Завдяки поганим дизайнерським рішенням, AutoRun колись був величезною проблемою безпеки для Windows. AutoRun корисно дозволив запустити зловмисне програмне забезпечення, як тільки ви вставили диски та USB-накопичувачі у свій комп’ютер.
Цю ваду використали не лише автори шкідливих програм. Він чудово використовувався Sony BMG для приховування руткіт на музичних компакт-дисках. Windows автоматично запускається та встановлює руткіт, коли ви вставляєте шкідливий аудіо компакт-диск Sony у свій комп’ютер.
Походження AutoRun
ПОВ'ЯЗАНІ: Не всі "віруси" є вірусами: пояснено 10 термінів щодо шкідливого програмного забезпечення
AutoRun - це функція, представлена в Windows 95. Коли ви вставляєте диск із програмним забезпеченням у свій комп’ютер, Windows автоматично зчитує диск, і - якщо в кореневому каталозі диска виявлено файл autorun.inf - він автоматично запускає програму. вказаний у файлі autorun.inf.
Ось чому, коли ви вставляєте компакт-диск із програмою або ігровий диск для ПК на свій комп’ютер, він автоматично запускає інсталятор або заставку з опціями. Ця функція була розроблена, щоб зробити такі диски простими у використанні, зменшивши плутанину у користувачів. Якщо AutoRun не існував, користувачам доведеться відкрити вікно браузера файлів, перейти до диска та замість цього запустити файл setup.exe.
Це певний час працювало досить добре, і великих проблем не було. Зрештою, домашні користувачі не мали легкого способу виготовляти власні компакт-диски до того, як конфорки були поширені. Ви дійсно стикаєтесь лише з комерційними дисками, і вони, як правило, заслуговують на довіру.
Але навіть у Windows 95, коли був представлений AutoRun, його не вмикали дискети . Зрештою, кожен міг розмістити на дискеті будь-які потрібні файли. Автозапуск для дискети дозволить поширювати зловмисне програмне забезпечення з дискети на комп’ютер на дискету на комп’ютер.
Автовідтворення у Windows XP
Windows XP вдосконалив цю функцію за допомогою функції “Автовідтворення”. Коли ви вставляєте диск, флеш-пам’ять USB або знімний носій іншого типу, Windows перевірить його вміст і запропонує вам дії. Наприклад, якщо ви вставите SD-карту, що містить фотографії з вашої цифрової камери, вона порекомендує вам зробити щось підходяще для файлів зображень. Якщо на диску є файл autorun.inf, ви побачите опцію із запитом, чи хочете ви також автоматично запускати програму з диска.
Однак Microsoft все ще хотіла, щоб компакт-диски працювали однаково. Отже, у Windows XP компакт-диски та DVD все одно автоматично запускали на них програми, якщо вони мали файл autorun.inf, або автоматично починали відтворювати свою музику, якщо вони були аудіо компакт-дисками. І, через архітектуру безпеки Windows XP ці програми, ймовірно, запускалися б із доступом адміністратора . Іншими словами, вони мали б повний доступ до вашої системи.
На USB-накопичувачах, що містять файли autorun.inf, програма не запускається автоматично, але надасть вам можливість у вікні автовідтворення.
Ви все ще можете відключити цю поведінку. Є параметри, заховані в самій операційній системі, в реєстрі та редакторі групової політики. Ви також можете утримувати клавішу Shift, коли вставляли диск, і Windows не виконувала поведінку автозапуску.
Деякі USB-накопичувачі можуть емулювати компакт-диски, і навіть компакт-диски небезпечні
Цей захист почав руйнуватися відразу. SanDisk та M-Systems побачили поведінку компакт-диска AutoRun і захотіли його для власних USB-накопичувачів, тому створили Флешки U3 . Ці флешки накопичують CD-привід, коли ви підключаєте їх до комп’ютера, тому система Windows XP автоматично запускатиме на них програми, коли вони будуть під’єднані.
Звичайно, навіть компакт-диски не є безпечними. Зловмисники можуть легко записати привід CD або DVD або скористатися перезаписуваним приводом. Думка, що компакт-диски якимось чином безпечніші за USB-накопичувачі, є хибною.
