Cacat ini tidak hanya dimanfaatkan oleh pembuat malware. Itu terkenal digunakan oleh Sony BMG untuk menyembunyikan rootkit di CD musik. Windows secara otomatis akan menjalankan dan menginstal rootkit ketika Anda memasukkan CD audio Sony yang berbahaya ke komputer Anda.
Asal Usul AutoRun
Autorun adalah fitur yang diperkenalkan di Windows 95. Ketika Anda memasukkan disk perangkat lunak ke komputer Anda, Windows akan secara otomatis membaca disk, dan - jika file autorun.inf ditemukan di direktori root disk - itu akan secara otomatis meluncurkan program ditentukan dalam file autorun.inf.
Inilah sebabnya, ketika Anda memasukkan CD perangkat lunak atau permainan PC ke komputer Anda, secara otomatis meluncurkan installer atau splash screen dengan opsi. Fitur ini dirancang untuk membuat cakram seperti itu mudah digunakan, mengurangi kebingungan pengguna. Jika AutoRun tidak ada, pengguna harus membuka jendela browser file, menavigasi ke disk, dan meluncurkan file setup.exe dari sana.
Ini bekerja cukup baik untuk sementara waktu, dan tidak ada masalah besar. Lagi pula, pengguna rumahan tidak memiliki cara mudah untuk memproduksi CD mereka sendiri sebelum pembakar CD tersebar luas. Anda benar-benar hanya menemukan cakram komersial, dan mereka umumnya dapat dipercaya.
Tetapi bahkan kembali di Windows 95 ketika Autorun diperkenalkan, itu tidak diaktifkan untuk floppy disk. Setelah semua, siapa pun bisa menempatkan file apa saja yang mereka inginkan pada floppy disk. AutoRun untuk floppy disk akan memungkinkan malware menyebar dari floppy ke komputer ke floppy ke komputer.
AutoPlay di Windows XP
Windows XP menyempurnakan fitur ini dengan fungsi "AutoPlay". Ketika Anda memasukkan disk, USB flash drive, atau jenis perangkat media yang dapat dilepas lainnya, Windows akan memeriksa kontennya dan menyarankan tindakan kepada Anda. Misalnya, jika Anda memasukkan kartu SD yang berisi foto dari kamera digital Anda, itu akan menyarankan Anda melakukan sesuatu yang sesuai untuk file gambar. Jika drive memiliki file autorun.inf, Anda akan melihat opsi yang menanyakan apakah Anda ingin menjalankan program secara otomatis dari drive juga.
Namun, Microsoft masih menginginkan CD bekerja sama. Jadi, di Windows XP, CD dan DVD akan tetap menjalankan program secara otomatis jika mereka memiliki file autorun.inf, atau secara otomatis akan mulai memutar musik mereka jika itu CD audio. Dan, karena arsitektur keamanan Windows XP, program-program itu mungkin akan diluncurkan dengan akses Administrator. Dengan kata lain, mereka memiliki akses penuh ke sistem Anda.
Dengan drive USB yang berisi file autorun.inf, program tidak akan berjalan secara otomatis, tetapi akan hadir dengan opsi di jendela AutoPlay.
Anda masih bisa menonaktifkan perilaku ini. Ada pilihan yang terkubur di sistem operasi itu sendiri, di registri, dan editor kebijakan grup. Anda juga dapat menahan tombol Shift saat Anda memasukkan disk dan Windows tidak akan melakukan perilaku AutoRun.
Beberapa Drive USB Dapat Mengemulasikan CD, dan Bahkan CD Tidak Aman
Perlindungan ini mulai rusak dengan segera. SanDisk dan M-Systems melihat perilaku CD AutoRun dan menginginkannya untuk USB flash drive mereka sendiri, sehingga mereka membuat flash drive U3. Drive flash ini meniru drive CD ketika Anda menghubungkannya ke komputer, sehingga sistem Windows XP akan secara otomatis meluncurkan program ketika mereka terhubung.
