/ / Comment AutoRun Malware est devenu un problème sous Windows et comment (la plupart du temps) il a été résolu

Comment AutoRun Malware est devenu un problème sous Windows et comment (la plupart du temps) il a été corrigé

cd lance automatiquement le programme avec autorun sur windows

Grâce aux mauvaises décisions de conception, AutoRun a déjà été utiliséun énorme problème de sécurité sous Windows. AutoRun a permis aux logiciels malveillants de se lancer dès que vous avez inséré des disques et des clés USB dans votre ordinateur.

Cette faille n’a pas été exploitée que par des logiciels malveillantsauteurs. Sony BMG l'utilisait pour cacher un rootkit sur des CD de musique. Windows exécutait et installait automatiquement le rootkit lorsque vous insériez un CD audio Sony malveillant dans votre ordinateur.

L'origine de l'exécution automatique

APPARENTÉ, RELIÉ, CONNEXE: Tous les «virus» ne sont pas des virus: 10 termes de programmes malveillants expliqués

L'exécution automatique était une fonctionnalité introduite dans Windows 95. Lorsque vous insérez un disque logiciel dans votre ordinateur, Windows le lit automatiquement et, si un fichier autorun.inf est trouvé dans le répertoire racine du disque, il lance automatiquement le programme spécifié dans le fichier autorun.inf.

C’est pourquoi, lorsque vous insérez un CD de logiciel ouDisque de jeu PC sur votre ordinateur, il a automatiquement lancé un programme d'installation ou un écran de démarrage avec des options. Cette fonction a été conçue pour faciliter l’utilisation de tels disques, réduisant ainsi la confusion. Si l'exécution automatique n'existait pas, les utilisateurs devraient ouvrir la fenêtre du navigateur de fichiers, accéder au disque et lancer un fichier setup.exe à partir de là.

Cela a très bien fonctionné pendant un temps, et il y avaitpas de gros problèmes. Après tout, les utilisateurs à domicile n’avaient pas de moyen facile de produire leurs propres CD avant que les graveurs de CD ne soient généralisés. Vous ne rencontriez que des disques commerciaux, et ils étaient généralement dignes de confiance.

Mais même dans Windows 95 quand AutoRun étaitintroduit, il n’a pas été activé pour les disquettes. Après tout, n'importe qui peut placer les fichiers qu'il souhaite sur une disquette. L'exécution automatique de disquettes permettrait aux logiciels malveillants de se propager d'une disquette à l'autre d'un ordinateur à l'autre.

Lecture automatique dans Windows XP

Windows XP a affiné cette fonctionnalité avec unFonction "AutoPlay". Lorsque vous insérez un disque, un lecteur flash USB ou un autre type de périphérique de support amovible, Windows examine son contenu et vous suggère des actions. Par exemple, si vous insérez une carte SD contenant des photos de votre appareil photo numérique, il est recommandé de faire quelque chose d’approprié pour les fichiers image. Si un fichier contient un fichier autorun.inf, une option vous demande si vous souhaitez également exécuter automatiquement un programme à partir du lecteur.

Cependant, Microsoft souhaitait toujours que les CD fonctionnent de manière optimale.même. Ainsi, dans Windows XP, les CD et les DVD exécutaient toujours automatiquement des programmes s’ils contenaient un fichier autorun.inf ou commençaient automatiquement à lire leur musique s’il s’agissait de CD audio. Et, en raison de l'architecture de sécurité de Windows XP, ces programmes seraient probablement lancés avec un accès administrateur. En d’autres termes, ils auraient un accès complet à votre système.

Avec les lecteurs USB contenant les fichiers autorun.inf, le programme ne s'exécute pas automatiquement, mais vous présente l'option dans une fenêtre de lecture automatique.

Vous pouvez toujours désactiver ce comportement. Certaines options étaient enfouies dans le système d'exploitation lui-même, dans le registre et dans l'éditeur de stratégie de groupe. Vous pouvez également maintenir la touche Maj enfoncée pendant que vous insérez un disque et Windows n'effectuera pas le comportement d'exécution automatique.

Certains lecteurs USB peuvent émuler des CD, et même les CD ne sont pas sûrs

Cette protection a commencé à s'effondrer immédiatement. SanDisk et M-Systems ont constaté le comportement du programme AutoRun sur CD et le souhaitaient pour leurs propres clés USB. Ils ont donc créé des clés U3. Ces lecteurs flash émulent un lecteur de CD lorsque vous les connectez à un ordinateur. Ainsi, un système Windows XP lancera automatiquement des programmes sur ces ordinateurs lorsqu’ils sont connectés.

Bien sûr, même les CD ne sont pas sûrs. Les attaquants pourraient facilement graver un lecteur de CD ou de DVD ou utiliser un lecteur réinscriptible. L'idée que les CD sont en quelque sorte plus sûrs que les clés USB est fausse.

