Viren
und Würmer aus Photodruckern...
Die unterschätzte Gefahr!
|
ACHTUNG...!!!!
Dieser
Artikel entspricht meinem Kenntnisstand
vom Januar
2010
und beruht auf eigenen Erfahrungen sowie Informationen
verschiedener PC Fachforen und Securityseiten.
Für Rechtsnachteile die Dritten aus der Verwendung dieser Infos
entstehen wird nicht gehaftet!
Bitte lesen Sie hierzu auch meinen DISCLAIMER !!!!!
Sie wollen nur mal
kurz im Kaufhaus nebenan ein Bildchen direkt von der SD-Karte
Ihrer Digitalkamera oder Ihrem USB-Stick ausdrucken?
Dann überlegen Sie sich das lieber zweimal.....
Seit neuestem können Sie sich auch auf diese Art jede Menge an
unsichtbarer Malware einfangen.
Offensichtlich verfügen herkömmliche Photodrucker zum
Selbstausdrucken oder auch zur Auftragserstellung (mittels im
Drucker gebrannter CD/DVD)
bislang noch über keinerlei Virenschutz. Das heißt,
jeder Kunde kann somit unwissentlich oder auch vorsätzlich zum
Überträger von Malware werden,
indem er einen (infizierten) mobilen Datenträger in den
SD/MMC/USB-Slot oder das optische Laufwerk eines herkömmlichen
Photodruckers einführt.
Die Malware wird dann zunächst auf das Betriebssystem des
Druckers (Meist Windowsplatform) übertragen
und installiert sich später selbstständig auf dem mobilen
Datenträger des nächsten Kunden.
Es
gibt einige Würmer, Trojaner und andere Schadprogramme,
die sich bevorzugt über diese mobilen Datenträger wie SD, MMC
und andere Speicherkarten
sowie den beliebten USB-Sticks verbreiten.
Das funktioniert dann z.B. wie folgt:
Sie
stecken Ihren mobilen, wiederbeschreibbaren Datenträger
nach Aufforderung des Fotodruckers in den entsprechenden Slot.
Dann durchforstet ein Browserprogramm im Drucker den gesamten
Datenträger nach verfügbaren Bilddateien und listet diese
mittels kleiner Vorschaupics auf dem Bildschirm auf, damit Sie
die entsprechenden Bilder zum Ausdrucken oder Bearbeiten
markieren können.
Nachdem Sie die finale Auswahl getroffen und den Druckauftrag
erteilt haben, beginnt mit dem Ausdruck der Bilder oder dem
Brennen
eines optischen Datenträgers zum Verschicken ins Labor die
Bearbeitung Ihres Auftrages.
Diese sollte dann eigentlich spätestens nach Entnahme des
Speichermediums und des Rechnungsabschnittes
abgeschlossen sein und vor allem ohne weitere
Folgen für Ihr Wechselmedium bleiben....So ist
es aber leider nicht immer!
Schon
während des ersten Lesevorganges von Ihrem Medium können
nämlich umgekehrt auch klammheimlich Dateien und Ordner auf
dieses kopiert werden,
die in der Regel dann allerdings nicht viel Gutes erahnen lassen.
Normalerweise sind diese Daten auch noch mit Schreibschutz
und dem Attribut "Versteckt" versehen, so dass Sie
weder im Photodrucker selbst, noch beim späteren Öffnen des
Medium mit einem PC sichtbar werden.
Lediglich bei vorher aktivierter Option "Alle Dateien
anzeigen" aus den Ordneroptionen der
Systemsteuerung (Siehe Grafik) ,
 |
erkennt
man dann plötzlich eine Datei "Autorun.inf", sowie
einen Ordner mit der Bezeichnung "Recycler",
in welchem sich eine " Lcass.exe " oder
"lcass.exe" befindet,
die von jedem vernünftigen Antivirenprogramm
sofort als Win32/ W32-Wurm erkannt werden
sollte.
|
Dies ist ein Wurm für die Windowsplatform, welcher sich bevorzugt über Wechselmedien verbreitet.
