مترجم: حمید وثیق زاده
منبع: راسخون
منبع: راسخون
اگر شما هم به مانند من از کاربران قدیمی سیستم عامل ویندوز باشید حتماٌ به یاد دارید که سالها پیش مخصوصاٌ زمانی که بیشتر افراد از ویندوزXP استفاده میکردند بحث بدافزارهای اتوران داغ بود. اگر چه امروزه هم این نوع بدافزارها دیده میشود اما دیگر به مانند قدیم خیلی دست و پاگیر نیستند. اجازه دهید از ابتدای پیدایش این نوع بدافزارها در سیستم عامل ویندوز به بررسی بپردازیم پس اگر علاقه مند هستید ادامهی این مقاله را از دست ندهید.
اساس پیدایش اتوران:
ویژگی اتوران ابتدا در ویندوز 95 توسط مایکروسافت معرفی شد. به این صورت که زمانی که شما یک دیسک نرم افزاری را وارد درایو کامپیوتر خود میکردید ویندوز به صورت خودکار دیسک را خوانده و اگر یک فایل autorun.inf تحت ریشه این دیسک پیدا میشد ستاپ اصلی مشخص شده در درون این فایل به صورت خودکار به حالت اجرا در میآمد. در واقع به خاطر وجود چنین فایلی در دیسکهای نرم افزاری یا بازیهای کامپیوتری است که زمانی که وارد درایو کامپیوتر میشوند به صورت خودجوش اجرا میشوند. در حقیقت علت طراحی ویژگی اتوران به این منظور بود که کار کاربران آسان شده و از سردرگمیهای موجود در کاوش فایلها جلوگیری به عمل آید. یعنی اگر این ویژگی وجود نداشت کاربران مجبور بودند تا پنجرهی مرورگر فایل را باز کنند دیسک مورد را را باز کرده و سپس فایل ستاپ اصلی را به صورت دستی اجرا کنند.این ویژگی برای یک مدتی سودمند بود و هیچ مشکل خاصی را ایجاد نکرد. اما این امتیاز برای کاربران خانگی فراهم نبود تا بتوانند تولیدات خود را با قابلیت اتوران همراه کنند. این قابلیت فقط مختص دیسکهای تجاریای بود که توسط شرکتهای معتبر طراحی میشدند که البته خود محتویات آنها هم قابل اطمینان بود.
این قابلیت برای فلاپی دیسکها در ویندوز 95 فعال نبود. چرا که این نوع دیسکها در دسترس عموم قرار داشتند و هر کسی میتوانست هر چیزی که بخواهد در درون آنها قرار دهد. که در این صورت اگر فایل مخربی در داخل فلاپی دیسکها قرار داده میشد و قابلیت اتوران هم تحت این دیسکها فعال بود فاجعهای به مراتب بزرگتر را رقم میزد.
ویژگی اتوپلی در ویندوزXP:
شرکت مایکروسافت طی اقدامی این ویژگی را در ویندوز جدید خود یعنی XP تحت قابلیت AutoPlay بهبود بخشید. در این ویندوز به محض اینکه یک سی دی، فلش دیسک و یا هر نوع دستگاه قابل حمل دیگری را متصل میکردید به جای اجرای خودکار فایل اجرایی آن، نوع محتویات موجود درآن رسانه را بررسی میکرد و متناسب با نوع محتویات عملیاتی را به شما پیشنهاد میداد. به عنوان مثال زمانی که شما یک SD Card که شامل تصاویر مختلف گرفته شده از یک دوربین دیجیتال بود را وارد سیستم خود میکردید به شما مثلاٌ پیشنهاد یک برنامه مربوط به تصویر برای باز کردن تصاویر موجود در رسانه را میداد. یا به عنوان مثالی دیگر در صورتی که یک رسانه دارای یک فایل autorun.inf بود از شما درخواست میکرد تا این فایل را اجرا کند یا خیر.به هر حال مایکروسافت طی سالها هنوز این سیاست را در ویندوزهای متعدد خود حفظ کرده است. در مورد فلش دیسکها هم در صورتی که دارای فایلهای autorun.inf باشند به صورت خودکار اجرا نمیشوند و ابتدا با پنجرهای از شما درخواست میکند تا اجازهی اجرای چنین فایلهای را بدهید.
البته شما میتوانید چنین رفتارهایی را غیرفعال کنید. تنظیمات مربوط به این ویژگیها تحت محیطهایی مانند رجیستری و group policy قالب تغییر هستند. البته ناگفته نماند شما همچنین میتوانستید در زمان قرار دادن دیسک در درایو سیستم خود کلید شیفت را نگه داشته تا از ویژگی اتوران جلوگیری به عمل آورید.
