โฮมเพจ » ทำอย่างไร » วิธีที่มัลแวร์ทำงานอัตโนมัติเป็นปัญหาบน Windows และแก้ไขได้อย่างไร (ส่วนใหญ่)

    วิธีที่มัลแวร์ทำงานอัตโนมัติเป็นปัญหาบน Windows และแก้ไขได้อย่างไร (ส่วนใหญ่)

    ด้วยการตัดสินใจด้านการออกแบบที่ไม่ดี AutoRun เคยเป็นปัญหาด้านความปลอดภัยขนาดใหญ่บน Windows AutoRun อนุญาตให้ซอฟต์แวร์ที่เป็นอันตรายเปิดใช้งานทันทีที่คุณเสียบดิสก์และไดรฟ์ USB เข้ากับคอมพิวเตอร์ของคุณ.

    ข้อบกพร่องนี้ไม่เพียงถูกโจมตีโดยผู้เขียนมัลแวร์เท่านั้น มันถูกใช้อย่างมีชื่อเสียงโดย Sony BMG เพื่อซ่อนรูทคิตในซีดีเพลง Windows จะเรียกใช้และติดตั้งรูทคิทโดยอัตโนมัติเมื่อคุณใส่แผ่นซีดีเสียงของ Sony ที่เป็นอันตรายลงในคอมพิวเตอร์ของคุณ.

    ต้นกำเนิดของ AutoRun

    AutoRun เป็นคุณสมบัติที่นำมาใช้ใน Windows 95 เมื่อคุณใส่แผ่นดิสก์ซอฟต์แวร์ลงในคอมพิวเตอร์ของคุณ Windows จะอ่านแผ่นดิสก์โดยอัตโนมัติและ - หากพบไฟล์ autorun.inf ในไดเรกทอรีรากของแผ่นดิสก์ - โปรแกรมนั้นจะเปิดโปรแกรมโดยอัตโนมัติ ที่ระบุในไฟล์ autorun.inf.

    นี่คือเหตุผลที่เมื่อคุณใส่แผ่นซีดีซอฟต์แวร์เกมหรือพีซีลงในคอมพิวเตอร์ของคุณมันจะเปิดตัวตัวติดตั้งหรือหน้าจอเริ่มต้นพร้อมตัวเลือกโดยอัตโนมัติ คุณลักษณะดังกล่าวได้รับการออกแบบเพื่อให้ดิสก์ดังกล่าวใช้งานง่ายลดความสับสนของผู้ใช้ หากไม่มีการทำงานอัตโนมัติผู้ใช้จะต้องเปิดหน้าต่างเบราว์เซอร์ไฟล์นำทางไปยังแผ่นดิสก์และเปิดไฟล์ setup.exe จากที่นั่นแทน.

    วิธีนี้ใช้งานได้ดีในระยะเวลาหนึ่งและไม่มีปัญหาใหญ่ ท้ายที่สุดผู้ใช้ตามบ้านไม่มีวิธีง่ายๆในการผลิตซีดีของตัวเองก่อนที่เครื่องเขียนซีดีจะแพร่หลาย คุณจะเจอดิสก์เชิงพาณิชย์เท่านั้นและโดยทั่วไปแล้วพวกเขาจะไว้ใจได้.

    แต่ถึงแม้จะกลับมาใน Windows 95 เมื่อมีการเปิดใช้งาน AutoRun แต่ก็ไม่ได้เปิดใช้งานสำหรับฟล็อปปี้ดิสก์ ท้ายที่สุดทุกคนสามารถวางไฟล์ใดก็ได้ที่พวกเขาต้องการบนฟลอปปี้ดิสก์ AutoRun สำหรับฟล็อปปี้ดิสก์จะอนุญาตให้มัลแวร์แพร่กระจายจากฟลอปปี้ไปยังคอมพิวเตอร์เพื่อฟลอปปี้กับคอมพิวเตอร์.

    เล่นอัตโนมัติใน Windows XP

    Windows XP ปรับปรุงฟีเจอร์นี้ด้วยฟังก์ชั่น“ เล่นอัตโนมัติ” เมื่อคุณใส่ดิสก์ USB แฟลชไดรฟ์หรืออุปกรณ์สื่อแบบถอดได้ชนิดอื่น Windows จะตรวจสอบเนื้อหาและแนะนำการดำเนินการกับคุณ ตัวอย่างเช่นหากคุณใส่การ์ด SD ที่มีรูปถ่ายจากกล้องดิจิทัลของคุณก็จะแนะนำให้คุณทำสิ่งที่เหมาะสมสำหรับไฟล์รูปภาพ หากไดรฟ์มีไฟล์ autorun.inf คุณจะเห็นตัวเลือกถามว่าคุณต้องการเรียกใช้โปรแกรมจากไดรฟ์โดยอัตโนมัติหรือไม่.

