Bundesamt für Sicherheit in der Informationstechnik

G 4.23 Automatische Erkennung von Wechseldatenträgern

Bei vielen Betriebssystemen wie z. B. Windows können CD-ROM s, DVD-ROM s, aber auch andere auswechselbare Datenträger automatisch erkannt und Applikationen hierauf ausgeführt werden. Oft wird z. B. direkt ein Film abgespielt, wenn eine Video- DVD eingelegt wird. Ein Wechseldatenträger könnte so manipuliert werden, dass Schadsoftware ausgeführt und installiert wird, wenn der Wechseldatenträger eingelegt oder angeschlossen wird.

Automatische Erkennung unter Windows

Die unter Windows so genannte Autorun-Funktion erkennt automatisch, wenn ein Datenträger eingebunden wird und versucht auf dem Datenträger gespeicherte Programme aufzurufen. Medien mit Filmen oder Musik werden unter Windows oft mit der so genannten Autoplay-Funktion automatisch abgespielt.

Windows-Betriebssysteme werten hierzu die Inhalte der Datei AUTORUN.INF im Wurzelverzeichnis des Datenträgers aus, denn diese enthält die Informationen, die zum Start der Programme notwendig sind. Diese Datei kann beliebige auf der CD -, beziehungsweise DVD-ROM, gespeicherte Programme (z. B. mit Schadfunktion) automatisch ausführen.

Der mittlerweile unter Windows übliche Autorun-Dialog, bei dem der Benutzer die Möglichkeit hat, auszuwählen, in welcher Art und Weise Inhalte auf den Wechseldatenträgern gestartet werden sollen, bietet hier keinen Schutz, da moderne Schadprogramme bis dahin die zur Infizierung notwendigen Aktionen bereits durchgeführt haben.

Automatische Erkennung unter anderen Betriebssystemen

Auch unter Unix-Betriebssystemen, wie Linux oder Mac OS X, gibt es Funktionen, um Wechseldatenträger automatisch zu mounten und auf dem Datenträger abgelegte Skripte oder Anwendungen zu starten. Je nach Betriebssystem-Umgebung können z. B. die um zusätzliche Parameter ergänzten Inhalte und aus Windows bekannte AUTORUN.INF-Datei ausgeführt werden.

Beispiel:

  • Der Computerwurm Conficker nutzt unter anderem gezielt die Autostart-Funktion von Windows aus, um sich von USB -Medien weiter zu verbreiten. Alle Aktionen laufen für den Benutzer nicht sichtbar im Hintergrund und er hat keine Möglichkeit, dies bei aktivierter Autostart-Funktion zu umgehen. Selbst der Abbruch der Autostart-Funktion und des Autostart-Dialogs bietet keinen Schutz.

Stand: 13. EL Stand 2013