Pagina inicial » como » Como o malware de execução automática se tornou um problema no Windows e como ele era (na maioria das vezes) resolvido

    Como o malware de execução automática se tornou um problema no Windows e como ele era (na maioria das vezes) resolvido

    Graças a decisões ruins de design, o AutoRun já foi um grande problema de segurança no Windows. O AutoRun permitiu que software malicioso fosse iniciado assim que você inseriu discos e unidades USB no seu computador.

    Essa falha não foi explorada apenas por autores de malware. Ele foi usado pela Sony BMG para esconder um rootkit em CDs de música. O Windows executaria e instalaria automaticamente o rootkit quando você inserisse um CD de áudio malicioso da Sony em seu computador.

    A origem do AutoRun

    AutoRun foi um recurso introduzido no Windows 95. Quando você inseriu um disco de software em seu computador, o Windows leu automaticamente o disco e - se um arquivo autorun.inf foi encontrado no diretório raiz do disco - ele iniciava automaticamente o programa. especificado no arquivo autorun.inf.

    É por isso que, quando você insere um CD de software ou um disco de jogo de PC em seu computador, ele inicia automaticamente um instalador ou uma tela inicial com opções. O recurso foi projetado para tornar esses discos fáceis de usar, reduzindo a confusão do usuário. Se o AutoRun não existisse, os usuários teriam que abrir a janela do navegador de arquivos, navegar até o disco e iniciar um arquivo setup.exe a partir daí.

    Isso funcionou muito bem durante algum tempo e não houve grandes problemas. Afinal, os usuários domésticos não tinham uma maneira fácil de produzir seus próprios CDs antes que os gravadores de CD fossem difundidos. Você realmente só se deparar com discos comerciais, e eles geralmente eram confiáveis.

    Mas, mesmo no Windows 95, quando o AutoRun foi lançado, ele não estava habilitado para disquetes. Afinal, qualquer um poderia colocar qualquer arquivo que quisesse em um disquete. AutoRun para disquetes permitiria que malware se espalhasse de disquete para computador para disquete para computador.

    Reprodução Automática no Windows XP

    O Windows XP refinou esse recurso com uma função “Reprodução Automática”. Quando você insere um disco, unidade flash USB ou outro tipo de dispositivo de mídia removível, o Windows examinará seu conteúdo e sugerirá ações para você. Por exemplo, se você inserir um cartão SD contendo fotos de sua câmera digital, ele recomendará que você faça algo apropriado para arquivos de imagem. Se uma unidade tiver um arquivo autorun.inf, você verá uma opção perguntando se deseja executar automaticamente um programa da unidade, bem.

    No entanto, a Microsoft ainda queria que os CDs funcionassem da mesma maneira. Assim, no Windows XP, os CDs e DVDs ainda executariam programas automaticamente se tivessem um arquivo autorun.inf ou começariam a reproduzir suas músicas automaticamente se fossem CDs de áudio. E, devido à arquitetura de segurança do Windows XP, esses programas provavelmente seriam iniciados com acesso de Administrador. Em outras palavras, eles teriam acesso total ao seu sistema.

    Com unidades USB contendo arquivos autorun.inf, o programa não seria executado automaticamente, mas apresentaria a opção em uma janela de Reprodução Automática..

    Você ainda pode desativar esse comportamento. Havia opções enterradas no próprio sistema operacional, no registro e no editor de política de grupo. Você também pode manter pressionada a tecla Shift enquanto insere um disco e o Windows não executará o comportamento de execução automática.

    Algumas unidades USB podem emular CDs e até CDs não são seguros

    Essa proteção começou a desmoronar imediatamente. A SanDisk e a M-Systems viram o comportamento do CD AutoRun e o desejaram para suas próprias unidades flash USB, então eles criaram unidades flash U3. Essas unidades flash emularam uma unidade de CD quando você as conectou a um computador, para que um sistema Windows XP inicie automaticamente programas nelas quando elas estiverem conectadas.

