autorun.inf - Autostart von USB-Sticks und CD/DVD

Wechseldatenträger können bei Windows eine Datei namens autorun.inf enthalten. Diese ist selbst nicht ausführbar, es handelt sich um eine reine Textdatei. Doch ihr Inhalt verweist auf ausführbare Inhalte. Eine einfache Version sieht so aus:

[AutoRun]
open=Pfadname\Programmname.exe
icon=Iconname.ico

Das war's auch schon. Bei einer Heftl-CD zum Beispiel startet so zum Beispiel der Heft-CD-Browser. Sieht so aus:

autorun.inf

  • [autorun] legt fest, dass hier die Autorun-Angaben stehen - die Datei autorun.inf kann nämlich noch mehr, was hier aber nicht wichtig ist
  • open legt fest, welches Programm Windows automatisch starten soll
  • icon legt fest, welches Icon der Wechseldatenträger haben soll, die ICO-Datei ist eine ganz normale Grafikdatei im ICO-Format

Infektion durch autorun.inf

Das gefährliche daran ist nun, dass Würmer dies nutzen können, um Wechseldatenträger es als zusätzlichen Verbreitungsweg zu nutzen.

Das geht beispielsweise so: Sie sind Student / Businessmensch und haben einen USB-Stick. Sie gehen an die Uni / auf eine Messe und nutzen einen Campus/Messe-Rechner. Der ist infiziert, und in dem Augenblick des Einsteckens schreibt der Wurm sich auf den USB-Stick und erzeugt eine autorun.inf mit sich selbst als Aufruf. Sie nehmen den Stick mit nach Hause / ins Büro, stecken ihn dort ein. Windows führt schafsbrav die Inhalte in autorun.inf aus und infiziert sich... Und so weiter. Note: Traditionelle Firewalls sind machtlos.

Das geht ging* mit

  • USB-Sticks, USB-Festplatten*
  • CDs/DVDs, auch ISO-Dateien davon, die gemounted werden
  • kurz: beliebigen Wechseldatenträgern

*Microsoft hat das Problem mit dem Update support.microsoft.com/kb/971029 für USB-Datenträger behoben; Würmer, die es nutzen, sind aber nach wie vor unterwegs...

Ausführung von autorun.inf abschalten

Wie Jörg anmerkte, behebt das Update support.microsoft.com/kb/971029 diese Probleme für USB-Sticks auf XP, Vista, 7. Die folgenden manuellen Änderungen sind daher streng genommen nicht mehr notwendig. Allerdings können einige USB-Sticks einen Teil ihres Speichers als CD-Laufwerk darstellen, dann wirkt dieses Update nicht, ebenso wenig wirkt es bei CDs/DVDs.

Bei Windows 7 und Vista kann man die Datei autorun.inf als solches sperren und die Funktion auf USB-Sticks und auf CD/DVDs deaktivieren:

  • Starten Sie den Registrierungs-Editor mit [Windows R], Eingabe von regedit, [Enter]
  • Wechseln Sie zum Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping.
  • Erzeugen Sie mit Bearbeiten, Neu, Schlüssel einen neuen Schlüssel namens autorun.inf
  • Doppelklicken Sie im Schlüssel autorun.inf auf (Standard)
  • Geben Sie als Wert @SYS:DoesNotExist ein, [Enter]
  • Neustart.

Jetzt dürfte autorun.inf nirgendwo mehr gehen, auch nicht auf CDs/DVDs. (Um das wieder loszuwerden, löschen Sie einfach den Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\autorun.inf )

Auf Windows XP deaktivieren Sie es so:

  • Starten Sie den Registrierungs-Editor mit [Windows R], Eingabe von regedit, [Enter]
  • Wechseln Sie zum Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.
  • Klicken Sie doppelt auf NoDriveTypeAutoRun, geben Sie in Feld Wert den Wert ff ein.
  • OK und Neustart.

Falls Sie zu einem späteren Zeitpunkt Autorun auf XP wieder aktivieren wollen, geben Sie den hexadezimalen Wert 91 ein. Das ist die Vorgabe auf den meisten Systemen, die ich gesehen habe (ganz früher war der, glaub ich, per Vorgabe 95).

Weiterführende Infos zu autorun.inf:

 

USB-Sticks gegen autorun.inf schützen

Es gibt verschiedene Möglichkeiten, zu verhindern, dass ein Wurm eine autorun.inf auf einem Wechseldatenträger schreibt. Dabei läuft es immer auf dasselbe heraus, nämlich, eine eigene Datei mit dem selben Namen zu erzeugen und mit einem Trick dafür zu sorgen, dass Windows sie nicht auf einfache Weise (und somit auch kein Wurm) überschreiben kann.

