Hur AutoRun Malware blev ett problem på Windows, och hur det var (oftast) Fixed
Tack vare dåliga designbeslut var AutoRun en gång ett stort säkerhetsproblem på Windows. AutoRun hjälpt till att skadlig programvara startas så fort du sätter in skivor och USB-enheter i din dator.
Denna fel användes inte bara av skadliga upphovsmän. Det var famously används av Sony BMG att dölja en rootkit på musik-CD-skivor. Windows kör automatiskt och installerar rootkit när du sätter in en skadlig Sony-ljud-CD i din dator.
Uppkomsten av AutoRun
AutoRun var en funktion som introducerades i Windows 95. När du sätter in en programskiva i din dator, läser Windows automatiskt skivan och - om en autorun.inf-fil hittades i skivans rotkatalog - startades programmet automatiskt specificerat i autorun.inf-filen.
Därför lanserade du automatiskt en installations- eller stänkskärm med alternativ när du sätter in en programvara-CD eller en PC-spelskiva i din dator. Funktionen utformades för att göra sådana skivor lätta att använda, vilket minskar användarförvirringen. Om AutoRun inte existerade skulle användarna öppna filbläddringsfönstret, navigera till skivan och starta en setup.exe-fil därifrån istället.
Det fungerade ganska bra för en tid, och det fanns inga stora problem. Hemmabrukarna hade ju inte ett enkelt sätt att producera sina egna cd-skivor innan cd-brännare var utbredd. Du skulle verkligen bara komma över kommersiella skivor, och de var generellt trovärdiga.
Men även tillbaka i Windows 95 när AutoRun introducerades, var det inte aktiverat för disketter. När allt kommer omkring kan någon placera vilka filer de vill ha på en diskett. AutoRun för disketter skulle tillåta skadlig kod att spridas från diskett till dator till diskett till dator.
AutoPlay i Windows XP
Windows XP förfinade den här funktionen med funktionen "AutoPlay". När du sätter i en skiva, en USB-flash-enhet eller en annan typ av flyttbar media, undersöker Windows dess innehåll och föreslår åtgärder till dig. Om du till exempel sätter in ett SD-kort som innehåller bilder från din digitalkamera, rekommenderar vi att du gör något som är lämpligt för bildfiler. Om en enhet har en autorun.inf-fil ser du ett alternativ som frågar om du automatiskt vill köra ett program från enheten också.
Men Microsoft ville fortfarande att CD-skivor skulle fungera lika. Så, i Windows XP, skulle CD-skivor och DVD-skivor fortfarande automatiskt köra program på dem om de hade en autorun.inf-fil, eller skulle automatiskt börja spela sin musik om de var ljud-CD-skivor. Och på grund av säkerhetsarkitekturen i Windows XP skulle dessa program förmodligen starta med administratörsåtkomst. Med andra ord skulle de ha full tillgång till ditt system.
Med USB-enheter som innehåller autorun.inf-filer, körs inte programmet automatiskt, men skulle presentera alternativet i ett AutoPlay-fönster.
Du kan fortfarande inaktivera detta beteende. Det fanns alternativ som begravdes i själva operativsystemet, i registret och i grupppolicyredigeraren. Du kan också hålla ned Shift-tangenten när du sätter i en skiva och Windows skulle inte utföra AutoRun-beteendet.
Vissa USB-enheter kan emulera cd-skivor, och även cd-skivor är inte säkra
Detta skydd började bryta ner omedelbart. SanDisk och M-Systems såg CD AutoRun-beteendet och ville ha det för sina egna USB-flash-enheter, så de skapade U3-flashenheter. Dessa flash-enheter emulerade en CD-enhet när du ansluter dem till en dator, så ett Windows XP-system startar automatiskt program på dem när de är anslutna.
Självklart är inte ens cd-skivor säkra. Attackers kan enkelt bränna en CD eller DVD-enhet eller använda en omskrivbar enhet. Tanken att CD-skivor är säkrare än USB-enheter är felaktigt.
Katastrof 1: Sony BMG Rootkit Fiasco
Under 2005 började Sony BMG leverera Windows rootkits på miljontals ljud-CD-skivor. När du sätter in ljud-CD-skivan i din dator skulle Windows läsa autorun.inf-filen och automatiskt köra rootkit-installationsprogrammet, som smittigt smittade datorn i bakgrunden. Syftet med detta var att hindra dig från att kopiera musikskivan eller rippa den till din dator. Eftersom dessa är normalt stödda funktioner, måste rootkit subvertera hela ditt operativsystem för att undertrycka dem.
Detta var allt möjligt tack vare AutoRun. Vissa människor rekommenderade att hålla Shift när du sätter in en ljud-CD i din dator och andra undrade överallt om att hålla Shift för att undertrycka rootkitet från installation skulle anses vara ett brott mot DMCA: s förbud mot kringgående mot kringgående kopieringsskydd.
Andra har chronicled den långa, ledsen historien henne. Låt oss bara säga att rootkit var instabil, skadlig programvara utnyttjade rootkit för att lättare infektera Windows-system och Sony fick ett stort och välförtjänt svart öga på den offentliga arenan.
Katastrof 2: Conficker Worm och annan malware
Conficker var en särskilt otäck mask först upptäckt 2008. Bland annat infekterade den USB-enheter och skapade autorun.inf-filer på dem som automatiskt skulle köra skadlig kod när de var anslutna till en annan dator. Som antivirusföretag ESET skrev:
"USB-enheter och andra flyttbara media, som alla gånger öppnas av autorun / autoplay-funktionerna (som standard) du ansluter dem till din dator, är de vanligaste virusbärarna dessa dagar."
Conficker var den mest kända, men det var inte den enda malware som missbrukade den farliga AutoRun-funktionaliteten. AutoRun som en funktion är praktiskt taget en gåva till malware författare.
Windows Vista Inaktiverad AutoRun som standard, men ...
Microsoft rekommenderade så småningom att Windows-användare inaktiverar AutoRun-funktionaliteten. Windows Vista gjorde några bra ändringar som Windows 7, 8 och 8,1 har alla ärvda.
I stället för att automatiskt köra program från CD-skivor, DVD-skivor och USB-enheter som maskerar som skivor, visar Windows helt enkelt dialogrutan AutoPlay för dessa enheter. Om en ansluten skiva eller enhet har ett program ser du det som ett alternativ i listan. Windows Vista och senare versioner av Windows kör inte automatiskt program utan att fråga dig - du måste klicka på "Kör [program] .exe" i dialogrutan AutoPlay för att köra programmet och bli smittad.
Men det är fortfarande möjligt att skadlig kod sprids via AutoPlay. Om du ansluter en skadlig USB-enhet till datorn är du fortfarande bara ett klick bort från att köra malware via dialogrutan AutoPlay - åtminstone med standardinställningarna. Andra säkerhetsfunktioner som UAC och ditt antivirusprogram kan hjälpa dig att skydda dig, men du bör fortfarande vara uppmärksam.
Och tyvärr har vi nu ett ännu skrämmande säkerhetshot från USB-enheter att vara medvetna om.
Om du vill kan du inaktivera AutoPlay helt - eller bara för vissa typer av enheter - så att du inte får en popup-uppspelning när du sätter in flyttbart media i din dator. Du hittar dessa alternativ i Kontrollpanelen. Gör en sökning efter "autoplay" i kontrollpanelens sökrutan för att hitta dem.
Bildkredit: aussiegal på Flickr, m01229 på Flickr, Lordcolus på Flickr