So benutzt Conficker Autoplay für die Infektion

Die Conficker-Autoren fügen dazu in der Datei »autorun.inf« folgenden Eintrag hinzu:

[autorun]

Action=Open folder to view files

Icon=%systemroot%system32shell32.dll,4

Shellexecute=RUNDLL32.EXE .RECYCLER[RANDOM NUMBERS][5-8 RANDOM LETTERS].[RANDOM EXTENSION]

UseAutoPlay=1

Mittels »Action« gibt der Hacker den Text vor. Dieser ist der gleiche, den auch Windows nutzt, um ein Verzeichnis mit dem Explorer zu öffnen. Über »Icon« holt sich Autoplay dann das für den Windows-Explorer. Mittels »Shellexecute« startet Autoplay dann die Infektion mit Conficker. Dabei verbirgt der Wurm den Installationscode im Ordner »RECYCLER« des USB-Laufwerks. Standardmäßig ist dieser Ordner auch nicht sichtbar.

Weitere Tricks

Aber Downadup hat noch mehr auf Lager, um sich zu tarnen. Innerhalb von Recycler gibt es einen weiteren vorborgenen Ordner »S-n-n-nn-nnnnnnnnnn-nnnnnnnnnn-nnnnnnnnn-nnnn«. »n« ist dabei eine zufällige Nummer. So sehen so genannte Security-Identifiers (SIDs) aus, um einen Nutzer oder eine Arbeitsgruppe zu identifizieren. Solche Verzeichnisse sind in Recycler nicht ungewöhnlich. Außerdem gibt sich Conficker einen zufälligen Namen bis auf die Endung »Dll«.

Ein Blick in die Autorun.inf sollte also schnell zeigen, ob das Laufwerk infiziert ist. Doch Conficker tarnt die Einträge über Datenmüll in der Datei. Dies funktioniert, weil Windows nach ganz bestimmten Codewörten und dann folgenden Eingaben sucht. Alles andere wird verworfen.

1. Praxistipp: Wie Conficker Autoplay für Infektionen nutzt
2. So benutzt Conficker Autoplay für die Infektion