USB Stick anschließen - Wirskamer Schutz?

Hallo zusammen,

Welche Vorkehrungen kann man treffen, um die Virenansteckgefahr zu minimieren, wenn man einen USB Stick anschließt?

Habe davon gehört, autorun.info zu blockieren, aber wie stelle ich das am Besten an und welche Vorkehrungen kann man sonst noch treffen?

mfg,
stickerer16

Sonst braucht man eigentlich nichts.
Es gibt Viren die sich im Bootsektor von (logischerweise bootfähigen) Sticks verbergen oder sich als Verschlüsselung/Entschlüsselungsdienst tarnen oder in versteckten Partitionen hausen. Bei denen hilft generell keine Datei ausführen, die nicht ausgeführt werden soll und die man nicht kennt. Nichts mounten, was man nicht mounten will und kennt. Antivirensoftware sollte helfen, ist aber auch nicht immer das wahre besonders bei false positiven Geschichten (viele portablen Programme), die eiskalt von einigen Antivirensuiten heuristisch erkannt und dann fälschlicherweise platt gemacht werden.
Neben Autostart ist vor allem Dateiindexierung jeglicher Art auszustellen, dazu zählen auch Multimediaanwendungen, da diese ungefragt auf Dateien zugreifen.
Solange man dies beherzigt, ist man recht sicher.
Will man auf Nummer sicher gehen, mounted man USB Sticks nur in virtuellen Maschinen, die man jederzeit zurücksetzen kann. Wichtige nicht infizierte Dateien kann man dann in sein eigentliches Betriebssystem ziehen.
Ist man beruflich besonders stark der Virenschleuder ausgesetzt, dann empfehle ich immer auf virtuelle Maschine zurückzugreifen. Sind die VMs noch auf Linuxbasis, erspart man sich zu 95% auch eine Infektion der Vm selbst und kann gegebenenfalls Antivirenprogramme den USB Stick ohne "Ängste" untersuchen lassen, also ohne ständig die VM pro forma zurücksetzen zu müssen.

Die - mittlerweile per Windows Update behobene - LNK-Schwachstelle war bislang der einzige mir bekannte Fall, in dem der User nicht selbst Schuld am Befall war; d.h. nur in diesem Fall reichte schon das Anstöpseln des Sticks und die Anzeige der Dateien im Explorer.

Bei anderer USB-Malware (z.B. auch dem Conficker damals) wurde fast immer das Autorun-Pop-Up (Dateien in Explorer öffnen, Bilder anzeigen und diese Optionen) verändert, z.B. um einen Eintrag erweitert. Der Autorun selbst führte aber nicht gleich zur Infektion. Vielmehr musste der Nutzer auf den gefälschten Eintrag in eben jenem Autorun-Dialog klicken.

Man muss bedenken: Malware ist immer auf Prozesse angewiesen, von der sie gestartet wird. Nur weil eine infizierte Datei auf einem USB-Stick liegt, überträgt sich nicht gleich eine Infektion auf einen Rechner. Autorun ist deshalb ein Risiko, weil eben hierdurch so ein Prozess gestartet werden kann (indem z.B. eine manipulierte Autorun-Option wie "Bilder anzeigen" nicht die Bilder auf dem Stick anzeigt, sondern eine Datei der Malware ausführt). Meines Wissens ist dazu aber immer die Beteiligung des Users notwendig, indem er auf gefälschte Einträge klickt.

d.h.: Wenn man sich nicht 100%ig sicher ist, dann sollte man den Autorun abschalten bzw. keinen der Einträge im Autorun-Dialog anklicken und den Stick vorher mit einem Virenscanner prüfen. Vernünftige Scanner müssten aber die Manipulation der Autorun-Optionen proaktiv erkennen können; Threatfire z.B. hat sogar eine eigene Regel für diesen Fall.

Andersherum ist es beim Anstöpseln von sauberen USB-Sticks an infizierte Rechner: Auf dem Rechner läuft die Malware schon, d.h. es kann ohne Zutun des Nutzers Malware auf den Stick geschrieben werden (+ die autorun.inf des Sticks wird so geändert, dass im Autorun-Dialog beim nächsten Anstöpseln eine gefälschte Option auftaucht, die beim Anklicken die gespeicherte Malware startet). Gegen dieses Szenario hilft z.B. ein Schreibschutz des Sticks (leider wird Hardware-Schreibschutz immer seltener ...).

Hilft es eigentlich, wenn man einfach die "echte" autorun.inf auf dem Stick schreibschützt? Dann kann die Datei ja auch nicht ersetzt oder von Malware verändert werden?!

Malware ist immer auf Prozesse angewiesen, von der sie gestartet wird.

Zum Vergrößern anklicken....

Nur bedenke, es ist nicht nur der Autorun. Alle Systemdienste von Windows, die wie auch immer geartet auf den USB Stick zugreifen, sind potentielle Kandidaten, um Sicherheitslücken auszunutzen. Insbesondere auf Dateisystemebene läßt sich noch einiges herauskitzeln. Man braucht nur durch falsche Einträge, einige im Hintergrund laufende Fehlerdiagnoseprotokolle aufzurufen und schon kann es los gehen. Alles was einmal im Ram geladen ist, kann durch Windows Boardmittel verändert und angepasst werden. Man muss nur den weg bis zum Ram nehmen.

Anscheinend gibt es da ja einiges was man tun kann.

Könnt ihr erklären, wie ich diese ganzen Systemdienste und Lücken abstelle?

Ich hab mal von einem Programm gehört, dass die autorun.inf säubert und dann gegen eine unveränderbare austauscht, sodass die autorun.inf dauerhaft geschützt ist. Kennt ihr dieses Tool?

Du kannst nicht alles Abstellen, deswegen auch der Kompromiß über virtuelle Maschinen.
Über die unveränderbare Autorun.inf bzw . ein Programm dafür kann ich Dir nichts sagen. Ich halte es für wagemutig, zu behaupten eine Datei sei unveränderbar auf Softwareebene.
Scheinweltname sagte schon, das der Schalter am USB nur Helfen kann uns selbst der nur, wenn tatsächlich mechanisch ein Schhreiben blockiert wird und nicht der Schalter eine Softwaresperre aktiviert, was wiederum auf deine Ausgangsfrage abzielt.

http://www.zdnet.de/antivirenprogramme_fuer_windows_autorun_eater_download-39002345-78242-1.htm
Schau mal hier, vielleicht etwas für dich. Selbst nicht erprobt, da ich kein Autorun nutze.

Reicht es, wenn man unter Systemsteuerung\Alle Systemsteuerungselemente\Automatische Wiedergabe alles auf keine Aktion durchführen stellt und den Hacken ganz oben bei "Automatische Wiedergabe für alle Medien und Geräte verwenden entfernet ?

Wenn man dann einen USB einsteckt, öffnet sich nichts mehr ohne den Wechseldatenträger selbst anzuklicken.

Oder ist das kein wirksamer Schutz ?