no.phhsnews.com


no.phhsnews.com / Hvordan AutoRun Malware ble et problem på Windows, og hvordan det var (for det meste) Fast

Hvordan AutoRun Malware ble et problem på Windows, og hvordan det var (for det meste) Fast


Takket være dårlige designbeslutninger var AutoRun en gang et stort sikkerhetsproblem på Windows. AutoRun hjelpelig lovlig skadelig programvare å starte så snart du har satt inn plater og USB-stasjoner i datamaskinen.

Denne feilen ble ikke bare utnyttet av malwareforfattere. Det ble berømt brukt av Sony BMG til å skjule en rootkit på musikk-CDer. Windows vil automatisk kjøre og installere rootkit når du setter inn en skadelig Sony-lyd-CD i datamaskinen.

Opprinnelsen til AutoRun

RELATED: Ikke alle "virus" er virus: 10 skadelige programvarebetingelser forklart

AutoRun var en funksjon introdusert i Windows 95. Når du setter inn en programvareplate i datamaskinen, vil Windows automatisk lese platen, og - hvis en autorun.inf-fil ble funnet i rotkatalogen på platen, ville programmet automatisk starte programmet spesifisert i autorun.inf-filen.

Dette er grunnen til at når du setter inn en programvare-CD eller PC-spillplate i datamaskinen, lanserte den automatisk et installasjonsprogram eller en splash-skjerm med alternativer. Funksjonen ble designet for å gjøre slike plater enkle å bruke, noe som reduserte brukerforvirring. Hvis AutoRun ikke eksisterte, må brukerne åpne filleservinduet, navigere til platen og starte en setup.exe-fil derfra i stedet.

Dette virket ganske bra for en tid, og det var ingen store problemer . Tross alt hadde hjemmebrukere ikke en enkel måte å produsere sine egne CDer før CD-brennere var utbredt. Du ville virkelig bare komme over kommersielle plater, og de var generelt troverdige.

Men selv tilbake i Windows 95 da AutoRun ble introdusert, var det ikke aktivert for disketter. Tross alt, kan noen plassere hvilke filer de ønsket på en diskett. AutoRun for disketter ville tillate at skadelig programvare spredes fra diskett til datamaskin til diskett til datamaskin.

AutoPlay i Windows XP

Windows XP raffinerte denne funksjonen med en "AutoPlay" -funksjon. Når du setter inn en plate, en USB-minnepinne eller en annen type flyttbar medieenhet, vil Windows undersøke innholdet og foreslå handlinger for deg. Hvis du for eksempel setter inn et SD-kort som inneholder bilder fra digitalkameraet, vil det anbefale at du gjør noe som passer for bildefiler. Hvis en stasjon har en autorun.inf-fil, vil du se et alternativ som spør om du også vil kjøre et program fra stasjonen også.

Men Microsoft ønsket fortsatt at CDer skulle fungere som de samme. Så i Windows XP vil CDer og DVDer fortsatt automatisk kjøre programmer på dem hvis de hadde en autorun.inf-fil, eller ville automatisk begynne å spille av musikk hvis de var lyd-CDer. Og på grunn av sikkerhetsarkitekturen i Windows XP, vil disse programmene sannsynligvis starte med administratortilgang. Med andre ord, ville de ha full tilgang til systemet ditt.

Med USB-stasjoner som inneholder autorun.inf-filer, vil programmet ikke automatisk kjøre, men vil presentere deg med alternativet i et autospillvindu.

Du kan deaktiver fortsatt denne oppførselen. Det var muligheter begravet i selve operativsystemet, i registret, og gruppepolicyredaktøren. Du kan også holde nede Shift-tasten når du setter inn en plate, og Windows vil ikke utføre AutoRun-oppførselen.

Noen USB-stasjoner kan emulere CDer, og til og med CDer er ikke trygge

Denne beskyttelsen begynte å bryte ned umiddelbart . SanDisk og M-Systems så CDR AutoRun-oppførelsen og ønsket det for sine egne USB-minnepinner, slik at de opprettet U3-flash-stasjoner. Disse flash-stasjonene emulerte en CD-stasjon når du kobler dem til en datamaskin, så et Windows XP-system vil automatisk starte programmer på dem når de er tilkoblet.

Selvfølgelig er ikke selv CDer trygge. Attackere kan enkelt brenne en CD eller DVD-stasjon, eller bruke en omskrivbar stasjon. Ideen om at CDer er noe sikrere enn USB-stasjoner, er feilkoplet.

