Kuidas AutoRun Malware sai Windowsi probleemiks ja kuidas see oli enamasti fikseeritud
Tänu halbadele disainiotsustele oli AutoRun kunagi Windowsis suur probleem. Automaatne käivitamine võimaldas pahatahtlikku tarkvara käivitada kohe, kui sisestasite arvutisse kettad ja USB-draivid.
Seda vigu ei kasutanud ainult pahavara autorid. Sony BMG kasutas seda kuulsate CD-de rootkit peitmiseks. Windows käivitab ja installib automaatselt rootkit, kui sisestasite arvutisse pahatahtliku Sony audio-CD.
AutoRun päritolu
Automaatne käivitamine oli Windows 95-s kasutusele võetud funktsioon. Kui arvutisse installisite tarkvara plaadi, loeb Windows automaatselt plaati ja - kui plaadi juurkataloogis leiti autorun.inf-fail - käivitab see automaatselt programmi määratud failis autorun.inf.
Sellepärast, kui sisestasite oma arvutisse tarkvara-CD või PC-mängu plaadi, käivitas ta automaatselt installeri või splash-ekraani koos valikuga. See omadus oli mõeldud selliste plaatide lihtsaks kasutamiseks, vähendades kasutaja segadust. Kui AutoRun ei eksisteeri, peaksid kasutajad avama failibrauseri akna, liikuma plaadile ja käivitama sealt setup.exe faili.
See töötas mõnda aega üsna hästi ja suuri probleeme ei olnud. Lõppude lõpuks ei olnud kodutarbijatel lihtne moodustada oma CD-sid, enne kui CD-kirjutajad olid laialt levinud. Teil oleks tõesti ainult kommertskettad ja nad olid üldiselt usaldusväärsed.
Aga isegi Windows 95-s, kui AutoRun võeti kasutusele, ei olnud see diskettidele lubatud. Lõppude lõpuks, keegi võiks panna mis tahes failid nad tahtsid disketil. Diskettide automaatne käivitamine võimaldaks pahavara levitada disketilt arvutisse disketile arvutisse.
Automaatne esitamine Windows XP-s
Windows XP täiustas seda funktsiooni funktsiooniga „AutoPlay”. Kui sisestasite plaadi, USB-mäluseadme või mõne muu teisaldatava andmekandja seadme, kontrollib Windows selle sisu ja soovitab teile toiminguid. Näiteks, kui sisestate oma digikaamerast fotosid sisaldava SD-kaardi, siis soovitame teil teha pildifailide jaoks midagi sobivat. Kui draivil on autorun.inf-fail, näete valikut, mis küsib, kas soovite ka programmi automaatselt käivitada.
Microsoft soovis siiski, et CDd töötaksid samamoodi. Niisiis, Windows XP-s, käivitavad CD-d ja DVD-d endiselt programmid automaatselt, kui neil oleks autorun.inf-fail või kui ta alustab automaatselt muusika esitamist, kui need olid audio-CD-d. Ja Windows XP turvalisuse arhitektuuri tõttu käivitatakse need programmid tõenäoliselt administraatori juurdepääsuga. Teisisõnu, neil on täielik juurdepääs teie süsteemile.
Autorun.inf-faile sisaldavate USB-draivide puhul ei käivitu programm automaatselt, kuid esitaks teile automaatse taasesituse aknas võimaluse.
Sa võid selle käitumise siiski keelata. Operatsioonisüsteemis, registris ja grupipoliitika redaktoris olid maetud valikud. Samuti võite plaadi sisestamisel hoida Shift-klahvi all ja Windows ei tee AutoRun-käitumist.
Mõned USB-seadmed võivad CD-sid emuleerida ja isegi CD-d ei ole ohutud
See kaitse hakkas kohe lagunema. SanDisk ja M-Systems nägid CD AutoRun käitumist ja tahtsid seda oma USB-mälupulgale, nii et nad lõid U3 mälupulgad. Need mälupulgad emuleerisid arvutiga ühendamisel CD-draivi, nii et Windows XP süsteem käivitab neile ühendamisel automaatselt programmid..
