AutoRun y la función complementaria AutoPlay son componentes del sistema operativo Microsoft Windows que dictan qué acciones realiza el sistema cuando se monta una unidad .
La ejecución automática se introdujo en Windows 95 para facilitar la instalación de aplicaciones a usuarios no técnicos y reducir el coste de las llamadas de asistencia técnica de software. Cuando se inserta un CD-ROM configurado adecuadamente en una unidad de CD-ROM, Windows detecta la llegada y comprueba el contenido en busca de un archivo especial que contiene un conjunto de instrucciones. En el caso de un CD que contiene software, estas instrucciones normalmente inician la instalación del software desde el CD-ROM al disco duro. Para maximizar la probabilidad de éxito de la instalación, la ejecución automática también actúa cuando se accede a la unidad (" doble clic ") en el Explorador de Windows (o "Mi PC").
Hasta la introducción de Windows XP , los términos AutoRun y AutoPlay se usaban indistintamente, los desarrolladores a menudo usaban el primer término y los usuarios finales el segundo. Esta tendencia se refleja en las configuraciones de la Política de Windows denominadas AutoPlay que cambian las entradas del Registro de Windows denominadas AutoRun, y en el autorun.inf
archivo que hace que se agregue "AutoPlay" a los menús contextuales de las unidades . La terminología tenía poca importancia hasta la llegada de Windows XP y su adición de una nueva característica para ayudar a los usuarios a seleccionar las acciones apropiadas cuando se detectaban nuevos medios y dispositivos. Esta nueva característica se llamó AutoPlay y se creó una diferenciación entre los dos términos. [1]
AutoRun, una característica del Explorador de Windows (en realidad de la dll shell32 ) introducida en Windows 95, permite que los medios y dispositivos inicien programas mediante el uso de comandos enumerados en un archivo llamado autorun.inf
, almacenado en el directorio raíz del medio.
Las aplicaciones que se utilizan principalmente en los CD-ROM de instalación suelen ser instaladores de aplicaciones. El archivo autorun.inf también puede especificar un icono que representará visualmente el dispositivo en el Explorador junto con otras funciones avanzadas. [1]
Los términos AutoRun y AutoPlay tienden a usarse indistintamente cuando se hace referencia a la acción iniciadora, la acción que detecta y comienza a leer desde los volúmenes descubiertos . AutoRun se posiciona como una capa entre AutoPlay y el servicio Shell Hardware Detection, lo que puede ayudar a comprender la terminología. Sin embargo, para evitar confusiones, este artículo utiliza el término AutoRun cuando se hace referencia a la acción iniciadora.
AutoPlay es una función introducida en Windows XP que examina los medios y dispositivos extraíbles y, en función del contenido, como imágenes, música o archivos de vídeo, lanza una aplicación adecuada para reproducir o mostrar el contenido. [1] Si está disponible, las configuraciones en un archivo autorun.inf pueden agregar opciones a las presentadas al usuario.
AutoPlay se basa en un conjunto de aplicaciones de control registradas en el sistema AutoPlay. Cada tipo de medio (imágenes, música, vídeo) puede tener un conjunto de controladores registrados que pueden ocuparse de reproducir o visualizar ese tipo de medio.
Cada dispositivo de hardware puede tener una acción predeterminada que se produce al descubrir un tipo de medio en particular, o el cuadro de diálogo de reproducción automática puede indicarle al usuario qué acción realizar.
La secuencia de ejecución automática comienza con el descubrimiento inicial de un nuevo dispositivo o un nuevo medio. A continuación, se notifica a las partes interesadas, de las cuales el shell del Explorador de Windows es de principal interés. Después de comprobar determinadas configuraciones del Registro para ver si la ejecución automática puede continuar, puede analizarse un archivo autorun.inf opcional y se toman las medidas necesarias.
