Bagaimana AutoRun Malware Menjadi Masalah pada Windows, dan Bagaimana Itu (Sebagian Besar) Diperbaiki
Berkat keputusan desain yang buruk, AutoRun pernah menjadi masalah keamanan besar pada Windows. AutoRun sangat membantu mengizinkan perangkat lunak berbahaya untuk diluncurkan segera setelah Anda memasukkan disk dan drive USB ke komputer Anda.
Kekurangan ini tidak hanya dieksploitasi oleh penulis malware. Itu terkenal digunakan oleh Sony BMG untuk menyembunyikan rootkit pada CD musik. Windows akan secara otomatis menjalankan dan menginstal rootkit ketika Anda memasukkan CD audio Sony yang berbahaya ke komputer Anda.
Asal AutoRun
AutoRun adalah fitur yang diperkenalkan di Windows 95. Ketika Anda memasukkan disk perangkat lunak ke komputer Anda, Windows akan secara otomatis membaca disk, dan - jika file autorun.inf ditemukan di direktori root disk - itu akan secara otomatis meluncurkan program ditentukan dalam file autorun.inf.
Inilah sebabnya, ketika Anda memasukkan CD perangkat lunak atau cakram permainan PC ke komputer Anda, itu secara otomatis meluncurkan penginstal atau splash screen dengan opsi. Fitur ini dirancang untuk membuat disk seperti itu mudah digunakan, mengurangi kebingungan pengguna. Jika AutoRun tidak ada, pengguna harus membuka jendela browser file, menavigasi ke disk, dan meluncurkan file setup.exe dari sana sebagai gantinya.
Ini bekerja cukup baik untuk sementara waktu, dan tidak ada masalah besar. Lagi pula, pengguna rumahan tidak memiliki cara mudah untuk menghasilkan CD mereka sendiri sebelum pembakar CD tersebar luas. Anda benar-benar hanya menemukan disk komersial, dan mereka umumnya dapat dipercaya.
Tetapi bahkan kembali di Windows 95 ketika AutoRun diperkenalkan, itu tidak diaktifkan untuk floppy disk. Lagi pula, siapa pun dapat menempatkan file apa pun yang mereka inginkan pada floppy disk. AutoRun untuk floppy disk akan memungkinkan malware menyebar dari floppy ke komputer ke floppy ke komputer.
Putar otomatis di Windows XP
Windows XP memperbaiki fitur ini dengan fungsi "Putar Otomatis". Saat Anda memasukkan disk, drive flash USB, atau jenis lain dari perangkat media yang dapat dilepas, Windows akan memeriksa isinya dan menyarankan tindakan kepada Anda. Misalnya, jika Anda memasukkan kartu SD yang berisi foto dari kamera digital Anda, itu akan merekomendasikan Anda melakukan sesuatu yang sesuai untuk file gambar. Jika drive memiliki file autorun.inf, Anda akan melihat opsi untuk menanyakan apakah Anda juga ingin menjalankan program dari drive secara otomatis..
Namun, Microsoft masih menginginkan CD untuk bekerja sama. Jadi, di Windows XP, CD dan DVD masih akan secara otomatis menjalankan program pada mereka jika mereka memiliki file autorun.inf, atau secara otomatis akan mulai memutar musik mereka jika itu adalah CD audio. Dan, karena arsitektur keamanan Windows XP, program-program itu mungkin akan diluncurkan dengan akses Administrator. Dengan kata lain, mereka akan memiliki akses penuh ke sistem Anda.
Dengan drive USB yang berisi file autorun.inf, program tidak akan berjalan secara otomatis, tetapi akan memberi Anda opsi di jendela AutoPlay.
Anda masih bisa menonaktifkan perilaku ini. Ada opsi yang terkubur dalam sistem operasi itu sendiri, dalam registri, dan editor kebijakan grup. Anda juga bisa menahan tombol Shift saat Anda memasukkan disk dan Windows tidak akan melakukan perilaku AutoRun.
Beberapa Drive USB Dapat Meniru CD, dan Bahkan CD Tidak Aman
Perlindungan ini mulai rusak segera. SanDisk dan M-Systems melihat perilaku CD AutoRun dan menginginkannya untuk USB flash drive mereka sendiri, sehingga mereka membuat U3 flash drive. Flash drive ini meniru drive CD ketika Anda menghubungkannya ke komputer, sehingga sistem Windows XP akan secara otomatis meluncurkan program pada mereka ketika mereka terhubung.
