Bitdefender USB Immunizer vs. Panda USB Vaccine

BitDefender USB Immunizer

Eine AdWare der ganz eigenen Art, aber nützlich ist sie trotzdem.

Nach dem Auspacken der ZIP-Datei erhält man eine EXE namens BDUSBImmunizer.exe, die man direkt aufrufen kann.

Bitdefender USB Immunizer. OFF schaltet die Immunisierung AN

Es gibt im wesentlichen zwei Funktionen:

  • Angezeigter Laufwerksbuchstabe – Button Immunize: Dabei wird laut BitDefender eine spezielle autorun.inf angelegt (deren Autostart beim Einstecken für die Infektionsverbreitung verantwortlich ist).
    Sieht man genauer hin, legt BitDefender hier ein gleichnamiges Verzeichnis autorun.inf mit zwei untergeordneten Verzeichnissen und jeweils zwei 0-Byte-Dateien darin an, deren Attribute alle auf HRS gesetzt wurden. Anders gesagt: Das könnten Sie auch von Hand selbst machen, und es wird nicht lange dauern, bis Würmer diese Immunisierung aushebeln können. Aber hey, was hält schon ewig… dennoch: nice, aber Panda USB Vaccine ist hier besser.
  • Immunize Computer – On / Off: Verhindert, dass Windows autorun.inf ausführt.
    Sieht man genauer hin, verändert es die Registry, genauer gesagt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, darin setzt es NoDriveTypeAutoRun auf 04. Diese Einstellung können Sie bei Windows 7 auch mit Regedit verändern, aber das Tool macht es einfach bequem.
    Kleine Torheit der GUI-Designer: Der Status On/Off betrifft die Funktion, nicht die Immunisierung. Ist die Funktion OFF, ist die Immunisierung AN und umgekehrt.

Beim Schließen verlangt die Nagware jedes Mal nach einer E-Mail-Adresse, aber das kann man ignorieren… nervt trotzdem.

Panda USB Vaccine

Panda hat so was schon ein bisschen länger und inzwischen in einer neuen Version mit diverses Extras, allerdings wollen die schon vor dem Download Name & Adresse und so weiter… aber es lohnt sich, denn es ist das bessere USB-Schutztool!

Es ist zu installieren, dafür kann es etwas mehr:

Panda USB Vaccine - Setup

Es lässt sich nämlich automatisch mit Windows starten und es behandelt dann jeden Stick automatisch. Danach, im laufenden Betrieb, gibts weniger Unterschiede:

Panda USB Vaccine

Anders gesagt: scheinbar dasselbe in Grün. Und doch:

  • Computer Vaccination: Ändert Windows-Einstellungen so, dass Sticks mit infizierten autorun.infs keine Gefahr mehr darstellen.
    Bei genauerem Hinsehen zeigt sich: Es erzeugt und setzt den Registry-Wert HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\autorun.inf wie hier beschrieben auf @SYS:DoesNotExist
  • USB drive Vaccination: Damit “impft” das Tool einen USB-Stick so, dass niemand mehr auf ihm eine autorun.inf ablegen kann.
    Bei genauerem Hinsehen grübelt man, wie ich, einige Zeit darüber, wie der Trick hier ist. Es wird nämlich kein Verzeichnis erzeugt, sondern eine Datei. Die ist zwar Hidden, aber das kann man nicht abschalten – und man müsste es eigentlich können. Ursache dafür ist scheinbar das von Windows angezeigte Attribut “X”, das natürlich nicht dokumentiert ist, vielleicht gar nicht existiert (ich hab’s nicht gefunden). So was geht letztlich, vermute ich, nur über einen direkten Zugriff auf die FAT, und siehe da, wenn man ein bisschen mit dem Hex-Editor rumpanscht, dann geht’s wieder (es ist das Byte direkt nach dem Dateinamen: normal: x20, “gesperrt”: x42). Sprich: Auf dieselbe Weise könnte ein Wurm den Schutz auch überwinden, wenn er wollte und könnte. Aber da muss man erst mal drauf kommen…

Bitdefender oder Panda?

