"Alles ist wie immer, nur schlimmer." - Bernd, das Brot, hat recht: Letzte Woche durch präparierte Quicktime-Dateien das Ausführen von JavaScript in Firefoxs Chrome-Umgebung, diese Woche durch präparierte PDF-Dateien das Starten von Programmen. Letzte Woche ein uralter DOS-Virus auf neuen Medion-Notebooks, diese Woche ein aktueller Windows-Virus auf neuen USB-Festplatten. Ich hoffe doch sehr, dass es nicht so weitergeht!

Aber der Reihe nach: Petko D. Petkov (pdp) hat nach den JavaScript-Problemen in verschiedenen Multimediadateien eine neue Schwachstelle entdeckt: Über präparierte PDF-Dateien lassen sich beim Öffnen der Datei im Adobe Reader beliebige Programme starten. Details hat er nicht verraten, aber ein Demo-Video veröffentlicht: Einmal wird der Taschenrechner, einmal Notepad gestartet.

Eventuell ist auch Acrobat selbst betroffen. Petko D. Petkov stuft diese Schwachstelle als gravierender ein als die in QuickTime. Ob es ein Windows-spezifisches Problem ist oder auch andere Systeme betroffen sind, ist ebensowenig bekannt wie die Anfälligkeit weiterer PDF-Anzeigeprogramme. Bestätigt wurde, dass Foxit betroffen ist, dort aber eine Interaktion des Benutzers erforderlich ist. Damit bleibt nur der Rat, keine PDF-Dokumente zweifelhafter Herkunft zu öffnen. Ich formuliere das absichtlich so schwammig, denn die normale Formulierung "aus unbekannten Quellen" greift meines Erachtens zu kurz: Was ist mit Dateien, die eine vertrauenswürdige Person weiterleitet, die aber trotzdem ohne deren Wissen eine Schwachstelle ausnutzen? Eine präparierte Datei könnte bei mir unter Mac OS X in Apples Vorschau einen harmlosen Text darstellen und trotzdem unter Windows die Schwachstelle ausnutzen oder umgekehrt. Zumal in diesem Fall über die Schwachstelle nichts weiter bekannt ist, als dass darüber Programme gestartet werden können.

USB-Festplatte mit Windows-Virus
Von den Kaspersky Labs wurde auf mehreren in den Niederlanden ausgelieferten USB-Festplatten des Typs Maxtor 3200 Personal Storage ein Windows-Virus gefunden. Bei Kaspersky selbst habe ich leider nur eine niederländische Version der Meldung gefunden und keine Informationen auf deutsch oder englisch. Das ist Schade, denn auch wenn bisher keine befallenen Platten außerhalb der Niederlande aufgetaucht sind, heißt das ja nicht, dass es so bleiben muss. Ich verstehe zwar etwas Plattdeutsch und kann die Bedeutung des Textes halbwegs erfassen, aber ein deutscher oder englischer Text wäre mir lieber. Falls jetzt jemand nach dem Babelfish ruft: Was der daraus macht, ist zwar ganz lustig zu lesen, aber auch nicht verständlicher als der niederländische Originaltext.

Auf deutsch gibt es also nur die Meldungen auf verschiedenen Websites und Pressetexte, z.B. bei pressetext.deutschland. Anders als letzte Woche bei den Medion-Notebooks handelt es sich diesmal um einen aktuellen Schädling namens Virus.Win32.AutoRun.ah. Er nutzt die AutoRun-Funktion, um sich beim Öffnen des Laufwerks zu installieren. Darüber, was danach passiert, gibt es widersprüchliche Aussagen:

• Laut Virus-Beschreibung von Kaspersky auf Viruslist.com sucht der Virus nach MP3-Dateien, um sie dann zu löschen.
• Laut Meldung auf pressetext.deutschland sucht der Virus außerdem nach "Gaming-Passwörtern".
• Im niederländischen Text steht nichts von MP3, dafür aber 'Het virus heeft als doel wachtwoorden voor online gaming te achterhalen', was der Babelfish zu 'The virus has as an aim of retrieving guard words for online gaming' macht.

