כיצד Malware AutoRun הפך בעיה ב- Windows, וכיצד היה (בעיקר) קבוע

הודות להחלטות עיצוב גרועות, AutoRun היה פעם בעיה אבטחה ענקית ב- Windows. AutoRun אפשרה באופן פעיל להפעיל תוכנות זדוניות ברגע שהכנסת דיסקים וכונני USB למחשב.

פגם זה לא נוצל רק על ידי מחברים תוכנות זדוניות. זה היה בשימוש מפורסם על ידי Sony BMG להסתיר rootkit על תקליטורי מוסיקה. Windows יפעל באופן אוטומטי ולהתקין את rootkit בעת הכנסת תקליטור שמע זדוני של Sony למחשב.

מוצא AutoRun

AutoRun הייתה תכונה שהובאה ב- Windows 95. כאשר הכנסת תקליטור תוכנה למחשב שלך, Windows היה קורא את הדיסק באופן אוטומטי, ו - אם הקובץ autorun.inf נמצא בספריית השורש של הדיסק - זה היה באופן אוטומטי להשיק את התוכנית שצוין בקובץ autorun.inf.

זו הסיבה, כאשר אתה מכניס תקליטור תוכנה או דיסק משחק במחשב, זה באופן אוטומטי השיקה מתקין או מסך הפתיחה עם אפשרויות. התכונה נועדה להפוך את הדיסקים האלה לקלים לשימוש, ובכך לצמצם את הבלבול של המשתמש. אם AutoRun לא היה קיים, המשתמשים יצטרכו לפתוח את חלון הדפדפן של הקובץ, לנווט אל הדיסק ולהפעיל שם קובץ setup.exe במקום זאת.

זה עבד די טוב במשך זמן מה, ולא היו בעיות גדולות. אחרי הכל, משתמשים ביתיים לא היתה דרך קלה לייצר תקליטורים משלהם לפני מבערי תקליטורים היו נפוצים. אתה באמת באמת נתקל בתקליטורים מסחריים, והם היו בדרך כלל אמין.

אבל אפילו בחזרה ב- Windows 95 כאשר AutoRun הוצג, זה לא היה מופעל עבור תקליטונים. אחרי הכל, כל אחד יכול לשים את כל הקבצים שהם רוצים על דיסקט. AutoRun עבור תקליטונים יאפשר תוכנות זדוניות להתפשט מ תקליטונים למחשב כדי תקליטונים למחשב.

הפעלה אוטומטית ב - Windows XP

Windows XP שיפץ תכונה זו עם פונקציית "הפעלה אוטומטית". בעת הכנסת דיסק, כונן הבזק מסוג USB או סוג אחר של התקן מדיה נשלפת, Windows יבדוק את תוכנו ויציע לך פעולות. לדוגמה, אם אתה מכניס כרטיס SD המכיל תמונות מהמצלמה הדיגיטלית שלך, הוא ימליץ לך לעשות משהו מתאים לקובצי תמונות. אם כונן יש קובץ autorun.inf, תראה אפשרות לשאול אם אתה רוצה להפעיל באופן אוטומטי תוכנית מהכונן.

עם זאת, מיקרוסופט עדיין רצתה תקליטורים לעבוד אותו. לכן, ב- Windows XP, תקליטורים ו- DVD עדיין יפעילו תוכניות באופן אוטומטי אם יש להם קובץ autorun.inf, או באופן אוטומטי להתחיל לנגן את המוסיקה שלהם אם הם היו תקליטורי שמע. בנוסף, בשל הארכיטקטורה האבטחה של Windows XP, תוכניות אלה היו כנראה ההשקה עם גישה למנהל. במילים אחרות, תהיה להם גישה מלאה למערכת שלך.

עם כונני USB המכילים קבצי autorun.inf, התוכנית לא תפעל באופן אוטומטי, אך תציג בפניך את האפשרות בחלון הפעלה אוטומטית.

עדיין תוכל להשבית את ההתנהגות הזו. קיימות אפשרויות קבורות במערכת ההפעלה עצמה, ברישום ובעורך המדיניות הקבוצתית. אתה יכול גם להחזיק את מקש Shift בעת הכנסת דיסק ו- Windows לא יבצע את התנהגות AutoRun.

כמה כונני USB יכול לחקות תקליטורים, ואפילו תקליטורים אינם בטוחים

הגנה זו החלה להישבר מיד. SanDisk ו- M-Systems ראו את התנהגות התקליטור האוטומטית ורצו אותה עבור כונני הבזק מסוג USB שלהם, כך שהם יצרו כונני הבזק מסוג U3. כונני flash אלה מחקים כונן תקליטורים בעת חיבורם למחשב, כך שמערכת Windows XP תפעיל באופן אוטומטי תוכניות כאשר הם מחוברים.

