Pagina principala » HOWTO » Cum malware-ul AutoRun a devenit o problemă în Windows și cum a fost (în cea mai mare parte) fixată

    Cum malware-ul AutoRun a devenit o problemă în Windows și cum a fost (în cea mai mare parte) fixată

    Datorită deciziilor de proiectare proaste, AutoRun a fost odată o mare problemă de securitate pe Windows. AutoRun a permis cu ușurință să se lanseze software rău intenționat de îndată ce ați introdus discuri și unități USB în computer.

    Acest defect nu a fost exploatat doar de autorii malware. A fost folosită de Sony BMG pentru a ascunde un rootkit pe CD-uri de muzică. Windows ar rula și instala automat rootkit atunci când ați introdus un computer audio rău intenționat Sony în computer.

    Originea AutoRun

    AutoRun a fost o caracteristică introdusă în Windows 95. Când ați introdus un disc software în computer, Windows va citi în mod automat discul și - dacă ar fi găsit un fișier autorun.inf în directorul rădăcină al discului - va lansa automat programul specificate în fișierul autorun.inf.

    De aceea, când ați introdus un CD cu software sau un joc pe computer în calculator, a lansat automat un program de instalare sau un ecran cu opțiuni. Caracteristica a fost concepută pentru a face astfel de discuri ușor de utilizat, reducând confuzia utilizatorului. Dacă nu există AutoRun, utilizatorii ar trebui să deschidă fereastra browserului de fișiere, să navigheze pe disc și să lanseze un fișier setup.exe de acolo.

    Acest lucru a funcționat destul de bine pentru o vreme și nu au existat probleme mari. La urma urmei, utilizatorii de acasă nu au avut o modalitate ușoară de a-și produce propriile CD-uri înainte ca arzătoarele CD-uri să fie foarte răspândite. Chiar v-ați întâlnit cu discuri comerciale și au fost, în general, de încredere.

    Dar chiar și înapoi în Windows 95 atunci când a fost introdus AutoRun, nu a fost activat pentru dischete. La urma urmei, oricine ar putea plasa fișierele pe care le doreau pe o dischetă. AutoRun pentru dischete ar permite ca malware-ul să se răspândească de la dischetă la computer la dischetă la calculator.

    AutoPlay în Windows XP

    Windows XP a îmbunătățit această funcție printr-o funcție "AutoPlay". Când ați introdus un disc, o unitate flash USB sau alt tip de dispozitiv media amovibil, Windows va examina conținutul său și vă va sugera acțiuni. De exemplu, dacă introduceți o cartelă SD care conține fotografii de la camera digitală, vă recomandăm să faceți ceva potrivit pentru fișierele imagine. Dacă o unitate are un fișier autorun.inf, veți vedea o opțiune care vă întreabă dacă doriți să rulați automat un program de pe unitate.

    Totuși, Microsoft dorea ca CD-urile să funcționeze la fel. Deci, în Windows XP, CD-urile și DVD-urile vor rula în continuare în mod automat programe pe ele dacă ar avea un fișier autorun.inf sau ar începe să-și redea automat muzica dacă erau CD-uri audio. Și, din cauza arhitecturii de securitate a Windows XP, aceste programe ar fi probabil lansate cu accesul Administrator. Cu alte cuvinte, ei ar avea acces deplin la sistemul tău.

    Cu unități USB care conțin fișiere autorun.inf, programul nu va fi rulat automat, dar vă va prezenta opțiunea într-o fereastră de redare automată.

    Încă puteți dezactiva acest comportament. Au existat opțiuni îngropate în sistemul de operare însuși, în registru, și editorul de politică de grup. De asemenea, puteți țineți apăsată tasta Shift când ați introdus un disc, iar Windows nu va efectua comportamentul AutoRun.

    Unele unități USB pot emula CD-uri și chiar CD-urile nu sunt sigure

    Această protecție a început să se descompună imediat. SanDisk și M-Systems au văzut comportamentul CD-ului AutoRun și au vrut-o pentru propriile unități flash USB, astfel că au creat unități flash U3. Aceste unități flash emulate o unitate CD atunci când le conectați la un computer, astfel încât un sistem Windows XP va lansa automat programe pe ele atunci când sunt conectate.

