Windows上でAutoRunマルウェアがどのように問題になったか、および(大部分)修正された方法
設計上の悪い決定のおかげで、AutoRunはかつてはWindows上の大きなセキュリティ問題でした。 AutoRunは、ディスクやUSBドライブをコンピュータに挿入するとすぐに悪意のあるソフトウェアが起動することを許可しています.
この欠陥は、マルウェアの作者によって悪用されただけではありません。 Sony BMGが音楽CDのルートキットを隠すためによく使用されていました。悪意のあるSony製オーディオCDをコンピュータに挿入すると、Windowsが自動的に実行され、ルートキットをインストールします。.
オートランの起源
AutoRunは、Windows 95で導入された機能です。ソフトウェアディスクをコンピュータに挿入すると、Windowsが自動的にディスクを読み取り、autorun.infファイルがディスクのルートディレクトリに見つかった場合は自動的にプログラムを起動します。 autorun.infファイルに指定.
ソフトウェアCDやPCゲームのディスクをコンピュータに挿入すると、インストーラまたはオプション付きのスプラッシュスクリーンが自動的に起動するのはこのためです。この機能は、このようなディスクを使いやすくするために設計されており、ユーザーの混乱を軽減します。 AutoRunが存在しない場合、ユーザーはファイルブラウザウィンドウを開き、ディスクに移動して、そこからsetup.exeファイルを起動する必要があります。.
これはしばらくの間はかなりうまくいきました、そして大きな問題はありませんでした。結局、CDライターが普及するまでは、ホームユーザーは自分のCDを簡単に作成する方法がありませんでした。あなたは本当に商用ディスクに出会うだけであり、そしてそれらは一般的に信頼できるものでした.
しかし、AutoRunが導入されたWindows 95に戻っても、それはフロッピーディスクには有効ではありませんでした。結局、誰でも好きなファイルをフロッピーディスクに置くことができます。フロッピーディスクの自動実行機能により、マルウェアはフロッピーからコンピュータ、フロッピーからコンピュータに拡散する可能性があります。.
Windows XPの自動再生
Windows XPはこの機能を「自動再生」機能で改良しました。ディスク、USBフラッシュドライブ、または他の種類のリムーバブルメディアデバイスを挿入したとき、Windowsはその内容を調べて、アクションを提案します。例えば、あなたがあなたのデジタルカメラからの写真を含むSDカードを挿入するならば、それはあなたが写真ファイルのために適切な何かをすることを勧めます。ドライブにautorun.infファイルがある場合は、そのドライブから自動的にプログラムを実行するかどうかを尋ねるオプションが表示されます。.
しかし、MicrosoftはまだCDが同じように動作することを望んでいました。そのため、Windows XPでは、autorun.infファイルがあればCDやDVDは自動的にプログラムを実行し、オーディオCDの場合は自動的に音楽の再生を開始します。また、Windows XPのセキュリティアーキテクチャにより、これらのプログラムはおそらく管理者権限で起動します。言い換えれば、彼らはあなたのシステムへのフルアクセスを持っているでしょう.
autorun.infファイルを含むUSBドライブでは、プログラムは自動的には実行されませんが、自動再生ウィンドウにオプションが表示されます。.
それでもこの動作を無効にすることができます。オペレーティングシステム自体、レジストリ、およびグループポリシーエディタに埋め込まれたオプションがありました。 Shiftキーを押しながらディスクを挿入しても、Windowsがオートラン動作を実行しない可能性があります。.
USBドライブの中にはCDをエミュレートできるものがあり、CDでも安全ではありません
この保護はすぐに崩壊し始めました。 SanDiskとM-SystemsはCD AutoRunの動作を確認し、それを独自のUSBフラッシュドライブに適用することを望んでいたので、U3フラッシュドライブを作成しました。あなたがそれらをコンピュータに接続するとき、これらのフラッシュドライブはCDドライブをエミュレートしたので、それらが接続されるとき、Windows XPシステムは自動的にそれらでプログラムを起動するでしょう.