Muidugi ei ole isegi CD-d ohutud. Ründajad võivad kergesti põletada CD- või DVD-draivi või kasutada taaskasutatavat draivi. Idee, et CD-d on kuidagi turvalisemad kui USB-seadmed, on valesti suunatud.
Katastroof 1: Sony BMG Rootkit Fiasco
Aastal 2005 alustas Sony BMG Windows rootkitide tarnimist miljoneid oma audio-CD-sid. Kui sisestasite audio-CD oma arvutisse, loeb Windows autorun.inf-faili ja käivitab automaatselt rootkit-installeri, mis nakatab teie arvutit taustal. Selle eesmärk oli takistada muusikaplaadi kopeerimist või selle arvutiga kopeerimist. Kuna need on tavaliselt toetatud funktsioonid, pidi rootkit oma kogu operatsioonisüsteemi selle alla suruma.
See oli kõik võimalik tänu AutoRunile. Mõned inimesed soovitasid Shift'i hoiustamist, kui sisestasite audio-CD oma arvutisse, ja teised küsisid avalikult, kas Shift-i hoidmine rootkit-i blokeerimisest loobumiseks loetakse DMCA kõrvalehoidmise keelusteks kopeerimiskaitsest kõrvalehoidmise vastu..
Teised on krooninud tema pikka, kahetsevat ajalugu. Ütleme lihtsalt, et rootkit oli ebastabiilne, pahavara kasutas rootkit ära, et kergemini nakatada Windowsi süsteeme, ning Sony sai avalikus areenil tohutu ja teeninud musta silma.
Katastroof 2: Conficker uss ja muud pahavara
Conficker oli eriti vastik uss, mis avastati 2008. aastal. Muuhulgas nakatas see ühendatud USB-seadmeid ja lõi neile autorun.inf-faile, mis käivitaksid automaatselt pahavara, kui nad olid ühendatud teise arvutiga. Viirusetõrjeettevõttena kirjutas ESET:
„USB-seadmed ja muud teisaldatavad andmekandjad, mida iga kord (vaikimisi) autorun / autoplay funktsioonid kasutavad, on need arvutid kõige sagedamini kasutatavad.”
Conficker oli kõige tuntum, kuid see ei olnud ainus pahavara ohtliku AutoRun-funktsiooni kuritarvitamiseks. AutoRun kui funktsioon on praktiliselt kingitus pahavara autoritele.
Windows Vista keelatud AutoRun vaikimisi, kuid…
Microsoft soovitas lõpuks, et Windowsi kasutajad keelaksid AutoRun-funktsiooni. Windows Vista tegi häid muudatusi, mida Windows 7, 8 ja 8,1 on kõik pärinud.
CD-de, DVD-de ja USB-draivide programmide automaatse käivitamise asemel kuvab Windows nende draivide jaoks ka lihtsalt automaatse taasesituse dialoogi. Kui ühendatud plaadil või draivil on programm, näete seda loendis valikuna. Windows Vista ja hilisemad Windowsi versioonid ei käivita programme automaatselt ilma teie küsimata - peate programmi käivitamiseks ja nakatumiseks klikkima automaatse mängimise dialoogis „Käivita [programm] .exe”..
Aga siiski oleks võimalik, et pahavara leviks automaatse taasesituse kaudu. Kui ühendate arvutiga pahatahtliku USB-draivi, siis olete ikka veel vaid ühe hiireklõpsu kaugusel pahavara käivitamisest dialoogiboksis AutoPlay - vähemalt vaikesätetega. Teised turvameetmed, nagu UAC ja teie viirusetõrje programm, võivad teid kaitsta, kuid te peaksite siiski olema tähelepanelik.
Ja kahjuks on meil USB-seadmetest teadlik isegi turvalisem oht.
Soovi korral saate automaatse taasesituse täielikult või teatud tüüpi draivide puhul keelata, nii et te ei saa automaatse taasesituse hüpikakna, kui sisestate teisaldatava andmekandja arvutisse. Need valikud leiate juhtpaneelilt. Leidke nende otsimiseks juhtpaneeli otsinguväljal otsimine „automaatse taasesituse“ kohta.
Krediidi krediit: aussiegal Flickril, m01229 Flickril, Lordcolus Flickris