    Desigur, chiar CD-urile nu sunt sigure. Atacatorii ar putea să ardă cu ușurință o unitate CD sau DVD sau să utilizeze o unitate reinscriptibilă. Ideea că CD-urile sunt oarecum mai sigure decât unitățile USB este greșită.

    Dezastrul 1: Sony BMG Rootkit Fiasco

    În 2005, Sony BMG a început să livreze rootkituri Windows pe milioane de CD-uri audio. Când ați introdus CD-ul audio în computer, Windows va citi fișierul autorun.inf și va rula automat instalatorul de rootkit, care a infectat computerul în fundal. Scopul acestui lucru a fost să vă împiedicați să copiați discul muzical sau să-l rupeți pe computer. Deoarece aceste funcții sunt în mod normal acceptate, rootkit-ul a trebuit să submineze întregul sistem de operare pentru a le suprima.

    Acest lucru a fost posibil datorită AutoRun. Unii oameni au recomandat să țineți Shift ori de câte ori ați introdus un CD audio în computer și alții s-au întrebat dacă păstrarea Shift pentru a suprima instalarea rootkit-ului ar fi considerată o încălcare a interdicțiilor anti-eludare ale DMCA împotriva ocolului de protecție împotriva copierii.

    Alții au redactat istoria ei lungă și răutăcioasă. Să spunem că rootkit-ul este instabil, malware-ul a profitat de rootkit pentru a infecta mai ușor sistemele Windows, iar Sony a obținut un ochi negru uriaș și bine meritat în arena publică.

    Dezastrul 2: viermele Conficker și alte malware

    Conficker a fost un vierme deosebit de urât detectat pentru prima dată în 2008. Printre altele, acesta a infectat dispozitive USB conectate și a creat fișiere autorun.inf pe ele care ar rula automat malware atunci când au fost conectate la alt computer. Ca companie antivirus ESET a scris:

    "Dispozitivele USB și alte suporturi amovibile, accesate de funcțiile Autorun / Autoplay de fiecare dată (în mod prestabilit) le conectezi la computer, sunt cei mai frecvent utilizați operatori de virusi în aceste zile".

    Conficker a fost cel mai bine cunoscut, dar nu a fost singurul malware care abuza de funcționalitatea periculoasă a AutoRun. AutoRun ca o caracteristică este practic un cadou pentru autorii malware.

    Windows Vista Dezactivat AutoRun Implicit, dar ...

    În cele din urmă, Microsoft a recomandat utilizatorilor Windows să dezactiveze funcționalitatea AutoRun. Windows Vista a făcut câteva schimbări bune pe care le-au moștenit toate sistemele Windows 7, 8 și 8,1.

    În loc să ruleze automat programe de pe CD-uri, DVD-uri și unități USB masquerading ca discuri, Windows arată pur și simplu dialogul AutoPlay pentru aceste unități. Dacă un disc sau o unitate conectat are un program, îl veți vedea ca opțiune în listă. Windows Vista și versiunile ulterioare de Windows nu vor rula automat programe fără a vă întreba - va trebui să faceți clic pe opțiunea "Run [program] .exe" din dialogul AutoPlay pentru a rula programul și a te infecta.

    Însă ar fi posibil ca malware-ul să se răspândească prin AutoPlay. Dacă conectați o unitate USB dăunătoare la computer, sunteți încă la doar un clic de la difuzarea malware-ului prin dialogul AutoPlay - cel puțin cu setările implicite. Alte funcții de securitate precum UAC și programul antivirus vă pot ajuta să vă protejați, dar ar trebui să fiți în continuare atenți.

    Și, din nefericire, acum avem o amenințare de securitate chiar mai înspăimântătoare de la dispozitivele USB care trebuie să fie conștiente.


    Dacă doriți, puteți dezactiva în întregime funcția de redare automată - sau doar pentru anumite tipuri de unități - astfel încât să nu primiți un pop-up AutoPlay atunci când inserați suporturi amovibile în computer. Veți găsi aceste opțiuni în Panoul de control. Efectuați o căutare pentru "autoplay" în caseta de căutare a panoului de control pentru a le găsi.

    Credit de imagine: aussiegal pe Flickr, m01229 pe Flickr, Lordcolus pe Flickr