Početna » kako da » Kako AutoRun Malware postao problem na Windowsima, i kako je (uglavnom) Fixed

    Kako AutoRun Malware postao problem na Windowsima, i kako je (uglavnom) Fixed

    Zahvaljujući lošim dizajnerskim odlukama, AutoRun je nekada bio veliki sigurnosni problem u sustavu Windows. AutoRun je korisno dopustio pokretanje zlonamjernog softvera čim ste u računalo umetnuli diskove i USB pogone.

    Ovu manu nisu koristili samo autori zlonamjernog softvera. Sony BMG je slavno koristio za skrivanje rootkita na glazbenim CD-ovima. Windows će automatski pokrenuti i instalirati rootkit kada umetnete zlonamjerni Sony audio CD u vaše računalo.

    Podrijetlo AutoRuna

    AutoRun je značajka uvedena u sustavu Windows 95. Kada ste umetnuli softverski disk u računalo, Windows će automatski pročitati disk i - ako je datoteka autorun.inf pronađena u korijenskom direktoriju diska - automatski će pokrenuti program naveden u datoteci autorun.inf.

    To je razlog zašto, kada ste umetnuli CD sa softverom ili disk za PC igre u vaše računalo, on je automatski pokrenuo instalacijski ili početni zaslon s opcijama. Značajka je dizajnirana da takve diskove učini jednostavnom za korištenje, smanjujući konfuziju korisnika. Ako AutoRun nije postojao, korisnici će morati otvoriti prozor preglednika datoteka, otići na disk i pokrenuti datoteku setup.exe.

    To je dobro funkcioniralo neko vrijeme, i nije bilo velikih problema. Uostalom, kućni korisnici nisu imali jednostavan način izrade vlastitih CD-a prije nego su CD pisači bili rašireni. Stvarno biste naišli samo na komercijalne diskove i bili su općenito pouzdani.

    Ali čak iu sustavu Windows 95 kada je uveden AutoRun, nije bio omogućen za diskete. Uostalom, svatko bi mogao postaviti bilo koje datoteke koje su htjeli na disketu. AutoRun za diskete omogućit će širenju zlonamjernog softvera s diskete na računalo na disketu na računalo.

    Automatska reprodukcija u sustavu Windows XP

    Windows XP je poboljšao ovu značajku pomoću funkcije "Automatska reprodukcija". Kada umetnete disk, USB izbrisivi memorijski pogon ili neku drugu vrstu izmjenjivih medija, Windows će pregledati njegov sadržaj i predložiti vam radnje. Na primjer, ako umetnete SD karticu koja sadrži fotografije s digitalnog fotoaparata, preporučit će vam da učinite nešto prikladno za slikovne datoteke. Ako pogon ima datoteku autorun.inf, vidjet ćete opciju koja vas pita želite li i automatski pokrenuti program s pogona.

    Međutim, Microsoft je i dalje želio da CD-ovi rade isto. Dakle, u sustavu Windows XP, CD-ovi i DVD-ovi će i dalje automatski pokretati programe na njima ako imaju autorun.inf datoteku ili će automatski početi reproducirati svoju glazbu ako su audio CD-ovi. A zbog sigurnosne arhitekture sustava Windows XP, ti programi će se vjerojatno pokrenuti s administratorskim pristupom. Drugim riječima, imali bi potpuni pristup vašem sustavu.

    S USB pogonima koji sadrže datoteke autorun.inf, program se neće automatski pokrenuti, nego će vam pružiti opciju u prozoru automatske reprodukcije.

    I dalje možete onemogućiti takvo ponašanje. U samom operativnom sustavu, registru i uređivaču pravila grupe bilo je zakopanih opcija. Također možete držati tipku Shift dok ste umetnuli disk, a Windows ne bi izvršio ponašanje automatskog pokretanja.

    Neki USB diskovi mogu emulirati CD-ove, pa čak i CD-ovi nisu sigurni

    Ta se zaštita odmah počela kvariti. SanDisk i M-Systems vidjeli su ponašanje CD AutoRun i željeli su to za vlastite USB flash pogone, pa su stvorili U3 flash pogone. Ovi flash pogoni emuliraju CD pogon kada ih povežete s računalom, tako da će sustav Windows XP automatski pokrenuti programe na njima kada budu povezani.

