Головна » як » Як AutoRun шкідливих програм стала проблемою в Windows, і як це було (в основному) виправлено

    Як AutoRun шкідливих програм стала проблемою в Windows, і як це було (в основному) виправлено

    Завдяки поганим дизайнерським рішенням, AutoRun колись був величезною проблемою безпеки для Windows. AutoRun дозволено запустити шкідливе програмне забезпечення, як тільки ви вставили на комп'ютер диски та USB-накопичувачі.

    Цей недолік використовували не лише автори шкідливих програм. Компанія Sony BMG користувалася популярністю, щоб приховати руткіт на музичних компакт-дисках. Windows автоматично запускатиметься та встановлюватиме руткит, коли ви вставили у комп'ютер шкідливий аудіо компакт-диск Sony.

    Походження автозапуску

    Функція AutoRun була введена в Windows 95. Коли ви вставили диск із програмним забезпеченням у комп'ютер, Windows автоматично читає диск, а - якщо файл rootun.inf був знайдений у кореневому каталозі диска - він автоматично запустить програму вказаний у файлі autorun.inf.

    Ось чому, коли ви вставили компакт-диск із програмним забезпеченням або комп'ютерний ігровий диск у ваш комп'ютер, він автоматично запустив інсталятор або заставку з опціями. Ця функція була розроблена для того, щоб зробити такі диски простими у використанні, зменшуючи плутанину користувача. Якщо автозапуску не існує, користувачам потрібно відкрити вікно файлового браузера, перейти на диск і запустити з нього файл setup.exe.

    Це працювало досить добре, але не було великих проблем. Зрештою, у домашніх користувачів не було простого способу виготовлення власних компакт-дисків до того, як були розроблені записувачі компакт-дисків. Ви дійсно зіткнулися б з комерційними дисками, і вони були в цілому надійними.

    Але навіть у Windows 95, коли був введений AutoRun, він не був включений для дискети. Зрештою, кожен бажаючий міг би розміщувати потрібні файли на дискеті. Автозапуск для дискети дозволить поширити шкідливе програмне забезпечення з дискети на комп'ютер на дискети на комп'ютер.

    Автозапуск у Windows XP

    Windows XP удосконалив цю функцію за допомогою функції «Автозапуск». Коли ви вставили диск, флеш-пам'ять USB або інший тип знімного пристрою, Windows перевірить його вміст і запропонує вам дії. Наприклад, якщо вставити SD-карту з фотографіями з цифрової камери, вона рекомендує зробити щось відповідне для файлів зображень. Якщо на диску є файл autorun.inf, ви побачите опцію, що запитує, чи потрібно автоматично запускати програму з накопичувача.

    Проте Microsoft все ще хотіла працювати з компакт-дисками. Отже, у Windows XP компакт-диски та DVD-диски автоматично запускають на них програми, якщо вони мають файл autorun.inf, або автоматично почнуть відтворювати музику, якщо вони є аудіо компакт-дисками. І, завдяки архітектурі безпеки Windows XP, ці програми, ймовірно, запускаються з доступом адміністратора. Іншими словами, вони матимуть повний доступ до вашої системи.

    За допомогою дисків USB, які містять файли autorun.inf, програма не запускається автоматично, але надасть вам опцію у вікні автовідтворення.

    Ви все ще можете вимкнути цю поведінку. У самій операційній системі, у реєстрі та редакторі групової політики були поховані параметри. Можна також утримувати клавішу Shift під час вставлення диска, і Windows не виконує поведінку автозапуску.

    Деякі диски USB можуть імітувати компакт-диски, і навіть компакт-диски не є безпечними

    Цей захист став негайно руйнуватися. SanDisk і M-Systems бачили поведінку CD AutoRun і хотіли його для власних флеш-накопичувачів USB, тому вони створили флеш-накопичувачі U3. Ці флеш-диски емулюють компакт-диск під час підключення до комп'ютера, тому система Windows XP автоматично запускає на них програми, коли вони підключені.

    Звичайно, навіть компакт-диски не є безпечними. Зловмисники можуть легко записати компакт-диск або DVD-привід або використовувати перезаписуваний диск. Ідея, що компакт-диски якимось чином безпечніше, ніж USB-накопичувачі, неправильна.

