Takket være dårlige designbeslutninger var AutoRun engang et stort sikkerhedsproblem i Windows. AutoRun tillod med hjælp, at ondsindet software startede, så snart du indsatte diske og USB-drev i din computer.
Denne fejl blev ikke kun udnyttet af malwareforfattere. Det blev berømt brugt af Sony BMG til at skjule en rootkit på musik-cd'er. Windows kører automatisk og installerer rootkit, når du indsætter en ondsindet Sony-lyd-cd i din computer.
Oprindelsen af AutoRun
RELATEREDE: Ikke alle "vira" er vira: 10 malwaretermer forklaret
AutoRun var en funktion, der blev introduceret i Windows 95. Når du indsatte en softwaredisk på din computer, læste Windows automatisk disken, og - hvis der blev fundet en autorun.inf-fil i rodmappen på disken, ville den automatisk starte programmet angivet i autorun.inf-filen.
Dette er grunden til, at når du indsatte en software-cd eller pc-spildisk i din computer, startede den automatisk et installationsprogram eller en splash-skærm med valgmuligheder. Funktionen er designet til at gøre sådanne diske nemme at bruge, hvilket reducerer brugerforvirring. Hvis AutoRun ikke eksisterede, skulle brugerne åbne filbrowservinduet, navigere til disken og starte en setup.exe-fil derfra i stedet.
Dette fungerede ganske godt i en periode, og der var ingen store problemer. Hjemmebrugere havde trods alt ikke en nem måde at producere deres egne cd'er på, før cd-brændere var udbredt. Du ville virkelig kun komme på tværs af kommercielle diske, og de var generelt pålidelige.
Men selv tilbage i Windows 95, da AutoRun blev introduceret, var det ikke aktiveret til disketter . Når alt kommer til alt kunne enhver placere de filer, de ønskede, på en diskettedisk. AutoRun for disketter giver malware mulighed for at sprede sig fra diskett til computer til diskett til computer.
Automatisk afspilning i Windows XP
Windows XP forfinede denne funktion med en “AutoPlay” -funktion. Når du indsatte en disk, et USB-flashdrev eller en anden type flytbar medieenhed, undersøger Windows dens indhold og foreslår handlinger til dig. For eksempel, hvis du indsætter et SD-kort, der indeholder fotos fra dit digitale kamera, vil det anbefale dig at gøre noget passende til billedfiler. Hvis et drev har en autorun.inf-fil, ser du en mulighed, der spørger, om du også automatisk vil køre et program fra drevet.
Imidlertid ønskede Microsoft stadig, at cd'er skulle fungere det samme. Så i Windows XP kører cd'er og dvd'er stadig automatisk programmer på dem, hvis de havde en autorun.inf-fil eller automatisk begynder at afspille deres musik, hvis de var lyd-cd'er. Og, på grund af sikkerhedsarkitekturen i Windows XP, vil disse programmer sandsynligvis starte med administratoradgang . Med andre ord ville de have fuld adgang til dit system.
Med USB-drev, der indeholder autorun.inf-filer, kører programmet ikke automatisk, men giver dig muligheden i et AutoPlay-vindue.
Du kan stadig deaktivere denne adfærd. Der var muligheder begravet i selve operativsystemet, i registreringsdatabasen og gruppepolitisk editor. Du kan også holde Shift-tasten nede, da du indsatte en disk, og Windows ikke udfører AutoRun-opførsel.
Nogle USB-drev kan efterligne cd'er, og selv cd'er er ikke sikre
Denne beskyttelse begyndte straks at bryde sammen. SanDisk og M-Systems så CD AutoRun-opførsel og ønskede det til deres egne USB-flashdrev, så de oprettede U3-flashdrev . Disse flash-drev emulerede et cd-drev, når du forbinder dem til en computer, så et Windows XP-system starter automatisk programmer på dem, når de er tilsluttet.
