Jak se malware AutoRun stal problémem v systému Windows a jak byl (většinou) opraven
Díky špatným konstrukčním rozhodnutím byl AutoRun kdysi obrovským bezpečnostním problémem v systému Windows. AutoRun vám umožní spustit škodlivý software okamžitě po vložení disků a jednotek USB do počítače.
Tuto chybu využili nejen autoři malwaru. To bylo skvěle používané Sony BMG skrýt rootkit na hudebních CD. Systém Windows by automaticky spustil a nainstaloval rootkit, když do počítače vložili škodlivé zvukové disky Sony.
Původ AutoRunu
AutoRun byla funkce představená v systému Windows 95. Když jste vložili do počítače počítačový disk, systém Windows automaticky přečetl disk a - pokud byl v kořenovém adresáři disku nalezen soubor autorun.inf - automaticky spustil program uvedeno v souboru autorun.inf.
Proto jste do počítače vložili disk CD se softwarem nebo PC hry, automaticky spustili instalační nebo úvodní obrazovku s možnostmi. Tato funkce byla navržena tak, aby se tyto disky snadno používaly, což snižuje záměnu uživatele. Pokud AutoRun neexistoval, uživatelé by museli otevřít okno prohlížeče souborů, navigovat na disk a spustit tam soubor setup.exe.
To fungovalo poměrně dobře a nebylo tam žádné velké problémy. Koneckonců, domácí uživatelé neměli snadný způsob, jak vyrobit vlastní CD, než byly vypalovačky CD rozšířené. Opravdu jste narazili pouze na komerční disky a oni byli obecně důvěryhodní.
Ale i v systému Windows 95, když byl zaveden systém AutoRun, nebylo povoleno pro diskety. Koneckonců, někdo mohl umístit na disketě jakékoliv soubory, které chtějí. AutoRun pro diskety by umožnil šíření škodlivého softwaru z diskety do počítače na disketu do počítače.
Automatické přehrávání ve Windows XP
Systém Windows XP vylepšil tuto funkci pomocí funkce "Automatické přehrávání". Když jste vložili disk, jednotku USB flash nebo jiný typ zařízení s vyměnitelným médiem, systém Windows prozkoumá jeho obsah a navrhne vám akce. Pokud například vložíte kartu SD obsahující fotografie z digitálního fotoaparátu, doporučuje vám něco vhodného pro obrazové soubory. Pokud jednotka obsahuje soubor autorun.inf, objeví se volba s dotazem, zda chcete automaticky spustit také program z jednotky.
Společnost Microsoft však stále chtěla, aby disky CD fungovaly stejně. Takže v systému Windows XP by CD a DVD nadále automaticky spouštěly programy, pokud by měli soubor autorun.inf, nebo by automaticky začali hrát svou hudbu, pokud by to byly zvukové disky CD. A kvůli architektuře zabezpečení systému Windows XP by tyto programy pravděpodobně začaly s přístupem správce. Jinými slovy, mají plný přístup k vašemu systému.
U jednotek USB obsahujících soubory autorun.inf by se program automaticky nespustil, ale v okně Automatické přehrávání by vám nabídl možnost.
Toto chování můžete stále deaktivovat. Byly uloženy možnosti v samotném operačním systému, v registru a editoru skupinových zásad. Můžete také podržet klávesu Shift při vložení disku a systém Windows by nevykonával chování AutoRun.
Některé jednotky USB mohou emulovat disky CD a dokonce i CD disky nejsou bezpečné
Tato ochrana se okamžitě rozpadla. SanDisk a M-Systems viděly chování CD AutoRun a chtěly to pro své vlastní USB flash disky, a tak vytvořily flash disky U3. Tyto flash disky emulovaly jednotku CD, když je připojujete k počítači, takže systém Windows XP automaticky spustí na nich programy, když jsou připojeni.
