Bagaimana Malware AutoRun Menjadi Masalah pada Windows, dan Bagaimana Ini (Kebanyakannya) Tetap
Terima kasih kepada keputusan reka bentuk yang tidak baik, AutoRun pernah menjadi masalah keselamatan yang besar pada Windows. AutoRun membantu membenarkan perisian jahat dilancarkan sebaik sahaja anda memasukkan cakera dan pemacu USB ke dalam komputer anda.
Kesilapan ini bukan sahaja dieksploitasi oleh pengarang malware. Ia terkenal digunakan oleh Sony BMG untuk menyembunyikan rootkit pada CD muzik. Windows akan berjalan secara automatik dan memasang rootkit apabila anda memasukkan CD audio Sony jahat ke dalam komputer anda.
Asal AutoRun
AutoRun adalah ciri yang diperkenalkan pada Windows 95. Apabila anda memasukkan cakera perisian ke dalam komputer anda, Windows akan secara automatik membaca cakera itu, dan - jika fail autorun.inf dijumpai di direktori root cakera - ia akan secara automatik melancarkan program yang dinyatakan dalam fail autorun.inf.
Inilah sebabnya, apabila anda memasukkan cakera permainan CD atau PC ke dalam komputer anda, secara automatik melancarkan pemasangan atau percikan skrin dengan pilihan. Ciri ini direka untuk menjadikan cakera sedemikian mudah untuk digunakan, mengurangkan kekeliruan pengguna. Sekiranya AutoRun tidak wujud, pengguna perlu membuka fail penyemak imbas fail, menavigasi ke cakera, dan melancarkan fail setup.exe dari sana.
Ini bekerja dengan baik untuk satu masa, dan tidak ada masalah besar. Lagipun, pengguna di rumah tidak mempunyai cara mudah untuk menghasilkan CD mereka sendiri sebelum pembakar CD tersebar luas. Anda benar-benar hanya akan menjumpai cakera komersial, dan mereka umumnya boleh dipercayai.
Tetapi pada Windows 95 ketika AutoRun diperkenalkan, ia tidak didayakan untuk cakera liut. Lagipun, sesiapa boleh meletakkan apa sahaja fail yang mereka mahu pada cakera liut. AutoRun untuk cakera liut akan membenarkan perisian hasad menyebarkan dari cakera liut ke komputer kepada komputer riba.
AutoPlay dalam Windows XP
Windows XP menapis ciri ini dengan fungsi "AutoPlay". Apabila anda memasukkan cakera, pemacu denyar USB, atau peranti media lain yang boleh tanggal, Windows akan memeriksa kandungannya dan mencadangkan tindakan kepada anda. Sebagai contoh, jika anda memasukkan kad SD yang mengandungi foto dari kamera digital anda, ia akan mengesyorkan anda melakukan sesuatu yang sesuai untuk fail gambar. Jika pemacu mempunyai fail autorun.inf, anda akan melihat satu pilihan yang bertanya sama ada anda mahu menjalankan program secara automatik dari pemacu juga.
Bagaimanapun, Microsoft masih mahukan CD berfungsi sama. Jadi, dalam Windows XP, CD dan DVD masih akan menjalankan program secara automatik jika mereka mempunyai fail autorun.inf, atau secara automatik akan memainkan muzik mereka jika mereka CD audio. Dan, kerana senibina keselamatan Windows XP, program tersebut mungkin akan dilancarkan dengan akses Administrator. Dengan kata lain, mereka akan mempunyai akses penuh ke sistem anda.
Dengan pemacu USB yang mengandungi fail autorun.inf, program ini tidak akan disiarkan secara automatik, tetapi akan memberikan anda pilihan dalam tetingkap AutoPlay.
Anda masih boleh mematikan tingkah laku ini. Terdapat pilihan dikebumikan dalam sistem operasi itu sendiri, dalam pendaftaran, dan editor dasar kumpulan. Anda juga boleh menahan kekunci Shift semasa anda memasukkan cakera dan Windows tidak akan melaksanakan tingkah laku AutoRun.
Sesetengah Pemacu USB Boleh Memiru CD, dan Bahkan CD Tidak Aman
Perlindungan ini bermula dengan segera. SanDisk dan M-Systems melihat tingkah laku CD AutoRun dan menginginkannya untuk pemacu kilat USB mereka sendiri, jadi mereka membuat pemacu kilat U3. Pemacu flash ini mencontohkan pemacu CD apabila anda menyambungkannya ke komputer, jadi sistem Windows XP secara automatik akan melancarkan program pada mereka apabila ia disambungkan.
