In occasione dell’ultimo “patch day” di febbraio, Microsoft ha deciso di rilasciare un aggiornamento destinato ai possessori di sistemi Windows XP e Windows Vista che, di fatto, disattiva completamente la funzionalità “autorun” nel caso in cui l’utente colleghi unità rimovibili di tipo USB.
Famosi worm come Conficker, che si è ampiamente diffuso all’inizio del 2009, ed il più recente Stuxnet – studiato, secondo molti ricercatori, per sabotare i programmi di sviluppo nucleare promossi dall’Iran (ved., a tal proposito, questi nostri articoli), hanno utilizzato proprio l'”autorun” per diffondersi.
Secondo gli esperti, l’infezione da Stuxnet – in Iran – sarebbe iniziata proprio da una comune chiavetta USB per poi diffondersi attraverso la rete locale e bersagliare le macchine responsabili della gestione delle centrifughe utilizzate per arricchimento controllato dell’uranio.
Senza andare a scomodare un worm, come Stuxnet, concepito, evidentemente, per bloccare specifici processi industriali, il malware continua ad utilizzare la funzionalità “autorun” di Windows per compromettere i personal computer. Basti pensare che quattro delle dieci famiglie di malware che hanno impazzato nell’ultimo trimestre 2010 fanno leva sull'”autorun” per diffondersi. Tali famiglie di malware sono responsabili del 41% di tutte le infezioni andate in porto nel corso dell’ultimo periodo dell’anno appena conclusosi. Lo scorso agosto, Panda aveva dichiarato come il 25% di tutti i worm fosse stato concepito per propagarsi attraverso unità rimovibili.
Microsoft aveva già modificato il comportamento di Windows 7 in modo da bloccare l’esecuzione automatica di file una volta inserita un’unità USB. Il medesimo meccanismo era stato portato sui sistemi Windows XP e Windows Vista già nel mese di agosto 2009. Gli utenti di XP e di Vista, tuttavia, dovevano scaricare l’aggiornamento, manualmente, dal sito web di Microsoft. L’update viene ora proposto, come download opzionale, attraverso i tradizionali canali: Windows Update, nel caso degli utenti consumer e Windows Server Update Services (WSUS) per quelli business.
Jerry Bryant, portavoce del colosso di Redmond, ha giustificato il ritardo nel rilascio pubblico dell’aggiornamento (il cui identificativo è KB971029), su Windows Update, con l’intento di voler dare il tempo, agli sviluppatori, di rivedere eventualmente il funzionamento dei loro programmi. Molti hanno infatti deciso di abbracciare le specifiche U3, definite da SanDisk, ricorrendo alle quali è possibile eseguire automaticamente del software da un’unità di tipo rimovibile.