Windows 7 对于 AutoRun 功能进行调整 [转译]

  • Article

<<本文章转译自 Security Research & Defense 博客文章 “AutoRun changes in Windows 7">>

相关中文博客文章请参考:"应对 AutoRun 的威胁环境,Windows 做出改动 [转译]"

就如我们一些读者所了解的那样,Conficker 和另一些恶意软件利用 AutoRun 功能作为传播的一种机制。另外,在最近的几个月中,我们看来:随着更多的恶意软件利用了 AutoRun 功能,这类威胁有着显著增长的趋势。关于此类威胁的更多信息可以在最近的 Security Intelligence Report (查询Win32/AutoRun),或者 Microsoft Malware Protection Center (MMPC) 博客 中读到

背景

在讨论具体的改变之前,理解 AutoRun 和 AutoPlay 的不同点很重要:

· AutoRun 是包含在媒介中的技术,在计算机上插入 CD 或者别的媒介时会自动执行某些应用程序。AutoRun 的主要目的是为用户在电脑上执行的硬件操作提供相应的软件响应。

· AutoPlay 是 Windows 的一个窗口功能,让用户在插入音乐光盘,含有照片的 DVD 等媒体时,可选择所要执行的应用程序。在 AutoPlay 的程序中,媒体中的 Autorun.inf 文件会被解析。这个文件(如果存在)会在 AutoPlay 菜单中制定附加的命令功能。

改变

为了能够帮助防止恶意软件(如 Conficker)通过 AutoRun 机制传播,Windows 7 工程师组做了两个重要改变的决策。

1. 对于非光学的可移动媒体设备,AutoPlay 不再支持 AutoRun 功能。换句话说,AutoPlay 对于 CD/DVD 依旧支持,但是不再支持 USB 驱动。比如,如果一个受到感染的 USB 驱动被插入机器,那么 AutoRun 任务不再会被显示。这就是组织在 SIR 中突出的增长的社会工程学威胁。下面的对话框突出了在改变后用户会看到的区别。在改变前,恶意软件利用 AutoRun(红色框中的图像)来迷惑用户。在改变后,AutoRun 不再运行,因此 AutoPlay 的选项安全了。

clip_image002clip_image004

改变前 改变后

2. 对话框内容会改变,这个改变将明确指出此程序是否由外部媒体执行的。

clip_image006clip_image008

改变前 改变后

这里,有必要指出的一点是一些智能 USB 闪存驱动器可以被当成 CD/DVD 驱动,而不是标准的驱动(例子可以查看 https://en.wikipedia.org/wiki/U3)在这个特殊的情况下,操作系统会将 USB 驱动以 CD/DVD 的方式处理,因为驱动的类型是在硬件层就被确定的。

更多的信息可以访问 Windows 7 博客

上述改变会在 Windows 7 的 RC 版本中推出。我们计划将在Windows Vista 和 Windows XP 沿用这个机制,这样我们其他的用户也会从这个改变中得益。

谢谢,

Damian Hasse – MSRC Engineering Blogger

参考:

*Postings are provided "AS IS" with no warranties, and confers no rights.*

相关中文博客文章请参考:"应对 AutoRun 的威胁环境,Windows 做出改动 [转译]"