Update: Der Stick enthält offenbar tatsächlich ein Virus, \"Conficker.Q\", aber etwas ist seltsam daran - es kann sich so, wie es vorliegt, anscheinend nicht weiter verbreiten. Und wie man es loswird, weiß anscheinend keiner - ich habe nix Sinnreiches über diese .Q-Variante finden können, nur über .A bis .C. Uraltes Gelaber meistens. Aber der Reihe nach.


Da ich mehrere Antiviren-Programme auf dem einzigen für solche Tests verfügbaren und mit hoher Wahrscheinlichkeit viren-freien WinXP-Rechner nicht installieren konnte, habe ich stattdessen unter Linux alles Denkbare \"read-only\" gemounted und dann den Stick angeschlossen.

Auf dem Stick fand sich ein seltsames Verzeichnis namens \"RECYCLER\" (ich kenne nur \"Recycled\"), in dem in einem weiteren Verzeichnis eine Datei herumlungerte. Die habe ich dann über\'s Internet zu virustotal.com zur Analyse geschickt.

Es hagelte dann Virenmeldungen. Von den 38 befragten Virus-Erkennungsprogrammen fanden 37 einen Virus. Es handelt sich offenbar um eine Variante des \"Conficker\"-Virus. Komisch ist aber, dass keine Infizierungs-Routine zu sehen ist. Conficker benutzt angeblich beim Befallen über USB-Sticks eine Autorun.inf-Datei auf dem Stick, um das Virus selber zu starten, sobald jemand das USB-Stöckchen in einen Windows-Rechner stopft. Der Stick enthält aber keine Autorun.inf. Es sind nur zwei Daten-Dateien sowie eben dieser Virus drauf.  Seltsam. Ein Virus, das nicht ausgeführt wird, stellt normalerweise kaum eine Gefahr da - also warum fehlt Autorun.inf?

Die zwei Daten-Dateien darauf, eine .TIF- und eine PDF-Datei, kann ich allerdings nicht zum Scannen zu virustotal.com schicken, weil virustotal die Dateien aufbewahrt oder an Anti-Viren-Programm-Hersteller (was für ein geiles bindestrichverseuchtes Wort!  ) weiterleitet, und das darf ich mit dem Inhalt dieser Dateien nicht erlauben.

Also müsste ich selber \'rausfinden, wie Conficker arbeitet und ob es eine Chance gibt, dass Conficker sich in den beiden Daten-Dateien breitgemacht hat. Dummerweise sind die mir unterkommenden Conficker-Erklärungen meistens ein Jahr alt und kümmern sich fast nur um zwei Dinge, nämlich die Erkennung und Beseitigung einer bereits erfolgten Infektion (ohne viel Erklärung, veraltet und nicht allzu zuverlässig) sowie die Funktionsweise der Infektion über Autorun.inf. Das nützt mir beides relativ wenig.

Bis jetzt bin ich auch nicht auf irgendeine Internet-Seite neueren Datums gestoßen, die mal Genaueres über Conficker und seine \"Arbeitsweise\" erwähnt hätte. Nur ab und zu wird mal gesagt, dass Conficker vermutlich den Rechner übernehmen und jemandem aus dem Internet als \"Zombie\" zur Verfügung stellen soll. Auch der Wikipedia-Eintrag zu Conficker enthält kaum etwas, was mir konkret sagt, was Conficker infektions-technisch tut. Dazu ist das Gerede dort z.T. auch viel zu allgemein (was z.B. ist eine \"gesicherte Ordnerfreigabe\"?).

Tja. Ich werde wohl irgendwie eine Möglichkeit finden müssen, unsere Rechner mit einem funktionierenden und installierbaren Virensuchprogramm zu konfrontieren, welches den Virus auch findet. Die den Virus enthaltende Datei führt sich ja nicht von alleine aus, die kann ich dann ja auf den Festplatten ablegen. Findet das Programm dort nichts, ist es schon mal nix wert. Ansonsten findet es hoffentlich andere Conficker-Varianten.

Es weiß natürlich auch keiner, wann denn der Stick infiziert worden sein könnte. Die seltsamen Verzeichnisse haben jedenfalls ein Datum vom März, die Viren-Datei selber stammt angeblich vom 4. April 2004 (04.04.04 - schon verdächtig...). Das wird noch ein Spaß mit der Desinfektion... 


Ich glaub\', ich tret\' einfach alle Rechner und alle USB-Sticks hier im Haus kaputt, und wiederhole das jedes Mal, wenn auch nur einer \"Virus\" sagt. Das hat ja echt keinen Zweck mehr so! 


Wenn jemand anders noch eine gute Idee hat - immer her damit.