martedì 6 aprile 2010

Autorun e Worm in Windows. L'Autorun è pericoloso? Come è possibile disattivarlo? Una serie di domande frequenti e risposte competenti sull'argomento

Autorun e Worm in Windows. L'Autorun è pericoloso? Come è possibile disattivarlo? Una serie di domande frequenti e risposte competenti sull'argomento Autorun e Autoplay.

L'Autorun è una delle diverse funzionalità presenti in alcuni Sistemi Operativi (come Windows XP, Vista e Windows 7).
Siamo in molti a guardare questa caratteristica più come un male che come un qualcosa di utile.
Fondamentalmente l'Autorun ha il compito di eseguire automaticamente delle operazioni all'inserimento di un'unità rimovibile quale potrebbe essere un CD o un DVD o un Pen drive.

Per dirlo con parole più semplici, l'Autorun viene spesso e volentieri utilizzato per installare automaticamente un programma, senza che l'utente debba manualmente accedere all'unità e avviare il file di installazione.
Capirete che proprio questo suo lavorare sottobanco ed automaticamente è sia la chiave della sua diffusione che un punto debole nei moderni computer. Infatti l'Autorun è stato più volte criticato nell'ambito della sicurezza, poiché consentirebbe a software malevoli (malware, worm, virus, trojan, spyware, etc...) di installarsi automaticamente su un PC ed infettarlo.

Cerchiamo di conoscere meglio l'Autorun e di disattivarlo, se lo riterrete utile e necessario.


Domande frequenti - Autorun e dintorni.


Che cosa è nello specifico un Autorun?

Nei sistemi operativi di Microsoft (Windows) l'Autorun è gestito direttamente da Explorer, che provvede ad analizzare il contenuto di una unità di memorizzazione di massa e ad avviare il programma più idoneo.
Il programma che deve essere avviato automaticamente viene selezionato attraverso l'apposito file "autorun.inf".
Una volta che Windows lo intercetta, non fa altro che seguire le istruzioni contenute all'interno del file con estensione .inf.

Nota: nella maggior parte delle versioni di Microsoft Windows si può impedire l'Autorun tenendo premuto il tasto "shift" mentre si inserisce l'unità esterna. Inoltre se l'Autorun non partisse subito dopo aver inserito il CD o DVD o Pen drive Usb, si può eseguire l'Autorun direttamente da DOS con il comando "d:\autorun.exe", che indica la partizione da scandagliare per ricercare il relativo file da eseguire.


Che cosa è il file "autorun.inf"?

Il file "autorun.inf" contiene le istruzioni che il sistema operativo eseguirà all'inserimento o al collegamento di una periferica esterna mobile. Nello specifico è un semplice file di testo con estensione ".inf". E' posto nella cartella principale dell'unità di memoria.

Ad esempio:

[autorun]
open=nomefile.exe
icon=icona.ico
label=nome visualizzato della periferica

"Nomefile.exe" è il nome del file eseguibile. "Icona.ico" è l'icona che apparirà al posto di quella tradizionale di default in "Risorse del computer".

Esiste anche la possibilità di dare altre indicazioni (come icon, label, action...). Se non viene specificata l'icona, sarà utilizzata quella del sistema dell'unità. Se non si specifica l'etichetta verrà usato il nome della periferica.

Qualora si volesse aprire una pagina Web, sarebbe possibile utilizzare la funzione "start". Ma nel caso in cui sul computer dell'utente non fosse presente un browser, comparirà un messaggio d'errore.

[autorun]
open=start index.html

Nei sistemi operativi successivi all'ormai datato Windows 95, per evitare l'apparizione di una finestra DOS, che comparirebbe qualora si usasse la linea di comando sopra riportata per richiamare l'apertura di una pagina web, si può usare in alternativa il comando "shellexecute".

Ad esempio:

[autorun]
shellexecute=index.html


Come fa un Worm (principale attacco via Autorun) ad infettare il computer?

Per prima cosa un Worm crea una copia di se stesso all'interno dell'esecuzione automatica principale dell'unità. In secondo luogo crea o modifica il file "autorun.inf " (sopra abbiamo visto a cosa serve) in modo che, ogni volta che viene interrogato dal sistema operativo su cosa fare, sganci il malware in agguato. Questo accadrà tutte le volte che l'unità di massa infetta verrà inserita in un computer in cui l'Autorun è operativo.
Dopo che il Worm viene caricato sul computer, cerca di replicarsi in qualche modo ed infettare altre unità qualora gli fosse possibile e se ne presentasse l'occasione.


Le infezioni (come i Worm) si contraggono solo attraverso dei Pen drive Usb?

