McDonalds Japan verteilte infizierte MP3-Player [Update]

Von solchen Verbreitungsraten kann mancher Internetwurm nur träumen: McDonalds Japan verteilte im Rahmen eines Preisspiels an annähernd 10.000 Kunden MP3-Player, die den Trojaner QQPass enthielten. Neben dem Schädling waren die McDonald-gebrandeten Player mit zehn Musikstücken vorgefüllt. Kunden, die den Player an ihren Windows-PC anschlossen, wurden nach der Infektion von QQPass ausgespäht. Ob dazu Anwender den Schädling manuell starten mussten, Windows das Programm per Autorun selbsttätig startete oder der Schädling eine Sicherheitslücke ausnutzte, ist nicht bekannt. Insbesondere hatte der Trojaner es auf eingegebene Passwörter abgesehen, die er ins Internet sandte.

McDonalds hat sich bei seinen Kunden für den Vorfall entschuldigt und eigens eine Hotline eingerichtet, um den Rückruf der infizierten MP3-Player abzuwickeln. Wie der Schädling auf die Geräte kam, wird noch untersucht. In der Regel schleichen sich die Schädlinge aber beim Befüllen im Werk ein. Der Hersteller Creative hatte im September des letzten Jahres 4000 Zen-Neeon-MP3-Player mit dem Wurm Wullik.B ausgeliefert. Betroffen war damals nur Japan.

Allgemein entwickeln sich USB-Geräte zum Sicherheitsproblem. Nicht nur, dass externe Speichergeräte den Argwohn von Sicherheitsverantwortlichen auf sich ziehen, weil sich damit von Mitarbeitern in Unternehmen per Pod-Slurping gigabyteweise Daten absaugen lassen. Zusätzlich infizieren Mitarbeiter ihre Arbeits-PCs über mitgebrachte oder scheinbar zufällig gefundene, präparierte USB-Sticks. Viele Firmen gehen deshalb dazu über, die Rechner ihrer Mitarbeiter mit zusätzlicher Software so zu verrammeln, dass keine externen Datenträger mehr angeschlossen werden können.

Grundsätzlich gilt für USB-Sticks und MP3-Player, dass sie sich gegenüber Windows als DRIVE_REMOVABLE zu erkennen geben – und dafür ist Autorun unter XP standardmäßig abgeschaltet. Nicht verwechseln sollte man hier Autorun und Autoplay. Bei Autoplay öffnet sich eine Auswahl an Anwendungen, mit der sich auf dem Datenträger enthaltene Dateien öffnen lassen. Allerdings birgt auch dies Gefahren, wenn man etwa per Häkchen einwilligt, fortan einen bestimmten Dateitypen mit der verknüpften Anwendungen automatisch ohne Nachfrage zu starten. Auf diese Weise könnte sich etwa ein ungepatchtes Windows schnell per WMF- oder andere Exploits einen Schädling von einem USB-Stick einfangen.

Update

Nicht alle USB-Sticks melden sich an Windows als DRIVE_REMOVABLE an, sondern gaukeln dem System durch ein zusätzliche Partition vor, eine CD-ROM zu sein. Unter anderem nutzen U3-USB-Sticks diese Möglichkeit, um auf dem Speichern enthaltene Software beim Einstecken des Sticks automatisch per Autorun zu installieren. Allerdings ist diese Partition nicht von Anwendern beschreibbar -- Trojaner und Viren lassen sich dort also nicht nachträglich speichern. (dab)