Viren und Würmer aus Photodruckern...
Die unterschätzte Gefahr!

ACHTUNG...!!!!

Dieser Artikel entspricht meinem Kenntnisstand
vom
Januar 2010 und beruht auf eigenen Erfahrungen sowie Informationen verschiedener PC Fachforen und Securityseiten.
Für Rechtsnachteile die Dritten aus der Verwendung dieser Infos entstehen wird nicht gehaftet!

 

Bitte lesen Sie hierzu auch meinen DISCLAIMER !!!!!


Sie wollen nur mal kurz im Kaufhaus nebenan ein Bildchen direkt von der SD-Karte Ihrer Digitalkamera oder Ihrem USB-Stick ausdrucken?
Dann überlegen Sie sich das lieber zweimal.....
Seit neuestem können Sie sich auch auf diese Art jede Menge an unsichtbarer Malware einfangen.
Offensichtlich verfügen herkömmliche Photodrucker zum Selbstausdrucken oder auch zur Auftragserstellung (mittels im Drucker gebrannter CD/DVD)
bislang noch über
keinerlei Virenschutz. Das heißt, jeder Kunde kann somit unwissentlich oder auch vorsätzlich zum Überträger von Malware werden,
indem er einen (infizierten) mobilen Datenträger in den SD/MMC/USB-Slot oder das optische Laufwerk eines herkömmlichen Photodruckers einführt.
Die Malware wird dann zunächst auf das Betriebssystem des Druckers (Meist Windowsplatform) übertragen
und installiert sich später selbstständig auf dem mobilen Datenträger des nächsten Kunden.

Es gibt einige Würmer, Trojaner und andere Schadprogramme,
die sich bevorzugt über diese mobilen Datenträger wie SD, MMC und andere Speicherkarten
sowie den beliebten USB-Sticks verbreiten.
Das funktioniert dann z.B. wie folgt:

Sie stecken Ihren mobilen, wiederbeschreibbaren Datenträger nach Aufforderung des Fotodruckers in den entsprechenden Slot.
Dann durchforstet ein Browserprogramm im Drucker den gesamten Datenträger nach verfügbaren Bilddateien und listet diese mittels kleiner Vorschaupics auf dem Bildschirm auf, damit Sie die entsprechenden Bilder zum Ausdrucken oder Bearbeiten markieren können.
Nachdem Sie die finale Auswahl getroffen und den Druckauftrag erteilt haben, beginnt mit dem Ausdruck der Bilder oder dem Brennen
eines optischen Datenträgers zum Verschicken ins Labor die Bearbeitung Ihres Auftrages.
Diese sollte dann eigentlich spätestens nach Entnahme des Speichermediums und des Rechnungsabschnittes
abgeschlossen sein und vor allem
ohne weitere Folgen für Ihr Wechselmedium bleiben....So ist es aber leider nicht immer!

Schon während des ersten Lesevorganges von Ihrem Medium können nämlich umgekehrt auch klammheimlich Dateien und Ordner auf dieses kopiert werden,
die in der Regel dann allerdings nicht viel Gutes erahnen lassen. Normalerweise sind diese Daten auch noch mit Schreibschutz
und dem Attribut "Versteckt" versehen, so dass Sie weder im Photodrucker selbst, noch beim späteren Öffnen des Medium mit einem PC sichtbar werden.
Lediglich bei vorher aktivierter Option "
Alle Dateien anzeigen" aus den Ordneroptionen der Systemsteuerung (Siehe Grafik) ,

erkennt man dann plötzlich eine Datei "Autorun.inf", sowie einen Ordner mit der Bezeichnung "Recycler",
in welchem sich eine "
Lcass.exe " oder "lcass.exe" befindet, die von jedem vernünftigen Antivirenprogramm
sofort als
Win32/ W32-Wurm erkannt werden sollte.

Dies ist ein Wurm für die Windowsplatform, welcher sich bevorzugt über Wechselmedien verbreitet.


Weitere Analysen der (gezippten) Lsass.exe durch den
Online-Virenscanner
VirusTotal erbrachten folgendes Ergebnis:

Datei: Lcass.exe.zip empfangen 2010.01.07 10:29:28 (UTC)
Status: Beendet
Ergebnis: 37/41 (90.24%)

