Αρχική σελίδα » πως να » Πώς το Malware AutoRun έγινε πρόβλημα στα Windows και πώς ήταν (κυρίως) Σταθερό

    Πώς το Malware AutoRun έγινε πρόβλημα στα Windows και πώς ήταν (κυρίως) Σταθερό

    Χάρη στις κακές αποφάσεις σχεδιασμού, το AutoRun ήταν κάποτε ένα τεράστιο πρόβλημα ασφαλείας στα Windows. Το AutoRun βοήθησε με επιτυχία το κακόβουλο λογισμικό να ξεκινήσει από τη στιγμή που τοποθετήσατε δίσκους και μονάδες USB στον υπολογιστή σας.

    Αυτό το ελάττωμα δεν εκμεταλλεύτηκε μόνο οι δημιουργοί κακόβουλου λογισμικού. Χρησιμοποιήθηκε με μεγάλη φήμη από τη Sony BMG για να αποκρύψει ένα rootkit σε μουσικά CD. Τα Windows θα εκτελούν αυτόματα και θα εγκαθιστούν το rootkit όταν εισάγετε στον υπολογιστή σας ένα κακόβουλο ηχητικό CD της Sony.

    Η προέλευση του AutoRun

    Το AutoRun ήταν ένα χαρακτηριστικό που παρουσιάστηκε στα Windows 95. Όταν εισάγετε ένα δίσκο λογισμικού στον υπολογιστή σας, τα Windows θα αναγνώσουν αυτόματα το δίσκο και - εάν ένα αρχείο autorun.inf βρέθηκε στον ριζικό κατάλογο του δίσκου - θα ξεκινήσει αυτόματα το πρόγραμμα που καθορίζεται στο αρχείο autorun.inf.

    Αυτός είναι ο λόγος για τον οποίο, όταν τοποθετήσατε ένα CD λογισμικού ή ένα δίσκο παιχνιδιών υπολογιστή στον υπολογιστή σας, ξεκίνησε αυτόματα ένα πρόγραμμα εγκατάστασης ή μια οθόνη εκκίνησης με επιλογές. Η λειτουργία σχεδιάστηκε για να καταστήσει τέτοιους δίσκους εύκολο στη χρήση, μειώνοντας τη σύγχυση των χρηστών. Εάν το AutoRun δεν υπήρχε, οι χρήστες θα πρέπει να ανοίξουν το παράθυρο του προγράμματος περιήγησης αρχείων, να περιηγηθούν στο δίσκο και να εκκινήσουν από εκεί ένα αρχείο setup.exe.

    Αυτό συνέβη αρκετά καλά για κάποιο χρονικό διάστημα και δεν υπήρχαν μεγάλα ζητήματα. Μετά από όλα, οι οικιακοί χρήστες δεν είχαν εύκολο τρόπο να δημιουργήσουν τα δικά τους CD πριν από τη διάδοση των καυστήρων CD. Θα συναντήσατε πραγματικά μόνο εμπορικούς δίσκους και ήταν γενικά αξιόπιστοι.

    Αλλά ακόμα και πίσω στα Windows 95 όταν εισήχθη το AutoRun, δεν ήταν ενεργοποιημένη για δισκέτες. Μετά από όλα, ο καθένας θα μπορούσε να τοποθετήσει τα αρχεία που ήθελαν σε μια δισκέτα. Το AutoRun για δισκέτες θα επέτρεπε την εξαγωγή κακόβουλου λογισμικού από τη δισκέτα στον υπολογιστή σε δισκέτα στον υπολογιστή.

    Αυτόματη αναπαραγωγή στα Windows XP

    Τα Windows XP επεξεργάστηκαν αυτή τη λειτουργία με μια λειτουργία "Αυτόματης αναπαραγωγής". Όταν τοποθετήσετε ένα δίσκο, μονάδα flash USB ή άλλο τύπο αφαιρούμενης συσκευής πολυμέσων, τα Windows θα εξετάσουν τα περιεχόμενά του και θα σας προτείνουν δράσεις. Για παράδειγμα, εάν τοποθετήσετε μια κάρτα SD που περιέχει φωτογραφίες από την ψηφιακή σας φωτογραφική μηχανή, θα σας συστήσει να κάνετε κάτι κατάλληλο για αρχεία εικόνων. Εάν μια μονάδα έχει αρχείο autorun.inf, θα δείτε μια επιλογή που θα σας ρωτά εάν θέλετε να εκτελέσετε αυτόματα ένα πρόγραμμα από τη μονάδα δίσκου.