    อย่างไรก็ตาม Microsoft ยังต้องการให้ซีดีทำงานเหมือนเดิม ดังนั้นใน Windows XP ซีดีและดีวีดีจะยังคงเรียกใช้โปรแกรมโดยอัตโนมัติหากมีไฟล์ autorun.inf หรือจะเริ่มเล่นเพลงโดยอัตโนมัติหากเป็นซีดีเพลง และเนื่องจากสถาปัตยกรรมความปลอดภัยของ Windows XP โปรแกรมเหล่านั้นอาจเปิดขึ้นด้วยการเข้าถึงของผู้ดูแลระบบ กล่าวอีกนัยหนึ่งพวกเขาจะสามารถเข้าถึงระบบของคุณได้อย่างสมบูรณ์.

    ด้วยไดรฟ์ USB ที่มีไฟล์ autorun.inf โปรแกรมจะไม่ทำงานโดยอัตโนมัติ แต่จะแสดงตัวเลือกในหน้าต่าง AutoPlay.

    คุณยังสามารถปิดใช้งานพฤติกรรมนี้ได้ มีตัวเลือกฝังอยู่ในระบบปฏิบัติการในรีจิสทรีและตัวแก้ไขนโยบายกลุ่ม คุณสามารถกดแป้น Shift ค้างไว้ขณะที่ใส่แผ่นดิสก์และ Windows จะไม่ทำงานตามปกติ.

    ไดรฟ์ USB บางตัวสามารถเลียนแบบซีดีและแม้แต่ซีดีก็ไม่ปลอดภัย

    การป้องกันนี้เริ่มพังทลายทันที SanDisk และ M-Systems เห็นพฤติกรรม CD AutoRun และต้องการมันสำหรับแฟลชไดรฟ์ USB ของตัวเองดังนั้นพวกเขาจึงสร้าง U3 แฟลชไดรฟ์ แฟลชไดรฟ์เหล่านี้จำลองซีดีไดรฟ์เมื่อคุณเชื่อมต่อกับคอมพิวเตอร์ดังนั้นระบบ Windows XP จะเปิดโปรแกรมโดยอัตโนมัติเมื่อเชื่อมต่อ.

    แน่นอนว่าแม้ซีดีจะไม่ปลอดภัย ผู้โจมตีสามารถเขียนไดรฟ์ซีดีหรือดีวีดีได้อย่างง่ายดายหรือใช้ไดรฟ์ที่เขียนซ้ำได้ แนวคิดที่ว่าแผ่นซีดีปลอดภัยกว่าไดรฟ์ USB อย่างใดอย่างหนึ่งผิด.

    ภัยพิบัติ 1: Sony BMG Rootkit Fiasco

    ในปี 2005 Sony BMG เริ่มจัดส่งรูทคิท Windows บนซีดีเพลงหลายล้านแผ่น เมื่อคุณใส่แผ่นซีดีเพลงลงในคอมพิวเตอร์ของคุณ Windows จะอ่านไฟล์ autorun.inf และรันโปรแกรมติดตั้งรูทคิทโดยอัตโนมัติซึ่งติดเชื้อคอมพิวเตอร์ของคุณในเบื้องหลัง วัตถุประสงค์ของการทำเช่นนี้คือเพื่อป้องกันไม่ให้คุณคัดลอกแผ่นดิสก์เพลงหรือริปลงในคอมพิวเตอร์ของคุณ เนื่องจากฟังก์ชั่นเหล่านี้รองรับฟังก์ชั่นรูทคิทจึงต้องล้มล้างระบบปฏิบัติการทั้งหมดของคุณ.

    ทั้งหมดนี้เป็นไปได้ขอบคุณ AutoRun บางคนแนะนำให้ถือ Shift เมื่อใดก็ตามที่คุณใส่ซีดีเพลงลงในคอมพิวเตอร์ของคุณและคนอื่น ๆ สงสัยอย่างเปิดเผยว่าการกด Shift เพื่อระงับการรูทคิทจากการติดตั้งนั้นจะถือว่าเป็นการละเมิดข้อห้ามต่อต้านการหลบเลี่ยงของ DMCA.

    คนอื่น ๆ เล่าประวัติอันยาวนานและเสียใจของเธอ สมมติว่ารูทคิทนั้นไม่เสถียรมัลแวร์ใช้ประโยชน์จากรูทคิตเพื่อให้ระบบ Windows ติดเชื้อได้ง่ายขึ้นและ Sony ได้ดวงตาสีดำขนาดใหญ่ที่สมควรได้รับในเวทีสาธารณะ.