    Катастрофа 1: Sony BMG Rootkit Fiasco

    У 2005 році компанія Sony BMG розпочала постачання руткітів Windows на мільйони аудіо компакт-дисків. Коли ви вставили аудіо компакт-диск у комп'ютер, Windows буде читати файл autorun.inf і автоматично запускати інсталятор для руткітів, який інколи заразив ваш комп'ютер у фоновому режимі. Метою цього було запобігти копіюванню музичного диска або копіюванню його на комп'ютер. Оскільки ці функції зазвичай підтримуються, руткіт повинен був знищити всю операційну систему, щоб придушити їх.

    Це було можливим завдяки AutoRun. Деякі люди рекомендували утримувати Shift, коли ви вставляли аудіо компакт-диск у ваш комп'ютер, а інші відкрито дивувалися, чи вважатиметься, що утримуючи Shift, щоб припинити встановлення руткіту, це буде порушенням заборон проти обходу, що виключають захист від копіювання..

    Інші хронікували довгу, жаль історію її. Скажімо, руткит був нестабільним, шкідливі програми скористалися руткітом для більш легкого зараження систем Windows, і Sony отримала величезний і заслужений чорний погляд на громадській арені..

    Катастрофа 2: Черв'як Conficker та інші шкідливі програми

    Conficker був особливо неприємним черв'яком, який вперше був виявлений у 2008 році. Серед іншого, він інфікував підключені USB-пристрої та створив на них файли autorun.inf, які автоматично запускали б зловмисне програмне забезпечення під час підключення до іншого комп'ютера. Як антивірусна компанія ESET пише:

    "USB-накопичувачі та інші знімні носії, доступ до яких здійснюється за допомогою функцій автозапуску / автозапуску кожного разу (за замовчуванням), ви підключаєте їх до комп'ютера.

    Conficker був найвідомішим, але він не єдиний зловмисник, який зловживав небезпечною функціональністю AutoRun. AutoRun як функція - це практично подарунок авторам шкідливих програм.

    Windows Vista вимкнуто автозапуску за замовчуванням, але ...

    Нарешті, корпорація Майкрософт рекомендувала користувачам Windows відключити функціональність автозапуску. Windows Vista зробила деякі добрі зміни, які успадкували Windows 7, 8 і 8,1.

    Замість того, щоб автоматично запускати програми з компакт-дисків, DVD-дисків та USB-накопичувачів, які маскуються під диски, Windows просто показує діалогове вікно автовідтворення для цих дисків. Якщо підключений диск або диск має програму, ви побачите її як опцію у списку. Windows Vista та новіші версії Windows автоматично не запускатимуть програми, не запитуючи вас - потрібно натиснути опцію "Запустити [program] .exe" у діалоговому вікні автовідтворення, щоб запустити програму та заразитися..

    Але все одно можливо, щоб зловмисне програмне забезпечення розповсюджувалося за допомогою AutoPlay. Якщо ви підключите до комп'ютера шкідливий накопичувач USB, ви все ще залишаєтеся на одному кліку від запуску шкідливого програмного забезпечення через діалогове вікно автовідтворення - принаймні, за умовчанням. Інші функції безпеки, такі як UAC та антивірусна програма, можуть допомогти вам захиститись, але ви все одно повинні бути уважні.

    І, на жаль, ми тепер маємо ще більш небезпечні загрози безпеці від USB-пристроїв, щоб бути в курсі.

    Якщо хочете, ви можете повністю вимкнути автозапуск - або лише для певних типів дисків - так що ви не отримаєте спливаюче вікно автовідтворення, коли ви вставите знімний носій у ваш комп'ютер. Ці параметри можна знайти на панелі керування. Виконайте пошук "автозапуску" у вікні пошуку Панелі керування, щоб знайти їх.

    Зображення: aussiegal на Flickr, m01229 на Flickr, Lordcolus на Flickr

    Наскільки великі гігабайти, терабайти і петабайти?
    Як великі аналітичні дані роблять міста розумнішими
    Як штучний інтелект змінить наше життя, на краще чи гірше
    Наступна стаття
    Наскільки поганими є недоліки процесора AMD Ryzen і Epyc?
    Попередня стаття
    Як атакуючих насправді Hack рахунків Інтернет і як захистити себе