Business-IT

Gefährliche USB-Tools

von - 14.07.2010
Gefährliche USB-Tools
Zwei Tools haben sich auf USB-Spionage spezialisiert: USB Dumper klaut heimlich Daten von USB-Sticks. USB Switchblade kopiert umgekehrt Daten vom Computer auf den Stick — und installiert Trojaner.
USB Dumper
USB-Dumper lauert auf einem Rechner unsichtbar im Hintergrund und klaut Daten von fremden USB-Sticks.

Das Open-Source-Programm USB Dumper läuft unter Windows XP, Vista und 7. Die Installation ist denkbar einfach. Das RAR-Archiv muss zuerst entpackt werden. Im Unterverzeichnis „bin“ befindet sich die Datei „USBDumper.exe“. Sie wird per Doppelklick gestartet. USB Dumper wird aktiv, sobald jemand einen USB-Stick an den Rechner anschließt. Das Programm kopiert alle Daten, die auf dem Stick gespeichert sind, auf den Rechner. Das funktioniert übrigens mit jedem USB-Gerät, also auch mit einer USB-Festplatte oder einer Speicherkarte in einem USB-Kartenleser.
Der Besitzer des USB-Geräts bekommt von der ganzen Aktion in der Regel nichts mit, denn sie verläuft unbemerkt im Hintergrund. Außer es handelt sich um große Datenmengen: Dann bremst der Kopiervorgang das System aus. Die Daten speichert USB Dumper in einem Unterordner seines Programmverzeichnisses. Gefiltert werden die Dateien nicht: Alles was sich auf dem USB-Stick befindet, landet als Kopie im Unterordner. Das können zum Beispiel Fotos, Briefe oder Gehaltslisten sein.
Der Kopiervorgang lässt sich nicht auf bestimmte Geräte beschränken. Wenn ein Nutzer das Tool beispielsweise als Backup-Lösung für seinen Stick verwendet, erhält er automatisch auch Kopien der Daten jedes anderen USB-Geräts, das mit dem Rechner verbunden wird.

So schützen Sie sich
Verschlüsseln Sie Ihr USB-Gerät. Einfach und sicher erledigt das Truecrypt 6.3a. USB Dumper kann die Daten dann zwar noch immer vom USB-Gerät herunterkopieren, die verschlüsselten Daten sind aber nicht lesbar.
Falls USB Dumper mit Hilfe eines Trojaners auf Ihren PC gelangt ist, dann wird es in der Regel von allen gängigen Antivirus-Programmen erkannt und entfernt.


USB Switchblade
USB Switchblade versteckt sich auf USB-Sticks und klaut Seriennummern und andere Daten von fremden Rechnern.

USB Switchblade 1.2 nistet sich auf einem USB-Stick, einer USB-Festplatte oder einem iPod ein. Sobald das USB-Gerät mit dem Rechner verbunden wird, fügt es dem Autoplay-Dialogfenster einen neuen Eintrag hinzu. Dieser Eintrag ähnelt in der Gestaltung einem immer vorhandenen Eintrag, nämlich „Ordner öffnen, um Dateien anzuzeigen“. Statt jedoch den Windows-Explorer zu starten, wird USB Switchblade geladen.
Wenn der USB-Stick U3 unterstützt, startet USB Switchblade sogar automatisch ohne Umweg über den Autoplay-Dialog.
Zur Installation muss das Programmarchiv von USB Switchblade im Wurzelverzeichnis des USB-Gerätes entpackt werden. Um USB Switchblade zu starten muss dann die Datei „go.exe“ aufgerufen oder das USB-Gerät neu an einen Rechner angeschlossen werden.
USB Switchblade durchsucht das System nach interessanten Informationen, etwa Zugangsdaten für Internetprovider oder E-Mail-Dienste. Außerdem sucht es nach Seriennummern von Windows, Office, Photoshop und anderen teuren Programmen.
Zudem speichert USB Switchblade die IP-Adresse, mit der sich der Rechner im Internet bewegt. Denn das Tool richtet unter Umständen einen versteckten Administratorzugang für den Rechner ein. Anhand der IP-Adresse können unbefugte Personen sich dann von außen Vollzugriff auf den PC verschaffen.

So schützen Sie sich
Wenn Ihr USB-Stick U3-fähig ist, dann löschen Sie die U3-Funktion. So kann USB Switchblade nicht unbemerkt automatisch starten, wenn Sie den Stick an einen beliebigen Rechner anschließen. Laden Sie dazu das Tool U3 Launchpad Re­moval he­runter. Schließen Sie den U3-Stick an den Rechner an. Starten Sie U3 Launchpad Removal und folgen Sie den Anweisungen des Assistenten.
Um Ihren PC vor USB Switchblade zu schützen, deaktivieren Sie die Autoplay-Funktion: Drücken Sie [Windows R], geben Sie regedit ein und klicken Sie auf „OK“. Wählen Sie den Zweig „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping“.
Klicken Sie auf „Bearbeiten, Neu, Schlüssel“ und geben Sie als Bezeichnung Autorun.inf ein. Wählen Sie den neuen Schlüssel aus. Klicken Sie rechts doppelt auf „(Standard)“. Geben Sie dann in das Feld „Wert“ den Befehl @SYS:DoesNotExist ein und bestätigen Sie die Änderungen mit „OK“.
Verwandte Themen