כמובן, אפילו תקליטורים אינם בטוחים. תוקף יכול בקלות לצרוב תקליטור או כונן DVD, או להשתמש בכונן rewritable. הרעיון כי תקליטורים איכשהו בטוח יותר מאשר כונני USB הוא מוטעה.

אסון 1: סוני BMG רוטקיט פיאסקו

בשנת 2005, Sony BMG החלה משלוח rootkits Windows על מיליוני תקליטורי שמע שלהם. כאשר הכנסת את תקליטור השמע למחשב שלך, Windows היה קורא את הקובץ autorun.inf ולהפעיל באופן אוטומטי את ההתקנה rootkit, אשר נגוע בחשאי המחשב שלך ברקע. המטרה היתה למנוע ממך להעתיק את תקליטור המוסיקה או לקרוע אותו למחשב שלך. כי אלה הם בדרך כלל פונקציות הנתמכות, rootkit היה לחתוך את כל מערכת ההפעלה כדי לדכא אותם.

כל זה היה אפשרי הודות AutoRun. כמה אנשים המליצו לשמור Shift בכל פעם שהכנסת תקליטור שמע למחשב שלך, ואחרים תהו בגלוי אם החזקת Shift כדי לדכא את rootkit מההתקנה ייחשב כהפרה של האיסור על עקיפת ה- DMCA של איסור נגד עקיפת הגנה מפני העתקה.

אחרים תיארו את ההיסטוריה הארוכה, הסליחה. בוא נגיד את rootkit היה יציב, תוכנות זדוניות ניצלו את rootkit כדי להדביק בקלות רבה יותר את מערכות Windows, וסוני יש ענקית ראויה היטב עין שחורה בזירה הציבורית.

אסון 2: תולעת Conficker ותוכנות זדוניות אחרות

Conficker היה תולעת מגעיל במיוחד זוהה לראשונה בשנת 2008. בין היתר, זה נגוע התקני USB מחובר ויצר קבצים autorun.inf עליהם כי באופן אוטומטי להפעיל תוכנות זדוניות כאשר הם היו מחוברים למחשב אחר. כמו חברת האנטי וירוס ESET כתב:

"כונני USB ומדיה נשלפת אחרת, אשר נגישים על ידי פונקציות Autorun / Autoplay בכל פעם (כברירת מחדל) אתה מחבר אותם למחשב שלך, הם הנפוצים ביותר הנשאים וירוסים בימים אלה."

Conficker היה הכי מוכר, אבל זה לא היה רק ​​תוכנות זדוניות כדי לנצל את הפונקציונליות AutoRun מסוכן. AutoRun כתכונה היא למעשה מתנה מחברים תוכנות זדוניות.

Windows Vista מושבתת אוטומטית על ידי ברירת מחדל, אבל ...

בסופו של דבר המליצה מיקרוסופט למשתמשי Windows להשבית את הפונקציונליות AutoRun. Windows Vista עשה כמה שינויים טובים כי Windows 7, 8, ו 8,1 יש כל בירושה.

במקום להפעיל אוטומטית תוכניות מתקליטורים, תקליטורי DVD וכונני USB שמתחזים לדיסקים, Windows פשוט מציג את תיבת הדו-שיח AutoPlay עבור כוננים אלה. אם לדיסק או לכונן מחובר יש תוכנית, תראה אותה כאפשרות ברשימה. Windows Vista וגירסאות מתקדמות יותר של Windows לא יפעילו באופן אוטומטי תוכניות מבלי לשאול אותך - יהיה עליך ללחוץ על האפשרות "הפעל [תוכנית] .exe" בתיבת הדו-שיח 'הפעלה אוטומטית' כדי להפעיל את התוכנית ולהידבק בה.

אבל זה עדיין יהיה אפשרי עבור תוכנות זדוניות להתפשט באמצעות AutoPlay. אם אתה מחבר כונן USB זדוני למחשב שלך, אתה עדיין במרחק קליק אחד בלבד מלהפעיל את התוכנה הזדונית באמצעות תיבת הדו-שיח 'הפעלה אוטומטית' - לפחות עם הגדרות ברירת המחדל. תכונות אבטחה אחרות כמו UAC ותוכנית האנטי-וירוס שלך יכולות לסייע בהגנה עליך, אך עדיין עליך להיות ערני.

ולמרבה הצער, עכשיו יש לנו איום ביטחוני אפילו מפחיד יותר ממכשירי USB להיות מודעים.

אם תרצה, באפשרותך להשבית את AutoPlay לחלוטין - או רק עבור סוגים מסוימים של כוננים - כך שלא תקבל הפעלה אוטומטית מוקפצת בעת הכנסת מדיה נשלפת למחשב. אפשרויות אלה מופיעות בלוח הבקרה. בצע חיפוש אחר "הפעלה אוטומטית" בתיבת החיפוש של לוח הבקרה כדי למצוא אותם.

תמונה אשראי: aussiegal על פליקר, m01229 על Flickr, Lordcolus על Flickr