Trang chủ » làm thế nào để » Phần mềm độc hại AutoRun trở thành sự cố trên Windows và cách khắc phục (chủ yếu)

    Phần mềm độc hại AutoRun trở thành sự cố trên Windows và cách khắc phục (chủ yếu)

    Nhờ các quyết định thiết kế tồi, AutoRun đã từng là một vấn đề bảo mật lớn trên Windows. AutoRun hữu ích cho phép phần mềm độc hại khởi chạy ngay khi bạn đưa đĩa và ổ USB vào máy tính của bạn.

    Lỗ hổng này không chỉ được khai thác bởi các tác giả phần mềm độc hại. Nó được Sony BMG sử dụng nổi tiếng để ẩn rootkit trên đĩa CD nhạc. Windows sẽ tự động chạy và cài đặt rootkit khi bạn đưa CD âm thanh Sony độc hại vào máy tính của bạn.

    Nguồn gốc của AutoRun

    AutoRun là một tính năng được giới thiệu trong Windows 95. Khi bạn đưa đĩa phần mềm vào máy tính, Windows sẽ tự động đọc đĩa và - nếu tìm thấy tệp autorun.inf trong thư mục gốc của đĩa - nó sẽ tự động khởi chạy chương trình được chỉ định trong tệp autorun.inf.

    Đây là lý do tại sao, khi bạn đưa đĩa trò chơi CD hoặc PC phần mềm vào máy tính, nó sẽ tự động khởi chạy trình cài đặt hoặc màn hình giật gân với các tùy chọn. Tính năng này được thiết kế để làm cho các đĩa như vậy dễ sử dụng, giảm sự nhầm lẫn của người dùng. Nếu AutoRun không tồn tại, người dùng sẽ phải mở cửa sổ trình duyệt tệp, điều hướng đến đĩa và khởi chạy tệp setup.exe từ đó.

    Điều này hoạt động khá tốt trong một thời gian, và không có vấn đề lớn. Rốt cuộc, người dùng gia đình không có cách dễ dàng để sản xuất đĩa CD của riêng họ trước khi trình ghi CD được phổ biến rộng rãi. Bạn thực sự chỉ bắt gặp các đĩa thương mại và chúng thường đáng tin cậy.

    Nhưng ngay cả khi quay lại Windows 95 khi AutoRun được giới thiệu, nó không được kích hoạt cho các đĩa mềm. Rốt cuộc, bất cứ ai cũng có thể đặt bất kỳ tập tin nào họ muốn vào một đĩa mềm. AutoRun cho đĩa mềm sẽ cho phép phần mềm độc hại lây lan từ đĩa mềm sang máy tính sang đĩa mềm.

    Tự động phát trong Windows XP

    Windows XP đã tinh chỉnh tính năng này với chức năng AutoPlayiên. Khi bạn lắp đĩa, ổ flash USB hoặc một loại thiết bị đa phương tiện di động khác, Windows sẽ kiểm tra nội dung của nó và đề xuất các hành động cho bạn. Ví dụ: nếu bạn lắp thẻ SD chứa ảnh từ máy ảnh kỹ thuật số của mình, nó sẽ khuyên bạn nên làm gì đó phù hợp với các tệp ảnh. Nếu một ổ đĩa có tệp autorun.inf, bạn sẽ thấy tùy chọn hỏi bạn có muốn tự động chạy chương trình từ ổ đĩa không.

    Tuy nhiên, Microsoft vẫn muốn CD hoạt động như vậy. Vì vậy, trong Windows XP, CD và DVD vẫn sẽ tự động chạy các chương trình trên chúng nếu chúng có tệp autorun.inf hoặc sẽ tự động bắt đầu phát nhạc nếu chúng là CD âm thanh. Và, do kiến ​​trúc bảo mật của Windows XP, các chương trình đó có thể sẽ khởi chạy với quyền truy cập của Quản trị viên. Nói cách khác, họ sẽ có quyền truy cập đầy đủ vào hệ thống của bạn.

    Với các ổ USB chứa tệp autorun.inf, chương trình sẽ không tự động chạy, nhưng sẽ cung cấp cho bạn tùy chọn trong cửa sổ AutoPlay.

    Bạn vẫn có thể vô hiệu hóa hành vi này. Có các tùy chọn được chôn trong chính hệ điều hành, trong sổ đăng ký và trình soạn thảo chính sách nhóm. Bạn cũng có thể giữ phím Shift khi bạn đưa đĩa vào và Windows sẽ không thực hiện hành vi AutoRun.

    Một số ổ USB có thể giả lập CD và thậm chí cả CD không an toàn

    Sự bảo vệ này bắt đầu bị phá vỡ ngay lập tức. SanDisk và M-Systems đã thấy hành vi CD AutoRun và muốn nó cho các ổ flash USB của riêng họ, vì vậy họ đã tạo ra các ổ flash U3. Các ổ đĩa flash này mô phỏng ổ đĩa CD khi bạn kết nối chúng với máy tính, vì vậy hệ thống Windows XP sẽ tự động khởi chạy các chương trình trên chúng khi chúng được kết nối.

