Nový červ ve Windows opět zneužívá AutoRun

AutoRun se stará o to, aby se programy vložené do počítače na disku CD/DVD nebo jednotce USB spouštěly automaticky. Velký nárůst počtu nákaz ve Windows pomocí AutoRunu je velmi zvláštní, jelikož Windows 7 ani Windows 8 soubory autorun.info automaticky nespouštějí a Microsoft již dříve vydal dvě aktualizace na díru v této komponentě i pro starší verze Windows. Podle bezpečnostních expertů tak červ nyní infikuje neaktualizované počítače a navíc se šíří i v počítačích s nainstalovanou aktualizací pomocí sdílených adresářů nebo sociálních médií.

Podle společnosti Trend Micro je červ aktivní mimo jiné na Facebooku. Experti ze společností McAfee, Symantec a Sophos se pozastavují nad tím, že útočníci stále využívají již čtyři roky starou chybu v AutoRunu. Podle Sophosu se červ ve firmách však šíří hlavně přes sdílené adresáře, na Faceboku se je pak systém uživatele infikován díky kliknutí na odkaz ve zprávě. „Myslím, že hlavním zdrojem nových infekcí není AutoRun,“ řekl Chester Wisniewski ze společnosti Sophos. „Je však zajímavé zjištění, že útočníci AutoRun stále využívají. Podle mě jsou však zdrojem nových infekcí především sdílené adresáře.“

Microsoft vydal opravu pro AutoRun v roce 2009, rok poté, co organizace US-CERT zveřejnila varování, podle kterého Windows 2000, XP a Server 2003 nejsou proti zneužití AutoRunu chráněny. Ve Windows Vista a Server 2008 Microsoft chybu opravil ještě o rok dříve. AutoRun využíval nechvalně proslulý červ Stuxnet, jenž byl v roce 2009 vytvořen v USA a Izraeli a infikoval mimo jiné i íránské jaderné elektrárny.

Nový červ, který v závislosti na výrobci antiviru bývá označován jako W32/VBNA-X, W32/Autorun.worm.aaeb, W32.ChangeUp nebo WORM_VOBFUS, si sám v registrech vytvoří klíč, aby se mohl spouštět při startu počítače. Některé varianty kódu pak deaktivují službu Windows Update a znemožní tak uživateli stahovat nové aktualizace. Jakmile je počítač infikován, chová se červ podobně jako ostatní škodlivé kódy – kontaktuje útočníka pro zaslání dalších instrukcí a pokusí se stáhnout do počítače další škodlivé programy, například trojské koně, které kradou citlivé osobní údaje.

Experti doporučují, aby si uživatelé zablokovali AutoRun ve všech verzích operačního systému Windows a omezili práva pro možnosti zápisu do sdílených adresářů. Zprávy o nárůstu počtu infikovaných počítačů pomocí chyby v AutoRunu přicházejí rok a půl poté, co Microsoft oznámil, že počet infekcí pomocí tohoto prvku Windows značně poklesl – mezi roky 2010 a 2011 o 59 % u PC s Windows XP a o 74 % u PC s Windows Vista.