Úvodná » ako » Ako malware AutoRun sa stalo problémom v systéme Windows a ako to bolo (väčšinou) opravené

    Ako malware AutoRun sa stalo problémom v systéme Windows a ako to bolo (väčšinou) opravené

    Vďaka zlým dizajnovým rozhodnutiam bol AutoRun kedysi obrovským bezpečnostným problémom v systéme Windows. AutoRun vám umožní spustiť škodlivý softvér ihneď po vložení diskov a jednotiek USB do počítača.

    Táto chyba nevyužívala len autori malware. To bolo skvelo používané Sony BMG skryť rootkit na hudobných CD. Systém Windows by automaticky spustil a nainštaloval rootkit po vložení škodlivého zvukového disku Sony do vášho počítača.

    Pôvod AutoRunu

    AutoRun bola funkcia predstavená v systéme Windows 95. Keď ste do počítača vložili softvérový disk, systém Windows automaticky prečítal disk a - ak by bol v koreňovom adresári disku nájdený súbor autorun.inf - program automaticky spustí program špecifikované v súbore autorun.inf.

    To je dôvod, prečo ste do počítača vložili disk CD so softvérom alebo počítačový herný prístroj a spustili inštalátor alebo úvodnú obrazovku s možnosťami. Táto funkcia bola navrhnutá tak, aby sa takéto disky ľahko používali, čo znižuje zmätok používateľov. Ak AutoRun neexistoval, používatelia by museli otvoriť okno prehliadača súborov, prejsť na disk a spustiť z neho súbor setup.exe.

    Toto fungovalo pomerne dobre a nebolo veľkých problémov. Koniec koncov, domáci používatelia nemali jednoduchý spôsob, ako vyrábať svoje vlastné disky CD pred rozšírením napaľovačov CD. Naozaj ste narazili len na komerčné disky a boli všeobecne dôveryhodní.

    Ale dokonca späť v systéme Windows 95, keď bol zavedený AutoRun, to nebolo povolené pre diskety. Koniec koncov, ktokoľvek by mohol na diskety umiestniť ľubovoľné súbory, ktoré chcú. AutoRun pre diskety by umožnil šírenie škodlivého softvéru z diskety do počítača na disketu do počítača.

    Automatické prehrávanie v systéme Windows XP

    Systém Windows XP vylepšil túto funkciu pomocou funkcie "Automatické prehrávanie". Po vložení disku, jednotky USB Flash alebo iného typu vymeniteľného mediálneho zariadenia systém Windows preskúma jeho obsah a navrhne vám akcie. Napríklad, ak vložíte SD kartu obsahujúcu fotografie z digitálneho fotoaparátu, odporúča vám urobiť niečo vhodné pre obrazové súbory. Ak jednotka obsahuje súbor autorun.inf, zobrazí sa možnosť s otázkou, či chcete automaticky spustiť aj program z jednotky.

    Microsoft však stále chcel, aby CD fungovali rovnako. Takže v systéme Windows XP by CD a DVD naďalej automaticky spustili programy na nich, ak by mali súbor autorun.inf, alebo by automaticky začali hrať svoju hudbu, ak by boli zvukové disky CD. A kvôli bezpečnostnej architektúre systému Windows XP by tieto programy pravdepodobne začali s prístupom správcu. Inými slovami, mali by mať plný prístup k vášmu systému.

    Pri diskoch USB obsahujúcich súbory autorun.inf by sa program automaticky nespustil, ale v okne automatického prehrávania by vám ponúkol túto možnosť.

    Toto správanie môžete stále zakázať. V samotnom operačnom systéme, v registri, a v editore skupinových pravidiel boli uložené možnosti. Môžete tiež podržať kláves Shift pri vkladaní disku a systém Windows nebude vykonávať správanie AutoRun.

    Niektoré jednotky USB môžu emulovať disky CD a dokonca ani CD nie sú bezpečné

    Táto ochrana sa okamžite rozpadla. SanDisk a M-Systems videli správanie CD AutoRun a chcel to pre svoje vlastné USB flash disky, a tak vytvorili flash disky U3. Tieto jednotky flash emulovali jednotku CD, keď ich pripájate k počítaču, takže systém Windows XP automaticky spustí programy na nich po pripojení.

    Samozrejme, aj CD nie sú v bezpečí. Útočníci môžu ľahko vypáliť jednotku CD alebo DVD alebo použiť prepisovateľný disk. Myšlienka, že CD sú o niečo bezpečnejšie než jednotky USB, je nesprávne.