Disaster 1: Sony BMG Rootkit Fiasco

I 2005 begynte Sony BMG å sende Windows rootkits på millioner av lyd-CDer. Når du setter inn lyd-CDen i datamaskinen, leser Windows autorun.inf-filen og kjører automatisk rootkit-installatøren, som smittet smittet datamaskinen i bakgrunnen. Hensikten med dette var å hindre at du kopierer musikkdisken eller rippe den til datamaskinen. Fordi disse er normalt støttede funksjoner, måtte rootkit undergrave hele operativsystemet for å undertrykke dem.

Dette var alt mulig takket være AutoRun. Noen anbefalte å holde Shift når du satte inn en lyd-CD i datamaskinen, og andre åpenbart lurte på om å holde Shift for å undertrykke rootkit fra å installere, anses å være et brudd på DMCAs forbud mot forbud mot omgåelse av kopibeskyttelse.

Andre har chronicled den lange, beklager historien henne. La oss bare si at rootkit var ustabil, malware tok fordel av rootkit for å lettere infisere Windows-systemer, og Sony fikk et stort og velfortjent svart øye på den offentlige arenaen.

Disaster 2: Conficker Worm and Other Malware

Conficker var en spesielt stygg orm først oppdaget i 2008. Blant annet smittet den USB-enheter og skapte autorun.inf-filer på dem som automatisk skulle kjøre skadelig programvare når de var koblet til en annen datamaskin. Som antivirusvirksomhet ESET skrev:

"USB-stasjoner og andre flyttbare medier, som nås av Autorun / Autoplay-funksjonalitetene hver gang (som standard) du kobler dem til datamaskinen din, er de mest brukte virusbærerne i disse dager."

Conficker var den mest kjente, men det var ikke den eneste malware for å misbruke den farlige AutoRun-funksjonaliteten. AutoRun som en funksjon er praktisk talt en gave til malwareforfattere.

Windows Vista deaktivert AutoRun som standard, men ...

Microsoft anbefalte slutt at Windows-brukere deaktiverer AutoRun-funksjonaliteten. Windows Vista har gjort noen gode endringer som Windows 7, 8 og 8,1 har alle arvet.

I stedet for automatisk å kjøre programmer fra CDer, DVDer og USB-stasjoner som maskerer som plater, viser Windows bare dialogboksen AutoPlay for disse stasjonene som vi vil. Hvis en tilkoblet plate eller stasjon har et program, ser du det som et alternativ i listen. Windows Vista og nyere versjoner av Windows kjører ikke automatisk programmer uten å spørre deg - du må klikke på "Kjør [program] .exe" i AutoPlay-dialogboksen for å kjøre programmet og bli infisert.

RELATERT: Ikke panikk, men alle USB-enheter har et stort sikkerhetsproblem

Men det er fortsatt mulig for malware å spre seg via AutoPlay. Hvis du kobler en skadelig USB-stasjon til datamaskinen, er du fremdeles bare ett klikk unna å kjøre malware via AutoPlay-dialogboksen - i hvert fall med standardinnstillingene. Andre sikkerhetsfunksjoner som UAC og antivirusprogrammet kan bidra til å beskytte deg, men du bør fortsatt være oppmerksom.

Og dessverre har vi nå en jevnere skrekkere sikkerhetstrussel fra USB-enheter å være klar over.


Hvis du liker , kan du deaktivere AutoPlay helt - eller bare for bestemte typer stasjoner - slik at du ikke får en automatisk spill-popup når du setter inn flyttbart media i datamaskinen. Du finner disse alternativene i Kontrollpanel. Gjør et søk etter "autoplay" i kontrollpanelens søkeboks for å finne dem.

Image Credit: aussiegal på Flickr, m01229 på Flickr, Lordcolus på Flickr


3 Alternativer til den nådefinerte TrueCrypt for kryptering trenger

3 Alternativer til den nådefinerte TrueCrypt for kryptering trenger

TrueCrypts dramatiske nedleggelse i mai 2014 forlot alle sjokkert. TrueCrypt var gå til anbefaling for fulldisk-krypteringsprogramvare, og utviklerne sa plutselig at koden var "ikke sikker" og stoppet utviklingen. Vi vet fortsatt ikke nøyaktig hvorfor TrueCrypt ble stengt - kanskje utviklerne var blir presset av en regjering, eller kanskje de bare var lei av å opprettholde det.

(how-to)

Slik ser du en liste over de nylig åpnede filene dine i Windows

Slik ser du en liste over de nylig åpnede filene dine i Windows

Enten du må sjekke hvilke filer som nylig ble åpnet på datamaskinen din, av sikkerhetskopieringsgrunner, eller hvis du vil se hva noen andre var åpner på datamaskinen din, kommer OSFV-verktøyet til nytte. I dag vil vi diskutere hva verktøyet er og hvordan du kan bruke det for å se hvilke filer som nylig ble åpnet i Windows.

(how-to)