Mich hat der kurze Vergleich einen halben Tag gekostet, denn dass man noch mit Hex-Editoren rumwursteln müsste, das kann man sich ja kaum noch vorstellen, aber ich wollte eben wissen, wie es geht. Der Härtetest: Behandelt man mit Panda USB Vaccine einen mit BitDefender USB Immunizer “geschützten” Stick, dann geht das einwandfrei. Umgekehrt geht es nicht: BitDefender USB Immunizer beißt sich an einem Panda-vakzinierten Stick die Zähne aus. Die harte Methode über direkte Manipulation des Dateisystems ist einfach schwieriger als die geschachtelten Verzeichnisse – daher vergebe ich den virtuellen “USB-Stick in Gold” an Panda.

Lohnt sich so ein Tool überhaupt? Ich sag’s mal so: Jain. Wie Jörg anmerkte, behebt das Update support.microsoft.com/kb/971029 das Problem der bedenkenlosen Autorun-Ausführung von normalen USB-Wechseldatenträger auf XP, Vista und Windows 7. Dennoch lohnt sich die Immunisierung von Speichersticks, etwa bevor man seinen USB-Speicher in einen Campus-, Messe- oder Vortrags-Notebook steckt, oder um den Stick zu behandeln, mit dem man einen Vortrags-PCs beehrt. Und auch sonst: es schadet nicht – man darf sich halt nicht blind darauf verlassen. Die Auto-Immunisierung von Panda ist jedenfalls nützlich, zum Beispiel eben auf PCs in öffentlichen Räumen. Dass man den Schutz letztlich überwinden kann, wenn man nur will, spricht ja auch bei einer kugelsicheren Weste nicht dagegen, sie zu tragen…

Beiden Tools fehlt übrigens die Möglichkeit, den Schutz über die GUI wieder zu entfernen. Bei Bitdefender muss man mit Kommandozeile und attrib ran, bei Panda gibt es einen Kommandozeilenparameter, zu finden über die Hilfe. Schneller geht: wichtige Dateien vom USB-Stick nehmen, Schnellformatierung.

Noch mehrTools:

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren …

2 Antworten

  1. e-TuT sagt:

    Absolut unnötig in der heutigen Zeit. Früher war das echt noch lustig, kurz einen USB Stick an einen Bekannten übergeben und der konnte sich dann über kleinere Scherze, wie zum Beispiel einen “stündlich herrunterfahrenden Rechner” freuen (natürlich mit Kopie in den Autostart-Ordner, sowie gewisse persistent Registry Einträge). Heutzutage würde sich so ein USB-Spread sowie nicht mehr weit genug verteilen. Zudem verhindern die zahlreichen Antiviren Programme meistens schon die direkte Ausführung von Schadcode via USB-Autostart, da die USB-Spreading-Methode bereits ausreichend von den Malware-Experten analysiert wurde und somit sehr schnell erkannt wird. Dagegen hilft auch ein Verschlüsseln des Programms meistens nicht.

    Seit dem die Sicherheitsmaßnahmen gegen Malware immer extremer werden, haben nur hochwertige, mit Rootkits-arbeitende Programme überhaupt eine Chance, langfristig im System zu bleiben. Doch auch die Kernel-Ebene wird immer weiter geschützt, so dass sich die Benutzer derartiger Schadprogramme etwas neues überlegen müssen.

    • Andreas sagt:

      Bleibt als Fakt, dass immer noch viele Erreger mit dieser Infektionsmethode in der Wildlist auftauchen, also real unterwegs sind. Ich treffe auch immer wieder auf Rechner, die schon seit Jahren keine Updates mehr einspielen, nicht weil es deaktiviert wurde, sondern weil Microsoft mit Temp-Verzeichnissen schludrig umgeht, und der User sich höchstens wundern, wenn bei jedem Herunterfahren ein (und dasselbe) Update eingespielt wird. (O-Ton: “Das macht er schon seit Monaten so.”).