Win7 Engineering Windows 7 Improvements to AutoPlay - jodieron a los virus de USB

Improvements to AutoPlay

As mentioned before on this blog (regarding our UAC changes) and on the IE blog (regarding the SmartScreen® filter for malware), we have an increased focus to enable customers to be in control and feel confident about the software that they choose to run on their computers. Folks on this blog have also commented about the concerns they have specifically in the AutoPlay area. This blog entry addresses some of the changes that we have made to increase customer confidence when using their media and devices with Windows. It is authored by Arik Cohen, a program manager on the Core User Experience team. –Steven [Note: There was a technical problem so this post was reposted in its entirety.]


Certain malware, including the Conficker worm, have started making use of the capabilities of AutoRun to provide a seemingly benign task to people – which masquerades as a Trojan Horse to get malware onto the computer. The malware then infects future devices plugged into that computer with the same Trojan Horse. For further information about Conficker please visit http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx


In the following example for a USB flash drive that has photos, malware registers as the benign task of “Open folders to view files.” If you select the first “Open folders to view files” (circled in red), you would be running malware. However, if you select the second task (circled in green), you would be safe running the Windows task.
People are confused why they have two tasks that appear to do the same thing – and even a knowledgeable person who is careful not to run software from an untrusted source can easily make the mistake of selecting the first task. As a result, people lose confidence and don’t feel in control.


A growing attack

While presenting an AutoRun task in AutoPlay has been available since Windows XP, we have seen a marked increase in the amount of malware that is using AutoRun as a potential method of propagation. According to the Security Intelligence Report, an enterprise study by Forefront Client Security found that the category of malware that can propagate via AutoRun accounted for 17.7% of infections in the second half of 2008 – the largest single category of malware infections.

The chart below shows the increasing amount of detection reports by Microsoft anti-virus software of the class of infections that spread via AutoRun. (Note: The actual method of infection cannot be determined.)Currently, disabling AutoPlay completely is the only solution for consumers and enterprises to gain confidence with the use of USB flash devices on their computer. Guidance on disabling AutoPlay is available here

Increasing customer confidence

Windows 7 introduces key changes to AutoPlay that keep you from being exposed inadvertently to malware like Conficker when doing your common scenarios with devices (e.g., get to the files on your USB flash drive, download pictures from an SD card, etc.).

In particular, Windows will no longer display the AutoRun task in the AutoPlay dialog for devices that are not removable optical media (CD/DVD.) because there is no way to identify the origin of these entries. Was it put there by the IHV, a person, or a piece of malware? Removing this AutoRun task will block the current propagation method abused by malware and help customers stay protected. People will still be able to access all of the other AutoPlay tasks that are installed on their computer.

With these changes, if you insert a USB flash drive that has photos and has been infected by malware, you can be confident that the tasks displayed are all from software already on your computer:On the other hand, if you insert a CD that offers software to install, Windows will still display the AutoRun task provided by the ISV during their media creation process. For example: You will first see this updated AutoRun experience in the Windows 7 RC build, and we will be bringing this change to Vista and XP in the future.


Ecosystem Impact

We are working with our ecosystem partners to help mitigate situations where this AutoRun change will have an impact on them.

CDs and DVDs (including CD emulation), where the IHV specified AutoRun task authored during manufacturing, will continue to provide the AutoRun choice allowing customers to run the specified software. IHVs of generic mass storage devices should expect that people will browse the contents of the device to launch any software. The new behavior will allow customers to continue to use AutoPlay (including all Windows and ISV installed tasks) to access their media and devices while not being presented with tasks from malware. Additionally, device classes, such as portable media players and cell phones, now support Device Stage™ on Windows 7. DeviceStage offers the IHV a multifunction alternative to AutoPlay where they can present links to software and common tasks, and provides additional features as you use the device.

As you try out the Windows 7 RC, we hope these changes will make you feel more confident and in control when using your media and devices.
-Arik Cohen

Pues...
que te dijera...

yo llevo dos años sin antivirus trabajando con windows vista y UAC habilitado y no he tenido ningún problema...


así que desde luego esto solo ratificara mi decisión de no usar antivirus.


el punto clave de este articulo es:

Se deshabilitó la opción de autorun en equipos removibles que no sean ópticos (CD/DVD), en los que seguira habilitada se motrara al usuario la opcion de autorun provista por el fabircante del medio.

juanchibiris dijo:

La verdad en cuestiones de seguridad es muy bueno tener estas mejoras, pero digamos el UAC a veces se excede con tanta preguntadera y proteccion, por ejemplo ayer estaba tratando de instalar el UltraISO y hasta que no desactive el UAC no me dejo instalarlo ya que siempre decia que no era posible, el archivo estaba libre de virus.

Haz clic para expandir...

Ten en cuenta que en windows 7 puedes configurar el nivel de protección del UAC.

juanchibiris dijo:

Pero hasta donde tengo entendido el UltraISO no hace cambios en el registro de Windows, solo instala el .exe y ya (claro que puedo estar equivocado) por ejemplo yo se que el Alcohol 120 si hace cambios en el registro y ese si ni modo de intalarlo, nunca se pudo pero creo que era mas por problemas de compatibilidad porque si uno mismo quiere dañar el registro con programas el Windows lo deberia permitir .

Haz clic para expandir...

Tienes mal entendido, de hecho para funcionar instala su propio driver de CD para poder crear unidades virtuales, que sino tienes una versión de UltraIso reciente... es un driver no firmado... o sea problemas.. otro lado... como crees que ultraiso recuerda sus configuraciones actuales o detecta si hay instalaciones anteriores, o como crees que UltraIso agrega menús contextuales: Registro de windows.