Antivirus Version letzte Aktualisierung Ergebnis
a-squared 4.5.0.48 2010.01.07 -
AhnLab-V3 5.0.0.2 2010.01.07 Win32/Xema.worm.212992.B
AntiVir 7.9.1.122 2009.12.31 Worm/VB.GD.23
Antiy-AVL 2.0.3.7 2010.01.06 Trojan/Win32.Agent
Authentium 5.2.0.5 2010.01.07 IS/Autorun
Avast 4.8.1351.0 2010.01.06 VBS:Malware-gen
AVG 8.5.0.430 2010.01.04 Worm/VB.BJC
BitDefender 7.2 2010.01.07 Trojan.AutorunINF.Gen
CAT-QuickHeal 10.00 2010.01.07 Worm.VB.gd
ClamAV 0.94.1 2010.01.07 Trojan.Win32.VB
Comodo 3490 2010.01.06 Worm.Win32.AutoRun.bib
DrWeb 5.0.1.12222 2010.01.07 Win32.HLLW.Autoruner.1814
eSafe 7.0.17.0 2010.01.06 -
eTrust-Vet 35.2.7221 2010.01.07 INF/Caslex.E
F-Prot 4.5.1.85 2010.01.06 IS/Autorun
F-Secure 9.0.15370.0 2010.01.07 Trojan.AutorunINF.Gen
Fortinet 4.0.14.0 2010.01.07 W32/SILLYFDC.AK!worm
GData 19 2010.01.07 Trojan.AutorunINF.Gen
Ikarus T3.1.1.79.0 2010.01.07 Worm.Win32.AutoRun
Jiangmin 13.0.900 2010.01.07 Worm/VB.al
K7AntiVirus 7.10.940 2010.01.06 Worm.Win32.VB
Kaspersky 7.0.0.125 2010.01.07 Worm.Win32.AutoRun.bib
McAfee 5853 2010.01.06 Generic!atr
McAfee+Artemis 5853 2010.01.06 Generic!atr
McAfee-GW-Edition 6.8.5 2010.01.07 Worm.VB.GD.23
Microsoft 1.5302 2010.01.07 Worm:Win32/Xema.gen!B
NOD32 4749 2010.01.06 INF/Autorun.gen
Norman 6.04.03 2010.01.06 W32/VBWorm.OVU
nProtect 2009.1.8.0 2010.01.07 -
Panda 10.0.2.2 2010.01.06 Bck/VB.WE
PCTools 7.0.3.5 2010.01.07 Trojan.Autorun!ct
Prevx 3.0 2010.01.07 -
Rising 22.29.03.04 2010.01.07 Trojan.Win32.VB.yyr
Sophos 4.49.0 2010.01.07 Mal/AutoInf-A
Sunbelt 3.2.1858.2 2010.01.07 INF.Autorun (v)
Symantec 20091.2.0.41 2010.01.07 Backdoor.Trojan
TheHacker 6.5.0.3.138 2010.01.07 Trojan/Small.autorun
TrendMicro 9.120.0.1004 2010.01.07 Mal_Otorun1
VBA32 3.12.12.1 2010.01.06 Worm.Win32.AutoRun.bib
ViRobot 2010.1.7.2126 2010.01.07 Worm.Win32.VB.212992.F
VirusBuster 5.0.21.0 2010.01.06 Worm.VB.FQG

Weitere Informationen:
File size: 87540 bytes
MD5   : 1d2b38102a634d3b3a8df54ee17367c4
SHA1  : c487522ede935be327701cdfc5ff46c6f1d6f4d0
SHA256: e11607f39de8a567a7838fc4c57f853e544fd1c5140a91d8e70183e3102900ed
TrID  : File type identification
ZIP compressed archive (100.0%)
ssdeep: 1536:aRUZ66BqkbTGnrpakmjQdqnhM8nc+0UgQtrVISyBqUXYjumTbW7ya9:6467ktDjokhMsSCtrVISyBfjmTbW7l9
PEiD  : -
RDS   : NSRL Reference Data Set

ACHTUNG!

Durch die
Autorun.inf kann theoretisch sogar das eine oder andere Antivirenprogramm ohne Bootwächter ausgetrickst werden,
wenn der Datenträger sich schon vor dem Booten Ihres PCs im Slot befindet und das Schadprogramm
durch die
Autorun.inf dann evtl. noch vor dem Antivirentool startet.
Das Gleiche gilt natürlich auch für eine im Photodrucker gebrannte, infizierte CD/DVD, so dass auch mit diesem optischen Medium
weitere, ungeschützte Systeme schon während des Bootvorganges infiziert werden können.
Photodrucker infizieren sich in der Regel durch ihren Datenbrauser beim Suchen nach Bilddateien.
Der Inhalt der der
Autorun.inf ist folgender:

 

[autorun]
open=.\RECYCLER\Lcass.exe
shell\1=??
shell\1\Command=.\RECYCLER\Lcass.exe
shell\2\=??
shell\2\Command=.\RECYCLER\Lcass.exe
shellexecute=.\RECYCLER\Lcass.exe


Startet man den Wurm, oder startet sich der Wurm beim Einstecken in den Karten- oder USB-Slot eines Rechners durch die
Autorun.inf von selbst,
kopiert er sich nach
<System>\Lcass.exe. Ausserdem erfolgt ein Eintrag in die Registry des PCs unter

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Lcass<System>\Lcass.exe

Danach wird auf jedem weiteren, nachträglich am infizierten PC angeschlossenen Wechselmedium automatisch auch ein neuer Ordner "Recycler"
sowie eine neue "
Autorun.inf" erstellt, so dass der Wurm sich fortan auch über dieses Medium verbreiten kann,
sobald es mit einem anderen, ungeschützten PC oder Photodrucker verbunden wird.

