Изменения в поведении функции AutoPlay

Как уже говорилось в одной из статей, где мы обсуждали изменения в UAC, и в журнале, посвящённом IE, где речь шла о функции фильтра SmartScreen, мы намеренно сосредоточились на том, чтобы максимально обезопасить пользователей и обеспечить им контроль над приложениями, которые они запускают на своих компьютерах. В комментариях настоящего журнала тоже не раз высказывалась озабоченность аспектами безопасности, в частности, в области реализации функции автоматического воспроизведения. В этом сообщении мы рассказываем об изменениях, сделанных нами для того, чтобы повысить уверенность пользователей в обращении с носителями информации и устройствами при работе в Windows. Автор статьи - Арик Коэн (Arik Cohen), координатор группы Core User Experience. --Стивен

Некоторые вредоносные программы, включая известного червя Conficker, начинают с того, что используют функцию автоматического запуска, притворяясь какой-нибудь вполне дружелюбной для пользователя программой, тем самым маскируя трояна, загружающего саму вредоносную программу на компьютер. В последующем троян заражает остальные устройства по мере их подключения к инфицированному компьютеру. Для подробной информации о черве Conficker посетите этот ресурс.

В приведённом ниже примере вредоносная программа маскируется под опцию "Открыть папки для просмотра файлов" на USB-брелке, содержащем фотографии. Если пользователь выберет первый вариант задачи "Открыть папки для просмотра файлов" (обведена красным), то произойдёт заражение вирусом. Но если выбрать второй вариант (обведён зелёным), то будет задействована нормальная функция Windows.

Инфицирование автоматического запуска на USB-брелке

Пользователи, несомненно, будут пребывать в недоумении, увидев два одинаковых ярлыка, указывающих на одно и то же действие, и даже наиболее опытные из них, никогда не устанавливающие программ из непроверенных источников, легко могут ошибиться и запустить именно первый вариант. В результате, доверие пропадает, как и ощущение, что пользователь контролирует ситуацию на своём компьютере.


Растущая угроза
Автозапуск (AutoRun) в качестве варианта автоматического воспроизведения (AutoPlay) представлен в системе со времён Windows XP, и мы наблюдаем значительный рост числа вредоносных программ, использующих автозапуск как потенциальный способ проникновения на компьютер. Согласно отчёту по вопросам безопасности, созданному компанией Forefront Client Security, установлено, что количество заражений вирусом путём использования автозапуска опасными программами составляет 17,7% всех случаев инфицирования компьютеров во второй половине 2008 г. — крупнейшая категория заражений вредоносным ПО.

Диаграмма показывает растущее количество атак, зарегистрированных антивирусным ПО Microsoft, по категориям инфекций, которые распространяются через автозапуск. Обратите внимание, что действительный способ заражения не поддаётся определению.

Обнаружение вредоносного ПО, распространяющегося посредством автозапуска.

В настоящее время лишь полное отключение автозапуска является приемлемым вариантом безопасного использования USB-брелков на компьютерах. Как отключить автозапуск, можно узнать, пройдя по ссылке.


Увеличение уровня безопасности для пользователей
В Windows 7 были внедрены значительные усовершенствования для автозапуска, защищающие пользователя от неумышленного запуска вредоносного ПО, подобного Conficker, во время выполнения рутинных операций с устройствами (например, открытие файлов на USB-брелке, копирование фотографий с SD-карты и т.п.)

В частности, Windows больше не отображает вариант автозапуска в диалоге автоматического воспроизведения для устройств, не работающих с оптическими носителями CD/DVD, поскольку установить источник происхождения данных на них невозможно. Кто разместил их там — производитель ПО, пользователь или опасная программа? Отключение автозапуска устранит опасность распространения инфекции через автозапуск, используемый вредоносным ПО в разрушительных целях, и поможет защитить пользователей. Остальные варианты автоматического воспроизведения, установленные на компьютере, останутся доступными.

Теперь, когда пользователь вставляет в разъём компьютера заражённый USB-брелок с фотографиями, он может быть уверен, что возможные для него действия, появляющиеся в диалоговом окне автоматического воспроизведения, запущены посредством уже установленного на ПК безопасного ПО:

Вид инфицированного автозапуска после указанных выше изменений в этой функции.

Однако, когда вы вставляете в привод компакт-диск, предлагающий установку программы, Windows продолжит отображение задачи автозапуска, как и задумано авторами программы при создании диска. Например:

Автоматическое воспроизведение для компакт-диска, предлагающее вариант автозапуска.

Увидеть переработанный автозапуск можно в предварительной версии Windows 7 (RC), и эти изменения будут в дальнейшем перенесены в Vista и XP.


Воздействие на экосистему
Мы тесно сотрудничаем с партнёрами, чтобы избежать ситуаций, когда изменения в автозапуске могут негативно отразиться на них.

Для компакт-дисков (включая их эмуляцию), на которых автозапуск предусмотрен на этапе производства диска, он будет по-прежнему работать, предлагая пользователям возможности запуска соответствующих приложений. Изготовители устройств хранения данных (НЖМД, USB-брелки и т.п.) должны исходить из того, что пользователи должны просмотреть содержимое хранилища перед тем, как запускать какую-либо программу. Новое поведение позволит продолжить использование автоматического воспроизведения (включая все предусмотренные ОС и производителем ПО задачи) для доступа к этим устройствам, но без опасности подвергнуться атаке вредоносного кода. В дополнение к этому подсистема Device Stage™ в Windows 7 теперь поддерживает различные классы устройств, например, портативные медиаплееры и сотовые телефоны. Device Stage™ предлагает производителям ПО многоплановую альтернативу стандартному автоматическому воспроизведению: они смогут создавать ярлыки для запуска приложений и общих задач, обеспечить дополнительные функции в процессе работы с указанными устройствами.

Мы надеемся, что наши усилия сделать вашу работу как можно более безопасной, будут по достоинству оценены вами, когда вы начнёте использовать Windows 7. Вы сможете уверенно контролировать всё, что происходит с вашими устройствами и носителями информации.

Арик Коэн (Arik Cohen),
Координатор группы Core User Experience


Источник: http://blogs.msdn.com/e7ru
Перевод: Galaxer