Sudah tentu, walaupun CD tidak selamat. Penyerang boleh dengan mudah membakar pemacu CD atau DVD, atau menggunakan pemacu yang boleh tulis semula. Idea bahawa CD entah bagaimana lebih selamat daripada pemacu USB yang salah.
Bencana 1: Sony BMG Rootkit Fiasco
Pada tahun 2005, Sony BMG mula memperkenalkan rootkit Windows pada berjuta-juta CD audio mereka. Apabila anda memasukkan CD audio ke dalam komputer anda, Windows akan membaca fail autorun.inf dan secara automatik menjalankan pemasang rootkit, yang secara senyap-senyap menjangkiti komputer anda di latar belakang. Tujuannya adalah untuk menghalang anda daripada menyalin cakera muzik atau merobeknya ke komputer anda. Kerana fungsi ini biasanya disokong, rootkit terpaksa menggugurkan seluruh sistem operasi anda untuk menekannya.
Ini semua mungkin terima kasih kepada AutoRun. Sesetengah orang mencadangkan memegang Shift setiap kali anda memasukkan CD audio ke dalam komputer anda, dan yang lain secara terbuka tertanya-tanya jika memegang Shift untuk menindas rootkit daripada memasang akan dianggap sebagai pelanggaran larangan anti pencegahan DMCA terhadap memintas perlindungan salinan.
Yang lain telah mencatat sejarah panjang, maaf itu. Mari kita katakan rootkit tidak stabil, malware mengambil kesempatan daripada rootkit untuk lebih mudah menjangkiti sistem Windows, dan Sony mendapat mata hitam yang sangat berharga di arena awam.
Bencana 2: Cacing Conficker dan Malware lain
Conficker adalah cacing yang sangat jahat yang pertama kali dikesan pada tahun 2008. Antara lain, ia menjangkiti peranti USB yang disambungkan dan mencipta fail autorun.inf pada mereka yang akan secara automatik menjalankan perisian hasad apabila ia disambungkan ke komputer lain. Sebagai syarikat antivirus ESET menulis:
"Pemacu USB dan media boleh tanggal lain, yang diakses oleh fungsi Autorun / Autoplay setiap kali (secara lalai) anda menyambungkannya ke komputer anda, adalah pembawa virus yang paling sering digunakan pada hari ini."
Conficker adalah yang paling terkenal, tetapi bukan satu-satunya malware untuk menyalahgunakan fungsi AutoRun berbahaya. AutoRun sebagai ciri praktikal adalah hadiah kepada pengarang malware.
Windows Vista Disabled AutoRun By Default, But ...
Akhirnya Microsoft mengesyorkan bahawa pengguna Windows melumpuhkan fungsi AutoRun. Windows Vista membuat perubahan yang baik bahawa Windows 7, 8, dan 8.1 mempunyai semua warisan.
Bukannya secara automatik menjalankan program dari CD, DVD, dan pemacu USB yang menyamar sebagai cakera, Windows hanya menunjukkan dialog AutoPlay untuk pemacu ini juga. Jika cakera atau pemacu yang disambung mempunyai program, anda akan melihatnya sebagai pilihan dalam senarai. Windows Vista dan versi Windows yang lebih lama tidak akan menjalankan program secara automatik tanpa meminta anda - anda perlu mengklik "Menjalankan [program] .exe" pilihan dalam dialog AutoPlay untuk menjalankan program dan dijangkiti.
Tetapi masih ada kemungkinan malware menyebar melalui AutoPlay. Jika anda menyambung pemacu USB jahat ke komputer anda, anda masih hanya satu klik dari menjalankan malware melalui dialog AutoPlay - sekurang-kurangnya dengan tetapan lalai. Ciri-ciri keselamatan lain seperti UAC dan program antivirus anda dapat membantu melindungi anda, tetapi anda masih harus waspada.
Dan, malangnya, kami kini mempunyai ancaman keselamatan scarier dari peranti USB untuk mengetahui.
Jika anda suka, anda boleh menyahdayakan AutoPlay sepenuhnya - atau hanya untuk jenis pemacu tertentu - jadi anda tidak akan mendapat pop timbul AutoPlay apabila anda memasukkan media boleh tanggal ke dalam komputer anda. Anda akan mendapati pilihan ini dalam Panel Kawalan. Lakukan carian untuk "autoplay" dalam kotak carian Panel Kawalan untuk mencarinya.
Kredit Imej: aussiegal di Flickr, m01229 di Flickr, Lordcolus di Flickr