Изменения в поведении функции автоматического воспроизведения

Как уже говорилось в одной из статей, где мы обсуждали изменения в UAC, и в журнале, посвящённом IE, где речь шла о фильтре SmartScreen, мы намеренно сосредоточились на том, чтобы максимально обезопасить пользователей и обеспечить им контроль над приложениями, запускаемых на компьютерах. В комментариях настоящего журнала тоже не раз высказывалась озабоченность проблемами безопасности, в частности, в области реализации функции автоматического воспроизведения. В этом сообщении мы рассказываем об изменениях, сделанных для того, чтобы повысить конфиденциальность пользователей при обращении с носителями информации и устройствами в Windows. Автор статьи – Арик Коэн (Arik Cohen), координатор группы Core User Experience. – Стивен

Некоторые вредоносные программы, включая известного червя Conficker, начинают с того, что используют функцию автоматического запуска, притворяясь какой-нибудь вполне дружелюбной программой, тем самым маскируя трояна, загружающего саму вредоносную программу на компьютер. В последующем троян заражает остальные устройства по мере их подключения к инфицированному компьютеру. Для подробной информации о черве Conficker посетите этот ресурс.

В приведённом ниже примере вредоносная программа маскируется под опцию «Открыть папки для просмотра файлов» на USB-брелке, содержащем фотографии. Если пользователь выберет первый вариант задачи «Открыть папки для просмотра файлов» (обведена красным), то произойдёт заражение вирусом. Но если выбрать второй вариант (обведён зелёным), то будет задействована нормальная функция Windows.

clip_image001

Инфицирование автоматического запуска на USB-брелке

Пользователи, несомненно, будут пребывать в недоумении, увидев два одинаковых ярлыка, указывающих на одно и то же действие, и даже наиболее опытные из них, никогда не устанавливающие программ из непроверенных источников, легко могут ошибиться и запустить именно первый вариант. В результате, доверие пропадает, как и ощущение, что пользователь контролирует ситуацию на своём компьютере.

Растущая угроза

Автозапуск (AutoRun) в качестве варианта автоматического воспроизведения (AutoPlay) представлен в системе со времён Windows XP, и мы наблюдаем значительный рост числа вредоносных программ, использующих автозапуск как потенциальный способ проникновения на компьютер. Согласно отчёту по вопросам безопасности, созданному компанией Forefront Client Security, установлено, что количество заражений вирусом путём использования автозапуска опасными программами составляет 17,7% всех случаев инфицирования компьютеров во второй половине 2008 г. – крупнейшая категория заражений вредоносным ПО.

Диаграмма показывает растущее количество атак, зарегистрированных антивирусным ПО Microsoft, по категориям инфекций, которые распространяются через автозапуск. Обратите внимание, что действительный способ заражения не поддаётся определению.

clip_image002

Обнаружение вредоносного ПО, распространяющегося посредством автозапуска.

В настоящее время лишь полное отключение автозапуска является приемлемым вариантом безопасного использования USB-брелков на компьютерах. Как отключить автозапуск, можно узнать, пройдя по ссылке.

Увеличение уровня безопасности для пользователей

В Windows 7 были внедрены значительные усовершенствования для автозапуска, защищающие пользователя от неумышленного запуска вредоносного ПО, подобного Conficker, во время выполнения рутинных операций с устройствами (например, открытие файлов на USB-брелке, копирование фотографий с SD-карты и т.п.)

В частности, Windows больше не отображает вариант автозапуска в диалоге автоматического воспроизведения для устройств, не работающих с оптическими носителями CD/DVD, поскольку установить источник происхождения данных на них невозможно. Кто разместил их там – производитель ПО, пользователь или опасная программа? Отключение автозапуска устранит опасность распространения инфекции через автозапуск, используемый вредоносным ПО в разрушительных целях, и поможет защитить пользователей. Остальные варианты автоматического воспроизведения, установленные на компьютере, останутся доступными.

Теперь, когда пользователь вставляет в разъём компьютера заражённый USB-брелок с фотографиями, он может быть уверен, что возможные для него действия, появляющиеся в диалоговом окне автоматического воспроизведения, запущены посредством уже установленного на ПК безопасного ПО:

clip_image003

Вид инфицированного автозапуска после указанных выше изменений в этой функции.

Однако, когда вы вставляете в привод компакт-диск, предлагающий установку программы, Windows продолжит отображение задачи автозапуска, как и задумано авторами программы при создании диска. Например:

clip_image004

Автоматическое воспроизведение для компакт-диска, предлагающее вариант автозапуска.

Увидеть переработанный автозапуск можно в предварительной версии Windows 7 (RC), и эти изменения будут в дальнейшем перенесены в Vista и XP.

Воздействие на экосистему

Мы тесно сотрудничаем с партнёрами, чтобы избежать ситуаций, когда изменения в автозапуске могут негативно отразиться на них.

Для компакт-дисков (включая их эмуляцию), на которых автозапуск предусмотрен на этапе производства, он будет по-прежнему работать, предлагая возможности запуска соответствующих приложений. Изготовители устройств хранения данных (НЖМД, USB-брелки и т.п.) должны исходить из того, что пользователи будут просматривать содержимое хранилища перед тем, как запускать какую-либо программу. Новое поведение позволит продолжить использование автоматического воспроизведения (включая все задачи, предусмотренные Windows и производителем ПО) для доступа к этим устройствам, но без опасности подвергнуться атаке со стороны вредоносного кода. В дополнение к этому подсистема Device Stage™ в Windows 7 теперь поддерживает различные классы устройств, например, портативные медиаплееры и сотовые телефоны. Device Stage™ предлагает производителям ПО многоплановую альтернативу стандартному автоматическому воспроизведению: они смогут создавать ярлыки для запуска приложений и общих задач, обеспечить дополнительные функции в процессе работы с указанными устройствами.

Мы надеемся, что наши усилия сделать работу как можно более безопасной, будут по достоинству оценены, когда вы начнёте использовать Windows 7. Вы сможете уверенно контролировать всё, что происходит с устройствами и носителями информации.

Арик Коэн (Arik Cohen),

Координатор группы Core User Experience

Comments

  • Anonymous
    May 04, 2009
    Жаль, что никто не понимает, насколько неудобен автоматический запуск. Особенно, когда он лазит по всему диску и тормозит там. Если-бы его не было, не пришлось-бы его отключать. _