Kako AutoRun Malware postal problem na Windows, in kako je bilo (večinoma) Fixed
Zaradi slabih oblikovalskih odločitev je bil AutoRun nekoč velik varnostni problem v sistemu Windows. AutoRun je v pomoč pri zagonu zlonamerne programske opreme takoj, ko v računalnik vstavite diske in pogone USB.
Te napake niso uporabljali samo avtorji zlonamerne programske opreme. Sony BMG je znano uporabljal, da je skrival korenski pripomoček na glasbenih CD-jih. Windows se samodejno zažene in namesti rootkit, ko v računalnik vstavite zlonamerni Sonyjev avdio CD.
Izvor AutoRun
Funkcija AutoRun je bila uvedena v operacijskem sistemu Windows 95. Ko ste v računalnik vstavili ploščo s programsko opremo, bi sistem Windows samodejno prebral disk in - če bi bila v korenskem imeniku diska najdena datoteka autorun.inf - bi samodejno zagnal program podano v datoteki autorun.inf.
Zato, ko v računalnik vstavite CD s programsko opremo ali računalniško igro, se samodejno zažene monter ali splash zaslon z možnostmi. Funkcija je bila zasnovana za preprosto uporabo teh plošč, kar zmanjšuje zmedo med uporabniki. Če samodejni zagon ni obstajal, bi morali uporabniki odpreti okno brskalnika datotek, se pomakniti do diska in od tam zagnati datoteko setup.exe..
To je nekaj časa dobro delovalo in ni bilo večjih težav. Navsezadnje domači uporabniki niso imeli enostavnega načina za izdelavo lastnih zgoščenk, preden so bili zapisani CD-ji zelo razširjeni. Pravzaprav ste naleteli samo na komercialne diske in bili so večinoma vredni zaupanja.
Toda tudi v sistemu Windows 95, ko je bil uveden AutoRun, ni bil omogočen za diskete. Navsezadnje bi lahko kdorkoli postavil želene datoteke na disketo. AutoRun za diskete bi omogočil, da se zlonamerna programska oprema razširja z diskete na računalnik na disketo na računalnik.
Samodejno predvajanje v operacijskem sistemu Windows XP
Windows XP je to funkcijo izboljšal s funkcijo »AutoPlay«. Ko vstavite disk, pogon USB ali drugo vrsto odstranljive medijske naprave, bo Windows preučila njeno vsebino in vam predlagala ukrepe. Če na primer vstavite kartico SD, ki vsebuje fotografije iz digitalnega fotoaparata, vam priporoča, da naredite nekaj, kar je primerno za slikovne datoteke. Če ima pogon datoteko autorun.inf, se prikaže možnost, ki vas vpraša, ali želite tudi samodejno zagnati program iz pogona,.
Vendar je Microsoft še vedno želel, da CD-ji delujejo enako. Torej bi v operacijskem sistemu Windows XP CD-ji in DVD-ji še vedno samodejno zagnali programe na njih, če bi imeli datoteko autorun.inf, ali pa bi se samodejno začeli predvajati glasbo, če bi bili avdio CD-ji. Zaradi varnostne arhitekture sistema Windows XP bi se ti programi verjetno zagnali z dostopom skrbnika. Z drugimi besedami, imeli bi popoln dostop do vašega sistema.
S pogoni USB, ki vsebujejo datoteke autorun.inf, se program ne bo samodejno zagnal, temveč vam bo predstavil možnost v oknu samodejnega predvajanja..
To vedenje bi lahko še vedno onemogočili. V samem operacijskem sistemu, registru in urejevalniku pravilnika skupine so bile zakopane možnosti. Med vstavljanjem diska lahko držite tipko Shift in Windows ne bi izvedel obnašanja pri samodejnem zagonu.
Nekateri pogoni USB lahko posnemajo CD-je, in celo CD-ji niso varni
Ta zaščita se je začela takoj razpadati. SanDisk in M-Systems sta videla obnašanje CD AutoRun in si ga želela za lastne pogone USB, zato sta ustvarila U3 flash pogone. Ti pogoni z emulzijo pogona CD, ko jih povežete z računalnikom, sistem Windows XP samodejno zažene programe na njih, ko so povezani.