    Ωστόσο, η Microsoft εξακολουθούσε να επιθυμεί τα CD να δουλέψουν το ίδιο. Έτσι, στα Windows XP, τα CD και τα DVD θα εξακολουθούσαν να εκτελούν αυτόματα προγράμματα επάνω τους εάν είχαν ένα αρχείο autorun.inf ή θα ξεκινούσαν αυτόματα την αναπαραγωγή της μουσικής τους εάν ήταν CD ήχου. Και, λόγω της αρχιτεκτονικής ασφαλείας των Windows XP, τα προγράμματα αυτά πιθανόν να ξεκινούν με πρόσβαση διαχειριστή. Με άλλα λόγια, θα έχουν πλήρη πρόσβαση στο σύστημά σας.

    Με μονάδες USB που περιέχουν αρχεία autorun.inf, το πρόγραμμα δεν θα εκτελεστεί αυτόματα, αλλά θα σας παρουσιάσει την επιλογή σε ένα παράθυρο αυτόματης αναπαραγωγής.

    Θα μπορούσατε ακόμα να απενεργοποιήσετε αυτήν τη συμπεριφορά. Υπήρχαν επιλογές που θάφτηκαν στο ίδιο το λειτουργικό σύστημα, στο μητρώο και στον επεξεργαστή πολιτικής ομάδας. Μπορείτε επίσης να κρατήσετε πατημένο το πλήκτρο Shift καθώς εισάγετε ένα δίσκο και τα Windows δεν θα εκτελέσουν τη συμπεριφορά AutoRun.

    Ορισμένες μονάδες USB μπορούν να εξομοιώσουν CD και ακόμη και τα CD δεν είναι ασφαλή

    Αυτή η προστασία άρχισε να καταρρέει αμέσως. Οι SanDisk και M-Systems είδαν τη συμπεριφορά του CD AutoRun και το ήθελαν για τις δικές τους μονάδες flash USB, έτσι δημιούργησαν δίσκους flash U3. Αυτές οι μονάδες flash προσομοιώνουν μια μονάδα CD όταν τις συνδέετε σε έναν υπολογιστή, έτσι ώστε ένα σύστημα των Windows XP να εκκινεί αυτόματα τα προγράμματα σε αυτά όταν είναι συνδεδεμένα.

    Φυσικά, ακόμη και τα CD δεν είναι ασφαλή. Οι επιτιθέμενοι θα μπορούσαν εύκολα να κάψουν μια μονάδα CD ή DVD ή να χρησιμοποιήσουν μια επανεγγράψιμη μονάδα δίσκου. Η ιδέα ότι τα CD είναι κάπως ασφαλέστερα από τις μονάδες USB είναι λάθος.

    Καταστροφή 1: Το Sony BMG Rootkit Fiasco

    Το 2005, η Sony BMG άρχισε να στέλνει τα rootkits των Windows σε εκατομμύρια CD ήχου. Όταν τοποθετήσατε το CD ήχου στον υπολογιστή σας, τα Windows θα διαβάζουν το αρχείο autorun.inf και θα εκτελούν αυτόματα το πρόγραμμα εγκατάστασης του rootkit, το οποίο μολύνει μάλιστα τον υπολογιστή σας στο παρασκήνιο. Σκοπός αυτού ήταν να αποτρέψετε την αντιγραφή του μουσικού δίσκου ή την αντιγραφή του στον υπολογιστή σας. Επειδή αυτές συνήθως υποστηρίζονται λειτουργίες, το rootkit έπρεπε να ανατρέψει ολόκληρο το λειτουργικό σας σύστημα για να τους καταστείλει.

    Αυτό ήταν δυνατό χάρη στο AutoRun. Κάποιοι συνιστούσαν να κρατάτε το Shift κάθε φορά που εισάγετε ένα CD ήχου στον υπολογιστή σας και άλλοι αναρωτήθηκαν ανοιχτά εάν η διατήρηση του Shift για την καταστολή του rootkit από την εγκατάσταση θα θεωρηθεί παραβίαση των απαγορεύσεων κατά της καταστρατήγησης από τον DMCA κατά της παράκαμψης της προστασίας από την αντιγραφή.

    Άλλοι έχουν γράψει τη μακρά, λυπηρή ιστορία της. Ας πούμε απλά ότι το rootkit ήταν ασταθές, κακόβουλο λογισμικό εκμεταλλεύτηκε το rootkit για να μολύνει πιο εύκολα τα συστήματα των Windows και η Sony πήρε ένα τεράστιο και άξιωτο μαύρο μάτι στη δημόσια σκηνή.