این محافظتها به یکباره در هم شکسته شد. به عنوان مثال وقتی شرکتهای سازنده فلش دیسکها به عنوان مثال SanDisk و M-Systems به این قابلیت پی بردند آنها نیز از این قابلیت در فلش دیسکهای خود استفاده کردند بنابراین به دنبال این سیاست تصمیم به ایجاد فلش دیسکهای U3 گرفتند. این نوع فلش دیسکها زمانی که به سیستم متصل میشدند به مانند یک CD Drive عمل میکردند. بنابراین زمانی که به سیستم متصل میشدند ویندوزXP به صورت خودکار برنامههای موجود درآنها را اجرا میکردند. بنابراین عملاٌ میزان امنیت دیسکها و فلش دیسکها یکسان شد.
فاجعهای دیگر اینبار در The Sony BGM Rootkit Fiasco:
سال 2005 بود که شرکت Sony BMG فرایند انتشار روت کیتهای مختلف را تحت میلیونها سی دی صوتی آغاز کرد. به این صورت که زمانی که شما یکی از این سی دیها را وارد درایو سیستم خود میکردید به صورت خودکار فایل autorun.inf اجرا میشد و روت کیت موجود را از طریق نصاب ،نصب میکرد.که در حقیقت به صورت مخفیانه این روت کیتها در پس زمینهی سیستم شما جا خشک کرده و عملیات خرابکارانهی خود را انجام میدادند. هدف اصلی این بود که از کپی دیسک موزیک و یا انتقال فایلهای تکی آن به دیسک سخت کامپیوتر شما جلوگیری شود. در حقیقت چون آنها به صورت ذاتی فرایندهای پشتیبانی هستند، روت کیت مورد نظر میبایست کل سیستم عامل شما را برای خنثی کردن آنها به هم بریزد.تمامی این رخدادها به کمک وجود ویژگی اتوران بود. برخی کاربران توصیه میکردند تا در هنگام قرار دادن این سی دیهای صوتی کلید شیفت را پایین نگه دارید و برخی دیگر نیز چنین عقیدهای نداشتند.
فاجعهی دوم اینبار مربوط به کرم Conficker:
Conficker نوعی کرم مخرب بود که ابتدا در سال 2008 میلادی شناسایی شد. روش کار این بدافزار این بود که فایلهای خود ساختهی اتوران را وارد فلش دیسکها میکرد تا زمانی که به کامیپوتر دیگری وصل شوند آنها را نیز آلوده کنند. این کرم مخرب در میان کاربران به خوبی شناخته شد اما باید بدانید که این کرم تنها قطعهی مخربی نبود که به واسطهی ویژگی اتوران کاری را انجام میداد. به طور کلی میتوانیم بگوییم که اتوران با وجود اینکه راحتیهایی را برای کاربران فراهم کرد اما از آن طرف هم یک پیشکش به طراحان بدافزار بود.غیرفعال شدن ویژگی اتوران در ویندوز ویستا به صورت پیشفرض، اما:
با توجه به سوء استفادههایی که از قابلیت اتوران شد مایکروسافت در نهایت مجبور شد که به کاربران اعلام کند تا این ویژگی را غیرفعال کنند. از ویندوز ویستا تغییرات و سیاستهای خوبی در این زمینه حتی برای ویندوزهای بعدی شرکت مایکروسافت یعنی 7،8،8.1 نیز به ارث رسید.
در این ویندوزها به جای اجرای خودکار فایلهای ستاپ دار در انواع مختلف رسانههای اتصال، یک پنجره باز می شود تا کاربر با توجه به اختیار خود یکی از این گزینهها را انتخاب کند. حتی اگر این رسانههای متصل یک فایل اجرایی داشته باشند نیز گزینهای در این پنجرهی نمایان شده برای عملیات مرتبط قرار میگیرد. به طور کلی از ویندوز ویستا به بعد برنامهها بدون اجازهی شما اجرا نخواند شد و در عوض با نمایان شدن کادری از شما ابتدا درخواست اجازه میکند.
البته اگر دوست داشته باشید هم شما میتوانید این ویژگی را در ویندوزهای جدید برای رسانههای خاصی غیرفعال کنید. در این صورت دیگر هیچ کادر بازشوی دیگری به هنگام اتصال رسانه باز نخواهد شد تا حتی احیاناٌ سهواٌ نیز بر روی گزینههای آن کلیک نکنید. برای این منظور میتوانید به کنترل پنل خود مراجعه کرده و ویژگی اتوپلی را با جستوجوی کلمهی autoplay در کادر جست وجوی موجود در کنترل پنل بیابید و تنظیمات مورد نظر خود را از این طریق اعمال کنید.
/ج
