Autostart von USB-Stick

tracer

Ensign
Dabei seit
Jan. 2011
Beiträge
178
Hallo zusammen,

ich bräuchte eure Einschätzung (bei dem System handelt es sich um ein Win 7 Prof, 64 bit):

Kann es theoretisch sein, dass ein Virus/Spyware auf einen Rechner gelangt, nur durch das Einstecken eines USB-Sticks, ohne manuelles Startens einer Datei des Sticks? Eine autorun.inf wird auf einem normalen USB-Stick ignoriert. Aber es gibt USB-Geräte welche z.b. ein CD-Laufwerk simulieren (ich danke da an diese Huawei-Surfsticks, welche die Treiber über ein virtuelles CD-Laufwerk installieren). Über ein CD-Laufwerk wäre es ja wiederum denkbar?

Hintergrund: heute hat in meiner Anwesenheit jemand seinen USB-Stick in meinen Laptop gesteckt um mir eine Datei zu geben, beim Einstecken kam eine Fehlermeldung, welche derjenige gleich weggeklickt hat. Ich meine es kam der Hinweis, dass ein Gerät/Partition nicht gefunden/gemountet wurde. Der USB-Sticke wurde relativ schnell erkannt, es ist von Windows keine Meldung gekommen "Treiber wurden erfolgreich installiert, das Gerät kann jezt verwendet werden", oder vergleichbares.

Vielleicht ist es etwas paranoid, aber wäre es mit einer entsprechenden Hardware möglich auf diese Weise eine Sypware oder einen Trojaner in ein System zu bekommen? Ich traue es demjenigen nur zu, dass er an diese Hardware kommt, sollte diese existieren - die weggeklickte Fehlermeldung hat mich zu einem gewissen Misstrauen bewegt (wenn auch leider zu spät in diesem Fall). Optisch sah der Stick so ähnlich wie ein " Super Talent Pico Series".

Danke für Eure Einschätzung!

Nachtrag: Eine Systemprüfung mit Microsoft Security Essentials und TrendMicro Houscall verlief negativ. Anhand der Fehlermeldung vermute ich, dass es sich um einen USB-stick mit zwei Partitionen gehandelt hat, von der eine nicht eingebunden werden konnte (Schlagwort Removable Media Bit).
 
Zuletzt bearbeitet:

xone92

Lieutenant
Dabei seit
Feb. 2010
Beiträge
588
Ja, ist grundsätzlich möglich. Gab es sogar schon. Informiere dich mal wie sich Stuxnet verbreitet hatte. Da wurde ein Windows-Bug ausgenutzt. Es hat gereicht einen USB-Stick anzustecken - dann war es schon passiert.
 

Daaron

Fleet Admiral
Dabei seit
Dez. 2011
Beiträge
13.487
Möglich? Hm... ich vermute mal ja. Ich hab davon gelesen, dass ähnliche Ansätze bei Social Engineering - Attacken auf große Firmen genutzt werden. Da isses dann der "vor dem Gebäude gefundene" und in der Lobby abgegebene USB-Stick, den die Rezeptionsdame erst einmal aus Neugier einstöpselt.

Auf der sicheren Seite wärst du, wenn du einfach von CD in ein Rescue-System bootest. Eine gute Option ist da die Avira Rescue CD, aber auch sonst wäre ein Linux deiner Wahl, dem du noch ein ClamAV nachinstallierst, ein guter Ansatz für einen anständigen Scan. Von einem befallenen Windows aus nach Viren zu scannen ist, wenn es sich um hochgezüchtete Trojaner handelt, total fürn Eimer. Das erste, was die Dinger machen: Sie tarnen sich gegenüber laufender AV-Software.
 

S.V.K.

Lt. Commander
Dabei seit
Dez. 2007
Beiträge
1.817
Ja, das ist überhaupt kein Problem. Es gibt auch Viren und Trojaner, die nur durch den Anschluss / bzw. die Aktivierung des Sticks aktiv werden.
Die sind allerdings sehr speziell und nicht mit dem Feld-Wald-und-Wiesen-0815-Schädling zu vergleichen
 

kernel panic

Lt. Commander
Dabei seit
Jan. 2010
Beiträge
1.709
Hast du eventuell schon in die Event-Logs geschaut, vielleicht hat Win den Fehler, den derjenige weggeklickt hat ja protokolliert?
 

tracer

Ensign
Ersteller dieses Themas
Dabei seit
Jan. 2011
Beiträge
178
@xone92: Der Hinweis mit Stuxnet war evt. ein Treffer in schwarze, der Stick gehört einem iranischen Unternehmen...
@S.V.K: Ein "spezieller" Angriff ist nicht ausgeschlossen, es handelt sich um den Stick eines Mitbewerbers auf dem Markt, der Vorfall war auf einer Messe, könnte also auch gezielt gewesen sein. Das Interesse gilt (wenn es denn der Fall ist) der Ausspähung von Daten des Systems und den Zugriff auf Server die über den Laptop erreichbar wären (Keyfiles).
@haasenfranz; Ja, die Windows-Logs aus dem Zeitfenster bin ich durchgegangen, leider ohne Erfolg :(

Werde mich morgen mit den technischen Hintergründen befassen. Ich werde definitiv die Platte formatieren und das System neu aufsetzen, sowie alle Passwörter und Keyfiles ersetzen.