Tentu saja, bahkan CD pun tidak aman. Penyerang dapat dengan mudah membakar drive CD atau DVD, atau menggunakan drive yang ditulis ulang. Gagasan bahwa CD entah bagaimana lebih aman daripada drive USB salah dikepalai.
Bencana 1: Sony BMG Rootkit Fiasco
Pada tahun 2005, Sony BMG mulai mengirimkan rootkit Windows pada jutaan CD audio mereka. Ketika Anda memasukkan CD audio ke komputer Anda, Windows akan membaca file autorun.inf dan secara otomatis menjalankan penginstal rootkit, yang diam-diam menginfeksi komputer Anda di latar belakang. Tujuannya adalah untuk mencegah Anda menyalin disk musik atau merobeknya ke komputer Anda. Karena ini adalah fungsi yang biasanya didukung, rootkit harus menumbangkan seluruh sistem operasi Anda untuk menekannya.
Ini semua dimungkinkan berkat AutoRun. Beberapa orang menyarankan untuk mengadakan Shift setiap kali Anda memasukkan CD audio ke komputer Anda, dan yang lainnya bertanya-tanya secara terbuka jika menahan Shift untuk menekan rootkit dari pemasangan akan dianggap sebagai pelanggaran terhadap larangan anti-pengelakan DMCA terhadap melewati perlindungan salinan.
Yang lain telah mencatat sejarah panjang yang menyedihkan. Katakan saja rootkit itu tidak stabil, malware memanfaatkan rootkit untuk lebih mudah menginfeksi sistem Windows, dan Sony mendapat mata hitam yang besar dan memang layak di arena publik.
Bencana 2: Worm Conficker dan Malware Lainnya
Conficker adalah cacing yang sangat jahat yang pertama kali terdeteksi pada tahun 2008. Di antara yang lain, ia menginfeksi perangkat USB yang terhubung dan membuat file autorun.inf pada mereka yang secara otomatis akan menjalankan malware ketika mereka terhubung ke komputer lain. Sebagai perusahaan antivirus ESET menulis:
“USB drives and other removable media, which are accessed by the Autorun/Autoplay functionalities each time (by default) you connect them to your computer, are the most frequently used virus carriers these days.”
Conficker adalah yang paling terkenal, tetapi bukan satu-satunya malware yang menyalahgunakan fungsi AutoRun yang berbahaya. AutoRun sebagai fitur praktis merupakan hadiah bagi pembuat malware.
Windows Vista Dinonaktifkan AutoRun Secara Default, Tapi …
Microsoft akhirnya merekomendasikan bahwa pengguna Windows menonaktifkan fungsi AutoRun. Windows Vista membuat beberapa perubahan baik yang Windows 7, 8, dan 8,1 memiliki semua warisan.
Alih-alih secara otomatis menjalankan program dari CD, DVD, dan drive USB yang menyamar sebagai disk, Windows hanya menampilkan dialog AutoPlay untuk drive ini juga. Jika disk atau drive yang terhubung memiliki program, Anda akan melihatnya sebagai opsi dalam daftar. Windows Vista dan versi Windows yang lebih baru tidak akan secara otomatis menjalankan program tanpa bertanya kepada Anda - Anda harus mengeklik opsi "Jalankan [program].exe" dalam dialog AutoPlay untuk menjalankan program dan terinfeksi.
Dan, sayangnya, kami sekarang memiliki ancaman keamanan yang lebih menakutkan dari perangkat USB yang harus diperhatikan.
Jika Anda suka, Anda dapat menonaktifkan AutoPlay sepenuhnya - atau hanya untuk jenis drive tertentu - jadi Anda tidak akan mendapatkan munculan AutoPlay saat Anda memasukkan media yang dapat dipindahkan ke komputer Anda. Anda akan menemukan opsi ini di Panel Kontrol. Lakukan penelusuran untuk "putar otomatis" di kotak penelusuran Panel Kontrol untuk menemukannya.
