BestPractice autorun.inf

October 28, 2021

Grüß Euch,

Wir verwenden KSC13 und KES11.6. KSN ist deaktiviert.

Wenn jemand einen USB-Stick mit einer darauf befindlichen autorun.inf einsteckt, erhalten wir eine Infektionsmeldung mit dem Objekt “Trojan.Win32.AutoRun.gen” und der Meldung “Die Desinfektion ist nicht möglich”.

Windowsseitig ist der Autostart global deaktiviert.

Wie und wo lässt sich denn die Ausnahme für dafür definieren?
Oder gibt es bessere/sicherere Ansätze, um diese Meldung prezisieren oder zu unterbinden?

Vielen Dank im Voraus.

Beste Grüße

Stefan

October 28, 2021

Hallo Stefan,

zuerst: Ich würde dringend dazu raten KSN zu aktivieren!!!

Reputationsinformationen in Echtzeit.
Weniger Last auf den Systemen, da eine Musterprüfung bei erfolgreicher Reputationsprüfung nicht mehr erforderlich ist.

Falls du strenge Anforderungen an den Datenschutz hast: Deaktiviere den “Erweiterten KSN-Modus” in der Richtlinie (im Screenshot ist es aktiviert) - damit reduzierst du KSN auf die Abfrage der Datenbank, es werden keine Dateien an das KSN übermittelt.

Falls dir das auch noch zu viel ist: Es gibt KSN auch als On-Prem-Variante - KPSN (muss lizenziert werden)
https://www.kaspersky.de/enterprise-security/private-security-network

Jetzt zu deiner Frage: Wenn Kaspersky bei der autorun.inf anschlägt wird das wohl seinen Grund haben.
Die ersten Fragen, die ich mir stellen würde:

Ist die autorun.inf erforderlich bzw. wo kommt die her?
Was macht die autorun.inf (lässt sich mit einem Editor öffnen).

Falls nicht erforderlich: autorun.inf löschen und Problem ist erledigt.

Mit einer Ausnahme wäre ich extrem vorsichtig, da doch viele Angriffe über diesen Weg agieren.

Grüße
Alex

October 29, 2021

Grüß Dich Alex,

danke für Deine Antwort.
Und danke für die Schilderung mit KSN, wir haben das dann jetzt mal so aktiviert.

Das Problem mit der autorun.inf ist, dass sie offenbar grundsätzlich gemeldet wird, ungeachtet dessen, ob die Anwendung, die gestartet werden soll da/nicht da ist, ob sie vertrauenswürdig ist oder nicht, es wird halt pauschal blockiert ohne Prüfung des Ziels inder autorun.inf

Gibt es denn die Möglichkeit die autorun.inf automatisch bei Fund zu löschen?
An sich kann die autorun.inf gerne weg, da hänge ich nicht unbedingt dran.

Lieben Dank und beste Grüße
Stefan

October 29, 2021

Kaspersky meckert die autorun.inf nicht generell an - nur wenn es Hinweise auf Schadcode findet bzw. zu erkennen meint.
Von daher sollte man diese Events schon ernst nehmen.

Frage ist ja nach wie vor: Wo kommen diese autorun.inf-Dateien her?
Vielleicht von infizierten privaten Rechnern oder anderen Systemen, wo die USB-Sticks ebenfalls eingesteckt werden?

Wäre vielleicht auch mal ein Anlass über Gerätekotrolle nachzudenken.

Grüße
Alex

November 2, 2021

Kaspersky meckert die autorun.inf nicht generell an - nur wenn es Hinweise auf Schadcode findet bzw. zu erkennen meint.

Das hatte ich versucht zu emulieren, indem ich eine autorun.inf erstellt hatte und die notepad.exe mit eingestellt hatte. Das Ganze wurde dann auch gemeldet. Insofern bin ich davon ausgegangen, dass jede autorun.inf gemeldet wird, die zumindest ein Programm ausführen will.

Frage ist ja nach wie vor: Wo kommen diese autorun.inf-Dateien her?
Vielleicht von infizierten privaten Rechnern oder anderen Systemen, wo die USB-Sticks ebenfalls eingesteckt werden?

Da bin ich noch auf der Suche. In der Tat sind die gemeldeten Fälle aber tatsächlich verseucht.

Die Gerätekontrolle ist bei uns tatsächlich nur schwerlich bis gar nicht umzusetzen.

Gut dann, werden wir in jedem Fall erst mal sauber machen müssen.
Vielen Dank für Deine Unterstützung.

Beste Grüße
Stefan

BestPractice autorun.inf

Recommended Posts

IT SPINNER

alexcad

IT SPINNER

alexcad

IT SPINNER

Forum

Products

Support

Personal Account