Seveda tudi CD-ji niso varni. Napadalci lahko preprosto zapišejo CD ali DVD pogon ali uporabijo pogon za ponovno zapisovanje. Zamisel, da so CD-ji nekako varnejši kot pogoni USB, je napačno usmerjena.
Katastrofa 1: Sony BMG Rootkit Fiasco
Leta 2005 je Sony BMG začel dobavljati Windows rootkite na milijone njihovih avdio CD-jev. Ko vstavite avdio CD v računalnik, Windows prebere datoteko autorun.inf in samodejno zažene namestitveni program za rootkit, ki je v ozadju okužil vaš računalnik. Namen tega je bil preprečiti kopiranje glasbenega diska ali njegovo kopiranje na računalnik. Ker so to običajno podprte funkcije, je moral korenski komplet zrušiti celoten operacijski sistem.
Vse to je bilo mogoče zaradi AutoRuna. Nekateri ljudje so priporočili, da imajo Shift vsakič, ko vstavite zvočni CD v računalnik, drugi pa so se odkrito spraševali, ali bi bilo držanje Shift za preprečitev namestitve korenskega kompleta kršitev prepovedi DMCA proti izogibanju zaščiti pred kopiranjem.
Drugi so zapisali dolgo zgodovinsko zgodbo. Recimo samo, da je bil rootkit nestabilen, malware je izkoristil rootkit, da bi lažje okužil sisteme Windows, Sony pa je dobil veliko in zasluženo črno oko v javnem prostoru..
Katastrofa 2: črv Conficker in druga zlonamerna programska oprema
Conficker je bil še posebej neprijeten črv, ki je bil prvič odkrit leta 2008. Med drugim je okužil priključene naprave USB in ustvaril datoteke autorun.inf, ki bi samodejno zagnale zlonamerno programsko opremo, ko bi bile povezane z drugim računalnikom. Kot antivirusno podjetje je ESET zapisal:
"Pogoni USB in drugi izmenljivi nosilci podatkov, do katerih vsakokrat (po privzeti nastavitvi) dostopate s funkcijami za samodejni zagon / samodejno predvajanje, jih povezujete z računalnikom so najpogosteje uporabljeni virusni nosilci v teh dneh."
Conficker je bil najbolj znan, vendar ni bil edini zlonamerni program, ki bi zlorabil nevarno funkcionalnost AutoRun. Funkcija AutoRun je praktično darilo avtorjem zlonamerne programske opreme.
Windows Vista onemogočen samodejni zagon po privzetku, vendar…
Microsoft je na koncu priporočil, da uporabniki sistema Windows onemogočijo funkcionalnost AutoRun. Windows Vista je naredil nekaj dobrih sprememb, ki so jih Windows 7, 8 in 8,1 vsi podedovali.
Namesto samodejnega zaganjanja programov s CD-jev, DVD-jev in pogonov USB, ki se pretvarjajo v diske, Windows preprosto prikaže pogovorno okno samodejnega predvajanja za te pogone. Če ima povezan disk ali pogon program, ga boste videli kot možnost na seznamu. Windows Vista in novejše različice operacijskega sistema Windows ne bodo samodejno zagnale programov, ne da bi vas vprašale - kliknite pogovorno okno »Zaženi [program] .exe« v pogovornem oknu Samodejno predvajanje, da zaženete program in se okužite.
Še vedno pa bi bilo mogoče, da se zlonamerna programska oprema širi prek funkcije AutoPlay. Če v računalnik priključite zlonamerni pogon USB, ste še vedno samo en klik stran od zaganjanja zlonamerne programske opreme v pogovornem oknu Samodejno predvajanje - vsaj s privzetimi nastavitvami. Druge varnostne funkcije, kot je UAC in vaš protivirusni program, vam lahko pomagajo zaščititi, vendar bi morali biti še vedno pozorni.
In na žalost imamo zdaj še bolj grozljivo varnostno grožnjo z napravami USB, da se zavedamo.
Če želite, lahko onemogočite samodejno predvajanje v celoti - ali samo za določene vrste pogonov - tako da ne boste dobili pojavnega okna samodejnega predvajanja, ko v računalnik vstavite izmenljivi medij. Te možnosti najdete na nadzorni plošči. V iskalnem polju Nadzorne plošče poiščite »samodejno predvajanje«, da jih poiščete.
Zasluge za sliko: aussiegal na Flickr, m01229 na Flickr, Lordcolus na Flickr