La secuencia inicial se maneja de manera muy similar en cada versión de Windows a partir de Windows 95. Sin embargo, la forma en que se lee y se actúa sobre el archivo autorun.inf y el nivel de integración de AutoRun con AutoPlay ha cambiado significativamente desde el momento en que se introdujo AutoPlay en Windows XP hasta el manejo actual en Windows 7. En Windows 10 , Microsoft ha agregado la opción para habilitar la ejecución automática en su configuración. No solo los usuarios pueden activarla, sino que también pueden elegir dispositivos externos específicos para la reproducción automática.
Cuando un dispositivo con controladores compatibles con AutoRun recibe un nuevo medio, se produce un evento de "Notificación de cambio de medio". El sistema operativo Windows notifica a las aplicaciones interesadas que se ha producido un cambio de dispositivo. El método de notificación utilizado puede cambiar según el tipo de dispositivo.
Si el dispositivo modificado es un volumen (como un CD) o un puerto (como un puerto serial), Windows envía una WM_DEVICECHANGE
notificación a todas las ventanas de nivel superior. [2] [3] Windows llama a esto una notificación "básica". Una ventana de nivel superior es una que desciende del escritorio.
Sin embargo, si el dispositivo cambiado no es uno de estos tipos, una aplicación puede usar la función RegisterDeviceNotification
[4] para registrarse y recibir notificaciones del dispositivo.
Un artículo en el sitio web de CodeProject, "Detección de inserción y/o extracción de hardware", con aclaraciones de un blog de Doran Holan, es de particular interés técnico aquí.
Los dispositivos que no son de volumen son aquellos dispositivos que no aparecen como letras de unidad en "Mi PC". Estos no son controlados por ninguna parte de la ejecución automática; cualquier acción que se realice para estos dispositivos la realiza el software específico del dispositivo o la reproducción automática. Consulte Reproducción automática#Dispositivos que no son unidades .
Cuando Explorer recibe una notificación de un cambio de volumen , realiza una serie de acciones: [5] [6]
QueryCancelAutoPlay
mensaje a la ventana en primer plano. Una aplicación que haya registrado su interés en recibir este mensaje mediante RegisterWindowMessage
puede responder a este mensaje para detener la ejecución automática (y, por lo tanto, la reproducción automática) en este punto. También se puede notificar a cualquier aplicación, en primer plano o no, mediante la interfaz IQueryCancelAutoPlay
COM [7] disponible en Windows XP y versiones posteriores.open
o shellexecute
en la sección [autorun] de un autorun.inf .En las versiones de Windows anteriores a Windows XP, se leerá un archivo autorun.inf en cualquier tipo de unidad y se seguirán sus instrucciones. La tarea AutoRun, si se especifica, se ejecuta inmediatamente sin interacción del usuario. [9] Esto incluye los tipos de unidad DRIVE_REMOVABLE, DRIVE_FIXED y DRIVE_REMOTE.
AutoRun funcionará con unidades de red (tipo de unidad DRIVE_REMOTE) que estén asignadas a una letra de unidad. AutoRun también funcionará con unidades de disquete que cuenten con controladores compatibles con la ejecución automática. [6]
La configuración de Registro predeterminada en las versiones de Windows anteriores a Windows XP (consulte NoDriveTypeAutoRun) deshabilita el inicio de ejecución automática de las unidades remotas y extraíbles, y deja los tipos de unidades fijas y de CDROM activos de manera predeterminada.
Con la introducción de la reproducción automática en Windows XP, la acción de la etapa final (etapa 7 anterior) para algunos tipos de unidades cambió de ejecutar una aplicación a invocar la reproducción automática. A partir de Windows Vista, el sistema de reproducción automática está integrado en todos los aspectos del manejo de medios y no hay ejecución automática de la tarea de ejecución automática.
La configuración predeterminada del Registro agrega las unidades extraíbles a las que iniciaron la ejecución automática. En Windows XP y versiones posteriores, excepto Windows Server 2003, solo los tipos de unidad desconocidos y remotos no están activos para la ejecución automática.