Starten Sie den Windows Explorer mit [Windows E]. Halten Sie [Umschalt] ([Shift]) gedrückt, klicken Sie mit der rechten Maustaste auf das Icon den fraglichen Wechseldatenträgers und wählen Sie Eingabeaufforderung hier öffnen. Geben Sie ein (oder mad.zip):

cd\
md autorun.inf\nochein.dir\nocheins
cd.> autorun.inf\kein.file
copy autorun.inf autorun.inf\nochein.dir
attrib +r +s +h \autorun.inf /s /d

Das Ergebnis ist ein Verzeichnis mit dem Namen der Datei autorun.inf (und darin sicherheitshalber ein weiteres Verzeichnis und eine Datei), und weil Windows anders als Linux Dateien nicht von Verzeichnissen unterscheiden kann, kann es nun keine Datei mehr erzeugen, die autorun.inf heißt. Aber: Das kann jeder kluge Programmierer umgehen.

Einen Tick schwieriger wird es damit:

cd\
md "\\?\X:\autorun.inf\lpt1"
wobei X der Laufwerksbuchstabe des Sticks ist
attrib +r +s +h \autorun.inf /s /d

Weil lpt1 ein reservierter Name ist (siehe Microsoft), kann Windows über die Shell das Verzeichnis lpt1 im Verzeichnis autorun.inf nicht mehr löschen, daher kann es den Ordner autorun.inf nicht löschen und deswegen kann es auch keine neue autorun.inf anlegen.

Aber natürlich gibts irgendwelche Tools, die es können, oder "geheime" Befehle wie
rd /s "\\.\h:\autorun.inf\lpt1"
ergo kann es am Ende des Tages auch eine Malware, wenn sie will.

Aber: Weil es sich nicht lohnt, jene wenigen User zu berücksichtigen, die diesen Tipp verwenden, ist die Wahrscheinlichkeit groß, dass ein Wurm das nicht drauf hat.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

5 Antworten

  1. Jörg sagt:

    Mmhh ... da war was. Ich habe mal ggeoo... nach Informationen gesucht. Microsoft war sich der steigenden Bedeutung dieser protentiellen Gefahr bewußt und hat ein Update herausgebracht, welches die AUTORUN Funktion bei den meisten Medien (also vor allem USB Speichern) deaktivert. Nur CD's / DVD's bleiben verschont (wahrscheinlich weil die ja ein Virus auch nur schwer(er) infizieren kann).
    Wer also alle Updates einspielt, sollte diese Funktion mit dem Update "KB 971029" von Microsoft erhalten haben!?

    • Andreas sagt:

      Oh..., äh..., hüstel... war mir tatsächlich entgangen.
      (Kannste mal sehen, wie schnell Microsoft auf meinen Blogpost reagiert hat! ;-)

      Scherz beiseite: Danke für den Hinweis!
      Na gut, war dieser Beitrag halt halb für die Katz, ebenso der morgige. Auslöser dieser Beiträge war tatsächlich ein Kumpel, der sich aktuell so ein autorun-Teil an der Uni zugezogen hat und der sich selbst als fortgeschrittener Anwender sieht, Updates sollte der eigentlich installiert haben (allerdings noch XP).

    • Andreas sagt:

      Zur Verteidigung möchte ich außerdem anführen, dass die Wildlist zum Beispiel auf http://www.wildlist.org/WildList/201103.htm noch eine ganze Menge Autoruns und Confickers enthält...

  2. Jörg sagt:

    Oh, sicherlich ist der Beitrag auch allein deswegen gut, um zu erklären und Verständniss zu wecken, unabhängig davon ob das Update bei einem nun automatisch eingespielt wurde oder nicht.
    Etwas, was man versteht und nachvollziehen kann ist immer besser als ein alleiniges, ominöses Update welches im Hintergrund zauberhafte Dinge macht.
    Gerade bei den Themen Sicherheit und Backups kann man eigentlich nicht oft genug erklären. Denn schließlich macht Übung (=Wiederholungen) den Meister. Und wenn es - wie in diesem Fall - wenigstens dazu geführt hat dem Uniteilnehmer zu zeigen, dass auch ein Windows XP noch verbessert werden kann: mit Auto-Updates!

    Schönes Wochenende,
    Jörg

  1. Mai 9, 2011

    [...] HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingautorun.inf wie hier beschrieben auf [...]