AutoRun恶意软件在Windows上成为一个问题,它是如何(大部分)修复

cd自动启动程序与自动运行在Windows

由于不良的设计决定,AutoRun曾经是一个巨大的安全问题在Windows上。 自动运行有助于允许恶意软件在您将光盘和USB驱动器插入计算机后立即启动。

这个缺陷不仅被恶意软件作者利用。 它是著名使用由索尼BMG隐藏的rootkit的音乐CD。 当您将恶意的Sony音频CD插入计算机时,Windows将自动运行并安装rootkit。

自动运行的原因

AutoRun是在Windows 95中引入的一个功能。当您将软件光盘插入计算机时,Windows将自动读取光盘,并且 - 如果在光盘的根目录中找到autorun.inf文件,它将自动启动程序在autorun.inf文件中指定。

这就是为什么当您将软件CD或PC游戏光盘插入计算机时,它会自动启动安装程序或启动屏幕选项。 该功能旨在使这种光盘易于使用,从而减少用户的混淆。 如果AutoRun不存在,用户将不得不打开文件浏览器窗口,导航到光盘,并从那里启动一个setup.exe文件。

这工作相当好一段时间,没有大问题。 毕竟,家庭用户没有一个简单的方法来生产自己的CD之前CD刻录机广泛。 你真的只会碰到商业光盘,他们一般都值得信赖。

但是,即使回在Windows自动运行时,引入95,它是不启用软盘 毕竟,任何人都可以放置他们想要的任何文件在软盘上。 软盘的自动运行将允许恶意软件从软盘传播到计算机到软盘到计算机。

Windows XP中的自动播放

Windows XP使用“AutoPlay”功能改进此功能。 插入光盘,USB闪存驱动器或其他类型的可移动媒体设备时,Windows将检查其内容并向您建议操作。 例如,如果您从数码相机插入包含照片的SD卡,它会建议您为图片文件做相应的操作。 如果驱动器有autorun.inf文件,您会看到一个选项,询问您是否要从驱动器自动运行程序。

然而,微软仍然希望CD工作相同。 因此,在Windows XP中,CD和DVD仍然会自动运行程序,如果他们有一个autorun.inf文件,或者将自动开始播放他们的音乐,如果他们是音频CD。 而且, 由于Windows XP中的安全体系结构,这些方案可能会与管理员访问权限启动 换句话说,他们将完全访问您的系统。

对于包含autorun.inf文件的USB驱动器,程序不会自动运行,但会在AutoPlay窗口中显示该选项。

您仍然可以禁用此行为。 有在操作系统本身,在注册表和组策略编辑器埋没的选项。 您还可以在插入光盘时按住Shift键,Windows不会执行自动运行行为。

一些USB驱动器可以模拟CD,甚至CD不安全

这种保护立即开始崩溃。 SanDisk和M-Systems公司看到了光盘自动运行行为,并希望它为自己的USB闪存驱动器,所以他们创造了U3闪存驱动器 这些闪存驱动器在将其连接到计算机时会模拟CD驱动器,因此Windows XP系统会在连接时自动在其上启动程序。

当然,即使CD也不安全。 攻击者可以轻松刻录CD或DVD驱动器,或使用可重写驱动器。 CD的安全比USB驱动器更安全的想法是错误的。

灾难1:索尼BMG Rootkit Fiasco

2005年,索尼BMG开始在数百万的音频CD上运行Windows rootkit。 当您将音频CD插入计算机时,Windows将读取autorun.inf文件,并自动运行rootkit安装程序,这在后台暗中感染您的计算机。 这样做的目的是防止您复制音乐光盘或将其刻录到计算机。 因为这些是通常支持的功能,rootkit必须颠覆整个操作系统以抑制它们。

这是所有可能感谢自动运行。 有些人建议按住Shift键,只要你插入一个音频光盘插入电脑,和其他人公然想知道,如果按住Shift键,以抑制来自安装将被视为rootkit的违反了DMCA的反规避禁令的反对绕过版权保护。

其他人则记载了多久,对不起历史了。 让我们说rootkit是不稳定的,恶意软件利用rootkit更容易感染Windows系统,而索尼在公共领域有一个巨大的和应得的黑眼睛。

柯尼卡美能达数码相机

灾难2:Conficker Worm和其他恶意软件

Conficker是在2008年首次发现的一个特别讨厌的蠕虫。其中,它感染连接的USB设备,并创建了autorun.inf文件,当他们连接到另一台计算机时会自动运行恶意软件。 作为杀毒软件公司ESET写道:

“USB驱动器和其他可移动媒体,每次(默认情况下)通过自动运行/自动播放功能访问您将它们连接到您的计算机,是最常用的病毒载体,这些天。

Conficker是最着名的,但它不是唯一的恶意软件滥用危险的AutoRun功能。 AutoRun作为一个功能实际上是一个礼物给恶意软件作者。

Windows Vista禁用自动运行默认,但...

Microsoft最终建议Windows用户禁用AutoRun功能。 Windows Vista做了一些很好的更改,Windows 7,8和8,1都已继承。

而不是自动运行程序从CD,DVD和USB驱动器伪装成光盘,Windows只是显示这些驱动器的自动播放对话框。 如果连接的光盘或驱动器有程序,您将在列表中看到它作为选项。 Windows Vista和更高版本的Windows将不会自动运行程序,而不会问你 - 你必须单击“运行[程序] .exe”选项在自动播放对话框中运行程序,并得到感染。

但是,仍然可能的恶意软件通过自动播放传播。 如果将恶意USB驱动器连接到计算机,您仍然只需点击一下即可通过自动播放对话框运行恶意软件 - 至少使用默认设置。 像其他的安全功能UAC和防病毒程序可以帮助保护你,但你还是应该提高警惕。

而且,不幸的是,我们现在有来自USB设备的更可怕的安全隐患做到心中有数。


如果你喜欢,你可以完全禁用自动播放 -或者只是对某些类型的驱动器-所以,当你插入可移动介质插入你的电脑,你不会得到一个自动播放弹出。 你会在控制面板中找到这些选项。 在控制面板的搜索框中搜索“自动播放”以找到它们。

图片来源: Flickr上aussiegalm01229在Flickr上Lordcolus在Flickr

赞 (0)
分享到:更多 ()