كيف أصبحت البرامج الضارة التلقائي مشكلة على ويندوز ، وكيف كان (معظمها) ثابت
وبفضل قرارات التصميم السيئة ، كان AutoRun مشكلة أمنية كبيرة في Windows. ساعد AutoRun في السماح للبرامج الخبيثة بإطلاقها بمجرد إدخال الأقراص ومحركات أقراص USB في جهاز الكمبيوتر الخاص بك.
لم يكن استغلال هذا الخلل فقط من قبل مؤلفي البرمجيات الخبيثة. كان من المعروف أن تستخدم من قبل شركة سوني BMG لإخفاء الجذور الخفية على أقراص الموسيقى. يقوم Windows تلقائيًا بتشغيل برنامج الجذر وتثبيته عند إدخال قرص مضغوط صوتي ضار من Sony إلى جهاز الكمبيوتر الخاص بك.
أصل AutoRun
كان AutoRun ميزة تم تقديمها في نظام التشغيل Windows 95. عند قيامك بإدراج قرص برنامج في جهاز الكمبيوتر الخاص بك ، يقوم نظام التشغيل Windows تلقائيًا بقراءة القرص ، وإذا تم العثور على ملف autorun.inf في الدليل الجذر للقرص ، فسيتم تشغيل البرنامج تلقائيًا المحدد في ملف autorun.inf.
ولهذا السبب ، عندما قمت بإدخال قرص ألعاب مضغوط أو قرص كمبيوتر إلى الكمبيوتر الخاص بك ، يقوم تلقائيًا بتشغيل مثبت أو شاشة البداية مع خيارات. تم تصميم الميزة لجعل هذه الأقراص سهلة الاستخدام ، مما يقلل من ارتباك المستخدم. إذا لم يكن AutoRun موجودًا ، فسيتعين على المستخدمين فتح نافذة متصفح الملفات ، والانتقال إلى القرص ، وإطلاق ملف setup.exe من هناك بدلاً من ذلك.
هذا عمل جيد لبعض الوقت ، ولم تكن هناك قضايا كبيرة. بعد كل شيء ، لم يكن لدى المستخدمين المنزليين طريقة سهلة لإنتاج الأقراص المضغوطة الخاصة بهم قبل انتشار أجهزة نسخ الأقراص المضغوطة. كنت حقا تأتي فقط عبر الأقراص التجارية ، وكانت جديرة بالثقة عموما.
ولكن حتى في نظام التشغيل Windows 95 عندما تم عرض AutoRun ، لم يتم تمكينه للأقراص المرنة. بعد كل شيء ، يمكن لأي شخص وضع أي ملفات أرادوا على قرص مرن. سيسمح التشغيل التلقائي للأقراص المرنة للبرامج الضارة بالانتشار من القرص المرن إلى الكمبيوتر إلى القرص المرن إلى الكمبيوتر.
التشغيل التلقائي في نظام التشغيل Windows XP
قام Windows XP بتحسين هذه الميزة باستخدام وظيفة "التشغيل التلقائي". عند إدخال قرص أو محرك أقراص USB محمول أو نوع آخر من أجهزة الوسائط القابلة للإزالة ، سيقوم Windows بفحص محتوياته واقتراح الإجراءات لك. على سبيل المثال ، إذا قمت بإدراج بطاقة SD تحتوي على صور من الكاميرا الرقمية الخاصة بك ، فستوصي بعمل شيء مناسب لملفات الصور. إذا كان محرك الأقراص يحتوي على ملف autorun.inf ، فسترى خيارًا يسألك عما إذا كنت تريد تشغيل برنامج من محرك الأقراص تلقائيًا.
ومع ذلك ، لا تزال مايكروسوفت تريد أن تعمل الأقراص المضغوطة بنفس الطريقة. لذلك ، في نظام التشغيل Windows XP ، ستقوم الأقراص المضغوطة وأقراص DVD بتشغيل البرامج تلقائيًا إذا كان لديهم ملف autorun.inf ، أو سيبدأ تشغيل الموسيقى تلقائيًا إذا كانت أقراص مضغوطة صوتية. وبسبب بنية أمان نظام التشغيل Windows XP ، من المحتمل أن يتم تشغيل هذه البرامج مع وصول المسؤول. بمعنى آخر ، سيكون لديهم إمكانية الوصول الكامل إلى نظامك.
مع محركات أقراص USB التي تحتوي على ملفات autorun.inf ، لن يتم تشغيل البرنامج تلقائيًا ، ولكن سيقدم لك الخيار في نافذة التشغيل التلقائي.
لا يزال بإمكانك تعطيل هذا السلوك. كانت هناك خيارات مدفونة في نظام التشغيل نفسه ، في السجل ، ومحرر سياسة المجموعة. يمكنك أيضًا الضغط باستمرار على مفتاح Shift أثناء قيامك بإدراج قرص ولن يقوم Windows بتنفيذ سلوك التشغيل التلقائي.
يمكن لبعض محركات أقراص USB محاكاة الأقراص المضغوطة ، وحتى الأقراص المضغوطة غير آمنة
بدأت هذه الحماية تتعطل على الفور. شهدت شركة SanDisk و M-Systems سلوك محرك الأقراص المضغوطة AutoRun وأرادته لمحركات أقراص USB المحمولة الخاصة بهم ، لذا قاموا بإنشاء محركات أقراص فلاش U3. قامت محركات الأقراص المحمولة هذه بمحاكاة محرك الأقراص المضغوطة عند توصيلها بجهاز كمبيوتر ، لذلك سيقوم نظام Windows XP تلقائيًا بتشغيل البرامج عليها عندما تكون متصلة.
