Taj je nedostatak iskoristio samo zlonamjerni autori. Sony BMG je poznato da sakriva rootkit na glazbenim CD-ima. Windows bi se automatski pokrenuo i instalirao rootkit kada ste umetnuli zlonamjerni Sony audio CD u računalo.
Podrijetlo AutoRuna
AutoRun je značajka uvedena u sustavu Windows 95. Kada ste umetnuli programski disk na računalo, sustav Windows automatski će pročitati disk i - ako je pronađena autorun.inf datoteka u korijenskom direktoriju diska - automatski bi pokrenula program navedene u autorun.inf datoteci.
Zato je, kada ste umetnuli programski CD ili disk za računalo u računalo, automatski je pokrenuo instalacijski program ili dodirni zaslon s opcijama. Značajka je dizajnirana tako da se takvi diskovi lako koriste, smanjujući konfuziju korisnika. Ako AutoRun ne postoji, korisnici bi morali otvoriti prozor preglednika datoteka, prijeći na disk i umjesto toga pokrenuti datoteku setup.exe.
Ovo je neko vrijeme dobro funkcioniralo, a nije bilo velikih problema. Uostalom, kućni korisnici nisu imali jednostavan način za stvaranje vlastitih CD-ova prije no što su CD burneri bili rašireni. Doista biste došli samo na komercijalne diskove, a oni su uglavnom bili pouzdani.
Ali čak i natrag u sustavu Windows 95 kada je uveden AutoRun nije omogućen diskete. Uostalom, svatko može staviti sve datoteke koje su htjele na disketu. AutoRun za diskete omogućit će malwareu širenje s diskete na računalo na disketu na računalo.
AutoPlay u sustavu Windows XP
Windows XP poboljšava tu značajku pomoću funkcije "AutoPlay". Kada ste umetnuli disk, USB bljesak ili neku drugu vrstu izmjenjivog medijskog uređaja, Windows će pregledati njezin sadržaj i predložiti vam radnje. Na primjer, ako umetnete SD karticu koja sadrži fotografije s digitalnog fotoaparata, preporučuje vam da učinite nešto prikladno za slikovne datoteke. Ako pogon ima datoteku autorun.inf, vidjet ćete opciju koja vas pita želite li automatski pokrenuti program s pogona.
Međutim, Microsoft je i dalje želio da CD radi isto. Dakle, u sustavu Windows XP, CD-i i DVD-ovi i dalje će automatski pokrenuti programe na njima ako su imali autorun.inf datoteku ili će automatski početi svirati svoju glazbu ako su audio CD-ovi. I zbog sigurnosne arhitekture sustava Windows XP, ti programi vjerojatno bi mogli pokrenuti s Administratorskim pristupom. Drugim riječima, oni bi imali puni pristup vašem sustavu.
S USB pogonima koji sadrže autorun.inf datoteke, program se ne bi automatski pokrenuo, ali bi vam prikazao opciju u prozoru AutoPlay.
I dalje možete onemogućiti ovo ponašanje. Opcije su bile zakopane u samom operacijskom sustavu, u registru i uređivaču pravila grupe. Također možete držati tipku Shift dok ste umetnuli disk i Windows ne bi izvršio ponašanje AutoRun.
Neke USB pogone mogu emulirati CD-ove, pa čak i CD-ovi nisu sigurni
Ova je zaštita odmah počela raskomadati. SanDisk i M-Systems su vidjeli ponašanje CD-a AutoRun i htjeli su to za svoje USB bljesak Pogoni, tako da su stvorili U3 bljesak Pogoni. Ove bljeskalice podrazumijevaju CD pogon kada ih povežete s računalom pa će sustav Windows XP automatski pokrenuti programe na njima kada budu povezani.
Naravno, čak i CD-ovi nisu sigurni. Napadači su mogli lako snimiti CD ili DVD pogon ili koristiti disk s mogućnošću ponovnog snimanja. Ideja da su CD-ovi na neki način sigurniji od USB pogona pogrešno je na čelu.
Katastrofa 1: Sony BMG Rootkit Fiasco
Godine 2005. Sony BMG počeo je isporučivati Windows rootkitove na milijune svojih audio CD-a. Kada ste umetnuli audio CD na računalo, Windows će pročitati autorun.inf datoteku i automatski pokrenuti instalacijski program za korijenje, koji je u pozadini tajno zaražio vaše računalo. Svrha ovoga bila je sprječavanje kopiranja glazbenog diska ili kopiranja na računalo. Budući da su to normalno podržane funkcije, rootkit je morao potkopati vaš cijeli operativni sustav da ih potisne.
To je bilo moguće zahvaljujući AutoRun-u. Neki su ljudi preporučili držanje Shifta svaki put kada ste umetnuli audio CD u računalo, a drugi se otvoreno pitali je li držanje Shifta za uklanjanje rootkita iz instalacije smatralo kršenjem zabrane kršenja pravila DMCA-a za zaobilaženje zaštite od kopiranja.
Drugi su napisali dugu, žalosnu povijest. Recimo samo da je rootkit nestabilan, zlonamjerni softver iskoristio je rootkit kako bi lakše zarazio Windows sustave, a Sony je dobio široku i zasluženu crnu oči u javnoj areni.
Katastrofa 2: Conficker crv i drugi zlonamjerni softver
Conficker je bio osobito gadan crv koji je prvi put otkriven 2008. godine. Između ostalog, zaražen je povezanim USB uređajima i stvorio datoteke autorun.inf na njima koji bi automatski pokrenuli zlonamjerni softver kad su bili povezani s drugim računalom. Kao antivirusna tvrtka ESET napisala je:
“USB drives and other removable media, which are accessed by the Autorun/Autoplay functionalities each time (by default) you connect them to your computer, are the most frequently used virus carriers these days.”
Conficker je bio najpoznatiji, ali nije bio jedini zlonamjerni softver koji je zlorabio opasnu AutoRun funkcionalnost. AutoRun kao značajka praktički je dar za autore malwarea.
Windows Vista Onemogućeno AutoRun po zadanom, ali …
Microsoft je konačno preporučio da korisnici sustava Windows onemogućuju funkciju AutoRun. Windows Vista je napravio neke dobre izmjene koje su Windows 7, 8 i 8,1 sve naslijedile.
Umjesto automatskog pokretanja programa s CD-ova, DVD-ova i USB pogona koji se maskiraju kao diskovi, Windows jednostavno prikazuje i dijaloški okvir AutoPlay za ove diskove. Ako spojeni disk ili pogon ima program, vidjet ćete ga kao opciju na popisu. Windows Vista i novije verzije sustava Windows neće automatski pokrenuti programe bez traženja - trebali biste kliknuti na "Run [program].exe" u dijaloškom okviru AutoPlay za pokretanje programa i zaraženost.
Nažalost, sada imamo još zastrašujuću sigurnosnu prijetnju od USB uređaja da budemo svjesni.
Ako vam se sviđa, u potpunosti možete onemogućiti automatsku reprodukciju - ili samo za određene vrste pogona - tako da nećete dobiti skočni prozor AutoPlay kad umetnete prijenosni medij u računalo. Te će opcije pronaći na upravljačkoj ploči. Potražite "automatsku reprodukciju" u okvir za pretraživanje upravljačke ploče da biste ih pronašli.
