Защищаем Windows от Conficker и прочей заразы. Скачайте исправления для Autorun и AutoPlay. - Windows - Система - Каталог статей

В свежем выпуске Microsoft Security Intelligence Report указывается, что семейство вирусов, использующих такой механизм, носит групповое имя Win32/Autorun. Это семейство наиболее часто встречается на клиентских системах и отвечает за 17,7 % всех случаев заражения.

График обнаружения вирусов семейств Win32/Autorun

Подробный список всех вирусов, входящих в семейство, можно посмотреть тут http://www.microsoft.com/security/portal/Threat/Encyclopedia/Search.aspx?query=Worm%3aWin32%2fAutoRun.

Для предотвращения распостранения всего семейства вирусов Win32/Autorun мы выпустили исправления AutoPlay для Windows 7. Также были выпущены исправления для следующих систем:

Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008

Скачать исправления для Autorun можно вот тут http://support.microsoft.com/kb/971029

Перед тем, как разбираться, что именно было исправлено, давайте обсудим, чем Autorun отличается от AutoPlay.

AutoRun предназначен для автоматического запуска программ, когда CD или другой носитель данных вставлен в устройство.
AutoPlay функционал Windows позволяет пользователю выбрать какая программа должна стартовать когда в устройство вставляется носитель такой как музыкальный CD или DVD с фото. В процессе работы AutoPlay так же проводится синтаксический анализ файла Autorun.inf с подключенного устройства. Этот файл может определять добавочные команды меню, которые будут отображаться в диалоговом окне AutoPlay. Многие компании используют данный функционал для того, чтобы неопытные пользователи могли без затруднений запустить установку ПО с внешнего устройства. Используя это злонамереный код может добавить записи в Autorun.inf позволяющие запустить себя на новой системе.

В старой версии Autoplay при подключении зараженного устройства такого как SD или USB отображалось следующее меню. Выделенное красным меню приводило к запуску вредоносного кода через механизм Autorun.

Теперь давайте посмотрим, что изменилось. ОС не выводит дополнительные пункты из Autorun.inf для всех устройств, не являющихся CD или DVD. То есть подключение того же зараженного SD или USB устройства будет приводить к появлению вот такого меню:

Таким образом, пользователю для запуска вируса придется открыть устройство с помощью Explorer найти вирус и выполнить его вручную. Надеюсь, это сильно уменьшит количество заражений.

При этом, если вы попытаетесь вставить CD или DVD, то Autorun будет работать так же, как и раньше. Сделано это для сохранения совместимости. Вероятность того, что на CD или DVD попадет вирус, изменяющий Autorun.inf, гораздо ниже хотя и не равна нулю. Поэтому обработка этого файла будет производиться. Но при этом пользователю будет указано, что программу он запускает с внешнего носителя.

Понятно что данный функционал не обезопасит ваши системы от Conficker на 100%, потому что этот вирус умеет распространяться не только через Aurorun, но и через папки сетевого доступа, подбирая к ним пароли по словарю.

В тоже время мне кажется, что более полезным вариантом защиты пользователя от вредоносного кода использующего Autorun была бы возможность не показывать меню из Autoran.inf если файлы которые предполагается запускать не имеют цифровой подписи.

Но в любом случае это повысит защищенность целого семейства наиболее распространенных ОС на планете. Поэтому я думаю, что это полезное изменение и очень прошу вас установить исправление KB971029 не только на Windows 7, но и на все остальные свои системы.