Das "Einfallstor" USB-Laufwerk mittels autorun.inf ist nicht neu. Neu ist indes, dass eben autorun.inf nicht mehr benötigt wird. Sobald der ahnungslose Nutzer das Laufwerk öffnet, wird auf das Dateisystem zugegriffen, um die auf dem Medium befindlichen Inhalte anzuzeigen, und die manipulierte .Ink-Datei wird aktiv. Ist das System erst einmal infiziert, kann der Nutzer nicht mehr nachvollziehen, ob und welche Dateien auf das USB-Laufwerk kopiert werden - diese werden vom Rootkit verborgen. Der Angreifer selbst tarnt sich im iexplore.exe (Internet Explorer), der von Firewalls nicht beargwöhnt wird. So kann er sich weitgehend frei bewegen und sogar seinerseits Sicherheitsvorkehrungen attackieren und beeinträchtigen.
Zum Schutz stellt Symantec stets Updates zur Verfügung, mit denen sich die Gefahr wirksam entschärfen lässt. Sicherheitslösungen von Symantec und Norton auf dem entsprechend neuesten Stand können den Schädling schnell und gründlich aus infizierten Systemen entfernen.
Zusätzlich hat Microsoft zwei spezielle Verhaltens- und Handlungsempfehlungen veröffentlicht:
- Die Anzeige der Shortcuts sollte deaktiviert werden - dadurch wird jeder Shortcut auf dem Computer als leeres Icon angezeigt.
- Auch der WebClient Service sollte deaktiviert werden, da dieser extern manipuliert werden kann und sich nicht auf USB beschränkt.
Symantec Security Response arbeitet kontinuierlich an der Analyse dieser neuen Bedrohung. Weitere Informationen sind im Symantec Connect Response Blog http://www.symantec.com/... zu finden.
Die neuesten Informationen von Symantec können Sie auch per Twitter unter Symantec_Presse verfolgen.