Wie AutoRun-Malware unter Windows zu einem Problem wurde und wie es (meistens) behoben wurde
Dank schlechter Designentscheidungen war AutoRun einst ein großes Sicherheitsproblem unter Windows. AutoRun ermöglichte es, schädliche Software zu starten, sobald Sie Discs und USB-Laufwerke in Ihren Computer eingelegt haben.
Dieser Fehler wurde nicht nur von Malware-Autoren ausgenutzt. Es wurde von Sony BMG bekanntermaßen zum Verstecken eines Rootkits auf Musik-CDs verwendet. Windows führt automatisch ein Rootkit aus und installiert es, wenn Sie eine schädliche Sony-Audio-CD in Ihren Computer eingelegt haben.
Der Ursprung von AutoRun
AutoRun war eine in Windows 95 eingeführte Funktion. Wenn Sie eine Software-CD in Ihren Computer eingelegt haben, liest Windows die CD automatisch, und wenn sich eine autorun.inf-Datei im Stammverzeichnis der CD befindet, wird das Programm automatisch gestartet in der Datei autorun.inf angegeben.
Wenn Sie eine Software-CD oder eine PC-Spiel-CD in Ihren Computer eingelegt haben, wird automatisch ein Installationsprogramm oder ein Startbildschirm mit Optionen gestartet. Die Funktion wurde entwickelt, um die Verwendung solcher Discs zu vereinfachen und die Verwirrung der Benutzer zu verringern. Wenn AutoRun nicht vorhanden ist, müssen Benutzer das Dateibrowserfenster öffnen, zum Datenträger navigieren und statt dessen eine setup.exe-Datei starten.
Dies funktionierte eine Zeitlang recht gut und es gab keine großen Probleme. Heimanwender hatten keine einfache Möglichkeit, eigene CDs herzustellen, bevor CD-Brenner weit verbreitet waren. Man hat eigentlich nur kommerzielle CDs gefunden, die im Allgemeinen vertrauenswürdig waren.
Aber selbst in Windows 95, als AutoRun eingeführt wurde, war es für Disketten nicht aktiviert. Schließlich konnte jeder die gewünschten Dateien auf einer Diskette ablegen. AutoRun für Disketten würde es Malware ermöglichen, von Diskette zu Computer zu Diskette zu Computer zu gelangen.
AutoPlay unter Windows XP
Windows XP hat diese Funktion mit einer AutoPlay-Funktion verfeinert. Wenn Sie einen Datenträger, ein USB-Flashlaufwerk oder ein anderes Wechseldatenträgergerät einlegen, überprüft Windows den Inhalt und schlägt Ihnen Maßnahmen vor. Wenn Sie beispielsweise eine SD-Karte mit Fotos von Ihrer Digitalkamera einlegen, empfiehlt es sich, eine geeignete Option für Bilddateien zu verwenden. Wenn ein Laufwerk über eine autorun.inf-Datei verfügt, wird eine Option angezeigt, in der Sie gefragt werden, ob Sie ein Programm automatisch auch vom Laufwerk aus ausführen möchten.
Microsoft wollte jedoch, dass CDs gleich funktionieren. In Windows XP würden also CDs und DVDs immer noch automatisch Programme ausführen, wenn sie eine autorun.inf -Datei hätten, oder sie würden ihre Musik automatisch abspielen, wenn sie Audio-CDs wären. Aufgrund der Sicherheitsarchitektur von Windows XP würden diese Programme wahrscheinlich mit Administratorzugriff gestartet. Mit anderen Worten, sie haben vollen Zugriff auf Ihr System.
Bei USB-Laufwerken, die autorun.inf-Dateien enthalten, wird das Programm nicht automatisch ausgeführt, zeigt Ihnen jedoch die Option in einem AutoPlay-Fenster.
Sie können dieses Verhalten trotzdem deaktivieren. Im Betriebssystem selbst, in der Registrierung und im Gruppenrichtlinien-Editor waren Optionen vergraben. Sie können auch die Umschalttaste gedrückt halten, wenn Sie eine Disc einlegen, und Windows führt das AutoRun-Verhalten nicht durch.
Einige USB-Laufwerke können CDs emulieren und auch CDs sind nicht sicher
Dieser Schutz begann sofort zusammenzubrechen. SanDisk und M-Systems haben das AutoRun-Verhalten der CD erkannt und wollten es für ihre eigenen USB-Flash-Laufwerke. Daher wurden U3-Flash-Laufwerke erstellt. Diese Flash-Laufwerke emulieren ein CD-Laufwerk, wenn Sie sie an einen Computer anschließen. Daher startet ein Windows XP-System automatisch Programme, sobald diese angeschlossen sind.