El manejo del archivo autorun.inf cambia significativamente entre cada versión de Windows. Puede encontrar más detalles en el artículo autorun.inf . El manejo actual en Windows 7 es que sólo las unidades de tipo DRIVE_CDROM pueden especificar una tarea de ejecución automática, modificar el comportamiento del doble clic o cambiar los menús contextuales.
AutoRun consulta los valores del Registro de Windows para decidir si iniciar acciones para una unidad o tipo de unidad en particular. Estos valores se pueden cambiar mediante varios métodos, uno de los cuales es mediante la directiva de grupo .
Los nombres de las entradas del Registro relevantes principales son NoDriveTypeAutoRun
y NoDriveAutoRun
. Estos existen tanto en configuraciones por máquina como por usuario y su ubicación y prioridad en el Registro se describen con más detalle a continuación.
Los tipos de unidad se distinguen por el nombre del tipo de la siguiente manera: [10]
El Registro de Windows es una base de datos jerárquica que almacena las opciones y los parámetros de configuración del sistema operativo. La terminología es un tanto confusa, por lo que la resumiremos brevemente a continuación.
Una clave de registro es similar a una carpeta en la que, además de valores, cada clave puede contener subclaves que a su vez pueden contener subclaves, y así sucesivamente.
Un valor de Registro consta de un par de nombre-datos. La documentación de Microsoft suele utilizar el término "entrada" como término equivalente. También utiliza "valor" en lugar de "datos" cuando resulta obvio a qué se refiere. Para evitar confusiones, en este artículo siempre se utiliza el término "entrada" cuando se hace referencia al par de nombre-datos.
Dos claves de registro a las que se hace referencia con mucha frecuencia son HKEY_LOCAL_MACHINE
que contiene configuraciones por máquina y HKEY_CURRENT_USER
que contiene configuraciones para el usuario que ha iniciado sesión en ese momento. Casi siempre se abrevian como HKLM
y HKCU
respectivamente. Puede haber muchos usuarios de una máquina; sus configuraciones se almacenan en HKEY_USERS
, HKCU
en realidad es solo un enlace al lugar apropiado en HKEY_USERS
.
La configuración del Registro se puede cambiar directamente mediante la regedit
herramienta GUI o la utilidad de línea de comandos reg.exe
. La configuración también se puede colocar en un archivo de texto, [11] cuyo nombre tenga la extensión .reg. Por ejemplo, " mychanges.reg
". Cuando se hace doble clic en el archivo, la configuración del archivo se ingresa en el Registro, si los permisos lo permiten.
Se pueden cambiar indirectamente mediante la Política de grupo, aplicada localmente a una única computadora con GPEdit.msc
o a un dominio con gpmc.msc
.
Es posible que sea necesario cerrar la sesión o reiniciar la computadora para que los cambios en el Registro surtan efecto.
Las entradas NoDriveAutoRun
del NoDriveTypeAutoRun
Registro pueden existir en dos lugares: la configuración por usuario (en HKEY_CURRENT_USER) y la configuración por máquina (en HKEY_LOCAL_MACHINE). Si una entrada aparece en HKEY_LOCAL_MACHINE, se ignora por completo cualquier entrada correspondiente en HKEY_CURRENT_USER. Los valores de los datos no se fusionan de ninguna manera.
Al decidir si se activa la ejecución automática, se consultan las entradas de registro NoDriveAutoRun
y NoDriveTypeAutoRun
. Si alguno de los valores indica que se debe desactivar una unidad, se desactiva la ejecución automática para esa unidad.
Así en el siguiente ejemplo:
El valor de datos tomado NoDriveAutoRun
es 0x08, lo que deshabilita la unidad D, y el valor de datos tomado NoDriveTypeAutoRun
es 0x95, lo que deshabilita las unidades extraíbles y de red. La entrada por usuario NoDriveAutoRun
nunca se utiliza.
