Windows Autorun đã làm được gì

WhatWindows Autorun Has Wrought

By Brian Krebs | November2, 2009; 11:55 AM ET

Theo:http://voices.washingtonpost.com/securityfix/2009/11/what_windows_autorun_hath_wrou.html

Bài được đưa lênInternet ngày: 02/11/2009

Lờingười dịch: Bạn hãy xem những con số khổng lồ này:“Trong “Báo cáo Tình báo Anh ninh” mới nhất của hãng,Microsoft đã tính số lượng các mối đe doạn đượcphát hiện bởi các sản phẩm chống phần mềm độc hạicho máy tính để bàn của hãng, và đã thấy rằng sâuConficker, cùng với chương trình ngựa thành Tơroa (Trojan)được gọi là Taterf mà nó ăn cắp các mật khẩu và cáckhóa giấy phép đối với các trò chơi máy tính phổbiến, đã được dò ra trên 5.21 triệu và 4.91 triệu máytính Windows, một cách tương ứng”.

Một báo cáo mới củaMicrosoft chỉ ra rằng 2 mối đe dọa thường thấy nhấtđối với các máy tính cá nhân Windows trong nửa đầu năm2009 là các chương trình độc hại mà chúng đã từngđược lan truyền rộng rãi một cách dữ dội bởi mộtquyết định của Microsoft cho phép các nội dung của cácvật trung chuyển mang xách được - như các ổ USB - đểtự động tải khi được chèn vào các máy tính chạyWindows.

Trong“Báo cáo Tình báo Anh ninh” mới nhất của hãng,Microsoft đã tính số lượng các mối đe doạn đượcphát hiện bởi các sản phẩm chống phần mềm độc hạicho máy tính để bàn của hãng, và đã thấy rằng sâuConficker, cùng với chương trình ngựa thành Tơroa (Trojan)được gọi là Taterf mà nó ăn cắp các mật khẩu và cáckhóa giấy phép đối với các trò chơi máy tính phổbiến, đã được dò ra trên 5.21 triệu và 4.91 triệu máytính Windows, một cách tương ứng.

Phiên bản ban đầucủa Conficker đã nổi lên gần một năm trước, và banđầu nó lan rộng bởi việc khai thác một chỗ bị tổnthương về mạng trong Windows. Nhưng những lây nhiễm củaConficker đã bay cao tới hàng triệu máy tính trong tháng 1với sự hiện diện của Conficker B, mà nố đã đưa rakhả năng lan rộng qua khả năng tự động chạy (Autorun)trong Windows. Taterf lan truyền chỉ thông qua Autorun.

Đồngthời, 2 mối đe doạn này được tính cho hơn 35% của 10lây nhiễm phần mềm độc hại hàng đầu trong 6 thángđầu năm nay, Microsoft đã thấy (nháy vào đồ thị bêndưới để tìm hiểu sâu về các mối đe doạ này). TheoBáo cáo Tình báo An ninh trước đó, hơn 17% các lây nhiễmtrong nửa cuối của năm 2008 đã là do các phần mềm độchại mà chúng có thể lan truyền thông qua AutoRun.

Trong tháng 04, sau khiphiên bản thứ 3 của Conficker đã trở thành thông tintrang nhất và còn là chất liệu cho câu chuyện nổi bậttrên chương trình 60 Minutes, mà Microsoft đã công bố rằngtính năng AutoPlay của hãng có thể sẽ không còn hỗ trợAutoRun cho các ổ USB nữa. Autorun bị bỏ đối với các ổUSB trong Windows 7 (hệ điều hành mới này vẫn tự độngchơi bất kỳ đĩa CD và DVD nào được chèn vào). Vàocuối tháng 8, Microsoft đã đưa ra một bản vá mà nó loạibỏ tương tự Autorun trên các máy tính chạy Windows XP,Vista, Windows Server 2003 và Server 2008.

Anew report by Microsoftshows that the two most prevalent threats to WindowsPCs in the first half of 2009 were malicious programs that have beenaided mightily in their spread by a decision by Microsoft to allowthe contents of removable media -- such as USB thumb drives -- toload automatically when in-serted into Windows machines.

Inits latest "Security Intelligence Report," Microsoftcounted the number of threats detected by its anti-malware desktopproducts, and found that the Confickerworm, along with aTrojan horse program called Taterfwhich steals passwords and license keys for popular computer games,were detected on 5.21 million and 4.91 million Windows computers,respectively.

Theoriginal version of Conficker emerged nearly a year ago, andinitially it spread by exploiting a networking vulnerability inWindows. But Conficker infections soaredby the millions in January with the arrival of Conficker B, whichintroduced the ability to spread via the Autoruncapability in Windows. Taterf spreads exclusively via Autorun.

