应对 AutoRun 的威胁环境,Windows 做出改动 [转译]


<<本文章转译自 Microsoft Malware Protection Center 博客文章 “Windows Addresses the Changing AutoRun Threat Environment">>

相关中文博客文章请参考:"Windows 7 对于 AutoRun 功能进行调整 [转译]"

自动播放是驱动器的一项功能,当新的存储介质插入到电脑中时,它通过 autorun.inf 文件,提供一系列的任务让用户选择。这包括了 USB 驱动器、CD 或 DVD、网络驱动器和其他新的存储介质。用户会在自动播放对话框中看到自动播放任务。

在大约十年前,软盘的应用开始减少。电脑开始不再安装软盘驱动器。而与此同时软盘病毒也被有效地从恶意软件领域消除了。现在,USB 存储介质出现了,它正在扮演着与当时的软盘相同的角色。在当今的恶意软件领域,自动播放恶意软件急剧增长,越来越普遍。下图显示了在我们实验室中被检测为 Worm:Win32/Autorun 恶意软件的个数正在快速增长:

clip_image001

每个季度,我们要处理大约 25 万个此类样本。另外,WildList Organization (WLO) 每月生成一个经确认正在全球用户中传播的病毒清单。他们关于 Worm:Win32/Autorun 样本的统计也显示出显著的增长。

clip_image002

因为 WLO 需要收集、协调并证实许多不同提供者提交的不同样本,并且只会收录经过一个以上的行业提交者确认的样本,所以他们的数字显得更小。但是仍然可以看到急剧的增长。

最近的 Conficker 蠕虫也是使用了这个传染因素的自动播放恶意软件。它使用自动播放中一些特性来迷惑用户,诱骗他们选择错误的选项。如果不仔细研究这两个选项之间的差别,用户就有可能选择第一个选项,这将会运行蠕虫。

clip_image003

因为恶意软件越来越多地利用自动播放,Windows 7 团队采取了重大的举措来阻止这一特定威胁。

新变化包括:除非是移动光学介质(CD/DVD),否则将不会弹出对话框显示自动播放条目。所以如果一个 USB 驱动器被插入到电脑上,自动播放的选项不再显示。此外,还有一些改变可以使自动播放对话框中的行为更加清晰。

我们鼓励更新系统来利用这一新的功能。就像软盘病毒因为我们习惯的改变而消失一样,我们同样希望自动播放恶意软件因这一系统基础结构的变化而消失。

想查看关于这一改动的更多细节,请访问 Engineering Windows 7: 自动播放的改进

-- Jimmy Kuo & Huzefa Mogri

相关中文博客文章请参考:"Windows 7 对于 AutoRun 功能进行调整 [转译]"

Comments (0)

Skip to main content