Generell würde es mich interessieren ob es wirklich ein Angriff war oder nicht, welches wäre der beste Ansatz das herauszufinden?
 

Daaron

Fleet Admiral
Dabei seit
Dez. 2011
Beiträge
13.487
Bevor du das System plättest kannst du ja von einem Live-Linux aus ein Image der Platte auf ein externes Laufwerk machen (Stichwort "dd"-Befehl). Auf die Weise hast du viel Zeit, die Partition (bzw. ihr Image) nachträglich mit Forensik-Software zu untersuchen/untersuchen zu lassen.

Wenn es natürlich ein hochgradig spezieller Virus ist, ähnlich wie Stuxnet, dann kann es durchaus sein, dass reguläre Virenscanner die nächsten Wochen und Monate noch daran scheitern. Was du natürlich machen könntest: Du könntest alle Files suchen (lassen), die zum Angriffszeitpunkt manipuliert wurden. Evtl. findest du darüber den Zonk, so er existiert.
 

tracer

Ensign
Ersteller dieses Themas
Dabei seit
Jan. 2011
Beiträge
178
Und entscheidend für die Zukunft: Wie kann ich mich schützen? Wir haben eine Preboot-Encryption auf den Systemen gegen Diebstahl, Fingerabdrucksensor und Chipkarte gegen das Ausspähen von Logindaten. Firewire ist per Bios deaktiviert, da darüber anscheinend ein direkter Arbeitsspeicherzugriff möglich ist.

Also sollte zusätzlich bei Veranstalltungen noch USB per Bios, oder die USB-Root-Hub über Windows deaktiviert werden, reicht das aus?
 

kernel panic

Lt. Commander
Dabei seit
Jan. 2010
Beiträge
1.709
Ich denke im nachhinein wirst du nichts mehr nachweisen können... außer du lässt jeden Scanner drüber laufen in der Hoffnung das einer was findet.
Ansonsten hättest du schon bevor der Stick angestickt worden ist ein Tool wie Wireshark laufen lassen müssen, was alle Pakete mitloggt oder jetzt im nachhinein die Möglichkeit haben die Logs von Firewalls (des eigenen Unternehmens) nach Verbindungen/Versuchen aus der Zeit zu durchsuchen, die von deinem NB oder einer IP/MAC-Adresse kommt, die nicht von eurem Netzwerk/Geräten stammt. Das wäre zumindestens eine spontane Idee meinerseits.
 

tracer

Ensign
Ersteller dieses Themas
Dabei seit
Jan. 2011
Beiträge
178
@Daaron: Es ist möglich, dass der Angriff gezielt auf das System stattgefunden hat, dass der Virus allerdings explizit für uns geschrieben wurde denke ich nicht, das mit dem Image werde ich machen!
 

xone92

Lieutenant
Dabei seit
Feb. 2010
Beiträge
588
Und entscheidend für die Zukunft: Wie kann ich mich schützen? Wir haben eine Preboot-Encryption auf den Systemen gegen Diebstahl, Fingerabdrucksensor und Chipkarte gegen das Ausspähen von Logindaten. Firewire ist per Bios deaktiviert, da darüber anscheinend ein direkter Arbeitsspeicherzugriff möglich ist.

Also sollte zusätzlich bei Veranstalltungen noch USB per Bios, oder die USB-Root-Hub über Windows deaktiviert werden, reicht das aus?
Deine Ideen sind alle sehr gut. Am besten wäre es sicher die USB und Firewire Ports zu zukleben. Also mit Epoxidharz zu machen. Ist sicher schade um den Laptop - es würde aber auch etwas sicherer sein.

Und an solche kritischen Systeme sollte man nie fremde Leute ran lassen. Auch nicht in Ausnahmenfällen. Generell sollten Laptops für Messepräsentationen nicht Zugriff auf Produktionssysteme haben.

Falls es wirklich ein aktiver Angriff war ist es jetzt eh zu spät. Da kann man nur noch Spurensicherung machen und hoffen das man für die Zukunft schlauer ist.
 
Zuletzt bearbeitet:
Top