Изменения в поведении функции автоматического воспроизведения в WindowsИсточник: msdn Арик Коэн (Arik Cohen), координатор группы Core User Experience
Некоторые вредоносные программы, включая известного червя Conficker, начинают с того, что используют функцию автоматического запуска, притворяясь какой-нибудь вполне дружелюбной программой, тем самым маскируя трояна, загружающего саму вредоносную программу на компьютер. В последующем троян заражает остальные устройства по мере их подключения к инфицированному компьютеру. В приведённом ниже примере вредоносная программа маскируется под опцию "Открыть папки для просмотра файлов" на USB-брелке, содержащем фотографии. Если пользователь выберет первый вариант задачи "Открыть папки для просмотра файлов" (обведена красным), то произойдёт заражение вирусом. Но если выбрать второй вариант (обведён зелёным), то будет задействована нормальная функция Windows. Инфицирование автоматического запуска на USB-брелке Пользователи, несомненно, будут пребывать в недоумении, увидев два одинаковых ярлыка, указывающих на одно и то же действие, и даже наиболее опытные из них, никогда не устанавливающие программ из непроверенных источников, легко могут ошибиться и запустить именно первый вариант. В результате, доверие пропадает, как и ощущение, что пользователь контролирует ситуацию на своём компьютере. Растущая угроза Автозапуск (AutoRun) в качестве варианта автоматического воспроизведения (AutoPlay) представлен в системе со времён Windows XP, и мы наблюдаем значительный рост числа вредоносных программ, использующих автозапуск как потенциальный способ проникновения на компьютер. Согласно отчёту по вопросам безопасности, созданному компанией Forefront Client Security, установлено, что количество заражений вирусом путём использования автозапуска опасными программами составляет 17,7% всех случаев инфицирования компьютеров во второй половине 2008 г. - крупнейшая категория заражений вредоносным ПО. Диаграмма показывает растущее количество атак, зарегистрированных антивирусным ПО Microsoft, по категориям инфекций, которые распространяются через автозапуск. Обратите внимание, что действительный способ заражения не поддаётся определению. Обнаружение вредоносного ПО, распространяющегося посредством автозапуска. В настоящее время лишь полное отключение автозапуска является приемлемым вариантом безопасного использования USB-брелков на компьютерах. Увеличение уровня безопасности для пользователей В Windows 7 были внедрены значительные усовершенствования для автозапуска, защищающие пользователя от неумышленного запуска вредоносного ПО, подобного Conficker, во время выполнения рутинных операций с устройствами (например, открытие файлов на USB-брелке, копирование фотографий с SD-карты и т.п.) В частности, Windows больше не отображает вариант автозапуска в диалоге автоматического воспроизведения для устройств, не работающих с оптическими носителями CD/DVD, поскольку установить источник происхождения данных на них невозможно. Кто разместил их там - производитель ПО, пользователь или опасная программа? Отключение автозапуска устранит опасность распространения инфекции через автозапуск, используемый вредоносным ПО в разрушительных целях, и поможет защитить пользователей. Остальные варианты автоматического воспроизведения, установленные на компьютере, останутся доступными. Теперь, когда пользователь вставляет в разъём компьютера заражённый USB-брелок с фотографиями, он может быть уверен, что возможные для него действия, появляющиеся в диалоговом окне автоматического воспроизведения, запущены посредством уже установленного на ПК безопасного ПО: Вид инфицированного автозапуска после указанных выше изменений в этой функции. Однако, когда вы вставляете в привод компакт-диск, предлагающий установку программы, Windows продолжит отображение задачи автозапуска, как и задумано авторами программы при создании диска. Например: Автоматическое воспроизведение для компакт-диска, предлагающее вариант автозапуска. Увидеть переработанный автозапуск можно в предварительной версии Windows 7 (RC), и эти изменения будут в дальнейшем перенесены в Vista и XP. Воздействие на экосистему Мы тесно сотрудничаем с партнёрами, чтобы избежать ситуаций, когда изменения в автозапуске могут негативно отразиться на них. Для компакт-дисков (включая их эмуляцию), на которых автозапуск предусмотрен на этапе производства, он будет по-прежнему работать, предлагая возможности запуска соответствующих приложений. Изготовители устройств хранения данных (НЖМД, USB-брелки и т.п.) должны исходить из того, что пользователи будут просматривать содержимое хранилища перед тем, как запускать какую-либо программу. Новое поведение позволит продолжить использование автоматического воспроизведения (включая все задачи, предусмотренные Windows и производителем ПО) для доступа к этим устройствам, но без опасности подвергнуться атаке со стороны вредоносного кода. В дополнение к этому подсистема Device Stage™ в Windows 7 теперь поддерживает различные классы устройств, например, портативные медиаплееры и сотовые телефоны. Device Stage™ предлагает производителям ПО многоплановую альтернативу стандартному автоматическому воспроизведению: они смогут создавать ярлыки для запуска приложений и общих задач, обеспечить дополнительные функции в процессе работы с указанными устройствами. Мы надеемся, что наши усилия сделать работу как можно более безопасной, будут по достоинству оценены, когда вы начнёте использовать Windows 7. Вы сможете уверенно контролировать всё, что происходит с устройствами и носителями информации. |