Selvfølgelig er selv cd'er ikke sikre. Angribere kunne let brænde et cd- eller dvd-drev eller bruge et omskriveligt drev. Tanken om, at cd'er på en eller anden måde er sikrere end USB-drev, er forkert.
Katastrofe 1: Sony BMG Rootkit Fiasco
I 2005 begyndte Sony BMG at sende Windows rootkits på millioner af deres lyd-cd'er. Når du satte lyd-cd'en i din computer, læste Windows autorun.inf-filen og kørte automatisk rootkit-installationsprogrammet, som smygende inficerede din computer i baggrunden. Formålet med dette var at forhindre dig i at kopiere musikdisken eller rippe den til din computer. Da disse normalt understøttes funktioner, måtte rootkit undergrave hele dit operativsystem for at undertrykke dem.
Dette var alt muligt takket være AutoRun. Nogle mennesker anbefalede at holde Shift, når du satte en lyd-cd ind i din computer, og andre spekulerede åbent på, om det ville blive overvejet at holde Shift for at undertrykke rootkit fra installation. en overtrædelse af DMCA's forbud mod omgåelse mod omgå kopibeskyttelse.
Andre har kronisk den lange, kedelige historie hende. Lad os bare sige, at rootkit var ustabil, malware udnyttede rootkit til lettere at inficere Windows-systemer, og Sony fik et stort og velfortjent sort øje på den offentlige arena.
Katastrofe 2: Conficker-ormen og anden malware
Conficker var en særlig grim orm, der først blev opdaget i 2008. Blandt andet inficerede den tilsluttede USB-enheder og oprettede autorun.inf-filer på dem, der automatisk ville køre malware, når de var forbundet til en anden computer. Som antivirusfirma SAG skrev:
"USB-drev og andre flytbare medier, som Autorun / Autoplay-funktionerne har adgang til hver gang (som standard) du forbinder dem til din computer, er de hyppigst anvendte virusbærere i disse dage."
Conficker var den mest kendte, men det var ikke den eneste malware, der misbrugte den farlige AutoRun-funktionalitet. AutoRun som en funktion er praktisk talt en gave til malwareforfattere.
Windows Vista deaktiveret automatisk kørsel som standard, men ...
Microsoft til sidst anbefalet, at Windows-brugere deaktiverer AutoRun-funktionaliteten. Windows Vista foretog nogle gode ændringer, som Windows 7, 8 og 8,1 alle har arvet.
I stedet for automatisk at køre programmer fra cd'er, dvd'er og USB-drev, der maskerer som diske, viser Windows simpelthen også AutoPlay-dialogen for disse drev. Hvis en tilsluttet disk eller et drev har et program, ser du det som en mulighed på listen. Windows Vista og nyere versioner af Windows kører ikke automatisk programmer uden at spørge dig - du skal klikke på "Kør [program].exe" i dialogboksen AutoPlay for at køre programmet og blive inficeret.
RELATEREDE: Gå ikke i panik, men alle USB-enheder har et stort sikkerhedsproblem
Men det ville stadig være muligt for malware at sprede sig via AutoPlay. Hvis du tilslutter et ondsindet USB-drev til din computer, er du stadig kun et klik væk fra at køre malware via dialogboksen AutoPlay - i det mindste med standardindstillingerne. Andre sikkerhedsfunktioner som UAC og dit antivirusprogram kan hjælpe med at beskytte dig, men du skal stadig være opmærksom.
Og desværre har vi det nu en endnu skræmmende sikkerhedstrussel fra USB-enheder At være opmærksom på.
Hvis du vil, kan du deaktiver AutoPlay helt - eller bare til bestemte typer drev - så du ikke får en AutoPlay-pop op, når du indsætter flytbare medier i din computer. Du finder disse muligheder i Kontrolpanel. Udfør en søgning efter "autoplay" i kontrolpanelets søgefelt for at finde dem.
Billedkredit: aussiegal på Flickr , m01229 på Flickr , Lordcolus på Flickr