    Καταστροφή 2: Ο σκουλήκι Conficker και άλλα κακόβουλα προγράμματα

    Το Conficker ήταν ένα ιδιαίτερα άσχημο σκουλήκι για πρώτη φορά ανιχνεύτηκε το 2008. Μεταξύ άλλων, μολύνει τις συνδεδεμένες συσκευές USB και δημιούργησε αρχεία autorun.inf σε αυτά τα οποία θα εκτελούσαν αυτόματα κακόβουλο λογισμικό όταν συνδεόταν με άλλο υπολογιστή. Ως εταιρεία προστασίας από ιούς ESET έγραψε:

    "Οι μονάδες USB και άλλα αφαιρούμενα μέσα, τα οποία έχουν πρόσβαση από τις λειτουργίες Autorun / Autoplay κάθε φορά (από προεπιλογή) τα συνδέετε με τον υπολογιστή σας, είναι οι πιο συχνά χρησιμοποιούμενοι φορείς ιού αυτές τις μέρες".

    Το Conficker ήταν το πιο γνωστό, αλλά δεν ήταν το μόνο κακόβουλο λογισμικό που καταχράστηκε την επικίνδυνη λειτουργία AutoRun. Το AutoRun ως χαρακτηριστικό είναι ουσιαστικά ένα δώρο για τους κακόβουλους δημιουργούς.

    Τα Windows Vista απενεργοποίησαν το AutoRun από προεπιλογή, αλλά ...

    Η Microsoft συνέστησε τελικά ότι οι χρήστες των Windows απενεργοποιούν τη λειτουργία AutoRun. Τα Windows Vista πραγματοποίησαν κάποιες καλές αλλαγές, τις οποίες τα Windows 7, 8 και 8,1 έχουν κληρονομήσει όλοι.

    Αντί να εκτελούν αυτόματα προγράμματα από δίσκους CD, DVD και USB που μεταμφιέζονται ως δίσκοι, τα Windows εμφανίζουν απλά το παράθυρο διαλόγου Αυτόματης αναπαραγωγής για αυτές τις μονάδες δίσκου. Εάν ένας συνδεδεμένος δίσκος ή μονάδα διαθέτει πρόγραμμα, θα το δείτε ως επιλογή στη λίστα. Τα Windows Vista και οι νεότερες εκδόσεις των Windows δεν θα εκτελούν αυτόματα προγράμματα χωρίς να σας ρωτήσουν - θα πρέπει να κάνετε κλικ στην επιλογή "Εκτέλεση [προγράμματος] .exe" στο παράθυρο διαλόγου Αυτόματη εκτέλεση για να εκτελέσετε το πρόγραμμα και να μολυνθείτε.

    Ωστόσο, θα ήταν ακόμα δυνατό να εξαπλωθεί το κακόβουλο λογισμικό μέσω του AutoPlay. Εάν συνδέσετε μια κακόβουλη μονάδα USB στον υπολογιστή σας, εξακολουθείτε να απέχετε μόνο ένα κλικ από την εκτέλεση του κακόβουλου λογισμικού μέσω του διαλόγου Αυτόματη αναπαραγωγή - τουλάχιστον με τις προεπιλεγμένες ρυθμίσεις. Άλλα χαρακτηριστικά ασφαλείας όπως το UAC και το πρόγραμμα προστασίας από ιούς μπορεί να σας βοηθήσουν να προστατεύσετε, αλλά θα πρέπει να είστε ακόμα σε εγρήγορση.

    Και, δυστυχώς, έχουμε τώρα μια ακόμα πιο τρομακτική απειλή ασφάλειας από τις συσκευές USB για να γνωρίζουμε.


    Αν θέλετε, μπορείτε να απενεργοποιήσετε πλήρως την Αυτόματη αναπαραγωγή - ή απλώς για ορισμένους τύπους μονάδων δίσκου - ώστε να μην εμφανιστεί ένα αναδυόμενο παράθυρο AutoPlay όταν τοποθετείτε αφαιρούμενα μέσα στον υπολογιστή σας. Αυτές οι επιλογές θα βρείτε στον Πίνακα Ελέγχου. Πραγματοποιήστε μια αναζήτηση για "αυτόματη αναπαραγωγή" στο πλαίσιο αναζήτησης του Πίνακα Ελέγχου για να τα βρείτε.

    Image Credit: aussiegal σε Flickr, m01229 στο Flickr, Lordcolus στο Flickr