Az AutoRun Malware problémája a Windows rendszerben, és hogyan volt (többnyire) javítva
A rossz tervezési döntéseknek köszönhetően az AutoRun egyszerre óriási biztonsági problémát jelentett a Windows rendszerben. Az AutoRun segíthetõvé tette a rosszindulatú szoftverek elindítását, amint a lemezeket és az USB-meghajtókat számítógépbe helyezte.
Ezt a hibát nem csak a rosszindulatú programok szerzői hasznosították. A Sony BMG híresen használta, hogy elrejtse a zenei CD-k rootkitjét. A Windows automatikusan futtatja és telepíti a rootkit-t, ha rosszindulatú Sony audio CD-t helyez a számítógépbe.
Az AutoRun eredete
Az AutoRun egy Windows 95 rendszerben bevezetett szolgáltatás. Amikor egy szoftverlemezt a számítógépbe helyezett, a Windows automatikusan elolvassa a lemezt, és - ha a lemez gyökérkönyvtárában egy autorun.inf fájl található - automatikusan elindítja a programot az autorun.inf fájlban megadott.
Ezért, amikor egy szoftver CD-t vagy számítógépes játéklemezt helyezt a számítógépbe, automatikusan elindított egy telepítő vagy splash képernyő opcióval. A funkciót úgy tervezték meg, hogy az ilyen lemezeket könnyen használhassa, és ezáltal csökkentsék a felhasználó zavart. Ha az AutoRun nem létezik, a felhasználóknak megnyitniuk kell a fájlböngészőablakot, navigálniuk kell a lemezre, és el kell indítaniuk egy setup.exe fájlt onnan.
Ez egy ideig nagyon jól működött, és nem volt nagy probléma. Végül is, az otthoni felhasználóknak nem volt könnyű módja a saját CD-k készítéséhez, mielőtt a CD-írók elterjedtek volna. Tényleg csak a kereskedelmi lemezek találkoztak, és általában megbízhatóak voltak.
De még a Windows 95-ben is, amikor az AutoRun bevezetése megtörtént, nem engedélyezett a hajlékonylemezek számára. Végtére is, bárki letölthet egy tetszőleges fájlt a hajlékonylemezen. A hajlékonylemezek automatikus elindítása lehetővé tenné, hogy a rosszindulatú szoftverek hajlékonylemezről számítógépre terjedjenek hajlékonylemezre számítógépre.
Automatikus lejátszás a Windows XP rendszerben
A Windows XP egy „AutoPlay” funkcióval finomította ezt a funkciót. Amikor behelyez egy lemezt, USB flash meghajtót vagy más típusú cserélhető adathordozó eszközt, a Windows megvizsgálja annak tartalmát és javaslatokat tesz Önnek. Ha például behelyez egy SD-kártyát, amely fényképeket tartalmaz a digitális fényképezőgépéről, akkor javasoljuk, hogy tegyen valamit a képfájlokhoz. Ha egy meghajtónak van egy autorun.inf fájlja, egy olyan opció jelenik meg, amely megkérdezi, hogy szeretné-e automatikusan futtatni egy programot a meghajtóról is.
Ugyanakkor a Microsoft még mindig azt akarta, hogy a CD-k ugyanolyan működjenek. Tehát a Windows XP rendszerben a CD-k és a DVD-k továbbra is automatikusan futtatnának rájuk programokat, ha rendelkeznek autorun.inf fájljukkal, vagy automatikusan elkezdenék lejátszani a zenét, ha audio CD-k voltak. A Windows XP biztonsági architektúrája miatt ezek a programok valószínűleg rendszergazdai hozzáféréssel indulnak. Más szóval, teljes hozzáféréssel rendelkeznek a rendszeréhez.
Az autorun.inf fájlokat tartalmazó USB-meghajtók esetében a program nem indul el automatikusan, de az AutoPlay ablakban megjeleníti a lehetőséget..
Még mindig letilthatja ezt a viselkedést. Az operációs rendszerben, a rendszerleíró adatbázisban és a csoportházirend-szerkesztőben is eltemettek opciók. A lemez behelyezésekor a Shift billentyűt is lenyomva tarthatja, és a Windows nem hajtja végre az AutoRun viselkedést.
Egyes USB-meghajtók CD-ket emulálhatnak, és még CD-k sem biztonságosak
Ez a védelem azonnal megszakadt. A SanDisk és az M-Systems látta a CD AutoRun viselkedését, és saját USB flash meghajtóira akarta, így U3 flash meghajtókat hoztak létre. Ezek a merevlemez-meghajtók CD-meghajtót emuláltak, amikor számítógépükhöz csatlakoztatták őket, így a Windows XP rendszer automatikusan csatlakozik hozzájuk, amikor csatlakozik.