Together,these two threats accounted for more than 35 percent of the top 10malicious software infections in first six months of this year,Microsoft found (click the c-hart below for a breakdown of thosethreats). According to the previous Security Intelligence Report,more than 17 percent of infections in the second half of 2008 were bymalware that can spread via AutoRun.

InApril, after the third version of Conficker became front-page newsand even fodder for feature story on 60Minutes, Microsoftannouncedthat its AutoPlay function would no longer support AutoRun for USBdrives. Autorun is disabled for USB drives in Windows 7 (the new OSstill automatically plays any in-serted CDs and DVDs). In late August,Microsoft released a patch that similarly disables Autorun on WindowsXP, Vista,Windows Server 2003and Server 2008systems.

Tuy nhiên, bản vá nàydường như không được đẩy ra ngoài thông qua chươngtrình Tự động Cập nhật hoặc Cập nhật Windows củaMicrosoft, nếu nếu bạn muốn cài đặt nó, bạn sẽ cầnphải tới liênkết này và tải về phiên bản phù hợp cho hệ điềuhành của bạn. Người sử dụng ai mà cài đặt nâng cấpnày sẽ không còn nhận được một thông điệp thiếtlập mà nó nhắc nhở họ cài đặt các chương trình màchúng được phân phối bởi ổ USB. Nhóm thảo luận vềan ninh Wilders Security Forum có một phần viết dễ chịu vềbản vá này, và đưa ra một vài mã ví dụ vô hại đểkiểm tra liệu máy Windows của bạn có tính năng này làmviệc hay không.

Như một tính nănglần đầu được giới thiệu trong Windows 95, Autorun đã …chạy tốt, khá tốt, đặc biệt xét về các phần mềmđộc hại đã sử dụng nó lâu tới đâu như một phươngpháp nhân giống. Thành thật mà nói, tôi đã ngạc nhiênrằng Microsoft đã giữ Autorun như là lựa chọn mặc địnhđã quá lâu, biết rằng sáng kiến an ninh Điện toán Đángtin cậy (Trustworthy Computing) của hãng, được phát độngvào tháng 01/2002 với một bản ghi nhớ từ Chủ tịchBill Gates mà nó đã nói một cách đáng nhớ: “Khichúng ta đối mặt với một sự lựa chọn giữa việc bổsung thêm các tính năng và việc giải quyết các vấn đềvề an ninh, thì chúng ta cần phải chọn an ninh”.

Trong một lưu ý tíchcực hơn, Microsoft tìm thấy rằng số lượng các lâynhiễm có liên quan tới các phần mềm an ninh giả mạogiảm xuông còn 13.4 triệu trong 6 tháng đầu năm nay, từ16.8 triệu vào nửa cuối năm 2008. Microsoft cũng đã theodõi được một sự giảm tới 10 lần trong sự lây nhiễmtừ Zlob, một Trojan mà nó bịp được như là một trìnhcài cắm chơi video. Redmond nói sự lây nhiễm của Zlobgiảm từ 21.1 triệu lúc cao điểm trong năm 2007 xuống còn2.3 triệu vào nửa đầu năm 2009.

Những phát hiệnchính từ Báo cáo Tình báo An ninh Phiên bản 7 củaMicrosoft sẵn có ởđây.

However,this patch does not appear to have been pushed out throughMicrosoft's Automatic Up-dates or Windows Up-date, so if you'd like toinstall it, you'll need to visit thislink and download the appropriate version for your operatingsystem. Users who install this up-date will no longer receive a setupmessage that prompts them to install programs that are delivered byUSB thumb drives. Wilders Security Forum has anice writeup on this patch, and offers some harmless sample codeto test whether your Windows box has this feature enabled.

Asa feature first introduced way back in Windows95, Autorunhad...well, a pretty good run, particularly considering how longmalware has used it as a propagation method. Frankly, I'm surprisedthat Microsoft kept Autorun as the default option for as long as itdid, given the company's Trustworthy Computing security initiative,launched in January 2002 with amemo f-rom ChairmanBill Gates thatmemorably stated, "When we face a choice between adding featuresand resolving security issues, we need to choose security."

Ona more positive note, Microsoft found that the number of infectionsassociated with rogue security software fell to 13.4 million in thefirst six months of this year, down f-rom 16.8 million in the latterhalf of 2008. Microsoft also tracked atenfold decrease in infections f-rom Zlob, a Trojan thatmasquerades as a video player plug-in. Redmond said Zlob infectionsfell f-rom 21.1 million at its peak in 2007 to 2.3 million in thefirst half of 2009.

Thekey findings f-rom Microsoft's SecurityIntelligence Report Version 7are available here(PDF).

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com