    Claro, nem os CDs são seguros. Os invasores podem facilmente gravar uma unidade de CD ou DVD ou usar uma unidade regravável. A ideia de que os CDs são de alguma forma mais seguros que os drives USB é um erro..

    Desastre 1: O fiasco da Sony BMG Rootkit

    Em 2005, a Sony BMG começou a distribuir rootkits do Windows em milhões de seus CDs de áudio. Quando você inseriu o CD de áudio no seu computador, o Windows leu o arquivo autorun.inf e executou automaticamente o instalador do rootkit, que infectou seu computador sorrateiramente em segundo plano. O objetivo disso foi impedir que você copiasse o disco de música ou o copiasse para o seu computador. Como essas funções normalmente são suportadas, o rootkit teve que subverter todo o sistema operacional para suprimi-las.

    Tudo isso foi possível graças ao AutoRun. Algumas pessoas recomendaram segurar Shift sempre que você inseriu um CD de áudio em seu computador, e outros abertamente se perguntou se segurar Shift para suprimir o rootkit de instalação seria considerado uma violação das proibições anti-circunferência do DMCA contra contornar a proteção contra cópia.

    Outros têm narrado a longa e triste história dela. Vamos apenas dizer que o rootkit era instável, o malware aproveitou o rootkit para infectar mais facilmente os sistemas Windows, e a Sony conseguiu um olho negro enorme e bem merecido na arena pública.

    Desastre 2: o worm Conficker e outros malwares

    O Conficker foi um worm particularmente desagradável detectado pela primeira vez em 2008. Entre outras coisas, infectou dispositivos USB conectados e criou arquivos autorun.inf que automaticamente executariam malware quando estivessem conectados a outro computador. Como empresa de antivírus ESET escreveu:

    “Unidades USB e outras mídias removíveis, que são acessadas pelas funcionalidades do Autorun / Autoplay cada vez que você as conecta ao seu computador, são as portadoras de vírus usadas com mais frequência atualmente.”

    O Conficker foi o mais conhecido, mas não foi o único malware a abusar da perigosa funcionalidade AutoRun. AutoRun como um recurso é praticamente um presente para os autores de malware.

    Windows Vista desativado AutoRun por padrão, mas…

    A Microsoft eventualmente recomendou que os usuários do Windows desativassem a funcionalidade AutoRun. O Windows Vista fez algumas boas mudanças que o Windows 7, 8 e 8,1 herdaram.

    Em vez de executar automaticamente programas de CDs, DVDs e unidades USB mascarados como discos, o Windows simplesmente mostra a caixa de diálogo Reprodução Automática para essas unidades também. Se um disco ou drive conectado tiver um programa, você o verá como uma opção na lista. O Windows Vista e versões posteriores do Windows não executarão programas automaticamente sem perguntar: você terá que clicar na opção “Executar [programa] .exe” na caixa de diálogo Reprodução Automática para executar o programa e se infectar.

    Mas ainda assim seria possível que o malware se espalhasse pela Reprodução Automática. Se você conectar uma unidade USB mal-intencionada ao seu computador, ainda estará a um clique de executar o malware por meio da caixa de diálogo Reprodução Automática - pelo menos com as configurações padrão. Outros recursos de segurança, como o UAC e seu programa antivírus, podem ajudar a protegê-lo, mas você ainda deve estar alerta.

    E, infelizmente, agora temos uma ameaça de segurança ainda mais assustadora dos dispositivos USB para saber.


    Se desejar, você pode desativar totalmente a Reprodução Automática - ou apenas para determinados tipos de unidade - para que você não obtenha um pop-up de Reprodução Automática ao inserir mídia removível em seu computador. Você encontrará essas opções no Painel de Controle. Realize uma pesquisa por "reprodução automática" na caixa de pesquisa do Painel de Controle para encontrá-los.

    Crédito de imagem: aussiegal no Flickr, m01229 no Flickr, Lordcolus no Flickr