ACHTUNG!
lcass.exe befindet sich bei einer Infektion auch manchmal im Ordner C:\Windows\System32
und
ersetzt dort die (reguläre) WinXP- Datei "lsass.exe", einem lokalen Sicherheitsdienst von Windows!
Sie sollte sich, wenn
keine Infektion vorliegt, mit richtigem Namen lsass.exe ausschließlich
im Ordner
C:\Windows\System32 befinden und von dort aus
die Gültigkeit der Benutzeranmeldungen und Zugriffsrechte für Ihren PC überprüfen.

Falls Sie nicht als Administrator angemeldet sind, sorgt diese reguläre
lsass.exe z.B. dafür,
dass Sie nur auf bestimmte Dateien Zugriff haben.
Auch die Anmeldung mit einem falschen Usernamen wird von der
lsass.exe registriert
und der Zugriff auf das Betriebssystem verhindert.
Sollte diese Datei sich jedoch an
einer anderen Stelle befinden, handelt es sich mit hoher Sicherheit
um einen Virus, Spyware, Trojaner oder Wurm!

Bekannte Dateigrößen der Malware lcass.exe unter Windows XP sind
308810 bytes (50% aller Vorkommen),
sowie
1613824 bytes, 183808 bytes, 194126 bytes.

Diese Datei wird vom Betriebssystem Windows nicht benötigt.
Es gibt zu diesem Programm keine genaue Beschreibung.
Das Programm ist nicht sichtbar.
Sie ist keine Systemdatei, befindet sich aber dennoch im Windows Order.
Während des Windows Bootvorgangs wird dieser Prozess aktiviert.


Siehe dazu auch Registry Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices.


lcass.exe kann Eingaben wie Passwörter und Texte aufzeichnen (Keylogger),
sich verstecken, sich auf Wechselmedien und andere Laufwerke kopieren,
selbständig Programme überwachen, und an bestimmten Ports lauschen,
um dann alle auspionierten Daten über andere Ports ins LAN oder Internet zu senden!

Mehr darüber finden Sie hier:

http://frankn.com/html/lsass_exe.html

Es soll zudem auch spezielle Versionen geben, die u.a. zeitgesteuert weitere Malware wie Backdoors
und Remote Control Programme nachladen, etwa um den infizierten Rechner unbemerkt in ein Botnetz einzuloggen.


Offiziell gibt es mindestens zwei Versionen der Lcass.exe welche (möglicherweise?) ganz regulär
als
"harmlose" USB-Browser für die Durchsuchung der Wechselmedien in Photodruckern installiert sind.
Diese unterscheiden sich dann aber von o.g. Malwareversionen vor allem dadurch,
dass sie lediglich
Lesezugriffe vornehmen und niemals Daten auf die angeschlossenen Wechselmedien schreiben.

Mehr darüber finden Sie hier:

  1. Lcass.exe - Usb Brower - process checker download and scan for free
    Author:
    Usb Brower. Production:
    Microsoft.
    Version: 1.00.0032. File Size: 231424byte.
    Discovered: 2008-12-8
    MD5: 990E6D3240D0A5CC38C4F007855324CF
    ...
    process.dll-free-download.org/l/lcass.exe-usb-brower.html

  2. Lcass.exe - Miorosoft - process checker download and scan for free
    Author:
    Usb BrowerProduction: Production:
    Miorosoft.
    Version: 1.00.0185. File Size:183808byte.
    Discovered: 2009 -1-4
    MD5: 2AF2A8B5FCDBE71233E2FBA42A36F2BB
    ...
    process.dll-free-download.org/l/lcass.exe-miorosoft.html

Siehe dazu auch meinen Newsletter:

  1. USB-Tastatur-Emulator hackt PC (20. Januar 2011)

 


Mein TIPP:

Das geschilderte Problem lässt sich eigentlich ganz leicht vermeiden, wenn Sie ein paar einfache Regeln beachten!

1.
Grundsätzlich
nur Wechselmedien mit einem physikalischen Schreibschutz (Lock-Schalter) verwenden,
oder die auszudruckenden Bilder vorher von Speicherkarte auf ein
nicht wiederbeschreibbares optisches Medium (CD/DVD) kopieren, welches der Photorucker dann auch nur lesen kann.

2.
In jedem Falle
ungeeignet, weil vom Photodrucker grundsätzlich beschreibbar,
sind USB-Sticks
ohne oder mit einem reinen Softwareschreibschutz.
Dieser kann als Windows-Dateiattribut vom Schadprogramm jederzeit aufgehoben und somit unbemerkt umgangen werden.

3.
Benutzen Sie eine durch den Photodrucker erstellte CD/DVD
ausschließlich nur zum Versand an das zuständige Vertragslabor!
Versenden Sie diese
auf keinen Fall an Dritte oder ein Fremdlabor!
Sie könnten ansonsten für entstehende Schäden durch möglicherweise auf dem Medium vorhandene Malware
juristisch haftbar gemacht werden (Hohe Schadensersatzansprüche denkbar!).

4.
Legen Sie solche Datenträger auch niemals selber in ihr eigenes oder ein fremdes PC-System ein!



DER TECHNODOCTOR


  Ärgernisse   Newsletter   Startseite