Начална » как да » Как AutoRun Malware стана проблем в Windows, и как е (предимно) Fixed

    Как AutoRun Malware стана проблем в Windows, и как е (предимно) Fixed

    Благодарение на лошите дизайнерски решения, AutoRun някога е бил огромен проблем за сигурността на Windows. AutoRun помага на зловредния софтуер да стартира веднага след като вкарате дискове и USB устройства в компютъра.

    Този недостатък не е бил използван само от автори на зловреден софтуер. Известно е, че Sony BMG използва скрит корен за музикални дискове. Windows ще стартира автоматично и ще инсталира корена, когато вкарате в компютъра злонамерен аудио компактдиск на Sony.

    Произходът на AutoRun

    AutoRun е функция, въведена в Windows 95. Когато поставите диск със софтуер в компютъра си, Windows автоматично ще прочете диска и - ако файлът autorun.inf е намерен в главната директория на диска - автоматично ще стартира програмата посочен в файла autorun.inf.

    Ето защо, когато вкарате в компютъра си компактдиск със софтуерен диск или компютърна игра, той автоматично стартира инсталатора или началния екран с опции. Функцията е създадена, за да направи тези дискове лесни за използване, което намалява объркването на потребителите. Ако AutoRun не съществува, потребителите ще трябва да отворят прозореца на файловия браузър, да се придвижат до диска и да задействат оттук файл setup.exe..

    Това работи доста добре за известно време и нямаше големи проблеми. В края на краищата, домашните потребители не са имали лесен начин да произвеждат свои собствени компактдискове, преди CD записвачите да са били широко разпространени. Наистина бихте попаднали само на търговски дискове и те като цяло са надеждни.

    Но дори и в Windows 95, когато беше представен AutoRun, той не беше активиран за дискети. В крайна сметка, всеки може да постави каквито и да било файлове, които искат, на дискета. AutoRun за дискети ще позволи на зловреден софтуер да се разпространи от дискета към компютър до дискета към компютър.

    Автоматично възпроизвеждане в Windows XP

    Windows XP подобри тази функция с функция "AutoPlay". Когато поставите диск, USB флаш устройство или друг вид сменяемо устройство, Windows ще прегледа съдържанието му и ще ви предложи действия. Например, ако поставите SD карта, съдържаща снимки от вашия цифров фотоапарат, тя ще ви препоръча да направите нещо подходящо за файлове с изображения. Ако устройството има файл autorun.inf, ще видите опция, която пита дали искате да стартирате автоматично програмата от устройството,.

    Въпреки това Microsoft все още искаше компактдисковете да работят по същия начин. Така че, в Windows XP, CD-та и DVD-тата ще продължат автоматично да изпълняват програми на тях, ако имат файл autorun.inf, или автоматично ще започнат да изпълняват музиката си, ако са аудио компактдискове. И поради архитектурата на сигурността на Windows XP, тези програми вероятно ще стартират с достъп на администратор. С други думи, те ще имат пълен достъп до вашата система.

    С USB устройства, съдържащи файлове на autorun.inf, програмата няма да се стартира автоматично, а ще ви даде опцията в прозореца за автоматично пускане..

    Все още можете да деактивирате това поведение. Имаше опции, заровени в самата операционна система, в системния регистър и редактора на груповите политики. Можете също така да задържите клавиша Shift, докато сте вмъкнали диск, а Windows не би изпълнил поведението на AutoRun.

    Някои USB устройства могат да емулират компактдискове и дори компактдисковете не са безопасни

    Тази защита веднага започна да се разпада. SanDisk и M-Systems видяха поведението на CD AutoRun и го искаха за собствените си USB флаш памети, така че създадоха флаш дискове U3. Тези флаш дискове емулират CD устройство, когато ги свържете към компютър, така че системата на Windows XP автоматично ще стартира програми на тях, когато са свързани.