Weitere Analysen
der (gezippten) Lsass.exe durch den
Online-Virenscanner VirusTotal erbrachten
folgendes Ergebnis:
Datei: Lcass.exe.zip empfangen 2010.01.07
10:29:28 (UTC)
Status: Beendet
Ergebnis: 37/41 (90.24%)
| Antivirus | Version | letzte Aktualisierung | Ergebnis |
|---|---|---|---|
| a-squared | 4.5.0.48 | 2010.01.07 | - |
| AhnLab-V3 | 5.0.0.2 | 2010.01.07 | Win32/Xema.worm.212992.B |
| AntiVir | 7.9.1.122 | 2009.12.31 | Worm/VB.GD.23 |
| Antiy-AVL | 2.0.3.7 | 2010.01.06 | Trojan/Win32.Agent |
| Authentium | 5.2.0.5 | 2010.01.07 | IS/Autorun |
| Avast | 4.8.1351.0 | 2010.01.06 | VBS:Malware-gen |
| AVG | 8.5.0.430 | 2010.01.04 | Worm/VB.BJC |
| BitDefender | 7.2 | 2010.01.07 | Trojan.AutorunINF.Gen |
| CAT-QuickHeal | 10.00 | 2010.01.07 | Worm.VB.gd |
| ClamAV | 0.94.1 | 2010.01.07 | Trojan.Win32.VB |
| Comodo | 3490 | 2010.01.06 | Worm.Win32.AutoRun.bib |
| DrWeb | 5.0.1.12222 | 2010.01.07 | Win32.HLLW.Autoruner.1814 |
| eSafe | 7.0.17.0 | 2010.01.06 | - |
| eTrust-Vet | 35.2.7221 | 2010.01.07 | INF/Caslex.E |
| F-Prot | 4.5.1.85 | 2010.01.06 | IS/Autorun |
| F-Secure | 9.0.15370.0 | 2010.01.07 | Trojan.AutorunINF.Gen |
| Fortinet | 4.0.14.0 | 2010.01.07 | W32/SILLYFDC.AK!worm |
| GData | 19 | 2010.01.07 | Trojan.AutorunINF.Gen |
| Ikarus | T3.1.1.79.0 | 2010.01.07 | Worm.Win32.AutoRun |
| Jiangmin | 13.0.900 | 2010.01.07 | Worm/VB.al |
| K7AntiVirus | 7.10.940 | 2010.01.06 | Worm.Win32.VB |
| Kaspersky | 7.0.0.125 | 2010.01.07 | Worm.Win32.AutoRun.bib |
| McAfee | 5853 | 2010.01.06 | Generic!atr |
| McAfee+Artemis | 5853 | 2010.01.06 | Generic!atr |
| McAfee-GW-Edition | 6.8.5 | 2010.01.07 | Worm.VB.GD.23 |
| Microsoft | 1.5302 | 2010.01.07 | Worm:Win32/Xema.gen!B |
| NOD32 | 4749 | 2010.01.06 | INF/Autorun.gen |
| Norman | 6.04.03 | 2010.01.06 | W32/VBWorm.OVU |
| nProtect | 2009.1.8.0 | 2010.01.07 | - |
| Panda | 10.0.2.2 | 2010.01.06 | Bck/VB.WE |
| PCTools | 7.0.3.5 | 2010.01.07 | Trojan.Autorun!ct |
| Prevx | 3.0 | 2010.01.07 | - |
| Rising | 22.29.03.04 | 2010.01.07 | Trojan.Win32.VB.yyr |
| Sophos | 4.49.0 | 2010.01.07 | Mal/AutoInf-A |
| Sunbelt | 3.2.1858.2 | 2010.01.07 | INF.Autorun (v) |
| Symantec | 20091.2.0.41 | 2010.01.07 | Backdoor.Trojan |
| TheHacker | 6.5.0.3.138 | 2010.01.07 | Trojan/Small.autorun |
| TrendMicro | 9.120.0.1004 | 2010.01.07 | Mal_Otorun1 |
| VBA32 | 3.12.12.1 | 2010.01.06 | Worm.Win32.AutoRun.bib |
| ViRobot | 2010.1.7.2126 | 2010.01.07 | Worm.Win32.VB.212992.F |
| VirusBuster | 5.0.21.0 | 2010.01.06 | Worm.VB.FQG |
Weitere Informationen: |
|---|
| File size: 87540 bytes |
| MD5 : 1d2b38102a634d3b3a8df54ee17367c4 |
| SHA1 : c487522ede935be327701cdfc5ff46c6f1d6f4d0 |
| SHA256: e11607f39de8a567a7838fc4c57f853e544fd1c5140a91d8e70183e3102900ed |
| TrID : File type
identification ZIP compressed archive (100.0%) |
| ssdeep: 1536:aRUZ66BqkbTGnrpakmjQdqnhM8nc+0UgQtrVISyBqUXYjumTbW7ya9:6467ktDjokhMsSCtrVISyBfjmTbW7l9 |
| PEiD : - |
| RDS : NSRL Reference Data Set |
ACHTUNG!
Durch die Autorun.inf kann theoretisch
sogar das eine oder andere Antivirenprogramm ohne Bootwächter
ausgetrickst werden,
wenn der Datenträger sich schon vor dem Booten Ihres PCs im Slot
befindet und das Schadprogramm
durch die Autorun.inf dann evtl. noch
vor dem Antivirentool startet.
Das Gleiche gilt natürlich auch für eine im Photodrucker
gebrannte, infizierte CD/DVD, so dass auch mit diesem optischen
Medium
weitere, ungeschützte Systeme schon während des Bootvorganges
infiziert werden können.
Photodrucker infizieren sich in der Regel durch ihren
Datenbrauser beim Suchen nach Bilddateien.
