... weil insbesondere in einem Urlaubsland (mit der üblichen südländischen Larifari-Mentalität) da nur eines passiert – man bekommt einen Computervirus mit, einfach nur durch das Einstecken des USB-Sticks. In meinem Fall landeten sogar gleich drei Stück inklusive auch eines Autorun-Eintrags auf meinem USB-Stick, mit dem ich nichts anderes als mal ein Dokument ausdrucken wollte. Tja, falsch gedacht – und selbst wenn ich den Stick vor Benutzung an einem anderen Computer sicherlich auf Schadprogramme kontrolliert hätte, man muß sein Glück ja nicht herausfordern.
In diesem Fall kündigte sich das Unheil allerdings umgehend in dieser Form an, als ich auf dem PC des Internetcafes live und in Farbe miterleben konnte, wie eine Thumbs.db (hört sich nicht besonders schlimm an, wenn tatsächlich Bilder auf dem Stick sind) und dann eine Autorun.inf (alle Alarmglocken gingen an) zuerst auf den einfach nur eingesteckten Stick geschrieben und dann vor der Explorer-Ansicht (des PCs im Internetcase) versteckt wurden. Der Stick wurde erst einmal nicht weiterbenutzt, sondern sollte später dann mit meinem Notebook eingehend kontrolliert werden.
Dazu wurde das Notebook (auf welchem sich keine relevanten Daten befinden und welches nur als Zweitgerät genutzt wird) natürlich erst einmal auf den allerneuesten Update-Stand bezüglich Windows und Antivirenscanner gebracht. Zudem war dies die perfekte Gelegenheit, mal ein paar Anti-Autorun-Tools auszutesten.
Kürzlich schwirrte in Form des BitDefender USB Immunizer davon ein neues Tool durch die Presse – welches aber nach einem kurzen Test nur suboptimal hierfür geeignet ist: Die Funktion des Autorun-Unterbindens hat das Tool zwar auch, aber eigentlich ist es eher dafür geschrieben, um zu verhindern, daß eine Autorun.inf auf einen bestehenden USB-Stick geschrieben wird. Der Nutzwert der Sache ist wenig erkennbar, denn wenn dann wird ein laufender Virus auf dem Host-PC diese Autorun.inf zu schreiben versuchen – und dann wäre das Kind ja schon in den Brunnen gefallen.
Besser zum Thematik passt da AutoRun Disable von Endpoint Protector, hier kann man auch Detail-Einstellungen machen – oder benutzt einfach die große Sicher-Machen-Schaltfläche im Hauptfenster des Programms.
Derart bewaffnet wagte ich dann, den USB-Stick ans Notebook zu hängen und mir im Windows Explorer die Malaise anzusehen. Und dabei kamen dann die bewußten gleich drei Viren heraus: Thumbs.db und Thumbs.com scheinen zusammenzugehören, wobei erster für eine Thumbnail-Datenbank auf einem USB-Stick mit nur einem Bild reichtlich zu groß ist und letztere natürlich unsinnig ist, da es keine ausführbaren Dateien im Zusammenhang mit Thumbnail-Datenbanken gibt. NewFolder.exe und regsvr.exe sind das nächste Paar, hier handelt es sich offenbar um denselben Virus (da selbe Dateigröße) nur in verschiedennamigen Dateien. Und letztlich gibt es noch zum real benutzten Ordern _Updates eine _Updates.scr – wiederum eine ausführbare Datei, die nur den Zweck hat, beim versehentlichen Öffnen ihre Schadfunktion zu aktivieren. Um es rund zu machen, gibt es dazu noch eine Autorun.inf, welche eines dieser Schadprogramm gleich beim Anstecken an einen Computer starten soll – wenn man diese liebliche Windows-Funktionalität nicht deaktiviert hat (wie vorstehend beschrieben).
In dem Augenblick, wo der Inhalt des USB-Stick mit dem Windows Explorer angezeigt wurde, schlug natürlich auch der Antivirenscanner an. Diesen habe ich nachfolgend seine Arbeit machen lassen und die gefundenen Viren entfernen lassen – aber erstaunlicherweise schaffte Avira das nicht vollständig, der Thumbs-Gerassel und die Autorun.inf verblieben nach der Säuberungsaktion auf dem Stick.
Dies zeigt sehr deutlich auf, daß Antivirenscanner auch nur Hilfsmittel und bei weitem nicht fehlerfrei sind – insbesondere beim Entfernen von Schadprogrammen haben diese bekannte Schwächen. Der allerbeste Weg bei einem Virenbefall ist daher der radikale Weg der Formatierung – welchen ich nachfolgend beschritten habe, bei einem USB-Stick ist dies schließlich auch kein Problem.
In jedem Fall wurde mit dieser Aktion gelernt, daß man in Sicherheitsdingen niemals Leichtsinn walten lassen kann – und daß man bekannte Problemfelder (USB-Stick an unbekannten Computers) nicht nur in 99 von 100 Fällen, sondern eben immer meiden sollte (im konkreten Fall heisst dies: Wenn man schon einen USB-Stick mit Schreibschutz hat, sollte man diesen auch einsetzen). Nachdem mir ein weit gereister Bekannter mal eine USB-Festplatte präsentierte, die sich ihre Vireninfektion in einem Internetcafe in Katmandu (Nepal) eingeholt hatte, hätte ich es eigentlich besser wissen sollen ;).