Virus Autorun là gì ?

By | 12/08/2010

Do cơ chế AutoRun của Windows khá “lùng nhùng” và virus thường lợi dụng điều đó để đánh lừa người dùng theo nhiều cách khác nhau nên muốn tránh những trường hợp “chết vì thiếu hiểu biết”, chúng ta nên tìm hiểu cụ thể những bí mật đằng sau hậu trường.

Virus autorun

AutoRun là cơ chế xuất hiện từ Windows 95, cho phép tự động chạy các ứng dụng mỗi khi một ổ đĩa được kết nối. Với người dùng, nó thường được gọi là AutoPlay. Trong các tài liệu, chúng ta thường thấy các thuật ngữ AutoRun và AutoPlay được dùng lẫn lộn (thiết lập AutoPlay trong Windows Policy làm thay đổi mục AutoRun trong Registry, tệp autorun.inf là tác nhân thêm “AutoPlay” vào trình đơn ngữ cảnh của ổ đĩa). Hai thuật ngữ này tiếp tục được dùng lẫn với nhau mà không có sự phân biệt nào cho đến khi có Windows XP và sự cải tiến cơ chế AutoPlay của Microsoft. Kể từ đó, để nâng cao tính bảo mật (hay cũng có thể chỉ đơn giản là phản ánh sự đa dạng của ứng dụng), người dùng được lựa chọn ứng dụng để gọi từ hộp thoại AutoPlay thay cho việc thiết bị tự quyết định. Các mục chọn của hộp thoại AutoPlay phụ thuộc vào loại tệp có trên ổ đĩa (ảnh, nhạc hay phim) và các thiết lập trong tệp Autorun.inf. Vì AutoPlay do người dùng điều khiển và “an toàn” hơn nên Windows đã kích hoạt nó một cách mặc định cho các ổ đĩa tháo lắp được.

Nếu mọi chuyện chỉ dừng lại ở đây thì đã không có gì phải lo lắng nhiều vì Microsoft đã cung cấp cho chúng ta hai thiết lập NoDriveAutoRun và NoDriveTypeAutoRun để vô hiệu tính năng AutoRun (cũng như AutoPlay). Nhưng không, người dùng tiếp tục bị thử thách. Microsoft tự động đặt lại giá trị mặc định của NoDriveTypeAutoRun trên các máy tính chạy Windows Server 2003, Windows XP hay Windows 2000 sau khi chúng gia nhập Active Directory domain (http://support.microsoft.com/kb/895108). Chưa hết, thay vì ngưng mọi hoạt động AutoPlay nếu giá trị NoDriveTypeAutoRun cấm điều đó thì Windows lại âm thầm phân tích tệp Autorun.inf và thực hiện tất cả những gì đọc được trừ thao tác cuối cùng là gọi hộp thoại AutoPlay hay thực thi chương trình ứng dụng (Microsoft đã phải cung cấp bản vá từ tháng 8/2008). Chính vì sự không nhất quán này, những người dùng chưa cập nhật bản vá cần thiết mà đã chỉnh sửa registry để tắt tính năng AutoRun đã tự “nộp mình cho virus xơi”. Trong 4 kiểu lây lan của virus :

1 – Lây ngay lập tức.
2 – Lây qua hộp thoại Autoplay (dễ bị phát hiện)
3 – Lây khi người dùng nhấn đúp vào ổ đĩa
4 – Lây khi người dùng chọn trình đơn ngữ cảnh của ổ đĩa)

Việc tắt tính năng AutoRun nửa vời chỉ chặn hai cách lộ liễu nhất. Khi đó, virus không cần phải tự động thi hành khi thiết bị nhớ USB được cắm vào máy hay thêm một mục đánh lừa vào hộp thoại AutoPlay, chúng chỉ cần báo cho Windows các hoạt động cần thực hiện khi người dùng mở ổ đĩa (nhấn đúp hay chọn Open từ trình đơn ngữ cảnh) rồi ung dung “nằm đợi”. Những lời khuyên không nhấn đúp vào biểu tượng ổ đĩa trong Windows Explorer trở nên thừa thãi vì dù bạn có nhấn chuột phải và chọn Open từ trình đơn ngữ cảnh thì cũng vẫn dính virus (trừ một vài loại “nhân đạo”). Hậu quả tệ hại nhất của việc tắt tính năng AutoRun “giả” là người dùng bị nhiễm virus mà vẫn tin rằng mình thông minh, miễn nhiễm với chúng.

5 thoughts on “Virus Autorun là gì ?

  1. duy

    em kíên thức chưa đủ xin anh chỉ dại thim , em đả lỡ tay tắt mất chức năng autorun bây h mình phải làm sao anh liên hệ wa yahoo giúp em nhé

    Reply
  2. Trong

    Haha nhiều người ngố phải biết ! Các virus thông mình đều vẫn dữ lại hai chứ Open và Explorer nhưng vào cái nào vẫn nhiễm ! Định tỏ ra ta đây thông minh hả ! Cài phần mềm diệt virus đi! hihj

    Reply
    1. thuan

      người ta không biết thì ng ta mới hỏi ý kiến chứ ai tỏ ra thông minh!nói ngu vl mà cũng dám nói!

      Reply
  3. Hồng Hải vinh

    Minh de y roj.ban nén taj ljeu dang wjnra thj hjnh như auturun no jt ăn hon.n0 da so an thư mục,mjnh vua thu do.tjn mjnh dj

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *