If-Koubou

Kā AutoRun malware kļūst par problēmu Windows un kā tas (galvenokārt) ir fiksēts

Kā AutoRun malware kļūst par problēmu Windows un kā tas (galvenokārt) ir fiksēts (Kā)

Pateicoties sliktiem dizaina lēmumiem, AutoRun kādreiz bija milzīga drošības problēma Windows. AutoRun palīdzīgi ļaundabīgo programmu palaist, tiklīdz jūs ievietojat datorus diskiem un USB diskdziņiem.

Šo trūkumu izmantoja ne tikai ļaundabīgo programmu autori. Sony BMG to ļoti labi izmantoja, lai paslēptu rootkitu mūzikas kompaktdiskos. Windows automātiski palaiž un instalē rootkītu, ja savā datorā ievietojat ļaunprātīgu Sony audio kompaktdisku.

AutoRun izcelsme

AutoRun bija iezīme, kas tika ieviesta sistēmā Windows 95. Kad datorā ievietojāt programmatūras disku, sistēma Windows automātiski nolasīs disku un - ja diska saknes direktorijā atrastos autorun.inf fails, tas automātiski palaiž programmu norādīts autorun.inf failā.

Tāpēc, kad datorā ievietojāt programmatūras kompaktdisku vai datoru spēļu disku, tas automātiski palaiž instalētāju vai uzlīmi ar opcijām. Funkcija bija paredzēta, lai padarītu šādus diskus viegli lietojamus, tādējādi samazinot lietotāju neskaidrību. Ja AutoRun nepastāvēja, lietotājiem vajadzētu atvērt faila pārlūkprogrammas logu, pārvietoties uz disku un pēc tam palaist failu vietā setup.exe.

Tas nedaudz darbojās kādu laiku, un nebija lielu problēmu. Galu galā mājas lietotājiem nebija viegli izveidot savus kompaktdiskus, pirms CD degļi bija plaši izplatīti. Jūs patiešām saskaraties ar komerciāliem diskiem, un tie parasti bija uzticami.

Taču pat Windows 95 versijā, kad tika ieviests AutoRun, tas netika aktivizēts disketēs. Galu galā kāds varētu ievietot visus failus, ko viņi vēlējās, uz disketes. Autorezvans disketēm ļaus ļaunprātīgu programmatūru izplatīties no disketes uz datoru disketē uz datoru.

AutoPlay sistēmā Windows XP

Windows XP uzlaboja šo funkciju, izmantojot funkciju "AutoPlay". Kad esat ievietojis disku, USB zibatmiņu vai citu noņemamo datu nesēju ierīci, Windows pārbaudīs tā saturu un piedāvās jums darbības. Piemēram, ja ievietojat SD karti, kurā ir fotoattēli no savas digitālās kameras, tā iesaka veikt kaut ko atbilstošu attēlu failiem. Ja diskdzinim ir autorun.inf fails, jūs redzēsiet iespēju, kurā tiek jautāts, vai vēlaties automātiski palaist programmu arī no diska.

Tomēr Microsoft joprojām vēlējās, lai kompaktdiski darbotos vienādi. Tādējādi sistēmā Windows XP kompaktdiski un DVD joprojām automātiski palaiž uz tām programmas, ja tiem ir autorun.inf fails vai arī automātiski sāks atskaņot mūziku, ja tie būtu audio kompaktdiski. Un, pateicoties Windows XP drošības arhitektūrai, šīs programmas, visticamāk, sāksies ar administratora piekļuvi. Citiem vārdiem sakot, viņiem būtu pilnīga piekļuve jūsu sistēmai.

Ar USB diskdziņiem, kuros ir autorun.inf faili, programma netiktu automātiski palaista, bet jūs iesniegsiet opciju AutoPlay logā.

Jūs joprojām varētu atspējot šo uzvedību. Operētājsistēmā bija iekļautas iespējas, kas reģistrētas reģistra darbā, un grupas politikas redaktoru. Kad jūs ievietojat disku, jūs arī varētu turēt nospiestu taustiņu Shift, un sistēma Windows neveiks automātiskās runas darbību.

Daži USB diski var simulēt kompaktdiskus, un pat kompaktdiski nav droši

Šī aizsardzība sāka nekavējoties sašķelt. SanDisk un M-Systems ieraudzīja CD AutoRun uzvedību un vēlējās to izmantot saviem USB flash drives, tāpēc viņi izveidoja U3 flash drives. Šie flash drives atdarina kompaktdisku, kad tos pieslēdzat datoram, tāpēc Windows XP sistēma automātiski palaiž programmas uz tiem, kad tie ir savienoti.

