Структура скрипта автозапуска «autorun.inf» позволяет использовать их для распространения вредоносного кода в силу следующих особенностей:

• все параметры позволяют указывать произвольный путь к локальным файлам (т.е. путь абсолютно не привязан к запускаемому диску) и использовать раскрытие переменных среды;
• скрипт автозапуска позволяет указывать любой путь, который можно запустить функцией Win32API ShelluteEx (например, указать в окне Пуск – Выполнить), в том числе и осуществить переход на произвольный URI-адрес в Internet;
• имеется возможность подменить пункт контекстного меню «Открыть» на значке съемного диска;
• большинство антивирусных продуктов неспособны применить поведенческий анализ к файлам такого рода, так как для собственно ОС они не являются исполняемыми; сигнатурный же анализ неэффективен при малейших изменениях в коде.

Этих недоработок достаточно для распространения вредоносного кода путем передачи его в параметры запуска как аргументы к некоему интерпретатору. Известно, что среди стандартно присутствующих в Windows (без вызова DOS-подсистемы, которая часто блокируется защитным ПО либо пользователем за ненадобностью) подходящим для такой цели является лишь командный интерпретатор сmd.exe.


Таким образом, возможности внедрения вирусного кода с помощью сценария автозапуска непосредственно зависят от возможностей командного процессора Windows, особенно важными из которых являются:

• командный интерпретатор Windows способен принимать ключ включения расширенной обработки команд, перекрывающий установленные в реестре параметры доступа к ней;
• в командной строке можно указывать конкатенацию команд;
• команды можно группировать, расставляя приоритет всех операций необходимым образом;
• существуют команды режима расширенной обработки, устанавливающие соответствия между расширениями, именованными типами файлов и запускаемыми программами;
• интерпретатор позволяет запускать программы или пакетные файлы без привязки к окну запускающего командного сценария.

Мы до сих пор еще не затронули возможность распространения червей с использованием таких съемных носителей, как СD и DVD накопители. Однако и это возможно при помощи встроенной в Windows XP и выше программы для записи CD. Эта возможность связана с тем, что временная папка, в которую помещаются файлы для записи, фиксирована.

1. Отключение автозапуска со съемных носителей. Не всегда приемлемо для обычного пользователя, поскольку заметно снижает удобство использования оболочки Windows.
2. Отключение пакетной обработки команд. Не является универсальным решением, т.к. существует возможность создания усовершенствованного вредоносного сценария, не использующего промежуточные пакетные файлы как таковые и располагающего основную нагрузку либо в своем теле с непосредственным запуском, либо в реестре в параметрах перехвата управления от оболочки.
3. Запрет пользовательского доступа к командному интерпретатору в целом. Достаточно эффективное решение в случае отсутствия необходимости использования командного интерпретатора на конечной системе, хотя и не подходит как массовое. Однако при использовании внешних файлов сценариев либо системных утилит вроде reg (недоступна в Windows XP Home Edition) или cacls все эти ограничения могут быть сняты непосредственно из autorun.inf без вызова командного процессора.
4. Отказ от использования встроенных средств переноса файлов на съемные носители. Часто, но не всегда приемлемо для конечного пользователя.
5. Настройка групповой политики для разрешения подключения съемных носителей с уникальными идентификаторами устройства, входящими в список разрешенных в рамках данной политики (только для Windows Vista и выше).


Из всех перечисленных выше методов наиболее простым и эффективным способом является отключение автозапуска внешних носителей. В Windows 2000, XP Professional, 2003, Vista, 2008 Server необходимо запустить оснастку для редактирования групповой политики gpedit.msc. После чего выбрать: «Конфигурация компьютера - Административные шаблоны - Система - Отключить автозапуск (выберите, где отключать)». Далее примените новую политику командой ‘gp’ в консоли.

В Windows XP Home оснастка управления групповыми политиками отсутствует, однако тот же эффект может быть достигнут ручной правкой реестра:

1. Пуск - Выполнить – ввод ‘regedit’ – OK.
2. Открыть HKLMSOFTWAREMicrоsoftWindowsCurrentVersionPolicies.
3. Создать новый раздел
4. Переименовать созданный раздел в Explorer
5. В этом разделе создать ключ NoDriveTypeAutoRun.

Допустимые значения ключа:

0x1 - отключить автозапуск на приводах неизвестных типов
0x4 - отключить автозапуск сьемных устройств
0x8 - отключить автозапуск НЕсьемных устройств
0x10 - отключить автозапуск сетевых дисков
0x20 - отключить автозапуск CD-приводов
0x40 - отключить автозапуск RAM-дисков
0x80 - отключить автозапуск на приводах неизвестных типов
0xFF - отключить автозапуск вообще всех дисков.


Значения могут комбинироваться суммированием их числовых значений. Еще одним (более удобным) вариантом отключения автозапуска является создание текстового файла с расширением «*.reg» со следующим содержимым и внесением в реестр информации, которая в нем содержится:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Cdrom]
«AutoRun»=dword:00000000 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Micrоsoft\\Windows\\CurrentVersion\\policies\\Explorer\\]
«NoDriveTypeAutoRun»=dword:000000b5
«NoDriveAutoRun»=dword:3fffffff
[HKEY_CURRENT_USER\\Software\\Micrоsoft\\Windows\\CurrentVersion\\Policies\\Explorer]
«NoDriveTypeAutoRun»=dword:000000b5
«NoDriveAutoRun»=dword:3fffffff
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoplayHandlers\\CancelAutoplay\\Files]
«*.*»=«»


Также необходимо учесть тот факт, что в случае, если съемное устройство уже подключалось к системе при включенном автозапуске, то его идентификатор был добавлен в ключ реестра:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerMountPoints2]
И при следующем автозапуске, несмотря на отключенный автозапуск, данное устройство будет запущено, как и прежде