Catastrophe 1: le fiasco des rootkits Sony BMG

En 2005, Sony BMG a commencé à envoyer des rootkits Windows.sur des millions de leurs CD audio. Lorsque vous insérez le CD audio dans votre ordinateur, Windows lit le fichier autorun.inf et exécute automatiquement le programme d'installation du rootkit, qui infecte discrètement votre ordinateur en arrière-plan. Le but de ceci était de vous empêcher de copier le disque de musique ou de le déchirer sur votre ordinateur. Comme ce sont des fonctions normalement supportées, le rootkit a dû renverser tout votre système d'exploitation pour les supprimer.

Tout cela a été possible grâce à AutoRun. Certaines personnes ont recommandé de maintenir Shift chaque fois que vous insériez un CD audio dans votre ordinateur et d’autres se demandaient ouvertement si le fait de maintenir Shift pour empêcher l’installation du rootkit était considéré comme une violation des interdictions anti-contournement du DMCA de contourner la protection de copie.

D'autres ont relaté la longue et triste histoiresa. Disons simplement que le rootkit est instable, que les logiciels malveillants ont profité de ce rootkit pour infecter plus facilement les systèmes Windows et que Sony a reçu un œil au beurre noir bien mérité sur la scène publique.

APPAREIL PHOTO NUMÉRIQUE KONICA MINOLTA

Catastrophe 2: le ver Conficker et autres logiciels malveillants

Conficker était un ver particulièrement méchant en premierdétecté en 2008. Entre autres choses, il a infecté les périphériques USB connectés et y a créé des fichiers autorun.inf qui exécuteraient automatiquement les programmes malveillants s’ils étaient connectés à un autre ordinateur. Comme l’a écrit la société antivirus ESET:

«Les clés USB et autres supports amovibles, qui sontaccessibles par les fonctionnalités d'exécution automatique / lecture automatique chaque fois (par défaut) que vous les connectez à votre ordinateur, sont les vecteurs de virus les plus fréquemment utilisés de nos jours. ”

Conficker était le plus connu, mais ce n’était pas le seul malware à abuser de la dangereuse fonctionnalité AutoRun. L'exécution automatique en tant que fonctionnalité est pratiquement un cadeau pour les auteurs de programmes malveillants.

Windows Vista a désactivé l'exécution automatique par défaut, mais…

Microsoft a finalement recommandé aux utilisateurs de Windows de désactiver la fonctionnalité d'exécution automatique. Windows Vista a apporté de bonnes modifications dont Windows 7, 8 et 8, 1 ont hérité.

Au lieu d’exécuter automatiquement des programmes deCD, DVD et lecteurs USB se faisant passer pour des disques, Windows affiche simplement la boîte de dialogue Exécution automatique de ces lecteurs. Si un disque ou un lecteur connecté contient un programme, vous le verrez en tant qu’option dans la liste. Windows Vista et les versions ultérieures de Windows n'exécutent pas automatiquement les programmes sans vous le demander - vous devez cliquer sur l'option “Exécuter [programme] .exe” dans la boîte de dialogue de lecture automatique pour exécuter le programme et être infecté.

APPARENTÉ, RELIÉ, CONNEXE: Ne paniquez pas, mais tous les périphériques USB ont un grave problème de sécurité

Mais il serait toujours possible pour les logiciels malveillants dese propager via AutoPlay. Si vous connectez un lecteur USB malveillant à votre ordinateur, il ne vous reste plus qu’un clic pour exécuter le logiciel malveillant via la boîte de dialogue Exécution automatique - du moins avec les paramètres par défaut. D'autres fonctionnalités de sécurité telles que UAC et votre programme antivirus peuvent vous aider à vous protéger, mais vous devez tout de même être vigilant.

Et, malheureusement, nous devons maintenant être conscients de la menace que représentent les périphériques USB pour la sécurité.

Si vous le souhaitez, vous pouvez entièrement désactiver la lecture automatique -ou uniquement pour certains types de lecteurs - vous ne recevrez donc pas de fenêtre en incrustation automatique lorsque vous insérez un support amovible dans votre ordinateur. Vous trouverez ces options dans le Panneau de configuration. Effectuez une recherche sur «lecture automatique» dans la boîte de recherche du Panneau de configuration pour les trouver.

Crédit d'image: aussiegal sur Flickr, m01229 sur Flickr, Lordcolus sur Flickr

Lire aussi

Malwarebytes Anti-Malware 2.0 maintenant disponible au téléchargement
Utiliser les Autoruns pour nettoyer manuellement un PC infecté
Quels sont les dangers d'un lecteur USB non approuvé?
Pourquoi Windows a plus de virus que Mac et Linux
Ne paniquez pas, mais tous les périphériques USB ont un grave problème de sécurité
Comment exécuter automatiquement des programmes Windows lorsque vous connectez un lecteur USB
L'UPnP est-il un risque pour la sécurité?
Astuces: Arrêter Autorun, Power Strip d’Android et essuyage sécurisé de DVD