No. Nello stesso identico modo i malware possono essere nascosti in hard disk esterni o unità di rete mappate.


Cosa fa oltre a replicarsi e diffondersi su altre chiavette e computer il classico Worm diffuso tramite Autorun?

Nella stragrande maggioranza delle volte il Worm è causa di successive infezioni. Praticamente collega segretamente il computer infettato ad un server dal quale richiama e scarica altri programmi potenzialmente molto dannosi. Questi possono essere trojan, virus o etc... Solitamente si tratta di programmi che consentono ad un malvivente di prendere il controllo in remoto di un computer o intercettarne password particolarmente importanti come potrebbero essere quelle di un conto corrente bancario.
Inoltre, la maggior parte dei Worm Autorun tende a disattivare gli antivirus e altri software di sicurezza. In questo modo lasciano il sistema vulnerabile...anche a dei virus "sterili", cioè molto conosciuti ed efficacemente contrastati dalle suite di sicurezza.


Dei normali antivirus riescono ad intercettare e bloccare la diffusione del Worm all'interno del sistema?

Direi che gli antivirus attuali offrono un elevato grado di sicurezza, ma nonostante ciò la sicurezza non è garantita al 100%.
Ogni giorno vengono creati molti malware. Facendo una stima molto approssimata siamo sull'ordine delle decine di migliaia al mese. Capite benissimo che, prima che le case delle suite di sicurezza riconoscano e fronteggino adeguatamente una minaccia, è necessario un certo intervallo di tempo. E per quanto possa essere breve, esiste sempre la possibilità di ritrovarsi momentaneamente vulnerabili ad un attacco da parte di un Worm.
Ricordatevi di aggiornare l'antivirus tutte le volte che ne avete l'opportunità.


DISABILITARE AUTORUN - Non posso disabilitare l'Autorun tramite l'Editor dei Criteri di gruppo?


L'Editor Criteri di gruppo non è disponibile nella versione Windows XP Home del sistema operativo di casa Redmond. Inoltre, è presente da tempo un bug in Windows che impedisce agli utenti di disattivare efficacemente l'Autorun. Microsoft comunque aveva rilasciato una patch, per risolvere questo problema. Potete scaricarla a questo indirizzo: support.microsoft.com. Tuttavia esiste una procedura molto più semplice ed enormemente più efficace per disabilitare l'Autorun, qualora lo voleste fare. Trovate tutti i dettagli del caso nel post Come disattivare l'Autorun in tutti i Windows? Metodo semplice e veloce che non sfrutta l'Editor dei Criteri di gruppo e state pur certi che funzionerà altrettanto bene in tutte le versioni di XP e Vista.


Qualora disattivassi l'Autorun, i CD musicali, i film in DVD e le Pen drive continuerebbero a funzionare?

Sì, nella maggior parte dei casi. Tipicamente i CD musicali ed i film in DVD si basano sulla funzionalità Autoplay che, diversamente dall'Autorun, non si fonda sull'utilizzo del famoso file "autorun.inf" utilizzato dai "Worm Autorun".
Autorun e Autoplay sono due cose diverse. Quindi la disattivazione dell'Autorun non impedisce l'accesso ed il normale funzionamento di qualsiasi file sul disco. Blocca soltanto il file autorun.inf che viene interrogato dal sistema operativo (Windows) al momento della connessione di una periferica mobile al computer.
In ogni modo, in quei rari casi in cui un CD o un DVD (che si basi su autorun.inf) non si aprisse automaticamente, basterà navigare attraverso il Windows ( [Risorse] Computer -> Dispositivi con archivi rimovibili -> selezionare la periferica collegata al PC -> scegliere i file d'aprire ed il programma appropriato a seconda del formato del file) alla ricerca della periferica inserita e richiamare manualmente l'apertura dei file desiderati. Procedura oltremodo semplice e che avete già sicuramente usato in diverse occasioni, magari senza pensarci sopra.


Come posso rimuovere dei malware beccati a causa dell'Autorun?

Il discorso in questo caso ha bisogno di un approfondimento ed ho preferito trattare separatamente l'argomento in questo articolo Come rimuovere eventuali Worm o virus o malware contratti a causa dell'Autorun. Consultatelo, grazie.

Nessun commento:

Posta un commento

Vi ringrazio per le email ed i commenti di stima ed apprezzamento. Mi scuso in anticipo se non riesco a ringraziarvi tutti di cuore! Alessandro.

Per lasciare velocemente un commento, cliccate su [Seleziona profilo..] e poi su [Nome/URL]. Potete anche non inserire un indirizzo internet e mettere solo il nome :)