بالطبع ، حتى الأقراص المدمجة ليست آمنة. يمكن للمهاجمين بسهولة نسخ محرك أقراص CD أو DVD ، أو استخدام محرك قابل لإعادة الكتابة. فكرة أن الأقراص المدمجة هي أكثر أمنا من محركات أقراص USB بشكل خاطئ.
الكوارث 1: إن Sony BMG Rootkit Fiasco
في عام 2005 ، بدأت شركة Sony BMG في شحن برامج Windows rootkits على ملايين الأقراص المضغوطة الصوتية. عند قيامك بإدراج القرص المضغوط الصوتي في جهاز الكمبيوتر الخاص بك ، يقوم نظام Windows بقراءة ملف autorun.inf وتشغيل برنامج تثبيت rootkit تلقائيًا ، مما يؤدي إلى إصابة جهاز الكمبيوتر الخاص بك بشكل خفي في الخلفية. كان الغرض من هذا هو منعك من نسخ قرص الموسيقى أو نسخه إلى جهاز الكمبيوتر الخاص بك. لأن هذه هي وظائف مدعومة عادة ، كان rootkit لتخريب نظام التشغيل بأكمله لقمعها.
كان هذا ممكنًا بفضل AutoRun. أوصى بعض الأشخاص بالضغط على مفتاح Shift عندما أدخلت قرصًا مضغوطًا صوتيًا إلى جهاز الكمبيوتر الخاص بك ، وتساءل آخرون علانيةً إذا ما كان عقد Shift لقمع rootkit من التثبيت سيعتبر انتهاكًا لقوانين مكافحة التحايل وفقًا لقانون الألفية الجديدة لحقوق طبع ونشر المواد الرقمية ضد تجاوز حماية النسخ.
قام آخرون بتأريخ التاريخ الطويل والعذاب لها. دعونا نقول فقط أن rootkit كان غير مستقر ، واستغل البرمجيات الخبيثة rootkit للتصدي لأنظمة Windows بسهولة أكبر ، وحصلت سوني على عين سوداء كبيرة وجديرة بالاهتمام في الساحة العامة.
الكارثة 2: Conficker Worm والبرامج الضارة الأخرى
كان Conficker دودة سيئة بشكل خاص تم اكتشافها لأول مرة في عام 2008. من بين أمور أخرى ، قامت بإصابة أجهزة USB المتصلة وإنشاء ملفات autorun.inf عليها والتي تعمل تلقائيًا على تشغيل برامج ضارة عندما تكون متصلة بجهاز كمبيوتر آخر. كما كتبت شركة مكافحة الفيروسات ESET:
"محركات أقراص USB والوسائط الأخرى القابلة للإزالة ، والتي يتم الوصول إليها عن طريق وظائف التشغيل التلقائي / Autoplay في كل مرة (بشكل افتراضي) تقوم بتوصيلها بالكمبيوتر الخاص بك ، هي ناقلات الفيروسات الأكثر استخدامًا في هذه الأيام."
كان Conficker الأكثر شهرة ، ولكنه لم يكن البرنامج الخبيث الوحيد لإساءة استخدام وظيفة AutoRun الخطرة. إن التشغيل التلقائي كميزة هي بمثابة هدية لمؤلفي البرمجيات الخبيثة.
Windows Vista معطل التشغيل التلقائي ، ولكن ...
وأوصت شركة مايكروسوفت في نهاية المطاف أن يقوم مستخدمو ويندوز بتعطيل وظيفة التشغيل التلقائي. لقد أجرى Windows Vista بعض التغييرات الجيدة التي قام Windows 7 و 8 و 8،1 برثها جميعًا.
بدلاً من تشغيل البرامج تلقائيًا من الأقراص المضغوطة وأقراص DVD ومحركات أقراص USB التي تتنكر على هيئة أقراص ، يعرض Windows ببساطة مربع الحوار "التشغيل التلقائي" لمحركات الأقراص هذه أيضًا. إذا كان أحد الأقراص أو محرك الأقراص المتصل يحتوي على برنامج ، فستراه كخيار في القائمة. لن يقوم Windows Vista والإصدارات الأحدث من Windows بتشغيل البرامج تلقائيًا دون طلب منك - يجب عليك النقر فوق الخيار "تشغيل [برنامج] .exe" في مربع الحوار "تشغيل تلقائي" لتشغيل البرنامج وإصابته.
ولكن سيظل من الممكن للبرامج الضارة الانتشار عبر ميزة التشغيل التلقائي. إذا قمت بتوصيل محرك أقراص USB ضار إلى جهاز الكمبيوتر الخاص بك ، فستبقى على بعد نقرة واحدة من تشغيل البرامج الضارة عبر مربع الحوار "تشغيل تلقائي" - على الأقل باستخدام الإعدادات الافتراضية. يمكن أن تساعد ميزات الأمان الأخرى مثل UAC وبرنامج الحماية من الفيروسات في حمايتك ، ولكن يجب أن تظل في حالة تأهب.
ولسوء الحظ ، لدينا الآن تهديد أمني أكبر من أجهزة USB التي يجب أن تكون على دراية بها.
إذا كنت ترغب في ذلك ، يمكنك تعطيل ميزة التشغيل التلقائي بالكامل - أو فقط لأنواع معينة من محركات الأقراص - حتى لا تحصل على نافذة منبثقة AutoPlay عند إدخال الوسائط القابلة للإزالة في جهاز الكمبيوتر الخاص بك. ستجد هذه الخيارات في لوحة التحكم. قم بإجراء بحث عن "autoplay" في مربع بحث لوحة التحكم للعثور عليها.
Image Credit: aussiegal on Flickr، m01229 on Flickr، Lordcolus on Flickr