Hvordan AutoRun Malware ble et problem på Windows, og hvordan det var (for det meste) Fast
Takket være dårlige designbeslutninger var AutoRun en gang et stort sikkerhetsproblem på Windows. AutoRun hjelpelig lovlig skadelig programvare å starte så snart du setter inn plater og USB-stasjoner i datamaskinen.
Denne feilen ble ikke bare utnyttet av malwareforfattere. Det ble berømt brukt av Sony BMG til å skjule en rootkit på musikk-CDer. Windows vil automatisk kjøre og installere rootkit når du setter inn en skadelig Sony lyd-CD i datamaskinen.
Opprinnelsen til AutoRun
AutoRun var en funksjon introdusert i Windows 95. Når du setter inn en programvareplate i datamaskinen, vil Windows automatisk lese platen, og - hvis en autorun.inf-fil ble funnet i rotkatalogen på platen, ville programmet automatisk starte programmet spesifisert i autorun.inf-filen.
Dette er grunnen til at når du setter inn en programvare-CD eller PC-spillplate i datamaskinen, lanserte den automatisk et installasjonsprogram eller en splash-skjerm med alternativer. Funksjonen ble designet for å gjøre slike plater enkle å bruke, noe som reduserte brukerforvirring. Hvis AutoRun ikke eksisterte, må brukerne åpne filleservinduet, navigere til platen og starte en setup.exe-fil derfra i stedet for.
Dette virket ganske bra for en tid, og det var ingen store problemer. Tross alt hadde hjemmebrukere ikke en enkel måte å produsere sine egne CDer før CD-brennere var utbredt. Du ville virkelig bare komme over kommersielle plater, og de var generelt troverdige.
Men selv tilbake i Windows 95 da AutoRun ble introdusert, var det ikke aktivert for disketter. Tross alt, kan noen plassere hvilke filer de ønsket på en diskett. AutoRun for disketter ville tillate at skadelig programvare spredes fra diskett til datamaskin til diskett til datamaskin.
AutoPlay i Windows XP
Windows XP raffinerte denne funksjonen med en "AutoPlay" -funksjon. Når du setter inn en plate, USB-minnepinne eller en annen type flyttbar medieenhet, vil Windows undersøke innholdet og foreslå handlinger for deg. Hvis du for eksempel setter inn et SD-kort som inneholder bilder fra digitalkameraet, vil det anbefale at du gjør noe som passer for bildefiler. Hvis en stasjon har en autorun.inf-fil, ser du et alternativ som spør om du også vil kjøre et program fra stasjonen også.
Imidlertid ønsket Microsoft fortsatt CDer å fungere på samme måte. Så i Windows XP vil CDer og DVDer fremdeles automatisk kjøre programmer på dem hvis de hadde en autorun.inf-fil, eller ville automatisk begynne å spille av musikk hvis de var lyd-CDer. Og på grunn av sikkerhetsarkitekturen i Windows XP, vil disse programmene sannsynligvis starte med administratortilgang. Med andre ord, de ville ha full tilgang til systemet ditt.
Med USB-stasjoner som inneholder autorun.inf-filer, vil programmet ikke automatisk kjøre, men vil presentere deg med alternativet i et AutoPlay-vindu.
Du kan fortsatt deaktivere denne oppførselen. Det var muligheter begravet i selve operativsystemet, i registret, og gruppepolicyredaktøren. Du kan også holde nede Shift-tasten mens du setter inn en plate, og Windows vil ikke utføre AutoRun-oppførselen.
Noen USB-stasjoner kan emulere CDer, og til og med CDer er ikke trygge
Denne beskyttelsen begynte å bryte ned umiddelbart. SanDisk og M-Systems så CD-AutoRun-oppførelsen og ønsket det for sine egne USB-flash-stasjoner, slik at de opprettet U3-flash-stasjoner. Disse flash-stasjonene emulerte en CD-stasjon når du kobler dem til en datamaskin, slik at et Windows XP-system automatisk starter programmer på dem når de er tilkoblet.
