AutoRun在Windows 7中的变更

我们的一些读者已经意识到，Conficker和其他恶意软件正在利用AutoRun功能作为传播机制。此外，在过去的几个月里，这种威胁显著增加，因为更多的恶意软件滥用此功能。关于这一特定威胁的更多信息已在最近的安全情报报告（查找Win32/AutoRun）和Microsoft恶意软件保护中心（MMPC）博客中强调。

背景

在深入具体变更之前，理解AutoRun和AutoPlay之间的区别非常重要：

• AutoRun是一种技术，用于在CD或其他媒体插入计算机时自动启动某些程序。AutoRun的主要目的是提供对用户在计算机上启动的硬件操作的软件响应。
• AutoPlay是Windows的一项功能，让用户选择在插入特定类型的媒体（如音乐CD或包含照片的DVD）时启动哪个程序。在AutoPlay期间，也会解析媒体中的Autorun.inf文件。此文件（如果可用）指定了将在AutoPlay菜单中显示的附加命令。许多公司使用此功能来帮助启动其安装程序。

变更

为了帮助防止恶意软件（如Conficker）使用AutoRun机制传播，Windows 7工程团队对产品进行了两项重要更改：

1. AutoPlay将不再支持非光学可移动媒体的AutoRun功能。换句话说，AutoPlay仍将适用于CD/DVD，但不再适用于USB驱动器。例如，如果受感染的USB驱动器插入机器，则AutoRun任务将不会显示。这将阻止SIR中强调的日益增长的社会工程威胁。下面的对话框突出了用户在此更改后将看到的差异。在更改之前，恶意软件利用AutoRun（红色框）来混淆用户。更改后，AutoRun将不再工作，因此AutoPlay选项是安全的。

   

   变更前 vs 变更后

2. 进行了对话框更改，以澄清正在执行的程序是从外部媒体运行的。

   

   变更前 vs 变更后

值得注意的是，一些智能USB闪存驱动器可以伪装成CD/DVD驱动器，而不是标准驱动器（例如，参见http://en.wikipedia.org/wiki/U3）。在这种特定场景中，操作系统将把USB驱动器视为CD/DVD，因为设备类型是在硬件级别确定的。

有关更多信息，请访问Windows 7博客。

此更改在Windows 7的RC版本中可用。我们计划在Windows Vista和Windows XP上提供此更改，以便我们的其他客户也能从这些更改中受益。

谢谢， Damian Hasse – MSRC工程博主

参考文献

• “AutoPlay和AutoRun之间有什么区别？” http://windowshelp.microsoft.com/Windows/en-us/help/a19ac945-1007-4638-9615-e2c3bfd92b751033.mspx
• “如何在Windows中禁用AutoRun功能” http://support.microsoft.com/kb/967715/
• “AutoPlay：常见问题” http://windowshelp.microsoft.com/Windows/en-US/Help/7e1fe788-0747-4e00-895b-c3461b1ddd971033.mspx
• “启用和禁用AutoRun” http://msdn.microsoft.com/en-us/library/cc144204.aspx

更新于4/28：将文本更改为“非光学可移动媒体”而不是“非可移动光学媒体”

帖子按“原样”提供，不提供任何保证，也不授予任何权利。