionsweisen des Schädlings beschreibt.

Auch unter Windows-Vista funktioniert dies genauso. Allerdings taucht hier der Eintrag nicht mehr direkt neben den anderen auf, um dem Stick mit dem Windows-Explorer zu öffnen. Vista zeigt den Conficker-Eintrag unter Rubrik »Programme installieren« an. Unachtsame oder unerfahrene Anwender können aber auch leicht darauf reinfallen.

Ist dies passiert, infiziert die Malware nicht nur den Rechner sondern auch alle angeschlossenen USB-Sticks und Netzwerk-Laufwerke. Lädt ein Nutzer ein solches, infiziert er sich ebenfalls. Außerdem ist Downadup so trickreich, dass er sich informieren lässt, falls ein neues Laufwerk auftaucht. Ist dieses als »removable« oder »remote« gekennzeichnet, infiziert er sie in Echtzeit ebenfalls.

  1. Praxistipp: Wie Conficker Autoplay für Infektionen nutzt
  2. So benutzt Conficker Autoplay für die Infektion
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
Zyxel Networks A/S

Zyxel Networks A/S
G DATA CyberDefense AG

G DATA CyberDefense AG
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
Dahua Technology GmbH

Dahua Technology GmbH
AixpertSoft GmbH

AixpertSoft GmbH