Természetesen még a CD-k sem biztonságosak. A támadók könnyen CD- vagy DVD-meghajtót írhatnak le, vagy újraírható meghajtót használhatnak. Az a gondolat, hogy a CD-k valamivel biztonságosabbak, mint az USB-meghajtók, rosszul vezetnek.
Katasztrófa 1: A Sony BMG Rootkit Fiasco
2005-ben a Sony BMG elkezdte a Windows rootkitek szállítását millió audio CD-jén. Amikor behelyezte az audio CD-t a számítógépbe, a Windows elolvassa az autorun.inf fájlt, és automatikusan futtatja a rootkit telepítőt, amely a háttérben fáradtan fertőzte a számítógépet. Ennek célja, hogy megakadályozza a zenei lemez másolását vagy a számítógépre való rippelését. Mivel ezek általában támogatott funkciók, a rootkit-nek meg kellett szüntetnie az egész operációs rendszert, hogy elnyomja őket.
Ez minden lehetséges volt az AutoRun köszönhetően. Néhány ember javasolta a Shift tárolását, amikor behelyezte az audio CD-t a számítógépbe, és mások nyíltan azon tűnődtek, hogy a Shift letiltása a gyökércsomagot a telepítés megakadályozása miatt sérti-e a DMCA kijátszás elleni tilalmát a másolásvédelem megkerülése ellen.
Mások krónizálták a hosszú, sajnálatos történelmet. Tegyük fel, hogy a rootkit instabil volt, a rosszindulatú program kihasználta a rootkitot, hogy könnyebben megfertőzze a Windows rendszereket, és a Sony hatalmas és megérdemelt fekete szemet kapott a nyilvános színtéren.
2. katasztrófa: A Conficker féreg és egyéb rosszindulatú programok
A Conficker egy különösen csúnya féreg volt, amelyet először 2008-ban észleltek. Többek között megfertőzte a csatlakoztatott USB-eszközöket, és olyan autorun.inf fájlokat hozott létre azokon, amelyek automatikusan rosszindulatú programokat futtatnak, amikor egy másik számítógéphez kapcsolódtak. Víruskereső cégként az ESET írta:
„Az USB-meghajtók és más cserélhető adathordozók, amelyekhez az Autorun / Autoplay funkciók minden alkalommal hozzáférnek (alapértelmezés szerint) a számítógéphez csatlakoztatják, a leggyakrabban használt vírusvédők ezekben a napokban.”
A Conficker volt a legismertebb, de nem volt az egyetlen rosszindulatú program a veszélyes AutoRun funkcióval való visszaéléshez. Az AutoRun funkcióként gyakorlatilag egy ajándék a rosszindulatú programok szerzőinek.
A Windows Vista letiltotta az alapértelmezett beállításokat, de…
A Microsoft végül javasolta, hogy a Windows-felhasználók letiltsák az AutoRun funkciót. A Windows Vista jó változásokat hozott a Windows 7, 8 és 8,1-ben.
A CD-k, DVD-k és USB-meghajtók által CD-ként elfojtott programok automatikus futtatása helyett a Windows egyszerűen megjeleníti az AutoPlay párbeszédablakot ezekhez a meghajtókhoz is. Ha egy csatlakoztatott lemeznek vagy meghajtónak van egy programja, akkor ezt a listában egy opcióként fogja látni. A Windows Vista és a Windows későbbi verziói nem futtatják automatikusan a programokat anélkül, hogy megkérdeznék - a program futtatásához és a fertőzéshez kattintson az Automatikus lejátszás párbeszédablak „Futtatás [program] .exe” opciójára..
De még mindig lehetséges lenne, hogy a rosszindulatú programok elterjedjenek az automatikus lejátszás útján. Ha rosszindulatú USB-meghajtót csatlakoztat a számítógépéhez, akkor még mindig csak egy kattintásnyira van a rosszindulatú programok futtatásától az Automatikus lejátszás párbeszédpanelen keresztül - legalábbis az alapértelmezett beállításokkal. Más biztonsági funkciók, mint például az UAC és a víruskereső program segíthetnek megvédeni Önt, de továbbra is ébernek kell lennie.
Sajnos az USB-eszközökkel szemben még ma is sokkal gyengébb biztonsági fenyegetés figyelhető meg.
Ha úgy tetszik, letilthatja az automatikus lejátszást teljes egészében - vagy csak bizonyos meghajtók esetén -, így nem kap automatikus lejátszást, amikor cserélhető adathordozót helyez be a számítógépbe. Ezeket a beállításokat a Vezérlőpulton találja meg. Keresse meg a "Automatikus lejátszás" parancsot a Vezérlőpult keresőmezőjében, hogy megtalálja őket.
Képhitel: aussiegal a Flickr-en, m01229 a Flickr-en, Lordcolus a Flickr-en