Selbst CDs sind natürlich nicht sicher. Angreifer können leicht ein CD- oder DVD-Laufwerk brennen oder ein wiederbeschreibbares Laufwerk verwenden. Die Vorstellung, dass CDs irgendwie sicherer sind als USB-Laufwerke, ist falsch.
Katastrophe 1: Das Sony BMG Rootkit Fiasko
Im Jahr 2005 begann Sony BMG mit dem Versand von Windows-Rootkits auf Millionen ihrer Audio-CDs. Wenn Sie die Audio-CD in Ihren Computer eingelegt haben, liest Windows die Datei autorun.inf und führt automatisch das Rootkit-Installationsprogramm aus, das Ihren Computer im Hintergrund infiziert. Dies dient dazu, zu verhindern, dass Sie die Musik-Disc kopieren oder auf Ihren Computer kopieren. Da dies normalerweise unterstützte Funktionen sind, musste das Rootkit Ihr gesamtes Betriebssystem unterdrücken, um sie zu unterdrücken.
Dank AutoRun war dies alles möglich. Einige Leute empfahlen, die Shift-Taste zu halten, wenn Sie eine Audio-CD in Ihren Computer eingelegt haben, und andere fragten sich, ob die Shift-Taste gedrückt werden könnte, um die Installation des Rootkits zu unterdrücken, als Verstoß gegen das Umgehungsschutz-Verbot des DMCA gegen Umgehung des Kopierschutzes.
Andere haben die lange, traurige Geschichte von ihr aufgezeichnet. Sagen wir einfach, das Rootkit war instabil, Malware nutzte das Rootkit aus, um Windows-Systeme leichter zu infizieren, und Sony bekam in der Öffentlichkeit ein großes und wohlverdientes schwarzes Auge.
Disaster 2: Der Conficker-Wurm und andere Malware
Conficker war ein besonders unangenehmer Wurm, der erstmals im Jahr 2008 entdeckt wurde. Unter anderem infizierte er angeschlossene USB-Geräte und erstellte darin autorun.inf-Dateien, die automatisch Malware ausführen, wenn sie an einen anderen Computer angeschlossen wurden. Als Antivirus-Unternehmen schrieb ESET:
"USB-Laufwerke und andere Wechseldatenträger, auf die die Autorun / Autoplay-Funktionen jedes Mal (standardmäßig) zugreifen, wenn Sie sie an Ihren Computer anschließen, sind heutzutage die am häufigsten verwendeten Virenträger."
Conficker war das bekannteste, aber es war nicht die einzige Malware, die die gefährliche AutoRun-Funktion missbrauchte. AutoRun als Funktion ist praktisch ein Geschenk an Malware-Autoren.
Windows Vista deaktiviert AutoRun standardmäßig, aber…
Microsoft hat schließlich empfohlen, dass Windows-Benutzer die AutoRun-Funktion deaktivieren. Windows Vista hat einige gute Änderungen vorgenommen, die von Windows 7, 8 und 8.1 übernommen wurden.
Anstatt automatisch Programme von CDs, DVDs und USB-Laufwerken auszuführen, die sich als Discs verkleiden, zeigt Windows einfach das AutoPlay-Dialogfeld für diese Laufwerke an. Wenn eine angeschlossene CD oder ein Laufwerk über ein Programm verfügt, wird es als Option in der Liste angezeigt. Windows Vista und spätere Versionen von Windows führen Programme nicht automatisch aus, ohne dass Sie gefragt werden. Sie müssen im Dialogfeld "AutoPlay" auf die Option "Ausführen [Programm] .exe" klicken, um das Programm auszuführen und sich zu infizieren.
Es ist jedoch immer noch möglich, dass sich Malware über AutoPlay verbreitet. Wenn Sie ein schädliches USB-Laufwerk an Ihren Computer anschließen, ist die Ausführung der Malware über das AutoPlay-Dialogfeld nur einen Klick entfernt - zumindest mit den Standardeinstellungen. Andere Sicherheitsfunktionen wie die Benutzerkontensteuerung und Ihr Antivirenprogramm können Sie zwar schützen, Sie sollten jedoch trotzdem wachsam sein.
Und leider haben wir jetzt eine noch gruseligere Sicherheitsbedrohung durch USB-Geräte.
Wenn Sie möchten, können Sie die AutoPlay-Funktion vollständig deaktivieren (oder nur für bestimmte Laufwerkstypen), sodass beim Einlegen eines Wechseldatenträgers in Ihren Computer kein AutoPlay-Popup angezeigt wird. Sie finden diese Optionen in der Systemsteuerung. Suchen Sie im Suchfeld der Systemsteuerung nach „Autoplay“, um diese zu finden.
Bildnachweis: aussiegal auf Flickr, m01229 auf Flickr, Lordcolus auf Flickr
