Този недостатък не е бил използван само от автори на злонамерен софтуер. Това е известно, че се използва от Sony BMG, за да скрие rootkit на музикални компактдискове. Windows ще се стартира автоматично и ще инсталира rootkit, когато в компютъра ви вкарате злонамерен аудио компактдиск.
Произходът на авторското право
AutoRun е функция, въведена в Windows 95. Когато сте вмъкнали софтуерен диск в компютъра си, Windows автоматично ще чете диска и - ако в root директорията на диска е намерен файл autorun.inf, той автоматично ще стартира програмата посочени в файла autorun.inf.
Ето защо, когато сте вмъкнали компактдиск със софтуер или компютърна игра в компютъра си, той автоматично стартира инсталационен или начален екран с опции. Функцията е създадена, за да направи такива дискове лесни за употреба, намалявайки объркването на потребителите. Ако AutoRun не съществува, потребителите ще трябва да отворят прозореца на файловия браузър, да се придвижват до диска и вместо това да стартират файла setup.exe.
Това работи доста добре за известно време и нямаше големи проблеми. В края на краищата домашните потребители не разполагаха с лесен начин да създадат собствени компактдискове преди разпространението на компакт-дисковете. Наистина сте се сблъсквали само с търговски дискове и те обикновено са били надеждни.
Но дори и обратно в Windows 95, когато беше въведен AutoRun, той не бе разрешен за флопи дискове. В края на краищата, всеки би могъл да постави каквито файлове искат на флопи диск. AutoRun за флопи дискове ще позволи разпространението на зловреден софтуер от флопи до компютър към флопи към компютър.
Автоматично възпроизвеждане в Windows XP
Windows XP усъвършенства тази функция с функция "Автоматично изпълнение". Когато поставите диск, USB флаш устройство или друг вид подвижно медийно устройство, Windows ще проучи съдържанието му и ще предложи действия за вас. Ако например вкарате SD карта, съдържаща снимки от вашия цифров фотоапарат, тя ще ви препоръча да направите нещо подходящо за картинни файлове. Ако устройството има файл autorun.inf, ще видите опция, която ви пита дали искате автоматично да стартирате програма и от устройството.
Microsoft все пак иска CD-та да работят по същия начин. Така че, в Windows XP, компактдисковете и DVD-ите все пак ще пускат автоматично програми върху тях, ако имат файл autorun.inf или автоматично ще започнат да слушат музиката си, ако са аудио компактдискове. И благодарение на архитектурата за сигурност на Windows XP тези програми вероятно ще започнат с достъп от администратора. С други думи, те ще имат пълен достъп до вашата система.
При USB устройства, съдържащи файлове autorun.inf, програмата няма да се стартира автоматично, но ще ви предостави опцията в прозореца за автоматично изпълнение.
Все още можете да деактивирате това поведение. Имаше опции, скрити в самата операционна система, в системния регистър и в редактора на груповите политики. Можете също да задържите клавиша Shift, когато поставите диск, а Windows няма да изпълни поведението на AutoRun.
Някои USB дискове могат да симулират компактдискове и дори CD-то не са безопасни
Тази защита започва незабавно да се разпадне. SanDisk и M-Systems видяха поведението на CD AutoRun и го пожелаха за собствените си USB флаш памети, затова създадоха U3 флаш дискове. Тези флаш устройства са емулирани с CD устройство, когато ги свързвате с компютър, така че системата на Windows XP автоматично ще стартира програми върху тях, когато са свързани.
Разбира се, дори компактдисковете не са безопасни. Атакуващите могат лесно да запишат CD или DVD устройство или да използват презаписващо устройство. Идеята, че компактдисковете по някакъв начин са по-безопасни от USB устройствата, е неправилна.
Бедствие 1: Sony BMG Rootkit Fiasco
През 2005 г. Sony BMG започна да доставя руткитове на Windows на милиони аудио компактдискове. Когато вкарахте аудио компактдиска в компютъра си, Windows щеше да прочете файла autorun.inf и автоматично да стартира инсталатора на rootkit, който сигурно заразява компютъра във фонов режим. Целта на това е да се предотврати копирането на музикалния диск или извличането му от компютъра. Тъй като тези функции обикновено са поддържани, rootkit трябва да подкопае цялата ви операционна система, за да ги потисне.
Това беше възможно благодарение на AutoRun. Някои хора препоръчаха задържането на Shift при всяко поставяне на аудио компактдиск в компютъра ви и други открито се чудеха дали задържането на Shift за подтискане на rootkit от инсталирането ще се счита за нарушение на забранителните забрани срещу заобикаляне на DMCA срещу заобикалянето на защитата срещу копиране.
Други са описали дългата, съжаляваща история. Нека просто кажем, че rootkit е нестабилен, зловреден софтуер се възползва от rootkit, за да зарази по-лесно Windows системите, а Sony получи огромно и заслужено черно око на публичната арена.
Бедствие 2: Червеят на Conficker и други зловреден софтуер
Conficker е особено зловещ червей за пръв път открит през 2008 година. Наред с други неща, той заразява свързани USB устройства и създава файлове autorun.inf върху тях, които автоматично ще пускат злонамерен софтуер, когато са свързани към друг компютър. Като антивирусна компания ESET написа:
“USB drives and other removable media, which are accessed by the Autorun/Autoplay functionalities each time (by default) you connect them to your computer, are the most frequently used virus carriers these days.”
Conficker е най-добре познат, но не е единственият злонамерен софтуер, който злоупотребява с опасната функционалност на AutoRun. AutoRun като функция е практически подарък за авторите на злонамерен софтуер.
Windows Vista Disabled AutoRun по подразбиране, но …
В крайна сметка Microsoft препоръчва на потребителите на Windows да деактивират функцията AutoRun. Windows Vista направи някои добри промени, които всички Windows 7, 8 и 8,1 наследиха.
Вместо автоматично стартиране на програми от компактдискове, DVD дискове и USB устройства, маскирани като дискове, Windows просто показва диалоговия прозорец за автоматично изпълнение за тези устройства. Ако свързаният диск или устройство има програма, ще го видите като опция в списъка. Windows Vista и по-новите версии на Windows няма да стартират автоматично програми без да ви питат - трябва да кликнете върху опцията "Run [program].exe" в диалоговия прозорец "Автоматично изпълнение", за да стартирате програмата и да се заразите.
И, за съжаление, сега имаме още по-плашеща заплаха за сигурността от USB устройства, за да бъдете наясно.
Ако искате, можете да деактивирате изцяло функцията "Автоматично изпълнение" - или само за определени типове устройства - така че няма да получите изскачащ прозорец на AutoPlay, когато поставите сменяеми носители в компютъра си. Тези опции ще намерите в контролния панел. Извършете търсене на "автоматично показване" в полето за търсене на контролния панел, за да ги намерите.
