Как AutoRun Malware стал проблемой в Windows, и как она была (в основном) исправлена
Из-за неудачных дизайнерских решений AutoRun когда-то был большой проблемой безопасности в Windows. AutoRun позволил вредоносным программам запускаться сразу после установки дисков и USB-накопителей в компьютер..
Этот недостаток был использован не только авторами вредоносных программ. Он отлично использовался Sony BMG для сокрытия руткитов на музыкальных компакт-дисках. Windows автоматически запустится и установит руткит, когда вы вставите в компьютер вредоносный аудио компакт-диск Sony.
Происхождение автозапуска
Автозапуск был функцией, представленной в Windows 95. Когда вы вставили диск с программным обеспечением в ваш компьютер, Windows автоматически прочитала бы диск и - если файл autorun.inf был найден в корневом каталоге диска - она автоматически запустила программу. указывается в файле autorun.inf.
Вот почему, когда вы вставили компакт-диск с программным обеспечением или диск с игрой для ПК в компьютер, он автоматически запустил установщик или заставку с опциями. Функция была разработана, чтобы сделать такие диски простыми в использовании, уменьшая путаницу среди пользователей. Если AutoRun не существует, пользователям придется открыть окно браузера файлов, перейти к диску и вместо этого запустить файл setup.exe..
Какое-то время это работало довольно хорошо, и больших проблем не было. В конце концов, домашние пользователи не имели простого способа создать свои собственные компакт-диски до того, как устройства записи компакт-дисков были широко распространены. Вы действительно встречали только коммерческие диски, и они были в целом заслуживающими доверия.
Но даже в Windows 95, когда был представлен автозапуск, он не был включен для дискет. В конце концов, любой мог поместить любые файлы на дискету. Автозапуск для дискет позволит вредоносным программам распространяться с дискеты на компьютер на дискету на компьютер.
Автозапуск в Windows XP
Windows XP усовершенствовала эту функцию с помощью функции «Автозапуск». Когда вы вставите диск, USB-накопитель или съемный носитель другого типа, Windows проверит его содержимое и предложит вам действия. Например, если вы вставите SD-карту с фотографиями с вашей цифровой камеры, она порекомендует вам сделать что-то подходящее для файлов изображений. Если на диске есть файл autorun.inf, вы увидите опцию, спрашивающую, хотите ли вы также автоматически запускать программу с диска..
Однако Microsoft все еще хотела, чтобы компакт-диски работали так же. Таким образом, в Windows XP компакт-диски и DVD-диски по-прежнему автоматически запускали на них программы, если у них был файл autorun.inf, или автоматически начинали воспроизводить музыку, если они были аудио-компакт-дисками. А благодаря архитектуре безопасности Windows XP эти программы, вероятно, будут запускаться с правами администратора. Другими словами, они будут иметь полный доступ к вашей системе.
При использовании USB-накопителей, содержащих файлы autorun.inf, программа не будет автоматически запускаться, но предоставит вам возможность в окне автозапуска.
Вы все еще можете отключить это поведение. Были варианты, скрытые в самой операционной системе, в реестре и редакторе групповой политики. Вы также можете удерживать клавишу Shift, когда вставляете диск, и Windows не будет выполнять функцию автозапуска..
Некоторые USB-накопители могут эмулировать компакт-диски, и даже компакт-диски не являются безопасными
Эта защита начала разрушаться немедленно. SanDisk и M-Systems увидели поведение CD AutoRun и хотели использовать его для своих собственных USB-накопителей, поэтому они создали U3-накопители. Эти флэш-накопители эмулировали дисковод компакт-дисков при подключении их к компьютеру, поэтому система Windows XP автоматически запускает на них программы, когда они подключены.
Конечно, даже компакт-диски не являются безопасными. Злоумышленники могут легко записать привод CD или DVD или использовать перезаписываемый привод. Идея о том, что компакт-диски более безопасны, чем USB-накопители, ошибочна.
Бедствие 1: Sony BMG руткит Fiasco
В 2005 году Sony BMG начала поставлять руткиты Windows на миллионах своих аудио компакт-дисков. Когда вы вставляете аудио-CD в ваш компьютер, Windows считывает файл autorun.inf и автоматически запускает установщик руткитов, который незаметно заражает ваш компьютер в фоновом режиме. Целью этого было не дать вам скопировать музыкальный диск или скопировать его на компьютер. Поскольку это обычно поддерживаемые функции, руткиту пришлось подорвать всю операционную систему, чтобы подавить их.
Это стало возможным благодаря AutoRun. Некоторые люди рекомендовали держать Shift всякий раз, когда вы вставляли аудио-CD в ваш компьютер, а другие открыто задавались вопросом, будет ли считаться, что удержание Shift для подавления установки руткита будет нарушением запретов DMCA на обход обхода защиты от копирования..
Другие ведут хронику долгой, печальной истории ее. Скажем так, руткит был нестабильным, вредоносное ПО использовало руткит для более простого заражения систем Windows, а Sony получила огромный и заслуженный черный глаз на публичной арене..
Бедствие 2: Червь Conficker и другие вредоносные программы
Conficker был особенно неприятным червем, впервые обнаруженным в 2008 году. Помимо прочего, он заражал подключенные USB-устройства и создавал на них файлы autorun.inf, которые автоматически запускали вредоносные программы при подключении к другому компьютеру. Как пишет антивирусная компания ESET:
«USB-накопители и другие съемные носители, к которым функции Autorun / Autoplay получают доступ каждый раз (по умолчанию), когда вы подключаете их к компьютеру, являются наиболее часто используемыми носителями вирусов в наши дни».
Conficker был самым известным, но это было не единственное вредоносное ПО, которое злоупотребляло опасными функциями автозапуска. Автозапуск как функция практически подарок авторам вредоносных программ.
Windows Vista отключила автозапуск по умолчанию, но…
В конечном итоге Microsoft порекомендовала пользователям Windows отключить функцию автозапуска. Windows Vista внесла несколько хороших изменений, которые все Windows 7, 8 и 8,1 унаследовали.
Вместо автоматического запуска программ с компакт-дисков, DVD-дисков и USB-накопителей, маскирующихся под диски, Windows просто отображает диалоговое окно автозапуска и для этих накопителей. Если на подключенном диске или приводе есть программа, вы увидите ее в списке в качестве опции. Windows Vista и более поздние версии Windows не будут автоматически запускать программы без вашего ведома - вам нужно будет выбрать опцию «Run [program] .exe» в диалоге автозапуска, чтобы запустить программу и заразиться.
Но вредоносное ПО по-прежнему может распространяться через автозапуск. Если вы подключите вредоносный USB-накопитель к вашему компьютеру, вы все равно будете в одном клике от запуска вредоносного ПО через диалог автозапуска - по крайней мере, с настройками по умолчанию. Другие функции безопасности, такие как UAC и ваша антивирусная программа, могут помочь защитить вас, но вы все равно должны быть начеку.
И, к сожалению, теперь у нас есть еще более опасная угроза безопасности от USB-устройств, о которой следует знать.
При желании вы можете полностью отключить автозапуск - или только для определенных типов дисков - чтобы не было всплывающего окна автозапуска при вставке съемного носителя в компьютер. Вы найдете эти опции в панели управления. Выполните поиск «autoplay» в окне поиска панели управления, чтобы найти их.
Изображение предоставлено: австралиец на Flickr, m01229 на Flickr, лордкол на Flickr