activexdebugger32.exe - USB-Sticks als Virenschleudern (Allgemeines)
Hallo,
im Moment verbreiten sich zunehmend Wurmprogramme über USB-Sticks und Windows-PCs. Diese Programme nutzen die Tatsache aus, dass Microsoft Windows nach dem Einstecken eines USB-Sticks (und auch nach dem Einlegen einer Daten-CD oder -DVD) nach einer Textdatei "autorun.inf" sucht und bei Erfolg ohne jede Nachfrage darin aufgeführte Programme startet. Wenn die "autorun.inf" dann auch noch so wie bei dem Rechner, den ich heute auf dem Tisch hatte, aussieht,
[AutoRun]
open=activexdebugger32.exe
shellexecute=activexdebugger32.exe f
shellAutocommand=activexdebugger32.exe f
shell=Auto
shellopen=Open(&O)
shellopenCommand=activexdebugger32.exe f
shellopenDefault=1
shellexplore=Explorer(&X)
shellexploreCommand=activexdebugger32.exe f
kann man ziemlich sicher sein, dass es sich beim Programm "activexdebugger32.exe" um ein äußerst unfreundliches Produkt handelt.
Warum kann man aber beim Blick mit dem Microsoft-Windows-Explorer auf den Inhalt des USB-Sticks weder eine Datei "autorun.inf" noch das Schadprogramm "activexdebugger32.exe" sehen? Das liegt daran, dass beide Dateien als "versteckt" und als "Systemdatei" markiert worden sind.
In der Standardeinstellung des Microsoft-Windows-Explorers zeigt das Programm diese Dateien nicht an. Dazu müssen erst im Menü "Extras" unter "Ordneroptionen - Ansicht" diverse Häkchen beseitigt oder gesetzt werden:
_ Erweiterungen bei bekannten Dateitypen ausblenden
_ Geschützte Systemdateien ausblenden
X Versteckte Dateien und Ordner - Alle Dateien und Ordner anzeigen
Das tückische an diesem Wurm ist, dass befallene Microsoft-Windows-Rechner jeden weiteren eingesteckten USB-Stick sofort ebenfalls infizieren, wodurch sich der Schädling recht schnell im gesamten Bekanntenkreis ausbreitet.
Wurmsoftware hat in der Regel eine oder mehrere Schadfunktionen, so werden beispielsweise Tastendrücke (Pasworteingaben!) ausspioniert, Daten von der Festplatte gelesen und an kriminelle Organisationen versendet oder der Rechner zur Ausführung weiterer nachladbarer Fremdsoftware vorbereitet.
Wie kann man sich schützen?
1. Muss es wirklich Windows sein? Für Office und Internet steht Linux dem "Marktführer" in nichts nach, finde ich.
2. Nicht mit Administratorrechten arbeiten.
3. Virenscanner täglich aktualisieren.
4. Automatische Programmausführung von Wechseldatenträgern abschalten. Mittels TweakUI von der Microsoft-Website geht das ganz einfach. Nach der Installation findet man das Programm als Element der Systemsteuerung wieder und die entsprechende Einstellung wurde von Microsoft stilsicher unter "Paranoia" abgelegt.
Wie werde ich den Schädling los?
Ein einmal von Schadsoftware befallenes System muss als grundsätzlich kompromittiert angesehen werden. Selbst wenn ein sogenanntes "removal Tool" die Entfernung eines oder mehrerer Schädlinge gemeldet hat, heißt das nicht, dass der Rechner nun wieder vertrauenswürdig ist. Man sollte die Festplatte(n) formatieren, das Betriebssystem und benötigte Anwendungsprogramme neu aufspielen und die persönlichen Daten aus dem letzten Backup vor Beginn des Befalls wiedereinspielen.
--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums
Bücher:
CAD mit BricsCAD
Bauinformatik mit Python