Этот недостаток использовался не только авторами вредоносных программ. Это было классно использовано Sony BMG, чтобы скрыть руткит на музыкальных компакт-дисках. Windows автоматически запускает и устанавливает руткит, когда вы вставляете вредоносный звуковой компакт-диск Sony в свой компьютер.
Происхождение AutoRun
AutoRun - это функция, представленная в Windows 95. Когда вы вставили диск с программным обеспечением в свой компьютер, Windows автоматически прочитает диск, и - если файл autorun.inf был найден в корневом каталоге диска - он автоматически запустит программу указанный в файле autorun.inf.
Вот почему, когда вы вставили в компьютер компакт-диск с программным обеспечением или компьютерный компьютер, он автоматически запустил установщик или заставку с параметрами. Эта функция была разработана таким образом, чтобы сделать такие диски удобными в использовании, уменьшая путаницу пользователей. Если AutoRun не существует, пользователям придется открыть окно браузера файлов, перейти к диску и запустить там файл setup.exe.
На какое-то время это работало довольно хорошо, и проблем не было. В конце концов, у домашних пользователей не было простого способа создать свои собственные компакт-диски до того, как были созданы компакт-диски. Вы бы действительно натолкнулись на коммерческие диски, и они были в целом заслуживающими доверия.
Но даже в Windows 95, когда был введен AutoRun, он не был включен для флоппи-дисков. В конце концов, любой может разместить любые файлы, которые они хотели бы на гибком диске. AutoRun для гибких дисков позволит распространить вредоносное ПО с дискеты на компьютер на гибкий диск на компьютер.
Автозапуск в Windows XP
Windows XP улучшила эту функцию с помощью функции «AutoPlay». Когда вы вставили диск, флэш-накопитель USB или другой тип съемного медиа-устройства, Windows проверит его содержимое и предложит вам действия. Например, если вы вставите SD-карту, содержащую фотографии с цифровой камеры, она порекомендует вам сделать что-то подходящее для файлов изображений. Если на диске есть файл autorun.inf, вы увидите опцию, запрашивающую, хотите ли вы автоматически запускать программу с диска.
Однако Microsoft по-прежнему хотела, чтобы компакт-диски работали одинаково. Таким образом, в Windows XP компакт-диски и DVD-диски будут автоматически запускать программы на них, если они имеют файл autorun.inf, или автоматически начнут воспроизводить музыку, если они будут аудио-CD. И, из-за архитектуры безопасности Windows XP, эти программы, вероятно, будут запускаться с доступом администратора. Другими словами, у них будет полный доступ к вашей системе.
С USB-накопителями, содержащими файлы autorun.inf, программа не будет автоматически запускаться, но представит вам эту опцию в окне AutoPlay.
Вы все равно можете отключить это поведение. Были варианты, зарытые в самой операционной системе, в реестре и в редакторе групповой политики. Вы также можете удерживать клавишу Shift при вставлении диска, и Windows не будет выполнять поведение AutoRun.
Некоторые USB-накопители могут эмулировать компакт-диски, а даже компакт-диски не являются безопасными
Эта защита начала немедленно разрушаться. SanDisk и M-Systems видели поведение CD AutoRun и хотели его для своих собственных флеш-накопителей USB, поэтому они создали флеш-накопители U3. Эти флеш-накопители эмулируют дисковод компакт-дисков, когда вы подключаете их к компьютеру, поэтому система Windows XP автоматически запускает на них программы, когда они подключены.
Конечно, даже компакт-диски небезопасны. Атакующие могут легко записать CD или DVD-привод или использовать перезаписываемый диск. Идея о том, что компакт-диски как-то безопаснее USB-накопителей, неверна.
Бедствие 1: Sony BMG Rootkit Fiasco
В 2005 году Sony BMG начала поставки руткитов Windows на миллионы своих аудиодисков. Когда вы вставили аудио CD в свой компьютер, Windows прочитает файл autorun.inf и автоматически запустит установщик руткитов, который скрытно заразил ваш компьютер в фоновом режиме. Целью этого было запретить копирование музыкального диска или копирование его на компьютер. Поскольку это нормально поддерживаемые функции, руткит должен был подорвать всю вашу операционную систему, чтобы подавить их.
Это стало возможным благодаря AutoRun. Некоторые люди рекомендовали держать Shift всякий раз, когда вы вставили аудиодиск в свой компьютер, а другие открыто задавались вопросом, будет ли удерживание Shift подавлять руткит от установки, будет считаться нарушением запретов DMCA против обхода против обхода защиты от копирования.
Другие излагали длинную, извините историю ее. Скажем, руткит был нестабильным, вредоносное ПО использовало руткит для более легкой заражения систем Windows, а Sony получила огромный и заслуженный черный глаз на публичной арене.
Бедствие 2: червь Conficker и другие вредоносные программы
Conficker был особенно неприятным червем, впервые обнаруженным в 2008 году. Среди прочего он заразил подключенные USB-устройства и создал на нем файлы autorun.inf, которые автоматически запускали вредоносную программу, когда они были подключены к другому компьютеру. Как сообщила антивирусная компания ESET:
“USB drives and other removable media, which are accessed by the Autorun/Autoplay functionalities each time (by default) you connect them to your computer, are the most frequently used virus carriers these days.”
Conficker был самым известным, но это была не единственная вредоносная программа, которая злоупотребляла опасной функциональностью AutoRun. AutoRun как функция является практически подарком для авторов вредоносных программ.
Windows Vista отключена Автозапуск по умолчанию, но …
Microsoft в конечном итоге рекомендовала пользователям Windows отключить функциональность AutoRun. Windows Vista внесла некоторые изменения, которые все унаследовали Windows 7, 8 и 8,1.
Вместо автоматического запуска программ с компакт-дисков, DVD-дисков и USB-накопителей, маскирующих себя как диски, Windows просто показывает диалоговое окно AutoPlay для этих дисков. Если подключенный диск или диск имеет программу, вы увидите его в качестве опции в списке. Windows Vista и более поздние версии Windows не будут автоматически запускать программы, не спрашивая вас - вам нужно нажать кнопку «Запустить [program].exe» в диалоговом окне AutoPlay, чтобы запустить программу и заразиться.
И, к сожалению, у нас теперь есть еще более страшная угроза безопасности с USB-устройств, о которых нужно знать.
Если вам нравится, вы можете полностью отключить AutoPlay - или только для определенных типов дисков - поэтому вы не получите всплывающее окно AutoPlay, когда вы вставляете сменный носитель в свой компьютер. Эти параметры вы найдете в панели управления. Выполните поиск «автовоспроизведение» в поле поиска панели управления, чтобы найти их.
