-->

quinta-feira, 7 de agosto de 2008

Como bloquear o Autorun para minimizar o risco de vírus

04/04/2009: O hack descrito aqui funciona muito bem, mas pode ter efeitos colaterais problemáticos, como é explicado aqui.

Para começar, você precisa ter em mente a diferença entre "Autorun" e "Menu Autoplay". Aquele menu que aparece quando o Windows detecta um pendrive é o "Menu Autoplay", que por sua vez pode executar o "Autorun" do pendrive. Um recurso não está diretamente ligado ao outro e você pode desligar um sem afetar o outro.

Também tenha em mente que para CD/DVD o Windows XP primeiro verifica se o disco tem Autorun e o executa. Se não tiver é que ele exibe o Menu Autoplay. Para as outras mídias (eu imagino que para todas que não sejam somente leitura) o XP, por segurança, exibe o Menu Autoplay inserindo o Autorun como o primeiro item. As instruções do Autorun em mídias que podem ser infectadas nunca são executadas cegamente.

Existem meios de desligar o Menu Autoplay, quando você está de saco cheio de ver aquele menu (eu mesmo quase sempre clico em Cancelar), mas não vou falar sobre isso, porque como eu disse antes isso não desabilita o Autorun, que ainda poderá ser executado de outras maneiras.

Também existem formas diversas de se desabilitar o Autorun, mas nenhuma é tão simples e eficiente quanto a explicada por Nick Brown em seu blog.

Crie com o notepad um arquivo .REG com o seguinte conteúdo (as linhas 2 e 3 devem aparecer como uma só):

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"


Salve e clique duas vezes para inserir o conteúdo no Registro. Isso desabilta de uma vez o Autorun para todos os usuários do PC (tudo em HKEY_LOCAL_MACHINE é global).

Nota: Se você clicar duas vezes e isso abrir o arquivo no Bloco de Notas em vez de inserir no Registro (e você não perceber no ato o motivo), você não deve ser um Power User ;)

Nick também explica detalhadamente como isso funciona. Em resumo, é usado um mecanismo que o Windows tem para substituir arquivos *.ini de aplicações antigas que seriam incompatíveis com o XP por instruções compatíveis armazenadas no Registro. Assim ele mapeou "autorun.inf" (arquivos *.inf são fundamentalmente arquivos *.ini) para uma chave do Registro chamada DoesNotExist, que realmente não existe. O XP ao encontrar um arquivo autorun.inf em qualquer mídia vai seguir o mapeamento e nada será executado.

O único problema: Todo autorun será desligado, incluindo o de mídia CD/DVD. Então o usuário terá que procurar o programa que precisa ser executado quando colocar o próximo CD com um jogo ou driver de hardware. Isso pode ser problemático em um PC doméstico, a não ser que você instrua o usuário a "ler" o arquivo autorun.inf para saber que programa precisa ser executado (para mim isso é fácil, porém existe todo tipo de usuário). Mas eu acho que se você explicar direitinho ao usuário o risco que ele corre de ser infectado ele será convencido de que abrir mão do Autorun é bom para ele, principalmente se ele tem que pagar a você para limpar seu PC toda vez que ele se infecta.

Num PC usado em empresa, eu acredito que nem é preciso pensar duas vezes. O Autorun pode trazer mais dores de cabeça do que conveniência em um ambiente corporativo.

04/04/09: Para desfazer, apague a chave 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf

Obrigado ao Rafa Librenz pela dica que me levou a pesquisar sobre isso.

4 comentários:

  1. show, a quantidade de pendrive com virus que encontro nao esta no gibi. agora falta um artigo para desabilitar o autoplayer

    ResponderExcluir
  2. olá, relativo ao seu artigo, melhorando o autorun, eu fiz o que vc explicou, o pendrive realmente não abre nada ao ser plugado, mas ao clicar no ícone do lado direito ele continua abrindo (tanto para o rundll quanto para o faz nada)... essa dica que vc deu serve só para CDs?

    ResponderExcluir
  3. Anônimo,

    O que está explicado neste post serve tanto para CD/DVD quanto pendrives, mesmo clicando no ícone do lado direito. Isso foi testado no XP SP2 e SP3.

    ResponderExcluir
  4. Cara, vlw a dica
    funciona 100%

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.