Gegen Conficker: kein AutoRun in Windows 7


Microsoft gab heute morgen (Ortszeit) bekannt, die AutoRun-Funktion in Windows 7 bis zum Erscheinen des in wenigen Tagen öffentlichen Release Candidate 1 so verändern zu wollen, dass nur noch optische Medien automatisch wiedergegeben werden.

Medien wie USB-Sticks oder SD-Karten können von jedem in kürzester Zeit bespielt werden und sind nicht über Signaturen kontrollierbar. Der Conficker-Wurm verbreitet sich nicht nur über schwach gesicherte Netzwerke, sondern auch über die AutoRun-Funktion von Windows XP (und Vista).

imageAutoRun-Dialog für eine Software-CD.

Wenn sich an Microsofts Plänen nichts mehr ändert, wird AutoRun also nur noch in Zusammenhang mit Optischen Medien wie CDs oder DVDs funktionieren. AutoRun war ursprünglich auch für genau diese Medien vorgesehen, um den Benutzern etwa die Installation einer Software zu vereinfachen. Nicht erst seit Conficker wird AutoRun aber missbraucht, um heimlich schädliche Software zu installieren.

Von Änderungen betroffen ist auch AutoPlay, das immer dann einspringt, wenn AutoRun nicht verfügbar ist. AutoPlay erlaubt die schnelle Wahl eines Programms, das etwa alle Bilder anzeigt oder abspielbare Medien wie Filme und Musik in einem Player öffnet.


imageAutoPlay-Dialog für einen USB-Stick.

Conficker hat sich auch die Funktionen von AutoPlay zunutze gemacht.

Die Verbreitung von Conficker über Wechseldatenträger ist damit aber noch nicht automatisch eingedämmt:

SanDisk stellt USB-Sticks und andere Flashmedien her, die dem U3-Standard entsprechen – diese U3 Smart Drives werden vom Betriebssystem als optische Medien behandelt, folglich werden sie auch AutoRun nutzen können.

Microsoft ließ ferner bekanntgeben, dass die Änderungen auch auf Windows XP und Vista übertragen werden sollen – wann ist aber noch nicht bekannt: “im Moment können wir nicht mehr dazu sagen”. Mit einigen Wochen Verzögerung muss man allerdings rechnen, da die neue Funktion ausgiebig getestet werden muss, bevor sie per Update auf Millionen PCs Einzug finden kann.

Wer sich schützen will, kann die automatischen Startfunktionen komplett abschalten: in den AutoRun- oder AutoPlay-Dialogen erscheint unten ein Link zur Systemsteuerung.


“Neeris” kopiert Conficker-Strategie

Der im Jahr 2005 aufgetauchte, aber nur wenige verbreitete Computerwurm “Neeris” ist zurück – mit einer neuen Strategie, die er Conficker nachgeahmt hat.


Neeris hat von Conficker gelernt und nutzt nun dieselbe Windows-Lücke in RPC aus. Auch weitere Strategien hat der Autor für seinen Wurm übernommen: Die Verbreitung über USB-Sticks und Speicherkarten über den Autorun-Aufruf und eben über das Netzwerk, wobei sich beide Würmer schwache Kennwörter, Administratorenrechte der Nutzer und das Fehlen von Firewalls zunutze machen.

Sowohl Conficker als auch die neue Variante von Neeris fügen dem Menü zum Öffnen der Daten auf einem Wechseldatenträger einen gefälschten Eintrag “Ordner öffnen, um Dateien zu durchsuchen” hinzu – wählt der Benutzer diesen nach dem Anschließen eines USB-Sticks aus, verbreiten sich die Würmer auf dem Computer.

Die technische Umsetzung basiert auf dem simplen Trick mit der Datei Autorin.inf, die eine festgelegte Datei beim Anschließen oder Einlegen eines Datenträgers automatisch aufruft.

Neeris ist möglicherweise eine der wahrgewordenen Befürchtungen zum ersten April. Der Wurm erschien am späten Dienstagabend, dem 31. März.