Благодаря неудачным дизайнерским решениям, AutoRun когда-то был большой проблемой безопасности в Windows. AutoRun позволил вредоносным программам запускаться сразу после установки дисков и USB-накопителей в компьютер.
Этот недостаток был использован не только авторами вредоносных программ. Это было классно использовано Sony BMG, чтобы скрыть руткит на музыкальных компакт-дисках. Windows автоматически запустится и установит руткит, когда вы вставите в компьютер вредоносный аудио компакт-диск Sony.
Происхождение автозапуска
Автозапуск был функцией, представленной в Windows 95. Когда вы вставили диск с программным обеспечением в компьютер, Windows автоматически прочитала бы диск и – если файл autorun.inf был найден в корневом каталоге диска – автоматически запустила программу. указано в файле autorun.inf.
Вот почему, когда вы вставили компакт-диск с программным обеспечением или диск с игрой для ПК в компьютер, он автоматически запустил установщик или заставку с параметрами. Функция была разработана, чтобы сделать такие диски простыми в использовании, уменьшая путаницу среди пользователей. Если бы автозапуска не было, пользователям пришлось бы открыть окно браузера файлов, перейти к диску и вместо этого запустить файл setup.exe.
Некоторое время это работало довольно хорошо, и больших проблем не было. В конце концов, домашние пользователи не имели простого способа создать свои собственные компакт-диски до того, как устройства записи компакт-дисков получили широкое распространение. Вы действительно встречали только коммерческие диски, и они были в целом заслуживающими доверия.
Но даже в Windows 95, когда был запущен AutoRun, он не был включен для дискет. В конце концов, любой мог поместить любые файлы на дискету. Автозапуск для дискет позволит вредоносным программам распространяться с дискеты на компьютер на дискету на компьютер.
Автозапуск в Windows XP
Windows XP усовершенствовала эту функцию с помощью функции «Автозапуск». Когда вы вставите диск, флэш-накопитель USB или съемный носитель другого типа, Windows проверит его содержимое и предложит вам действия. Например, если вы вставите SD-карту с фотографиями с вашей цифровой камеры, она порекомендует вам сделать что-то подходящее для файлов изображений. Если на диске есть файл autorun.inf, вы увидите опцию, спрашивающую, хотите ли вы также автоматически запускать программу с диска.
Однако Microsoft все еще хотела, чтобы компакт-диски работали так же. Таким образом, в Windows XP компакт-диски и DVD-диски по-прежнему автоматически запускали на них программы, если у них был файл autorun.inf, или автоматически начинали воспроизводить музыку, если они были аудио-компакт-дисками. А благодаря архитектуре безопасности Windows XP эти программы, вероятно, будут запускаться с правами администратора. Другими словами, у них будет полный доступ к вашей системе.
При использовании USB-накопителей, содержащих файлы autorun.inf, программа не будет автоматически запускаться, но предоставит вам опцию в окне автозапуска.
Вы все еще можете отключить это поведение. Были варианты, скрытые в самой операционной системе, в реестре и редакторе групповой политики. Вы также можете удерживать клавишу Shift, когда вставляете диск, и Windows не будет выполнять функцию автозапуска.
Некоторые USB-накопители могут эмулировать компакт-диски, и даже компакт-диски не являются безопасными
Эта защита начала разрушаться немедленно. SanDisk и M-Systems увидели поведение CD AutoRun и хотели использовать его для своих собственных USB-накопителей, поэтому они создали U3-накопители. Эти флэш-накопители эмулировали дисковод компакт-дисков при подключении их к компьютеру, поэтому система Windows XP автоматически запускает на них программы, когда они подключены.
Конечно, даже компакт-диски не являются безопасными. Злоумышленники могут легко записать диск CD или DVD или использовать перезаписываемый диск. Идея о том, что компакт-диски более безопасны, чем USB-накопители, ошибочна.
Бедствие 1: Sony BMG Rootkit Fiasco
В 2005 году Sony BMG начала поставлять руткиты Windows на миллионах своих аудио компакт-дисков. Когда вы вставляете аудио-CD в ваш компьютер, Windows считывает файл autorun.inf и автоматически запускает установщик руткитов, который незаметно заражает ваш компьютер в фоновом режиме. Целью этого было предотвратить копирование музыкального диска или его копирование на компьютер. Поскольку это обычно поддерживаемые функции, руткит должен был разрушить всю операционную систему, чтобы подавить их.
Это стало возможным благодаря AutoRun. Некоторые люди рекомендовали держать Shift всякий раз, когда вы вставляете аудио-CD в ваш компьютер, а другие открыто задавались вопросом, будет ли удерживание Shift для подавления установки руткита рассматриваться как нарушение запретов DMCA на обход обхода защиты от копирования.
Другие ведут хронику долгой, печальной истории ее.Давайте просто скажем, что руткит был нестабильным, вредоносное ПО использовало его, чтобы легче заразить системы Windows, и Sony получила огромный и заслуженный черный глаз на общественной арене.
Бедствие 2: Червь Conficker и другие вредоносные программы
Conficker был особенно неприятным червем, впервые обнаруженным в 2008 году. Помимо прочего, он заражал подключенные USB-устройства и создавал на них файлы autorun.inf, которые автоматически запускали вредоносные программы при подключении к другому компьютеру. Как пишет антивирусная компания ESET:
«USB-накопители и другие съемные носители, доступ к которым осуществляется функциями автозапуска/автозапуска каждый раз (по умолчанию), когда вы подключаете их к компьютеру, являются наиболее часто используемыми носителями вирусов в наши дни».
Conficker был самым известным, но это было не единственное вредоносное ПО, которое злоупотребляло опасными функциями автозапуска. Автозапуск как функция – практически подарок авторам вредоносных программ.
Windows Vista отключила автозапуск по умолчанию, но…
В конечном итоге Microsoft порекомендовала пользователям Windows отключить функцию автозапуска. Windows Vista внесла несколько хороших изменений, которые унаследовали Windows 7, 8 и 8,1
Вместо автоматического запуска программ с компакт-дисков, DVD-дисков и USB-накопителей, маскирующихся под диски, Windows просто отображает диалоговое окно автозапуска и для этих накопителей. Если на подключенном диске или приводе есть программа, вы увидите ее в списке в качестве опции. Windows Vista и более поздние версии Windows не будут автоматически запускать программы без вашего ведома – вам нужно будет выбрать опцию «Запустить [program] .exe» в диалоговом окне «Автозапуск», чтобы запустить программу и заразиться.
Но вредоносное ПО по-прежнему может распространяться через автозапуск. Если вы подключите вредоносный USB-накопитель к вашему компьютеру, вам все равно будет достаточно одного клика до запуска вредоносного ПО через диалоговое окно автозапуска – по крайней мере с настройками по умолчанию. Другие функции безопасности, такие как UAC и ваша антивирусная программа, могут помочь защитить вас, но вы все равно должны быть начеку.
И, к сожалению, теперь у нас есть еще более опасная угроза безопасности со стороны USB-устройств, о которой следует знать.
При желании вы можете полностью отключить автозапуск – или только для определенных типов дисков – так что вы не получите всплывающее окно автозапуска при установке съемного носителя в компьютер. Вы найдете эти опции в панели управления. Выполните поиск «autoplay» в окне поиска панели управления, чтобы найти их.
Изображение предоставлено: австралиец на Flickr, m01229 на Flickr, Lordcolus на Flickr