    Disaster 2: The Conficker Worm และมัลแวร์อื่น ๆ

    Conficker เป็นหนอนที่น่ารังเกียจโดยเฉพาะอย่างยิ่งที่ตรวจพบครั้งแรกในปี 2008 เหนือสิ่งอื่นใดมันติดเชื้ออุปกรณ์ USB ที่เชื่อมต่อและสร้างไฟล์ autorun.inf บนตัวมันซึ่งจะเรียกใช้มัลแวร์โดยอัตโนมัติเมื่อพวกเขาเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่น ในฐานะที่เป็น บริษัท ต่อต้านไวรัส ESET เขียนว่า:

    “ ไดรฟ์ USB และสื่อแบบถอดได้อื่น ๆ ซึ่งฟังก์ชัน Autorun / Autoplay เข้าถึงได้ในแต่ละครั้ง (โดยค่าเริ่มต้น) ที่คุณเชื่อมต่อเข้ากับคอมพิวเตอร์ของคุณเป็นผู้ให้บริการไวรัสที่ใช้บ่อยที่สุดในทุกวันนี้”

    Conficker เป็นที่รู้จักกันดีที่สุด แต่ไม่ใช่มัลแวร์เพียงตัวเดียวในการใช้งานฟังก์ชั่น AutoRun ที่เป็นอันตราย AutoRun ในฐานะคุณสมบัติเป็นของขวัญให้กับผู้เขียนมัลแวร์.

    Windows Vista ปิดใช้งานการทำงานอัตโนมัติตามค่าเริ่มต้น แต่ ...

    ในที่สุด Microsoft แนะนำให้ผู้ใช้ Windows ปิดการใช้งานฟังก์ชั่น AutoRun Windows Vista ได้ทำการเปลี่ยนแปลงที่ดีบางอย่างซึ่ง Windows 7, 8 และ 8,1 ได้รับการสืบทอดมาทั้งหมด.

    แทนที่จะเรียกใช้โปรแกรมโดยอัตโนมัติจากซีดีดีวีดีและไดรฟ์ USB ที่ปลอมแปลงเป็นดิสก์ Windows เพียงแสดงกล่องโต้ตอบเล่นอัตโนมัติสำหรับไดรฟ์เหล่านี้เช่นกัน หากดิสก์หรือไดรฟ์ที่เชื่อมต่อมีโปรแกรมคุณจะเห็นมันเป็นตัวเลือกในรายการ Windows Vista และ Windows รุ่นที่ใหม่กว่าจะไม่เรียกใช้โปรแกรมโดยอัตโนมัติโดยไม่ถามคุณ - คุณต้องคลิกตัวเลือก“ Run [program] .exe” ในกล่องโต้ตอบ AutoPlay เพื่อเรียกใช้โปรแกรมและติดเชื้อ.

    แต่มัลแวร์ยังคงแพร่กระจายผ่าน AutoPlay ได้ หากคุณเชื่อมต่อไดรฟ์ USB ที่เป็นอันตรายกับคอมพิวเตอร์ของคุณคุณเพียงแค่คลิกเดียวคุณก็ยังสามารถเรียกใช้มัลแวร์ผ่านช่องโต้ตอบ AutoPlay ได้อย่างน้อยก็ด้วยการตั้งค่าเริ่มต้น คุณสมบัติความปลอดภัยอื่น ๆ เช่น UAC และโปรแกรมป้องกันไวรัสของคุณสามารถช่วยปกป้องคุณได้ แต่คุณควรระวัง.

    และน่าเสียดายที่ตอนนี้เรามีภัยคุกคามความปลอดภัยที่น่ากลัวยิ่งขึ้นจากอุปกรณ์ USB ที่ต้องระวัง.


    หากต้องการคุณสามารถปิดการใช้งาน AutoPlay ทั้งหมดหรือเพียงแค่ไดรฟ์บางประเภทดังนั้นคุณจะไม่ได้รับป็อปอัพ AutoPlay เมื่อคุณแทรกสื่อแบบถอดได้ลงในคอมพิวเตอร์ คุณจะพบตัวเลือกเหล่านี้ในแผงควบคุม ทำการค้นหา“ เล่นอัตโนมัติ” ในช่องค้นหาของแผงควบคุมเพื่อค้นหา.

    เครดิตรูปภาพ: aussiegal on Flickr, m01229 on Flickr, Lordcolus on Flickr