Alcohol tiene problamas sino estas usando la version creada para windows vista.

Jale86 dijo:

Eso también aparece duplicado en Windows XP, sólo que no lo categoriza así, creando confusiones.

Haz clic para expandir...

no es que aprezca duplicado, es que el malware aprovecha esa caracteristica de windows para exhibir su propio ejecutable con un nombre familiar para el usuario.

V3NOM dijo:

Yo no entendi bien la modificacion que se hizo...
Windows 7 solo mostrara las opciones para ejecutar en el Autoplay de programas que uno ya tenga en el equipo... pero que pasa con virus que es solo el hecho de que el autoplay revise la memoria y ya esta regado por todo el PC?

O entendi mal la mejora que hicieron??

Haz clic para expandir...

La entendiste mal, en sintesis:

Se deshabilito la opción de autoejecución para todos los dispositivos extraibles con excepcion de los dispositivos opticos ( CD/ DVD/Blueray ).

Y en estos donde no se deshabilito, se exhibira el nombre del ejecutable y el creador del software siempre para que el usuario indique si procede o no la opción de autoejecución.

juanchibiris dijo:

Y como haces con los virus que te pueden entrar por los dispositivos removibles que mencionan en el articulo? o no utilizas ese tipo de dispositivos?

Haz clic para expandir...

Ya no hay autorun en dispositivos extraibles.

V3NOM dijo:

Gracias por la explicación!, con respecto a la respuesta en negrita:
La modificacion esta hecha desde Win 7, no en vista... y dijiste que nunca habias tenido antivirus; entonces, como hiciste estos tres años sin antivirus y los dispositivos extraibles.

Haz clic para expandir...

Nunca doy click para autorizar algo que no se que es, y cuando lo llegue a hacer.

elluisro dijo:

sencillo.. EL mismo no permitia que se ejecutara el autorun que era extraño (si el idioma del SO es en español y te sale un autorun con una en ingles y la sotras en español es virus.. si no lo ejecutas el que esta en ingles no se ejecuta el virus.. es sentido comun pero como mucho usuario solo da click y click a toda ventana que le aparece pues ahi se infecta.. adicional los virus o spyware o malware que quieran entrar pues el UAC avisa y listo no se le permite.. esa es la razon de porque no utiliza antivirus en vista

Haz clic para expandir...

Bingo!

Esos malware solo hacen eso que dices si ya le diste click en autoejecutar la primera vez...

y tambien alguna vez cometi la burrada de darle click aun a sabiendas de que era malware... como proceder: borrandolo del registro y matando todos los procesos.

Como usualmente son dos ejcutables y ambios se suben mutuamente apenas se matan, lo mas facil es hacer un script de consola utilizando taskkill /F /Fi "IMAGENAME eq NOMBREEXE" y una vez muertos los prcesos involucrados se va al registro y borra lo necesario. Si se ponen necios, hay que iniicar en modo seguro y borrar del registro.

V3NOM dijo:

Bueno:
1. A que te referis con lo de que ya le di click en autoejecutar... explicame esto mejor a ver si efectivamente lo he hecho en mi maquina.

Haz clic para expandir...

cuando se conecta el dispositivo el sistema envia un mensaje con las opciones del dispositivo: abrir imagenes, reproducir videos etc..
y cada vez que un dispositivo tiene un autorun.inf el sistema lee el archivo y con base en ello muestra en pantalla un icono que inicia ese autorun, si se le da aceptar ese programa se carga dole en memoria y en adelante cualquier dispositivo conectado es usado para autocopiarse y difundirse... otras variantes se copian en las unidades no extraibles entonces la gente ve los exe a la vista y los ejecuta para ver que son, volviendo a lanzar el proceso del virus... ese ataque es fuerte sobre todo si se tiene unidades de red en una empresa ya que todo el mundo le da cliock a los exes que no conoce y con eso lo que hace es cargar el visrus en la memoria de su propio pc y seguirlo diseminando.

2. Con esa explicacion que diste de lo que haces para eliminar el virus, queda mas que claro que aun en vista, pa un usuario promedio, es mas que necesario tener un antivirus. Aunque el UAC si salva de unas que ni pa que digo xD

Haz clic para expandir...

si, siempre he dicho que lo deno usar antiovirus lo recomiendo para usuarios avanzados , no para usuarios comunes.

3. Como sabes que claves del registro ha creado el virus??

Gracias por responder

Haz clic para expandir...

ya por experiencia se las ubicaciones e registro que se utilizan para autoarrancar al inicio del sistema, bien sea en los Run o en los de msconfig. Otros casos mas complejos, ejecuto el process monitor ( el de los sysinternals) y le hago trace a los exes para detectar que actividades de I/O hacen sobre el registro.

V3NOM dijo:

Bueno, eso que comentas es precisamente lo que habia entendido cuando hiciste el comentario pero queria estar seguro para poderte decir que me ha pasado que los virus se copian a mi pc sin haber escogido alguna opcion del menu que el desplega; se copian apenas habiendo conectado el dispositivo. Toes... sigue el interrogante de este tipo de ataques, o que? :\

Haz clic para expandir...

Te puedo asegurar que tal cosas no pasa sino esta ya el malware ejecutándose en memoria, y para ello al menos una vez debiste haber ejecutado el exe o autorizado algunas de las opciones del autorun cuando conectaste el dispositivo.