もちろん、CDでも安全ではありません。攻撃者はCDまたはDVDドライブを焼き付けるか、または書き換え可能なドライブを使用する可能性があります。 CDはUSBドライブよりもどうにか安全だという考えは間違っています.
災害1:ソニーBMGルートキットフィアスコ
2005年に、ソニーBMGは彼らの何百万ものオーディオCDでWindowsルートキットを出荷し始めました。オーディオCDをコンピュータに挿入すると、Windowsがautorun.infファイルを読み、ルートキットインストーラを自動的に実行します。これにより、バックグラウンドでコンピュータがこっそり感染しました。これの目的はあなたが音楽ディスクをコピーしたり、あなたのコンピュータにそれをリッピングするのを防ぐことでした。これらは通常サポートされている機能なので、ルートキットはそれらを抑制するためにオペレーティングシステム全体を破壊しなければなりませんでした.
これはAutoRunのおかげですべて可能でした。オーディオCDをコンピュータに挿入するときはいつでもShiftキーを押したままにすることを推奨するユーザーもいれば、ルートキットのインストールを抑制するためにShiftキーを押したままにすること.
他の人は彼女の長い、残念な歴史を記録しました。ルートキットが不安定で、マルウェアがルートキットを利用してWindowsシステムに感染しやすくしたとしましょう。ソニーは公共の場で大規模かつ十分にふさわしいブラックアイを手に入れました.
災害2:Confickerワームおよびその他のマルウェア
Confickerは、特に厄介なワームで、2008年に初めて検出されました。とりわけ、それは接続されたUSBデバイスに感染し、autorun.infファイルを作成しました。ウイルス対策会社としてESETは書きました:
「USBドライブやその他のリムーバブルメディアは、(デフォルトでは)それらをコンピュータに接続するたびにアクセスされ、最近最も頻繁に使用されるウイルスキャリアです。」
Confickerが最もよく知られていますが、危険なAutoRun機能を悪用したのはそれだけではありません。機能としての自動実行は、実質的にマルウェア作成者への贈り物です。.
Windows Vistaがデフォルトで自動実行を無効にしましたが…
マイクロソフトは、Windowsユーザーに自動実行機能を無効にすることを推奨しました。 Windows Vistaは、Windows 7、8、および8、1がすべて継承されていることをいくつかの良い変更を加えました.
CD、DVD、およびUSBドライブから自動的にプログラムを実行してディスクのふりをする代わりに、Windowsは単にこれらのドライブの自動再生ダイアログも表示します。接続されているディスクまたはドライブにプログラムがある場合は、それがリストのオプションとして表示されます。 Windows Vista以降のバージョンのWindowsでは、確認を求めずにプログラムを自動的に実行することはできません。プログラムを実行して感染するには、[自動再生]ダイアログの[Run [program] .exe]オプションをクリックする必要があります。.
しかし、マルウェアが自動再生を介して拡散する可能性は依然としてあります。悪意のあるUSBドライブをコンピュータに接続しても、自動再生ダイアログを使用してマルウェアを実行することはできません - 少なくともデフォルト設定で。 UACやウイルス対策プログラムのような他のセキュリティ機能はあなたを保護するのに役立ちますが、あなたはまだ警戒すべきです.
そして、残念なことに、私たちは今、USBデバイスから気づくべきさらに深刻なセキュリティ上の脅威を抱えています.
必要に応じて、自動再生を完全に無効にすることも(特定の種類のドライブだけで)無効にすることもできるので、リムーバブルメディアをコンピュータに挿入しても自動再生ポップアップは表示されません。これらのオプションはコントロールパネルにあります。それらを見つけるためにコントロールパネルの検索ボックスで「自動再生」の検索を実行してください.
Image Credit:Flickrのオーストラリア人、Flickrのm01229、FlickrのLordcolus