In risposta alla recente epidemia di Conficker, Microsoft ha apportato alcune modifiche alla funzionalità AutoRun in Windows 7.
Lo scopo principale di Autorun è fornire una risposta software alle azioni hardware che si avvia su un computer. L'esecuzione automatica ha le seguenti caratteristiche:
- Doppio click - Menu contestuale - Riproduzione automatica
Queste funzionalità sono generalmente chiamate da supporti rimovibili o da condivisioni di rete. Durante AutoPlay, viene analizzato il file Autorun.inf dal supporto. Questo file specifica quali comandi viene eseguito il sistema. Molte aziende utilizzano questa funzionalità per avviare i propri programmi di installazione. AutoRun viene utilizzato per avviare automaticamente alcuni programmi quando un CD o un altro supporto viene inserito in un computer.
Alcuni malware hanno iniziato a utilizzare le funzionalità di AutoRun per fornire un compito apparentemente positivo alle persone, che si mascherano da cavallo di Troia per ottenere malware sul computer. Il malware infetta quindi i dispositivi futuri collegati a quel computer con lo stesso cavallo di Troia. Altro su Conficker presso Microsoft Malware Protection Center.
Per evitare che il malware si diffonda utilizzando il meccanismo di esecuzione automatica, AutoPlay non supporterà più la funzionalità di esecuzione automatica per i supporti rimovibili non ottici. Cioè, AutoPlay funzionerà per CD e DVD ma non per unità USB.
Nell'esempio seguente per un'unità flash USB con foto, il malware si registra come attività benigna di "Apri cartelle per visualizzare i file". Se selezioni il primo "Apri cartelle per visualizzare i file" (cerchiato in rosso), devi eseguire malware. Tuttavia, se si seleziona la seconda attività (cerchiata in verde), si è sicuri di eseguire l'attività di Windows.
Windows non visualizzerà più l'attività AutoRun nella finestra di dialogo AutoPlay per i dispositivi che non sono supporti ottici rimovibili (CD / DVD.) Poiché non è possibile identificare l'origine di queste voci. È stato messo lì da IHV, da una persona o da un malware? La rimozione di questa attività AutoRun bloccherà il metodo di propagazione corrente abusato dal malware e aiuterà i clienti a rimanere protetti. Le persone saranno comunque in grado di accedere a tutte le altre attività AutoPlay installate sul proprio computer.
Con queste modifiche, se si inserisce un'unità flash USB con foto ed è stata infettata da malware, si può essere sicuri che le attività visualizzate siano tutte da software già presenti sul computer.
