Windows Autorun đã làm được gì

What Windows Autorun Has Wrought

By Brian Krebs | November 2, 2009; 11:55 AM ET

Theo: http://voices.washingtonpost.com/securityfix/2009/11/what_windows_autorun_hath_wrou.html

Bài được đưa lên Internet ngày: 02/11/2009

Lời người dịch: Bạn hãy xem những con số khổng lồ này: “Trong “Báo cáo Tình báo Anh ninh” mới nhất của hãng, Microsoft đã tính số lượng các mối đe doạn được phát hiện bởi các sản phẩm chống phần mềm độc hại cho máy tính để bàn của hãng, và đã thấy rằng sâu Conficker, cùng với chương trình ngựa thành Tơroa (Trojan) được gọi là Taterf mà nó ăn cắp các mật khẩu và các khóa giấy phép đối với các trò chơi máy tính phổ biến, đã được dò ra trên 5.21 triệu và 4.91 triệu máy tính Windows, một cách tương ứng”.

Một báo cáo mới của Microsoft chỉ ra rằng 2 mối đe dọa thường thấy nhất đối với các máy tính cá nhân Windows trong nửa đầu năm 2009 là các chương trình độc hại mà chúng đã từng được lan truyền rộng rãi một cách dữ dội bởi một quyết định của Microsoft cho phép các nội dung của các vật trung chuyển mang xách được - như các ổ USB - để tự động tải khi được chèn vào các máy tính chạy Windows.

Trong “Báo cáo Tình báo Anh ninh” mới nhất của hãng, Microsoft đã tính số lượng các mối đe doạn được phát hiện bởi các sản phẩm chống phần mềm độc hại cho máy tính để bàn của hãng, và đã thấy rằng sâu Conficker, cùng với chương trình ngựa thành Tơroa (Trojan) được gọi là Taterf mà nó ăn cắp các mật khẩu và các khóa giấy phép đối với các trò chơi máy tính phổ biến, đã được dò ra trên 5.21 triệu và 4.91 triệu máy tính Windows, một cách tương ứng.

Phiên bản ban đầu của Conficker đã nổi lên gần một năm trước, và ban đầu nó lan rộng bởi việc khai thác một chỗ bị tổn thương về mạng trong Windows. Nhưng những lây nhiễm của Conficker đã bay cao tới hàng triệu máy tính trong tháng 1 với sự hiện diện của Conficker B, mà nố đã đưa ra khả năng lan rộng qua khả năng tự động chạy (Autorun) trong Windows. Taterf lan truyền chỉ thông qua Autorun.

Đồng thời, 2 mối đe doạn này được tính cho hơn 35% của 10 lây nhiễm phần mềm độc hại hàng đầu trong 6 tháng đầu năm nay, Microsoft đã thấy (nháy vào đồ thị bên dưới để tìm hiểu sâu về các mối đe doạ này). Theo Báo cáo Tình báo An ninh trước đó, hơn 17% các lây nhiễm trong nửa cuối của năm 2008 đã là do các phần mềm độc hại mà chúng có thể lan truyền thông qua AutoRun.

Trong tháng 04, sau khi phiên bản thứ 3 của Conficker đã trở thành thông tin trang nhất và còn là chất liệu cho câu chuyện nổi bật trên chương trình 60 Minutes, mà Microsoft đã công bố rằng tính năng AutoPlay của hãng có thể sẽ không còn hỗ trợ AutoRun cho các ổ USB nữa. Autorun bị bỏ đối với các ổ USB trong Windows 7 (hệ điều hành mới này vẫn tự động chơi bất kỳ đĩa CD và DVD nào được chèn vào). Vào cuối tháng 8, Microsoft đã đưa ra một bản vá mà nó loại bỏ tương tự Autorun trên các máy tính chạy Windows XP, Vista, Windows Server 2003 và Server 2008.

A new report by Microsoft shows that the two most prevalent threats to Windows PCs in the first half of 2009 were malicious programs that have been aided mightily in their spread by a decision by Microsoft to allow the contents of removable media -- such as USB thumb drives -- to load automatically when inserted into Windows machines.

In its latest "Security Intelligence Report," Microsoft counted the number of threats detected by its anti-malware desktop products, and found that the Conficker worm, along with a Trojan horse program called Taterf which steals passwords and license keys for popular computer games, were detected on 5.21 million and 4.91 million Windows computers, respectively.

The original version of Conficker emerged nearly a year ago, and initially it spread by exploiting a networking vulnerability in Windows. But Conficker infections soared by the millions in January with the arrival of Conficker B, which introduced the ability to spread via the Autorun capability in Windows. Taterf spreads exclusively via Autorun.