    Разбира се, дори компактдисковете не са безопасни. Нападателите могат лесно да запишат CD или DVD устройство или да използват презаписваем диск. Идеята, че компактдисковете са по-безопасни от USB устройствата, е погрешна.

    Бедствие 1: Sony BMG Rootkit Fiasco

    През 2005 г. Sony BMG започна да доставя Windows rootkits на милиони аудио компактдискове. Когато поставите аудио компактдиска в компютъра си, Windows ще прочете файла autorun.inf и автоматично ще стартира инсталатора на руткит, който зарази компютъра ви на фона. Целта на това е да ви попречи да копирате музикалния диск или да го копирате на компютъра си. Тъй като това са нормално поддържани функции, руткитът трябваше да обърка цялата операционна система, за да ги потисне.

    Това беше възможно благодарение на AutoRun. Някои хора препоръчват задържането на Shift при всяко поставяне на аудио компактдиск в компютъра, а други открито се чудят дали задържането на Shift за потискане на инсталирането на rootkit ще се счита за нарушение на забраните за заобикаляне на защитата срещу заобикаляне на защитата от DMCA.

    Други са хронирали дългата, съжаляваща история. Нека просто да кажем, че руткитът е нестабилен, зловредният софтуер се възползва от руткита за по-лесно заразяване на Windows системите, а Sony получи огромно и заслужено черно око в публичната арена..

    Бедствие 2: Червеят Conficker и друг зловреден софтуер

    Conficker беше особено неприятен червей, открит за първи път през 2008 г. Наред с други неща, той зарази свързаните USB устройства и създаде файлове autorun.inf, които автоматично щяха да стартират злонамерен софтуер, когато бяха свързани към друг компютър. Като антивирусна компания ESET пише:

    "USB устройствата и другите сменяеми носители, до които всеки път (по подразбиране) се осъществява достъп от функциите за автоматично стартиране / автоматично пускане, вие ги свързвате с компютъра си.

    Conficker беше най-известният, но не беше единственият злонамерен софтуер, който злоупотреби с опасната функционалност на AutoRun. AutoRun като функция е практически подарък за авторите на зловреден софтуер.

    Windows Vista изключен AutoRun по подразбиране, но ...

    В крайна сметка Microsoft препоръча на потребителите на Windows да забранят функционалността на AutoRun. Windows Vista направи някои добри промени, които всички Windows 7, 8 и 8,1 са наследили.

    Вместо автоматично стартиране на програми от компактдискове, DVD дискове и USB устройства, маскирани като дискове, Windows просто показва диалоговия прозорец AutoPlay за тези устройства. Ако свързан диск или устройство има програма, ще го видите като опция в списъка. Windows Vista и по-късните версии на Windows няма автоматично да стартират програми, без да ви питат - трябва да щракнете върху опцията "Run [program] .exe" в диалоговия прозорец AutoPlay, за да стартирате програмата и да се заразите..

    Но все пак е възможно злонамерен софтуер да се разпространява чрез AutoPlay. Ако свържете злонамерен USB диск с компютъра си, вие все още сте само с едно щракване, за да стартирате зловредния софтуер чрез диалоговия прозорец AutoPlay - поне с настройките по подразбиране. Други функции за сигурност като UAC и антивирусната ви програма могат да ви помогнат да защитите, но все пак трябва да бъдете бдителни.

    За съжаление сега имаме още по-страшна заплаха за сигурността от USB устройства, за да сме наясно.


    Ако желаете, можете да деактивирате AutoPlay изцяло - или само за определени типове устройства - така че да не се появи изскачащ прозорец AutoPlay, когато поставите сменяем носител в компютъра. Тези опции ще намерите в контролния панел. Извършете търсене за „автоматично пускане“ в полето за търсене на контролния панел, за да ги намерите.

    Кредит за изображението: aussiegal на Flickr, m01229 на Flickr, Lordcolus на Flickr