In nicht einem einzigen Fall war die Datenpartition verseucht!
Dem muss ich leider insofern deutlich widersprechen, als dass diese Aussage unter keinen Umständen als Verallgemeinerung aufgefasst werden darf. So sind mir persönlich etliche Fälle bekannt, in denen sich insbesondere Autorun-Schädlinge auf
alle Partitionen aller eingebauten und angeschlossenen Festplatten kopiert haben, sodass für sie sichergestellt war, dass, wann immer auf eine der Datenträger zugegriffen wurde, der Schädling erneut zur Ausführung gelangte.
Dazu gibt es auch etliche "schriftliche" Beispiele:
1.)
http://www.f-secure.com/v-descs/worm_vbs_autorun_b.shtml
The autorun.inf file causes the __.vbs file to be executed when an infected drive is accessed with a computer that has autorun enabled on the drive in question.
The script copies all four files to the root of local hard drives, network drives, and removable drives not labeled A:\ or B:\. The four files are also copied under %windir%\system32.
2.) http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Autorun-BP/detailed-analysis.aspx
W32/Autorun-BP copies itself to the root folder of every available drive with the name music.exe, together with an autorun.inf file. The autorun.inf file is also detected as W32/Autorun-BP.
3.) http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Autorun-EL/detailed-analysis.aspx
When run W32/Autorun-EL copies itself to /sys.vbs and also copies itself to all available drives to the file /sys.vbs and creates an autorun.inf file which will autorun sys.vbs.
4.) http://gsa.ca.com/virusinfo/virus.aspx?id=77675
Win32/SillyAutorun variants propagate by enumerating removable drives and/or physical drives, and copying the worm executable to those available drives. Most variants also drop the file "autorun.inf" in the removable drive with file attributes set to Hidden and Read-Only. This enables the worm to run the next time the drive is accessed.
5.) http://www.eset.eu/encyclopaedia/win32-autorun-delf-cb-virus-delf-ct-generic-dx-hllw-autoruner-1073?lng=en
Spreading
Win32/AutoRun.Delf.CB is a worm that spreads by copying itself into the root folders of available drives
Vergleichbares gilt bei Fileinfektoren und ausführbaren Dateien sowie Ransomware, die Verschlüsselungen von Dateien auch auf anderen Partitionen vornimmt.
6.) Ransomware, http://www.viruslist.com/de/weblog?weblogid=207319345
[...] Es ist fast so, als wenn man die Daten unwiderruflich von der Festplatte gelöscht hätte. [...]
a) http://www.securelist.com/en/blog/6165/Ransomware_GPCode_strikes_back
[...] At this point, the hard drives are being scanned for files to encrypt. [...]
b) http://www.f-secure.com/v-descs/gpcode.shtml
[...] Gpcode is a trojan that encrypts files with certain extensions on local and remote drives and then asks a user to contact its author to buy a decryption solution. [...]
[...] Activity
The trojan starts to scan local and remote drives for files with the following extensions: [...]
7. MBR-Wurm, http://www.eset.eu/press-computer-worldwide-targetted-by-MBR-Worm
[...] It is a type of threat that overwrites MBR (Master Boot Record) of all available drives with its own data, making the data stored on the user’s computer inaccessible. [...]
[...] The worm uses two ways to spread – either via embedding in legitimate websites, in the form of a self-unpacking ZIP file or as an IQ test program, or via Exchangeable media, such as USB devices. The fact that it relies on USB devices to propagate is responsible for its rapid dissemination, which is likely to increase even further. [...]
a) NTFS-Bootsektor-Rootkit, http://www.viruslist.com/de/weblog?weblogid=207319597
In letzter Zeit wird die Modifizierung der Festplattenbereiche, die für das Hochfahren des Systems verantwortlich sind, unter Cyberkriminellen immer beliebter. [...]
[...] # Sie schreibt den entsprechenden Treiber in die freien Sektoren am Anfang der Festplatte.
# Für die Infizierung wählt sie einen Abschnitt aus, der in der Sektorentabelle im MBR als Bootsektor vermerkt ist. Wichtig dabei ist, dass nur Sektoren mit dem Dateisystem NTFS infiziert werden.
# Sie schreibt einen Teil ihres Codes über den Bereich Extended NTFS IPL (Initial Program Loader), der für die Analyse der MFT (Master File Table), die Suche der Boot-Datei im Kernelverzeichnis des Sektors (ntldr — bis Vista, bootmgr — Vista+), das Lesen dieser Datei von der Festplatte und die Übergabe der Steuerung an diese Datei verantwortlich ist. Dabei wird der Originalinhalt von Extended NTFS IPL in verschlüsselter Form gespeichert und ans Ende des schädlichen Codes geschrieben. [...]
8.) Fileinfector, http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99
W32.Sality is an entry-point obscuring (EPO) polymorphic file infector. It will infect executable files on local, removable and remote shared drives. [...]
Letztlich sollten also alle Partitionen aufgelöst bzw der MBR sowie der Bereich des NTFS-Bootsektors gesondert überschrieben werden, um dort persistierende Malware mit Sicherheit zu eliminieren.
Wechseldatenträger bzw. andere Festplatten
dürfen nicht an das infizierte System angeschlossen werden, um zu verhindern, dass ...
a) darauf befindliche Dateien infiziert (ausführbare Dateien durch Fileinfektoren),
b) durch Datenspione ausgelesen,
c) von Ransomware verschlüsselt, sowie
d) Partitionen bzw. Wechseldatenträger mit Autorun-Malware beschrieben oder
e) Startbereiche angeschlossener Festplatten infiziert werden.
Da ich weiß, dass einige User vereinzelt auch ihre Bootplatte ihres Zweitrechners aus- und in den infizierten einbauen, um die zu sichernden Daten vom infizierten System auf die Platte des Zweitsystems zu schieben, habe ich zusätzlich Beispiel 7) a) angeführt.
Das sich Schädlinge außerhalb des Systems aufhalten und von dort aus wirken, scheint mir eher ein theoretisch möglicher, aber kaum praktizierter Zustand zu sein.
Sie "wirken" von dort praktisch durchaus insofern, als dass sie später für Reinfektionen (neu aufgesetzter) oder Neuinfektionen von zuvor noch sauberen, anderen Systemen sorgen.
mmk
jueki