Protams, pat kompaktdiski nav droši. Uzbrucēji var viegli ierakstīt CD vai DVD disku vai izmantot pārrakstāmu disku. Ideja, ka kompaktdiski ir kaut drošāki par USB diskdziņiem, ir nepareizi.

Katastrofa 1: Sony BMG Rootkit Fiasco

2005. gadā Sony BMG sāka piegādāt Windows rootkitus miljoniem to audio kompaktdisku. Kad jūs ievietojāt audio kompaktdisku savā datorā, sistēma Windows varēs izlasīt failu autorun.inf un automātiski palaist rootkita instalētāju, kas fone aizklāj datoru. Tās mērķis bija novērst mūzikas diska kopēšanu vai izvilkšanu uz datoru. Tā kā šīs parasti tiek atbalstītas funkcijas, rootkiti bija jāpārvar visa operētājsistēma, lai to apspiestu.

Tas viss bija iespējams, pateicoties AutoRun. Daži cilvēki ieteica turēt Shift ikreiz, kad savā datorā ievietojāt audio kompaktdisku, un citi atklāti domāja, vai, paturot Shift mainīt rootkit no instalēšanas, tiek uzskatīts, ka tiek pārkāptas Digitālās tūkstošgades autortiesību likuma normas, lai apietu kopēšanas aizsardzības prasības.

Citi ir ierakstījuši ilgu, nožēlotu vēsturi viņu. Teiksim tikai sakām, ka rootkits bija nestabils, ļaunprogrammatūra izmantoja rootkit, lai vieglāk inficētu Windows sistēmas, un Sony ieguva milzīgu un labi pelnītu melno aci valsts atklāšanā.

Disaster 2: Conficker tārps un cita veida ļaunprogramma

Pirmoreiz Conficker tika atklāts 2008. gadā. Tas cita starpā inficēja pieslēgtās USB ierīces un izveidoja autorun.inf failus, kas automātiski palaistu ļaunprātīgu programmatūru, kad tās tika savienotas ar citu datoru. Kā antivīrusa kompānija ESET rakstīja:

"USB diski un citi noņemami datu nesēji, kuriem katru reizi piekļūst autorun / automātiskās atskaņošanas funkcionalitāte (pēc noklusējuma), jūs tos savienojat ar datoru, šobrīd ir visbiežāk lietotie vīrusu izplatītāji."

Conficker bija vispazīstamākais, bet tā nebija vienīgā ļaundabīgā programmatūra, kas ļaunprātīgi izmantoja bīstamās autorun funkcijas. AutoRun kā funkcija ir praktiski dāvana ļaunprātīgas programmatūras autoriem.

Windows Vista atspējota autorizācija pēc noklusējuma, bet ...

Galu galā Microsoft ieteica Windows lietotājiem atspējot AutoRun funkcionalitāti. Windows Vista veica dažas labas izmaiņas, kuras Windows 7, 8 un 8,1 ir iemantojušas.

Tā vietā, lai automātiski darbinātu programmas no kompaktdiskiem, DVD diskiem un USB diskdziņiem, kas maskējas kā diski, Windows vienkārši parāda automātisko atskaņošanas dialogu šīm diskiem. Ja savienotajam diskam vai diskdzinim ir programma, tā tiek parādīta kā opcija sarakstā. Windows Vista un jaunākās Windows versijas automātiski netiks palaistas programmas, neuzklausot jūs - dialoglodziņā AutoPlay noklikšķiniet uz opcijas "Run [programma] .exe", lai palaistu programmu un iegūtu inficētu.

Tomēr joprojām būtu iespējams ļaunprātīgu programmatūru izplatīt, izmantojot automātisko atskaņošanu. Ja datoram pievienojat ļaunprātīgu USB disku, jūs joprojām esat tikai viens klikšķis prom no ļaunprātīgas programmatūras palaišanas, izmantojot dialoglogu AutoPlay - vismaz ar noklusējuma iestatījumiem. Citas drošības funkcijas, piemēram, UAC un jūsu pretvīrusu programma, var palīdzēt jums aizsargāt, taču jums joprojām vajadzētu būt modram.

Un, diemžēl, no USB ierīcēm mums patlaban ir vēl sliktāks drauds drošībai.

Ja vēlaties, jūs varat pilnībā atspējot automātisko atskaņošanu - vai tikai dažu veidu diskus - tādējādi, kad ievietosit noņemamo datu nesēju savā datorā, jūs nesaņemat automātiskās atskaņošanas uznirstošo logu. Šīs opcijas atrodas vadības panelī. Lai tos atrastu, meklējiet "automātisko atskaņošanu" vadības paneļa meklēšanas lodziņā.

Attēlu kredīts: aussiegal par Flickr, m01229 Flickr, Lordcolus par Flickr