Windows 7の自動実行機能の変更

最近のConfickerアウトブレイクに対応して、MicrosoftはWindows 7のAutoRun機能にいくつか変更を加えました。

自動実行の主な目的は、コンピュータで起動するハードウェアの処理に対するソフトウェアの応答を提供することです。自動再生

- ダブルクリック

- コンテキストメニュー

- 自動再生

これらの機能は通常、リムーバブルメディアまたはネットワーク共有から呼び出されます。自動再生中に、メディアからのAutorun.infファイルが解析されます。このファイルは、システムが実行するコマンドを指定します。多くの企業がこの機能を使用してインストーラを起動します。

Confickerワームを含む特定のマルウェアは、AutoRunの機能を利用して、人に一見良心的なタスクを提供するようになりました。トロイの木馬として偽装してマルウェアをコンピュータにインストールします。その後、マルウェアは、同じトロイの木馬でそのコンピュータに接続されている将来のデバイスに感染します。 Microsoft Malware Protection CenterのConfickerに関する詳細。

AutoRunメカニズムを使用してマルウェアが広がるのを防ぐため、AutoPlayは非光学リムーバブルメディアの自動実行機能をサポートしなくなります。つまり、AutoPlayはCDとDVDでは動作しますが、USBドライブでは動作しません。

写真があるUSBフラッシュドライブの次の例では、マルウェアは「ファイルを開くためのフォルダを開く」という重要なタスクとして登録されます。最初の "ファイルを表示するためのフォルダを開く"（赤い丸で囲まれた部分）にはマルウェアが実行されます。しかし、2番目のタスク（緑色の丸で囲んだもの）を選択すると、Windowsタスクの実行は安全です。

ほとんどの人は、同じことをするように見える2つのタスクが混乱します。これらのエントリの原点を特定する方法がないため、リムーバブルメディア（CD / DVD）ではないデバイスの自動再生ダイアログにAutoRunタスクを表示します。 IHV、人、またはマルウェアによってそこに置かれましたか？この自動実行タスクを削除すると、マルウェアによって悪用される現在の伝播方法がブロックされ、顧客の保護が維持されます。

これらの変更により、写真を持ち、マルウェアに感染したUSBフラッシュドライブを挿入した場合、あなたはそのコンピュータにインストールされているすべてのAutoPlayタスクにアクセスすることができます。

一方、インストールするソフトウェアを提供するCDを挿入すると、Windowsはメディア作成プロセス中にISVによって提供される自動実行タスクを表示します。

この変更はすぐにVistaとXPでも見られます。 E7ブログでさらに詳しく