168510

Viren-Gefahr durch USB-Sticks

22.10.2008 | 12:06 Uhr |

Manipulierte Speicher-Sticks stehlen Ihre Daten und ermöglichen die Fernsteuerung Ihres PCs, sobald sie angesteckt werden. Wir erklären, wie die Hacker vorgehen, und zeigen, wie Sie sich schützen.

Trojaner trickreich getarnt in einem Uninstall-Ordner.
Vergrößern Trojaner trickreich getarnt in einem Uninstall-Ordner.
© 2014

Seien Sie vorsichtig mit fremden oder ausgeliehenen und zurückerhaltenen U3-Sticks. Denn der Datenklau über den USB-Stick hat eine neue Qualität erreicht! Ein gut gehackter Stick verrät jede Menge an Informationen über ahnungslose Benutzer: Bis hin zur Fremdkontrolle eines PCs ist alles möglich. Die Anleitung fürs Hacken von U3-USB-Sticks ist als kostenloser Download übers Internet erhältlich und so einfach und komfortabel umzusetzen, dass schon geringe PC-Kenntnisse ausreichen. Tausende entsprechend präparierter Sticks dürften inzwischen im Umlauf sein.

Wir beschreiben hier, wie die handlichen Speichergeräte manipuliert werden und was Sie tun können, um sich vor dieser neuen Gefahr zu schützen.

Kleiner Auszug aus den geklauten Daten: Die Abbildung zeigt nur 1 KB des 67 KB umfassenden Spionageprotokolls, das „Gonzor’s Payload“ heimlich auf dem Stick ablegt.
Vergrößern Kleiner Auszug aus den geklauten Daten: Die Abbildung zeigt nur 1 KB des 67 KB umfassenden Spionageprotokolls, das „Gonzor’s Payload“ heimlich auf dem Stick ablegt.
© 2014

CD-Autostart missbraucht U3-Sticks mit Gonzor’s Payload
Seit Herbst 2005 gibt es USB-Sticks mit dem U3-Standard, den Sandisk und M-Systems entwickelt haben. Sie melden sich beim Anstecken mit zwei Partitionen. Die kleine CD-Partition hat nur einen einzigen Zweck: Sie soll die für CDs mögliche Autorun-Funktion auslösen, also einen Mechanismus, der bei normalen USB-Sticks nicht anspringt. Die einfache technische Basis ist dabei eine Datei namens Autorun.inf im Hauptverzeichnis, die mit einer " " -Anweisung das entsprechende Programm startet. Auf den U3-Sticks ist das standardmäßig die LaunchU3.exe – ein grafischer Programmstarter für portable Anwendungen.

Seit Frühjahr 2007 ist dieser Mechanismus gehackt. Zwischen Dezember 2007 und Frühjahr 2008 entstand die Website http://gonzor228.com mit Download-Seite, kleinem Installations-Wiki und Forum. Über das dort erhältliche Programm Universal_Customizer.exe wird das ISO-Image in der CD-Partition des Sticks durch eine Sammlung effizienter Spionage-Tools ausgetauscht. Sie wird als Gonzor’s Payload bezeichnet.
Die Sammlung ermöglicht es, Windows- und Browser-Passwörter sowie die besuchten Web-Seiten auszulesen (die Infos liegen dann als Log-Datei auf der eigentlichen Speicherpartition unter \System\Logs). Zudem installieren sich unbemerkt der Fernsteuerungs-Client Winvnc als automatisch startender Dauerdienst im Windows-Verzeichnis und der Trojaner Hacksaw-A per Run-Schlüssel in der Registry. Er schickt bei jedem Systemstart ein RAR-Archiv mit Dokumenten an eine vor-eingestellte Mailadresse.Als sinniges Versteck erstellt sich der Trojaner den Ordner \ Windows\$NtUninstallKB931337$ .

Über die Konfiguration dieses ganzen Horror-Pakets darf der Stick-Hacker an der grafischen Oberfläche entscheiden. Gonzor’s Payload sieht vor, den normalen U3-Start auf dem Stick unverändert zu lassen. Es wird lediglich ein VB-Script zwischengeschaltet, das zusätzlich zur LaunchU3.exe auch noch die Payload-auslösende Datei Go.bat aufruft. Trotz der zahlreichen Aktionen, die der manipulierte Stick ausführt, werden die meisten Anwender keinen Verdacht schöpfen, zumal sie die Geschwindigkeit eines geliehenen Sticks nicht beurteilen können.

Vista scheint sicher. Diese Systeme sind betroffen
Nur Windows-Systeme kennen den automatischen Start einer Anwendung auf CD. Linux- und Apple-Systeme sind daher vor manipulierten Sticks in jedem Fall sicher. Aber auch nicht jedes Windows ist gefährdet: Beim alten Win 98 scheitert der Stick ganz trivial an der dort notwendigen Treiberinstallation. Vista lädt beide Partitionen eines U3-Sticks, führt aber die Anweisung der Autorun.inf grundsätzlich nicht aus. Gefährdet sind also in erster Linie die Windows-Systeme ME, 2000 und XP. Installierte Antiviren-Software auf den betroffenen Systemen verhindert weder das Anlegen der verräterischen Log-Datei noch die Installation der Fernsteuerungs-Software. Norton Antivirus verbot immerhin das Aktivieren des Mail-Trojaners in der Registry. Generell veranlasst das vorgefertigte ISO-Image aber die meisten Antiviren-Programme zumindest zu einigen Warnmeldungen, die den eingelegten Stick verdächtig erscheinen lassen.

In Sicherheit wiegen sollten Sie sich keineswegs: Beachten Sie, dass das Programm Universal Customizer jedes beliebige ISO-Image auf die CD-Partition eines U3-Sticks kopieren kann. Es bedarf nur einer Freeware wie etwa Img Burn, um eine selbstgestrickte ISO-Datei mit Autorun.inf anzulegen und diese dann mit dem Universal Customizer auf den Stick zu schreiben. Dieser angepasste „Payload“ fällt dann unter Umständen harmloser aus als Gonzors Original, unterläuft aber dafür vielleicht komplett die Warnmechanismen der Antiviren-Software.

0 Kommentare zu diesem Artikel
168510