    Tất nhiên, ngay cả đĩa CD cũng không an toàn. Kẻ tấn công có thể dễ dàng ghi ổ đĩa CD hoặc DVD hoặc sử dụng ổ đĩa có thể ghi lại. Ý tưởng rằng đĩa CD nào đó an toàn hơn ổ đĩa USB là sai lầm.

    Thảm họa 1: Sony BMG Rootkit Fiasco

    Vào năm 2005, Sony BMG đã bắt đầu vận chuyển Windows rootkit trên hàng triệu đĩa CD âm thanh của họ. Khi bạn đưa đĩa CD âm thanh vào máy tính, Windows sẽ đọc tệp autorun.inf và tự động chạy trình cài đặt rootkit, thứ đã lén lút nhiễm máy tính của bạn dưới nền. Mục đích của việc này là để ngăn bạn sao chép đĩa nhạc hoặc trích xuất nó vào máy tính của bạn. Vì đây là các chức năng được hỗ trợ thông thường, rootkit phải phá hủy toàn bộ hệ điều hành của bạn để triệt tiêu chúng.

    Điều này hoàn toàn có thể nhờ AutoRun. Một số người khuyên nên giữ Shift bất cứ khi nào bạn đưa CD âm thanh vào máy tính của mình và những người khác tự hỏi liệu việc giữ Shift để ngăn chặn rootkit cài đặt có bị coi là vi phạm các lệnh cấm lách luật của DMCA đối với việc bỏ qua bảo vệ bản sao.

    Những người khác đã ghi lại lịch sử dài, xin lỗi cô. Giả sử rootkit không ổn định, phần mềm độc hại đã lợi dụng rootkit để dễ dàng lây nhiễm các hệ thống Windows hơn và Sony có một con mắt đen rất lớn và xứng đáng trong lĩnh vực công cộng.

    Thảm họa 2: Worm Conficker và các phần mềm độc hại khác

    Conficker là một con sâu đặc biệt khó chịu được phát hiện lần đầu tiên vào năm 2008. Trong số những thứ khác, nó đã lây nhiễm các thiết bị USB được kết nối và tạo các tệp autorun.inf trên chúng để tự động chạy phần mềm độc hại khi chúng được kết nối với máy tính khác. Như công ty chống vi-rút ESET đã viết:

    Ổ đĩa USB và các phương tiện di động khác, được truy cập bởi các chức năng Autorun / Autoplay mỗi lần (theo mặc định) bạn kết nối chúng với máy tính của mình, là những nhà cung cấp vi-rút được sử dụng thường xuyên nhất hiện nay.

    Conficker là nổi tiếng nhất, nhưng nó không phải là phần mềm độc hại duy nhất lạm dụng chức năng AutoRun nguy hiểm. AutoRun là một tính năng thực tế là một món quà cho các tác giả phần mềm độc hại.

    Windows Vista bị vô hiệu hóa AutoRun theo mặc định, nhưng

    Microsoft cuối cùng đã khuyến nghị người dùng Windows nên tắt chức năng AutoRun. Windows Vista đã thực hiện một số thay đổi tốt mà Windows 7, 8 và 8.1 đều được kế thừa.

    Thay vì tự động chạy các chương trình từ CD, DVD và ổ đĩa USB giả dạng đĩa, Windows chỉ hiển thị hộp thoại AutoPlay cho các ổ đĩa này. Nếu một đĩa hoặc ổ đĩa được kết nối có chương trình, bạn sẽ thấy nó là một tùy chọn trong danh sách. Windows Vista và các phiên bản Windows mới hơn sẽ không tự động chạy chương trình mà không hỏi bạn - bạn phải nhấp vào tùy chọn [Run] .exe trong hộp thoại AutoPlay để chạy chương trình và bị nhiễm.

    Nhưng phần mềm độc hại vẫn có thể lây lan qua AutoPlay. Nếu bạn kết nối ổ USB độc hại với máy tính của mình, bạn vẫn chỉ cần một cú nhấp chuột để chạy phần mềm độc hại thông qua hộp thoại AutoPlay - ít nhất là với các cài đặt mặc định. Các tính năng bảo mật khác như UAC và chương trình chống vi-rút của bạn có thể giúp bảo vệ bạn, nhưng bạn vẫn nên cảnh giác.

    Và thật không may, giờ đây chúng ta có một mối đe dọa bảo mật thậm chí còn đáng sợ hơn từ các thiết bị USB để nhận biết.


    Nếu bạn thích, bạn có thể tắt hoàn toàn AutoPlay - hoặc chỉ đối với một số loại ổ đĩa nhất định - vì vậy bạn sẽ không nhận được cửa sổ bật lên AutoPlay khi bạn chèn phương tiện di động vào máy tính. Bạn sẽ tìm thấy các tùy chọn này trong Bảng điều khiển. Thực hiện tìm kiếm cho Tự động phát trực tuyến trong hộp tìm kiếm của Bảng điều khiển để tìm thấy chúng.

    Tín dụng hình ảnh: aussiegal trên Flickr, m01229 trên Flickr, Lordcolus trên Flickr