Der Inhalt der der Autorun.inf ist folgender:
| [autorun] open=.\RECYCLER\Lcass.exe shell\1=?? shell\1\Command=.\RECYCLER\Lcass.exe shell\2\=?? shell\2\Command=.\RECYCLER\Lcass.exe shellexecute=.\RECYCLER\Lcass.exe |
Startet man den Wurm, oder startet sich der Wurm beim Einstecken
in den Karten- oder USB-Slot eines Rechners durch die Autorun.inf von selbst,
kopiert er sich nach <System>\Lcass.exe. Ausserdem
erfolgt ein Eintrag in die Registry des PCs unter
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Lcass<System>\Lcass.exe
Danach
wird auf jedem weiteren, nachträglich
am infizierten PC angeschlossenen Wechselmedium automatisch auch
ein neuer Ordner "Recycler"
sowie eine neue "Autorun.inf" erstellt,
so dass der Wurm sich fortan auch über dieses Medium
verbreiten kann,
sobald es mit einem anderen, ungeschützten PC oder Photodrucker
verbunden wird.
ACHTUNG!
lcass.exe befindet sich
bei einer Infektion auch manchmal im Ordner C:\Windows\System32
und ersetzt dort die (reguläre) WinXP- Datei
"lsass.exe", einem
lokalen Sicherheitsdienst von Windows!
Sie sollte sich, wenn keine Infektion
vorliegt, mit richtigem Namen lsass.exe
ausschließlich
im Ordner C:\Windows\System32 befinden und von
dort aus
die Gültigkeit der Benutzeranmeldungen und Zugriffsrechte für
Ihren PC überprüfen.
Falls Sie nicht als Administrator angemeldet sind, sorgt diese
reguläre lsass.exe z.B. dafür,
dass Sie nur auf bestimmte Dateien Zugriff haben.
Auch die Anmeldung mit einem falschen Usernamen wird von der lsass.exe registriert
und der Zugriff auf das Betriebssystem verhindert.
Sollte diese Datei sich jedoch an einer anderen Stelle befinden,
handelt es sich mit hoher Sicherheit
um einen Virus, Spyware, Trojaner oder Wurm!
Bekannte
Dateigrößen der Malware lcass.exe
unter
Windows XP sind
308810
bytes (50% aller Vorkommen),
sowie 1613824 bytes, 183808 bytes, 194126 bytes.
Diese Datei wird vom Betriebssystem Windows nicht benötigt.
Es gibt zu diesem Programm keine genaue Beschreibung.
Das Programm ist nicht sichtbar.
Sie ist keine Systemdatei, befindet sich aber dennoch im Windows
Order.
Während des Windows Bootvorgangs wird dieser Prozess aktiviert.
Siehe dazu auch
Registry Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.
lcass.exe kann Eingaben
wie Passwörter und Texte aufzeichnen (Keylogger),
sich verstecken, sich auf Wechselmedien und andere Laufwerke
kopieren,
selbständig Programme überwachen, und an bestimmten Ports
lauschen,
um dann alle auspionierten Daten über andere Ports ins LAN oder
Internet zu senden!
Mehr darüber finden Sie hier:
http://frankn.com/html/lsass_exe.html
Es
soll zudem auch spezielle Versionen geben, die u.a. zeitgesteuert
weitere Malware wie Backdoors
und Remote Control Programme nachladen, etwa um den infizierten
Rechner unbemerkt in ein Botnetz einzuloggen.
Offiziell gibt es
mindestens zwei Versionen der Lcass.exe welche
(möglicherweise?) ganz regulär
als "harmlose"
USB-Browser für die Durchsuchung der Wechselmedien
in Photodruckern installiert sind.
Diese unterscheiden sich dann aber von o.g. Malwareversionen vor
allem dadurch,
dass sie lediglich Lesezugriffe vornehmen und
niemals Daten auf die angeschlossenen Wechselmedien schreiben.
Mehr darüber finden Sie hier:
Siehe dazu auch meinen Newsletter:
USB-Tastatur-Emulator hackt PC (20. Januar 2011)
Mein TIPP:
Das geschilderte Problem lässt sich eigentlich ganz leicht vermeiden, wenn Sie ein paar einfache Regeln beachten!
1.
Grundsätzlich nur Wechselmedien mit einem physikalischen
Schreibschutz
(Lock-Schalter) verwenden,
oder die auszudruckenden Bilder vorher von Speicherkarte auf ein nicht wiederbeschreibbares optisches Medium (CD/DVD)
kopieren, welches der Photorucker dann auch nur lesen kann.
2.
In jedem Falle ungeeignet, weil vom Photodrucker
grundsätzlich beschreibbar,
sind USB-Sticks ohne oder mit einem reinen Softwareschreibschutz.
Dieser kann als Windows-Dateiattribut vom Schadprogramm jederzeit
aufgehoben und somit unbemerkt umgangen werden.
3.
Benutzen Sie eine durch den Photodrucker erstellte CD/DVD ausschließlich nur zum Versand an das zuständige Vertragslabor!
Versenden Sie diese auf keinen Fall an Dritte oder ein
Fremdlabor!
Sie könnten ansonsten für entstehende Schäden durch
möglicherweise auf dem Medium vorhandene Malware
juristisch haftbar gemacht werden (Hohe Schadensersatzansprüche
denkbar!).
4.
Legen Sie solche Datenträger auch niemals selber in ihr eigenes
oder ein fremdes PC-System ein!
DER
TECHNODOCTOR