Esta entrada del Registro deshabilita o habilita la función de Ejecución automática en todas las unidades del tipo especificado. [12] Refleja la configuración de la Política de grupo de reproducción automática correspondiente. Los datos válidos van de 0x00 a 0xFF en notación hexadecimal . Si la entrada no está presente, el valor de datos predeterminado es 0x95 o 0x91, según la versión de Windows utilizada. Una entrada presente en HKLM anula cualquier entrada presente en HKCU.
Los datos de entrada son un valor en mapa de bits, donde un bit establecido en 1 desactiva la ejecución automática en un tipo de unidad en particular. Las configuraciones de bits para cada tipo de unidad se muestran a continuación:
Tenga en cuenta que el bit número 1 no se utiliza y que el tipo "Desconocido" se representa dos veces. Si se configuran todos los bits en 1, se obtendrá un valor hexadecimal de 0xFF, decimal 255 y se deshabilitará la ejecución automática en todos los tipos de unidades.
La configuración predeterminada para esta entrada depende de la versión de Windows que se utilice: [9] [13]
Esta entrada del Registro deshabilita o habilita la función de ejecución automática en unidades individuales. [14] No está asociada con una Política de grupo y no existe de manera predeterminada. El valor de los datos se toma como 0 si la entrada no está presente. Una entrada presente en HKLM anula cualquier entrada presente en HKCU.
Los datos son un valor de mapa de bits de 32 bits (DWORD), de los cuales los 26 bits inferiores se utilizan para representar cada una de las 26 letras de unidad de la A a la Z. Por lo tanto, el rango de datos válido es de 0x0 a 0x03FFFFFF. El bit menos significativo (el bit más a la derecha) representa la unidad A y el bit 26 desde la derecha representa la unidad Z.
Un bit establecido en 1 desactiva la ejecución automática en una unidad en particular. Por ejemplo, si el valor de los datos se establece en 0x8 (1000 binario), la ejecución automática se desactiva en la unidad D.
Las únicas configuraciones de directiva de grupo disponibles para la ejecución automática afectan las NoDriveTypeAutoRun
entradas del Registro. La política está disponible por máquina o por usuario y refleja la ubicación de la entrada del Registro en HKLM o HKCU. [12] [14] Como se describió anteriormente, una configuración de directiva por máquina hará que se ignore la configuración de directiva por usuario.
Cuando una política está habilitada , la política de grupo agregará la NoDriveTypeAutoRun
entrada al Registro. Si la política está deshabilitada o configurada como no configurada , la política de grupo elimina esta entrada del Registro para la política de máquina (en HKLM) y la vuelve a establecer en el valor predeterminado del sistema para la política de usuario (en HKCU). Los valores predeterminados del sistema pueden entonces tener efecto como se describe en la sección NoDriveTypeAutoRun.
Los nombres de las políticas, las ubicaciones y las posibles configuraciones varían ligeramente entre las distintas versiones de Windows. La lista de configuraciones es relativamente corta y siempre se agrega a la configuración predeterminada del sistema. Por lo tanto, en Windows 2000, al habilitar la política "Deshabilitar reproducción automática" y configurarla en "Unidades de CD-ROM", se deshabilita la ejecución automática (a diferencia de la reproducción automática) para las unidades de CD-ROM y DVD, las unidades extraíbles, las unidades de red y las unidades de tipo desconocido.
Esta configuración no se puede utilizar para habilitar la ejecución automática en unidades en las que está deshabilitada de forma predeterminada ni para deshabilitar la ejecución automática en unidades que no se encuentran en la lista. Para deshabilitar o habilitar unidades o tipos de unidades en particular, se debe editar el Registro manualmente.
La ubicación de la política por máquina es:
La ubicación de la política por usuario es:
La política pertinente es "Desactivar reproducción automática". En Windows 2000, la política se denomina "Deshabilitar reproducción automática".