Катастрофа 1: Фіаско від Sony BMG Rootkit
У 2005 році Sony BMG почала поставляти руткіти Windows на мільйони своїх аудіо компакт-дисків. Коли ви вставляєте аудіо компакт-диск у свій комп’ютер, Windows читає файл autorun.inf і автоматично запускає інсталятор руткіта, який підступно заражає ваш комп’ютер у фоновому режимі. Метою цього було запобігти копіюванню музичного диска або копіюванню його на комп’ютер. Оскільки це, як правило, підтримувані функції, руткіт повинен був перетворити всю вашу операційну систему, щоб придушити їх.
Це все стало можливим завдяки AutoRun. Деякі люди рекомендували утримувати Shift щоразу, коли ви вставляєте аудіо компакт-диск у свій комп’ютер, а інші відверто цікавилися, чи не буде розглянуто утримання Shift для придушення руткіта від встановлення порушення заборони DMCA щодо обходу проти обходу захисту від копіювання.
Інші хронізували довга, вибачлива історія її. Скажімо просто, руткіт був нестабільним, шкідливі програми скористалися ним, щоб легше заразити системи Windows, і Sony отримала величезне і заслужене чорне око на публічній арені.
Катастрофа 2: Черв'як Conficker та інші шкідливі програми
Conficker був особливо неприємним хробаком, вперше виявленим у 2008 році. Серед іншого він заразив підключені USB-пристрої та створив на них файли autorun.inf, які автоматично запускали шкідливе програмне забезпечення, коли їх підключали до іншого комп'ютера. Як антивірусна компанія СПРАВА писав:
“Найбільш часто використовуваними вірусоносіями сьогодні є USB-накопичувачі та інші знімні носії, до яких доступні функції автозапуску / автоматичного відтворення кожного разу (за замовчуванням), коли ви підключаєте їх до комп’ютера.”
Conficker був найбільш відомим, але це не було єдиним зловмисним програмним забезпеченням, яке зловживало небезпечною функцією AutoRun. AutoRun як функція - це практично подарунок авторам шкідливих програм.
Windows Vista вимкнула автозапуск за замовчуванням, але ...
Зрештою корпорація Майкрософт рекомендувала користувачам Windows вимкнути функцію автозапуску. Windows Vista внесла кілька хороших змін, які всі Windows 7, 8 та 8,1 успадкували.
Замість автоматичного запуску програм із компакт-дисків, DVD-дисків та USB-накопичувачів, що маскуються під диски, Windows просто відображає діалогове вікно автоматичного відтворення для цих дисків. Якщо на підключеному диску чи диску є програма, ви побачите це як опцію у списку. Windows Vista та пізніші версії Windows не запускають програми автоматично, не запитуючи вас - вам потрібно буде натиснути опцію «Запустити [program].exe» у діалоговому вікні автозапуску, щоб запустити програму та заразитися.
ПОВ'ЯЗАНІ: Не панікуйте, але всі пристрої USB мають серйозні проблеми з безпекою
Але зловмисне програмне забезпечення все ще може поширюватися через AutoPlay. Якщо ви підключили шкідливий USB-накопичувач до комп’ютера, вам залишається лише один клік до запуску шкідливого програмного забезпечення за допомогою діалогового вікна автозапуску - принаймні із налаштуваннями за замовчуванням. Інші функції безпеки, такі як UAC і ваша антивірусна програма може захистити вас, але ви все одно повинні бути напоготові.
І, на жаль, зараз у нас є ще страшніша загроза безпеці від пристроїв USB бути проінформованим про.
Якщо хочете, можете повністю відключити автовідтворення - або лише для певних типів дисків - так що ви не отримаєте спливаючого вікна автовідтворення, коли вставляєте знімний носій у свій комп’ютер. Ви знайдете ці параметри на панелі керування. Виконайте пошук "автовідтворення" у вікні пошуку на панелі керування, щоб знайти їх.
Кредит зображення: aussiegal на Flickr , m01229 на Flickr , Лордколус на Flickr