    Katastrofa 1: Sony BMG Rootkit Fiasco

    V roku 2005 spoločnosť Sony BMG začala predávať rootkity systému Windows na miliónoch svojich zvukových diskov CD. Po vložení zvukového CD do počítača by systém Windows prečítal súbor autorun.inf a automaticky spustil inštalačný program rootkit, ktorý zámerne infikoval váš počítač na pozadí. Účelom tohto postupu bolo zabrániť kopírovaniu hudobného disku alebo jeho kopírovaniu do počítača. Pretože tieto funkcie sú bežne podporované, rootkit musel podviesť celý váš operačný systém, aby ich potlačil.

    To všetko bolo možné vďaka funkcii AutoRun. Niektorí ľudia odporúčali držať Shift pri každom vložení zvukového CD do počítača a iní sa otvorene pýtali, či sa podržaním funkcie Shift potlačenie inštalácie rootkitu bude považovať za porušenie zákazu zákazu obchádzania zákona DMCA proti obchádzaniu ochrany proti kopírovaniu.

    Iní zaznamenali dlhú, ľúbeznú históriu. Povedzme, že rootkit bol nestabilný, škodlivý softvér využil rootkitu na ľahšie nakazenie systémov Windows a spoločnosť Sony získala obrovské a zaslúžené čierne oko na verejnej aréne.

    Katastrofa 2: Čarodejnica Conficker a ďalší škodlivý softvér

    Conficker bol obzvlášť ošklivý červ najskôr odhalený v roku 2008. Okrem iného infikoval pripojené zariadenia USB a na nich vytvoril súbory autorun.inf, ktoré by automaticky spustili škodlivý softvér, keď boli pripojení k inému počítaču. Ako antivírusová spoločnosť ESET napísala:

    "Jednotky USB a iné vymeniteľné médiá, ktoré sú kedykoľvek prístupné funkciami Autorun / Autoplay (v predvolenom nastavení), ktoré ich pripájate k počítaču, sú v súčasnosti najčastejšie používané nosiče vírusov."

    Conficker bol najznámejší, ale nebol jediným škodlivým softvérom na zneužitie nebezpečných funkcií AutoRun. AutoRun ako funkcia je prakticky darom pre autorov malware.

    Windows Vista Disabled AutoRun predvolené, ale ...

    Spoločnosť Microsoft nakoniec odporučila, aby používatelia systému Windows vypli funkciu automatického vypnutia. Systém Windows Vista urobil niekoľko dobrých zmien, ktoré všetci zdedili v systéme Windows 7, 8 a 8,1.

    Namiesto automatického spustenia programov z diskov CD, DVD a diskov USB, ktoré sa používajú ako disky, systém Windows jednoducho zobrazí dialóg AutoPlay aj pre tieto jednotky. Ak je pripojený disk alebo disk vybavený programom, v zozname sa zobrazí ako možnosť. Windows Vista a novšie verzie systému Windows nebudú automaticky spúšťať programy bez toho, aby ste sa vás opýtali - v dialógovom okne Automatické prehrávanie by ste mali kliknúť na voľbu "Spustiť [program] .exe", aby ste spustili program a dostali infikované.

    Malware by sa však mohol šíriť prostredníctvom funkcie Automatické prehrávanie. Ak k počítaču pripojíte škodlivú jednotku USB, stále máte len jeden klik na spustenie škodlivého softvéru prostredníctvom dialógového okna Automatické prehrávanie - prinajmenšom s predvolenými nastaveniami. Ďalšie funkcie zabezpečenia, ako je UAC a antivírusový program, vám môžu pomôcť chrániť, ale mali by ste byť stále nablízku.

    A bohužiaľ teraz máme ešte hrozivejšiu bezpečnostnú hrozbu zo zariadení USB, ktoré si je vedomé.


    Ak chcete, môžete úplne deaktivovať funkciu Automatické prehrávanie - alebo len pre určité typy diskov - takže pri vkladaní vymeniteľných médií do počítača nebudete mať vyskakovacie okno. Tieto možnosti nájdete v ovládacom paneli. Vykonajte vyhľadávanie "autoplay" vo vyhľadávacom okne na ovládacom paneli a vyhľadajte ich.

    Image Credit: aussiegal na Flickr, m01229 na Flickr, Lordcolus na Flickr