Einmal sagt Kaspersky also, der Virus löscht MP3-Dateien, dann wiederum sucht er nach Passwörtern für Online-Spiele. Und im Pressetext steht dann gleich beides. Wenn ich davon ausgehe, dass im Pressetext einfach beide Informationen zusammengewürfelt wurden, bleiben zwei Möglichkeiten übrig: Löschen von MP3-Dateien oder Ausspähen von Passwörtern. Das ist eigentlich egal, denn beides ist schlecht, aber ich wüsste schon gerne genau, was ein Virus macht oder nicht macht.

Kommen wir zu Maxtor bzw. Seagate, denn Maxtor ist nur noch eine Marke von Seagate. Da gibt es gar keine Informationen auf den eigenen Seiten. Daher zitiere ich aus der Meldung von pressetext.deutschland:
"Bei Seagate will man den Vorfall untersuchen, kann sich bisher allerdings nicht erklären, wie der besagte Virus werksseitig auf die Platten gekommen ist. "Das von Kaspersky dargestellte Szenario scheint unwahrscheinlich, weil die 3200 überhaupt keine Software vorinstalliert hat und ein Virus sich folglich gar nicht laden kann", so Seagate auf Anfrage von pressetext. Auch handle es sich bei den Geräten um formatierte Ausgaben und von einem Virus im Master-Bootsektor habe man bisher noch nie gehört, zeigt sich das Unternehmen verwundert."

Da bleibt mir nur eins: Mich über Seagate verwundert zu zeigen. Viren im Bootsektor und auch im Master-Bootsektor sind zum einen ein uralter Hut, zum anderen war das bei den Medion-Notebooks genau so einer. Und Seagate hat davon noch nie gehört. Das ist ja nun schon mehr als peinlich. Und das "[...] die 3200 überhaupt keine Software vorinstalliert hat und ein Virus sich folglich gar nicht laden kann" ist auch eine sehr interessante Behauptung. Von AutoRun scheint man dort also auch noch nie gehört zu haben. Dabei ist auch das ein alter Hut: AutoRun dient unter Windows dazu, z.B. beim Einlegen einer CD oder beim Anschluss eines USB-Sticks oder eben auch einer USB-Festplatte automatisch oder nach Doppelklick auf das Laufwerks-Icon ein bestimmtes Programm zu starten. Dazu gibt es im Wurzelverzeichnis die Datei autorun.inf, die die entsprechenden Anweisungen enthält. Aus Sicherheitssicht übrigens eine sehr unschöne Erfindung, spätestens seit es CD-R und USB-Sticks gibt. Und auf einigen Maxtor-Platten scheint nun doch Software zu sein, eben der besagte Virus, der dann durch eine entsprechende autorun.inf gestartet wird. Weitere Software als der Virus muss dazu auf der Platte gar nicht drauf sein. Wie der da drauf gekommen ist, würde ich zu gerne wissen. Wie schon letzte Woche vermute ich, dass die Platten mit einem infizierten Windows-System getestet oder formatiert wurden.

Wie verhindert man, das Opfer solcher Nachlässigkeiten zu werden? Da hilft eigentlich nur die Radikalkur: Sofortiges Formatieren. Was unpraktisch ist, wenn die neu gekaufte Festplatte auch erwünschte Zugaben wie Backupprogramme oder Ähnliches enthält. In dem Fall hilft dann nur ein Virenscan, verbunden mit der Hoffnung, dass eventuell enthaltene Viren erkannt werden. Die Chance dafür ist recht hoch, da zwischen möglicher Infektion beim Hersteller und der Auslieferung an den Endkunden durch Transportwege und Lagerung bei Zwischenhändlern einige Zeit vergeht. Selbst wenn sich ein brandneuer Virus auf so eine Platte schleicht, sollte er zum Zeitpunkt der Auslieferung an den Endkunden allgemein bekannt sein und von einem aktuellen Virenscanner erkannt werden.

Jetzt bin ich ja mal gespannt, wie es diese Woche weiter geht ...

Carsten Eilers