Защищаем Windows от Conficker и прочей заразы. Скачайте исправления для Autorun и AutoPlay.

  • Article

В последнее время достаточно много вирусописателей взяли на воружение работу с механизмами Autorun и AutoPlay. Самым известным представителем вирусов такого типа является печально известный Conficker. При этом стоит обратить внимание, что приемы распространяется зловредного кода через Autorun и AutoPlay продолжают набирать популярность.

В свежем выпуске Microsoft Security Intelligence Report указывается, что семейство вирусов, использующих такой механизм, носит групповое имя Win32/Autorun. Это семейство наиболее часто встречается на клиентских системах и отвечает за 17,7 % всех случаев заражения.

 

autoran_infection_rate
График обнаружения вирусов семейств Win32/Autorun

 

Подробный список всех вирусов, входящих в семейство, можно посмотреть тут https://www.microsoft.com/security/portal/Threat/Encyclopedia/Search.aspx?query=Worm%3aWin32%2fAutoRun.

 

Для предотвращения распостранения всего семейства вирусов Win32/Autorun мы выпустили исправления AutoPlay  для Windows 7. Также были выпущены исправления для следующих систем:

  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows Server 2008

Скачать исправления для Autorun можно вот тут https://support.microsoft.com/kb/971029

Перед тем, как разбираться, что именно было исправлено, давайте обсудим, чем  Autorun отличается от AutoPlay.

  • AutoRun предназначен для автоматического запуска программ, когда CD или другой носитель данных вставлен в устройство. 
  • AutoPlay  функционал Windows позволяет пользователю выбрать какая программа должна стартовать когда в устройство вставляется носитель такой как музыкальный CD или DVD с фото. В процессе работы AutoPlay так же проводится синтаксический анализ файла Autorun.inf с подключенного устройства. Этот файл может определять добавочные команды меню, которые будут отображаться в диалоговом окне AutoPlay. Многие компании используют данный функционал для того, чтобы неопытные пользователи могли без затруднений запустить установку ПО с внешнего устройства. Используя это злонамереный код может добавить записи в Autorun.inf позволяющие запустить себя на новой системе.

 

В старой версии Autoplay при подключении зараженного устройства такого как SD или USB отображалось следующее меню.  Выделенное красным меню приводило к запуску вредоносного кода через механизм Autorun.

autorun_1

Теперь давайте посмотрим, что изменилось. ОС не выводит дополнительные пункты из Autorun.inf для всех устройств, не являющихся CD или DVD. То есть подключение того же зараженного SD или USB устройства будет приводить к появлению вот такого меню:

autorun_2

Таким образом, пользователю для запуска вируса придется открыть устройство с помощью Explorer найти вирус и выполнить его вручную. Надеюсь, это сильно уменьшит количество заражений.

 

При этом, если вы попытаетесь вставить CD или DVD, то Autorun будет работать так же, как и раньше. Сделано это для сохранения совместимости. Вероятность того, что на CD или DVD попадет вирус, изменяющий Autorun.inf, гораздо ниже хотя и не равна нулю. Поэтому обработка этого файла будет производиться.  Но при этом пользователю будет указано, что программу он запускает с внешнего носителя.

autorun_7

 

Понятно что данный функционал не обезопасит ваши системы от Conficker на 100%, потому что этот вирус умеет распространяться не только через Aurorun, но и  через папки сетевого доступа, подбирая к ним пароли по словарю.

 

В тоже время мне кажется, что более полезным вариантом защиты пользователя от вредоносного кода использующего Autorun была бы возможность не показывать меню из Autoran.inf если файлы которые предполагается запускать не имеют цифровой подписи.

 

Но в любом случае это повысит защищенность целого семейства наиболее распространенных ОС на планете.  Поэтому я думаю, что это полезное изменение и очень прошу вас установить исправление KB971029 не только на Windows 7, но и на все остальные свои системы.