Samozřejmě ani CD není bezpečná. Útočníci mohli snadno vypálit jednotku CD nebo DVD nebo použít přepisovatelný disk. Představa, že disky CD jsou bezpečnější než disky USB, je nesprávná.
Katastrofa 1: Sony BMG Rootkit Fiasco
V roce 2005 společnost Sony BMG začala dodávat rootkity systému Windows na miliony svých zvukových disků CD. Po vložení zvukového disku CD do počítače by systém Windows přečetl soubor autorun.inf a automaticky spustil instalační program rootkit, který záměrně infikoval počítač na pozadí. Cílem bylo zabránit kopírování hudebního disku nebo jeho přetahování do počítače. Protože tyto jsou normálně podporované funkce, rootkit musel podvrátit celý váš operační systém, aby je potlačil.
To vše bylo možné díky AutoRunu. Někteří lidé doporučili držet Shift při každém vložení audio CD do počítače a jiní se otevřeně divili, že podržením Shift, aby potlačil instalaci rootkitu, by bylo považováno za porušení zákazu zákazu obcházení DMCA proti obcházení ochrany proti kopírování.
Jiní zaznamenali její dlouhou, lípou historii. Řekněme, že rootkit byl nestabilní, malware využil rootkitu k snadnější infekci systémů Windows a Sony získalo na veřejné aréně obrovské a zasloužené černé oko.
Disaster 2: Conficker Worm a další malware
Conficker byl obzvláště ošklivý červ, který byl poprvé detekován v roce 2008. Mimo jiné infikoval připojená zařízení USB a na nich vytvořil soubory autorun.inf, které by automaticky spustili malware při připojení k jinému počítači. Jako antivirový podnik napsal ESET:
"Jednotky USB a jiné vyměnitelné média, které jsou k těmto funkcím připojeny automaticky (ve výchozím nastavení) jsou automaticky přístupné pomocí funkcí Autorun / Autoplay."
Conficker byl nejznámější, ale nebyl to jediný malware, který zneužíval nebezpečné funkce AutoRun. Funkce AutoRun je prakticky darem autorům malwaru.
Windows Vista je vypnuto Automatické vypnutí podle výchozího nastavení, ale ...
Společnost Microsoft nakonec doporučila, aby uživatelé systému Windows zakázali funkci AutoRun. Windows Vista provedl některé dobré změny, které všechny Windows 7, 8 a 8,1 zdědily.
Místo automatického spouštění programů z disků CD, DVD a disků USB, které se skládají jako disky, systém Windows prostě zobrazuje také dialogové okno Automatické přehrávání těchto disků. Pokud má připojený disk nebo jednotka program, zobrazí se v seznamu jako volba. Windows Vista a novější verze systému Windows nebudou automaticky spouštět programy bez požadavku na vás - v dialogu Automatické přehrávání budete muset kliknout na volbu "Spustit [program] .exe", abyste spustili program a dostali infikované.
Bylo by však možné, že se malware šíří prostřednictvím funkce Automatické přehrávání. Pokud k počítači připojíte škodlivou jednotku USB, jste stále jen jedním kliknutím od malware spuštěn v dialogu Automatické přehrávání - alespoň s výchozím nastavením. Jiné bezpečnostní funkce, jako je UAC a antivirový program, vám mohou pomoci chránit vás, ale měli byste být i nadále opatrní.
A bohužel nyní máme ještě hrozivější bezpečnostní hrozbu z USB zařízení.
Pokud chcete, můžete zcela vypnout funkci Automatické přehrávání - nebo pouze pro určité typy jednotek - takže při vložení vyměnitelného média do počítače nebude automaticky zobrazen vyskakovací okno. Tyto možnosti naleznete v Ovládacích panelech. Proveďte vyhledávání v režimu "Automatické přehrávání" ve vyhledávacím poli Ovládací panely a najděte je.
Image Credit: aussiegal na Flickr, m01229 na Flickr, Lordcolus na Flickru