O AutoRun é uma funcionalidade do Windows que permite que um programa seja automaticamente executado quando uma mídia (CD-ROM, DVD, drive USB, ou mesmo um compartilhamento de rede) é lida ou conectada ao computador.

Este recurso existe desde o Windows 95, e funciona procurando um arquivo de nome Autorun.inf na nova mídia. Caso este arquivo seja encontrado, ele pode especificar uma aplicação para ser executada e vários outros parâmetros, como opções adicionais para o uso da mídia.

A intenção do AutoRun é facilitar a vida do usuário – por exemplo, ao inserir um DVD com um jogo ele automaticamente inicia, ou ao inserir o CD do Office o programa de instalação aparece sozinho. No entanto recentemente vários malwares (como o worm Conficker.B) utilizam o recurso de AutoRun para se propagar e infectar novos PCs. O Conficker.B por exemplo cria arquivos Autorun.inf e se copia para todos os drives USB removíveis conectados no PC, forçando que o worm seja executado automaticamente quando o dispositivo for conectado em um outro PC.

O Conficker.B ainda utiliza um truque engenharia social para aumentar a taxa de infecção, criando via AutoRun uma opção no menu de contexto chamada “Open folder to view files” que na verdade também executa o worm (ver figura abaixo).

image

A opção acima foi acrescentada pelo worm Conficker.B usando o Autorun.inf.

Para evitar uma contaminação por este canal você pode optar por desabilitar o AutoRun no seu sistema. Note que isto vai trazer maior segurança mas irá obrigar você a eventualmente ter que iniciar manualmente alguns instaladores e programas que antes seriam iniciados automaticamente (a instação automática de drivers não é afetada).

Atualizações Necessárias

Antes de começar, verifique se o seu PC possui as atualizações necessárias para poder desabilitar totalmente o AutoRun:

  • Para Windows Vista e Windows Server 2008, verifique se a atualização de segurança MS08-038 está instalada. Esta atualização é distribuída automaticamente via Windows Update.
  • Para Windows 2000, Windows XP e Windows Server 2003 verifique se a atualização 967715 está instalada. Esta atualização também está disponível via Windows Update.

Desabilitando o AutoRun

O AutoRun pode ser desabilitado através de Políticas de Grupo (Group Policies) caso você esteja em um ambiente empresarial com Active Directory, ou diretamente no seu registro de sistema para o caso de PCs domésticos.

Através do Registro

Use o utilitário regedit para alterar o seu registro de sistema e desligar totalmente o AutoRun.

1. Clique Iniciar, clique Executar, clique regedit e clique OK.

2. Localize e abra a seguinte chave de registro:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutorun

3. Clique com o botão direito sobre NoDriveTypeAutoRun, e selecione Modificar.

4. No campo Dados do Valor digite 0xFF e clique OK.

5. Feche o regedit e reinicie o computador.

Através do Políticas de Grupo

Se você está em um ambiente com Active Directory, você pode usar as Group Policies para desabilitar o AutoRun automaticamente em um grupo de PCs. Note que a política só entrará em vigor após o PC ser reinicializado.

1. Use o Group Policy Management Console para criar uma nova política ou editar uma já existente.

2. Em  Computer Configuration, expanda Administrative Templates, expanda Windows Components, e em seguida selecione Autoplay Policies.

3. No painel Details, abra com um duplo clique a opção Turn off Autoplay.

4. Selecione Enabled, e deplois selecione All drives na janela Turn off Autoplay para desabilitar o AutoRun em todos os drives.

5. Feche a janela de edição da política de grupo.