Tentu saja, bahkan CD pun tidak aman. Penyerang dapat dengan mudah membakar drive CD atau DVD, atau menggunakan drive yang dapat ditulis ulang. Gagasan bahwa CD entah bagaimana lebih aman daripada drive USB salah kaprah.
Bencana 1: Sony BMG Rootkit Fiasco
Pada tahun 2005, Sony BMG mulai mengirimkan rootkit Windows pada jutaan CD audio mereka. Ketika Anda memasukkan CD audio ke komputer Anda, Windows akan membaca file autorun.inf dan secara otomatis menjalankan installer rootkit, yang secara diam-diam menginfeksi komputer Anda di latar belakang. Tujuannya adalah untuk mencegah Anda menyalin disk musik atau menyalinnya ke komputer Anda. Karena ini biasanya fungsi yang didukung, rootkit harus menumbangkan seluruh sistem operasi Anda untuk menekannya.
Ini semua dimungkinkan berkat AutoRun. Beberapa orang merekomendasikan memegang Shift setiap kali Anda memasukkan CD audio ke komputer Anda, dan yang lain secara terbuka bertanya-tanya apakah menahan Shift untuk menekan rootkit agar tidak dipasang akan dianggap sebagai pelanggaran terhadap larangan anti-pengelakan DMCA terhadap melewati perlindungan salinan..
Yang lain mencatat riwayatnya yang panjang dan menyedihkan. Anggap saja rootkit tidak stabil, malware mengambil keuntungan dari rootkit untuk lebih mudah menginfeksi sistem Windows, dan Sony mendapat mata hitam yang besar dan layak diterima di arena publik.
Bencana 2: Cacing Conficker dan Malware Lainnya
Conficker adalah worm jahat yang pertama kali terdeteksi pada tahun 2008. Antara lain, ia menginfeksi perangkat USB yang terhubung dan membuat file autorun.inf pada mereka yang secara otomatis akan menjalankan malware ketika mereka terhubung ke komputer lain. Sebagai perusahaan antivirus ESET menulis:
"Drive USB dan media yang dapat dilepas lainnya, yang diakses oleh fungsi Autorun / Autoplay setiap kali (secara default) Anda menghubungkannya ke komputer Anda, adalah pembawa virus yang paling sering digunakan saat ini."
Conficker adalah yang paling terkenal, tetapi itu bukan satu-satunya malware yang menyalahgunakan fungsi AutoRun yang berbahaya. AutoRun sebagai fitur praktis adalah hadiah untuk pembuat malware.
Windows Vista Dinonaktifkan AutoRun Secara Default, Tapi ...
Microsoft akhirnya merekomendasikan agar pengguna Windows menonaktifkan fungsionalitas AutoRun. Windows Vista membuat beberapa perubahan bagus yang Windows semuanya sudah warisi.
Alih-alih menjalankan program secara otomatis dari CD, DVD, dan drive USB yang disamarkan sebagai disk, Windows hanya menampilkan dialog AutoPlay untuk drive ini juga. Jika disk atau drive yang terhubung memiliki program, Anda akan melihatnya sebagai opsi dalam daftar. Windows Vista dan versi Windows yang lebih baru tidak akan menjalankan program secara otomatis tanpa meminta Anda - Anda harus mengeklik opsi “Jalankan [program] .exe” di dialog AutoPlay untuk menjalankan program dan terinfeksi.
Tetapi masih mungkin bagi malware untuk menyebar melalui AutoPlay. Jika Anda menyambungkan drive USB jahat ke komputer Anda, Anda masih tinggal satu klik lagi dari menjalankan malware melalui dialog AutoPlay - setidaknya dengan pengaturan default. Fitur keamanan lainnya seperti UAC dan program antivirus Anda dapat membantu melindungi Anda, tetapi Anda tetap harus waspada.
Dan, sayangnya, sekarang kita memiliki ancaman keamanan yang bahkan lebih menakutkan dari perangkat USB.
Jika suka, Anda dapat menonaktifkan AutoPlay sepenuhnya - atau hanya untuk jenis drive tertentu - sehingga Anda tidak akan mendapatkan pop-up AutoPlay ketika Anda memasukkan media yang dapat dilepas ke komputer Anda. Anda akan menemukan opsi ini di Control Panel. Lakukan pencarian untuk "putar otomatis" di kotak pencarian Panel Kontrol untuk menemukannya.
Kredit Gambar: aussiegal di Flickr, m01229 di Flickr, Lordcolus on Flickr