Together, these two threats accounted for more than 35 percent of the top 10 malicious software infections in first six months of this year, Microsoft found (click the chart below for a breakdown of those threats). According to the previous Security Intelligence Report, more than 17 percent of infections in the second half of 2008 were by malware that can spread via AutoRun.

In April, after the third version of Conficker became front-page news and even fodder for feature story on 60 Minutes, Microsoft announced that its AutoPlay function would no longer support AutoRun for USB drives. Autorun is disabled for USB drives in Windows 7 (the new OS still automatically plays any inserted CDs and DVDs). In late August, Microsoft released a patch that similarly disables Autorun on Windows XP, Vista, Windows Server 2003 and Server 2008 systems.

Tuy nhiên, bản vá này dường như không được đẩy ra ngoài thông qua chương trình Tự động Cập nhật hoặc Cập nhật Windows của Microsoft, nếu nếu bạn muốn cài đặt nó, bạn sẽ cần phải tới liên kết này và tải về phiên bản phù hợp cho hệ điều hành của bạn. Người sử dụng ai mà cài đặt nâng cấp này sẽ không còn nhận được một thông điệp thiết lập mà nó nhắc nhở họ cài đặt các chương trình mà chúng được phân phối bởi ổ USB. Nhóm thảo luận về an ninh Wilders Security Forum có một phần viết dễ chịu về bản vá này, và đưa ra một vài mã ví dụ vô hại để kiểm tra liệu máy Windows của bạn có tính năng này làm việc hay không.

Như một tính năng lần đầu được giới thiệu trong Windows 95, Autorun đã … chạy tốt, khá tốt, đặc biệt xét về các phần mềm độc hại đã sử dụng nó lâu tới đâu như một phương pháp nhân giống. Thành thật mà nói, tôi đã ngạc nhiên rằng Microsoft đã giữ Autorun như là lựa chọn mặc định đã quá lâu, biết rằng sáng kiến an ninh Điện toán Đáng tin cậy (Trustworthy Computing) của hãng, được phát động vào tháng 01/2002 với một bản ghi nhớ từ Chủ tịch Bill Gates mà nó đã nói một cách đáng nhớ: “Khi chúng ta đối mặt với một sự lựa chọn giữa việc bổ sung thêm các tính năng và việc giải quyết các vấn đề về an ninh, thì chúng ta cần phải chọn an ninh”.

Trong một lưu ý tích cực hơn, Microsoft tìm thấy rằng số lượng các lây nhiễm có liên quan tới các phần mềm an ninh giả mạo giảm xuông còn 13.4 triệu trong 6 tháng đầu năm nay, từ 16.8 triệu vào nửa cuối năm 2008. Microsoft cũng đã theo dõi được một sự giảm tới 10 lần trong sự lây nhiễm từ Zlob, một Trojan mà nó bịp được như là một trình cài cắm chơi video. Redmond nói sự lây nhiễm của Zlob giảm từ 21.1 triệu lúc cao điểm trong năm 2007 xuống còn 2.3 triệu vào nửa đầu năm 2009.

Những phát hiện chính từ Báo cáo Tình báo An ninh Phiên bản 7 của Microsoft sẵn có ở đây.

However, this patch does not appear to have been pushed out through Microsoft's Automatic Updates or Windows Update, so if you'd like to install it, you'll need to visit this link and download the appropriate version for your operating system. Users who install this update will no longer receive a setup message that prompts them to install programs that are delivered by USB thumb drives. Wilders Security Forum has a nice writeup on this patch, and offers some harmless sample code to test whether your Windows box has this feature enabled.

As a feature first introduced way back in Windows 95, Autorun had...well, a pretty good run, particularly considering how long malware has used it as a propagation method. Frankly, I'm surprised that Microsoft kept Autorun as the default option for as long as it did, given the company's Trustworthy Computing security initiative, launched in January 2002 with a memo from Chairman Bill Gates that memorably stated, "When we face a choice between adding features and resolving security issues, we need to choose security."

On a more positive note, Microsoft found that the number of infections associated with rogue security software fell to 13.4 million in the first six months of this year, down from 16.8 million in the latter half of 2008. Microsoft also tracked a tenfold decrease in infections from Zlob, a Trojan that masquerades as a video player plug-in. Redmond said Zlob infections fell from 21.1 million at its peak in 2007 to 2.3 million in the first half of 2009.

The key findings from Microsoft's Security Intelligence Report Version 7 are available here (PDF).

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com