Microsoft ogłosił ostatnio, że wprowadza zmiany a usłudze AutoPlay. Usługa ta odpowiedzialna jest za wyświetlanie menu, uruchamianie programów czy skryptów po włożeniu płyty CD/DVD, pendrive-a czy podłączeniu odtwarzacza MP3/Aparatu etc. Mechanizm ten działa(ł) w ten sposób, że w katalogu głównym umieszczany był plik AutoRun.inf który zawierał informacje jaki program uruchomić podczas podłączenia urządzenia czy włożenia płyty do napędu. Usługa bardzo wygodna jednak coraz więcej wirusów zaczęło wykorzystywać to do rozpowszechniania się.
Jak się wirusy mogą rozpowszechniać dzięki plikom AutoRun ?
Większość urządzeń typu odtwarzacze MP3/4, aparaty fotograficzne, telefony komórkowe oraz wszelkie klucze usb, pendrive-y etc widoczne są w systemie jako kolejny dysk. Wirus widząc takie urządzenie po prostu wrzuca swoją kopię oraz tworzy plik AutoRun, który ma uruchomić wirusa – tak samo jak uruchamia się menu płyty CD po jej włożeniu. Efekt? Ponieważ większość ludzi pracuje na kontach z uprawnieniami administratora oraz nie do końca czyta komunikaty tylko klika Yes/Tak/Dalej wirus ma już drogę otwartą do kolejnej ofiary. Cały problem polega na tym, że podłączając zupełnie przecież bezpieczny aparat fotograficzny, którego karta jest widoczna jako kolejny dysk możemy złapać jakąś niespodziankę, oczywiście nie zagrozi to naszej fotoróbce – wystarczy że przeniesie się na inną maszynę. W ten sposób popularny ostatnio robal Conficker używał AutoRun-a. Oczywiście nie tylko Conficker korzysta z tej bardzo prostej metody.
W odpowiedzi na powyższe Microsoft będzie analizował pliki AutoRun tylko na nośnikach optycznych. W przypadku pozostałych urządzeń, usługa ta będzie plik autorun.ini po prostu ignorowała. Zachowanie takie pojawia się w Windows 7 RC a w późniejszym okresie pojawi się również w Windows Vista oraz XP.
To też może Cię zainteresować:
Sierpień 23rd, 2010 at 7:33
I am your new reader from now onwards.
Sierpień 26th, 2010 at 14:53
Wow! I can’t believe I have found your blog. Very useful information.