    Naravno, ni CD-ovi nisu sigurni. Napadači mogu lako snimiti CD ili DVD pogon ili koristiti pogon s mogućnošću ponovnog snimanja. Ideja da su CD-ovi na neki način sigurniji od USB pogona je pogrešna.

    Katastrofa 1: Sony BMG Rootkit Fiasco

    Godine 2005. Sony BMG počeo je isporučivati ​​Windows rootkite na milijune njihovih audio CD-ova. Kada umetnete audio CD u računalo, Windows će pročitati datoteku autorun.inf i automatski pokrenuti instalacijski program za rootkit, koji je u pozadini zarazio računalo. Svrha je bila spriječiti kopiranje glazbenog diska ili njegovo kopiranje na računalo. Budući da su to normalno podržane funkcije, rootkit je morao potkopati vaš cijeli operativni sustav kako bi ih potisnuo.

    Sve je to bilo moguće zahvaljujući AutoRunu. Neki su ljudi preporučili da drže Shift svaki put kad umetnete audio CD u računalo, a drugi se otvoreno zapitaju bi li se držanjem Shifta kako bi se spriječilo instaliranje rootkita, smatralo kršenjem zabrane DMCA protiv zaobilaženja zaštite od kopiranja.

    Drugi su zabilježili dugu, žalosnu povijest. Recimo samo da je rootkit bio nestabilan, malware je iskoristio rootkit kako bi lakše zarazio Windows sustave, a Sony je dobio ogromno i zasluženo crno oko u javnoj areni..

    Katastrofa 2: Conficker crv i ostali zlonamjerni programi

    Conficker je bio osobito gadan crv koji je prvi put otkriven 2008. godine. Između ostalog, zarazio je spojene USB uređaje i na njima stvorio autorun.inf datoteke koje bi automatski pokrenule zlonamjerni softver kad su bile povezane s drugim računalom. Kao antivirusno poduzeće ESET je napisao:

    "USB pogoni i drugi izmjenjivi mediji, kojima pristupaju funkcije automatskog pokretanja / automatske reprodukcije svaki put (prema zadanim postavkama) koje ih povezujete s računalom, najčešće su korišteni nositelji virusa ovih dana."

    Conficker je bio najpoznatiji, ali nije bio jedini zlonamjerni softver koji je mogao zloupotrijebiti opasnu AutoRun funkcionalnost. AutoRun kao značajka praktički je dar autorima zlonamjernih programa.

    Windows Vista onemogućio automatsko pokretanje prema zadanim postavkama, ali…

    Microsoft je naposljetku preporučio da korisnici sustava Windows onemoguće funkcionalnost automatskog pokretanja. Windows Vista je napravio neke dobre promjene koje su Windows 7, 8 i 8,1 naslijedile.

    Umjesto automatskog pokretanja programa s CD-a, DVD-a i USB pogona koji se maskiraju kao diskovi, Windows jednostavno prikazuje dijaloški okvir Automatska reprodukcija za te pogone. Ako povezani disk ili pogon ima program, vidjet ćete ga kao opciju na popisu. Windows Vista i novije verzije sustava Windows neće automatski pokretati programe bez pitanja - morat ćete kliknuti opciju "Pokreni [program] .exe" u dijaloškom okviru Automatska reprodukcija da biste pokrenuli program i zarazili se.

    No, ipak bi bilo moguće da se zlonamjerni softver širi putem značajke automatske reprodukcije. Ako na računalo spojite zlonamjerni USB pogon, još uvijek ste udaljeni jedan klik od pokretanja zlonamjernog softvera putem dijaloškog okvira Automatska reprodukcija - barem sa zadanim postavkama. Ostale sigurnosne značajke poput UAC-a i antivirusnog programa mogu vam pomoći u zaštiti, ali i dalje trebate biti oprezni.

    I, nažalost, sada imamo još opasnije sigurnosne prijetnje od USB uređaja koje trebamo biti svjesni.


    Ako želite, možete u potpunosti onemogućiti automatsku reprodukciju - ili samo za određene vrste pogona - tako da nećete dobiti skočni prozor s automatskom reprodukcijom kada umetnete prijenosni medij u računalo. Te ćete mogućnosti pronaći na upravljačkoj ploči. Izvršite pretraživanje za "automatsku reprodukciju" u okviru za pretraživanje na upravljačkoj ploči kako biste ih pronašli.

    Kredit za slike: aussiegal na Flickr, m01229 na Flickr, Lordcolus na Flickr