Selvfølgelig er ikke selv CDer trygge. Attackere kan enkelt brenne en CD eller DVD-stasjon, eller bruke en omskrivbar stasjon. Ideen om at CDer er noe sikrere enn USB-stasjoner, er feilkoplet.
Katastrofe 1: Sony BMG Rootkit Fiasco
I 2005 begynte Sony BMG å sende Windows rootkits på millioner av lyd-CDer. Når du setter inn lyd-CDen i datamaskinen, leser Windows autorun.inf-filen og kjører automatisk rootkit-installatøren, som smittet smittet datamaskinen i bakgrunnen. Hensikten med dette var å hindre at du kopierer musikkdisken eller rippe den til datamaskinen. Fordi disse er normalt støttede funksjoner, måtte rootkit undergrave hele operativsystemet for å undertrykke dem.
Dette var alt mulig takket være AutoRun. Noen anbefalte å holde Shift når du satte inn en lyd-CD i datamaskinen, og andre åpenbart lurte på om å holde Shift for å undertrykke rootkit fra installasjon ville bli ansett som et brudd på DMCAs forbud mot omgåelse mot omgå kopibeskyttelse.
Andre har kronet den lange, beklager historien henne. La oss bare si at rootkit var ustabil, malware tok fordel av rootkit for å lettere infisere Windows-systemer, og Sony fikk et stort og velfortjent svart øye i den offentlige arenaen.
Disaster 2: The Conficker Worm og annen malware
Conficker var en spesielt stygg orm først oppdaget i 2008. Blant annet smittet det USB-enheter og skapte autorun.inf-filer på dem som automatisk skulle kjøre skadelig programvare når de var koblet til en annen datamaskin. Som antivirusvirksomhet ESET skrev:
"USB-stasjoner og andre flyttbare medier, som nås av Autorun / Autoplay-funksjonalitetene hver gang (som standard) du kobler dem til datamaskinen din, er de mest brukte virusbærerne i disse dager."
Conficker var den mest kjente, men det var ikke den eneste malware for å misbruke den farlige AutoRun-funksjonaliteten. AutoRun som en funksjon er praktisk talt en gave til malwareforfattere.
Windows Vista deaktivert AutoRun som standard, men ...
Microsoft anbefalte slutt at Windows-brukere deaktiverer AutoRun-funksjonaliteten. Windows Vista har gjort noen gode endringer som Windows 7, 8 og 8,1 har alle arvet.
I stedet for automatisk å kjøre programmer fra CDer, DVDer og USB-stasjoner som maskerer som plater, viser Windows ganske enkelt AutoPlay-dialogboksen for disse stasjonene også. Hvis en tilkoblet plate eller stasjon har et program, ser du det som et alternativ i listen. Windows Vista og nyere versjoner av Windows kjører ikke automatisk programmer uten å spørre deg - du må klikke på "Kjør [program] .exe" i dialogboksen AutoPlay for å kjøre programmet og bli smittet.
Men det vil fortsatt være mulig for malware å spre seg via AutoPlay. Hvis du kobler en skadelig USB-stasjon til datamaskinen, er du fremdeles bare ett klikk unna å kjøre malware via dialogboksen AutoPlay - i hvert fall med standardinnstillingene. Andre sikkerhetsfunksjoner som UAC og antivirusprogrammet kan bidra til å beskytte deg, men du bør fortsatt være oppmerksom.
Og dessverre har vi nå en enda skremmende sikkerhetstrussel fra USB-enheter for å være klar over.
Hvis du vil, kan du deaktivere AutoPlay helt - eller bare for bestemte typer stasjoner - slik at du ikke får en automatisk spill-popup når du setter inn flyttbart media i datamaskinen. Du finner disse alternativene i Kontrollpanel. Utfør et søk etter "autoplay" i kontrollpanelens søkeboks for å finne dem.
Image Credit: aussiegal på Flickr, m01229 på Flickr, Lordcolus på Flickr