Una vez que la política está habilitada, se puede configurar en "Todas las unidades" o "Unidades de CD-ROM". La última configuración agrega las unidades de CD-ROM a la lista existente de tipos de unidades deshabilitadas, como se describió anteriormente.
La ubicación de la política por máquina es: [15]
La ubicación de la política por usuario es:
La política relevante es "Desactivar reproducción automática" y se puede configurar para CD-ROM, DVD-ROM y unidades extraíbles o para todas las unidades.
Se agregaron dos políticas relacionadas en Vista y Server 2008: [16]
En estas versiones de Windows, la capacidad de un archivo autorun.inf para configurar una tarea de ejecución automática, modificar el comportamiento del doble clic o cambiar los menús contextuales está restringida a las unidades del tipo DRIVE_CDROM. No hay configuraciones de políticas que anulen este comportamiento. Las ubicaciones y configuraciones de las políticas son las mismas que para Windows Vista y Windows Server 2008, con la adición de: [16]
Si se mantiene presionada la tecla en un punto determinado de la secuencia de ejecución, Windows Vista invoca el cuadro de diálogo de Reproducción automática independientemente de cualquier configuración de Reproducción automática que indique lo contrario. [8] Las versiones anteriores de Windows no ejecutan la tarea de Ejecución automática. Es esencial que se utilice la tecla Shift izquierda para este propósito, ya que al mantener presionada la tecla Shift derecha durante ocho segundos se invocan las FilterKeys. [6]⇧ Shift
Dado que la tecla Shift debe mantenerse presionada hasta que Windows la verifique, puede pasar un tiempo considerable hasta que se haga efectiva. El tiempo que se tarda en reconocer el nuevo hardware y el tiempo que tardan los CD-ROM en girar. No es seguro confiar en este método.
Se pueden suprimir ciertos eventos de notificación de cambio de medio modificando determinadas entradas del Registro. "Notificación de cambio de medio" es el término genérico; para las unidades de CD-ROM, el término específico es "Notificación de inserción automática".
Para las unidades de CD-ROM, cambiar el valor de esta entrada del Registro a 0 deshabilitará la Notificación de inserción automática solo para las unidades de CD-ROM. [17] Será necesario reiniciar Windows.
En Windows 95/98/ME, esta configuración se puede cambiar en el Administrador de dispositivos, accesible desde el ícono Sistema en el Panel de control.
Aunque la entrada del Registro se llama "AutoRun", solo suprime el mensaje MCN. El mensaje MCN activa el inicio de AutoRun, pero también le indica al shell del Explorador que actualice sus vistas y contenidos.
Por lo tanto, como efecto secundario solamente, esto desactiva la ejecución automática para las unidades de CD-ROM. Sin embargo, Explorer ahora no actualizará su vista cuando se inserte un nuevo CD; mostrará el contenido del CD anterior hasta que se presione o se seleccione Ver/Actualizar en el menú de Explorer. Esto podría generar una gran confusión para los usuarios.F5
Por este motivo, el mensaje de Notificación de cambio de medio no se debe desactivar a menos que no haya absolutamente ninguna alternativa; la ejecución automática se puede desactivar para unidades individuales mediante la Política de grupo o el Registro.
Esta entrada se utiliza para suprimir el mensaje MCN de un tipo de unidad de CD-ROM que se enumera específicamente, [18] principalmente cambiadores de CD-ROM. Los datos son un conjunto de identificadores de dispositivos que coinciden con los identificadores que los propios dispositivos informan al sistema.
El valor predeterminado de esta entrada consta de productos identificados por las pruebas de Microsoft como incapaces de admitir la ejecución automática. Esta entrada no debe modificarse de su valor predeterminado.
La ejecución automática se puede suprimir en unidades y tipos de unidades concretos mediante los métodos descritos en la sección Política de grupo. Sin embargo, el Editor de políticas de grupo no está disponible en las versiones Home de Windows XP [19] y no ofrece ninguna función de selección de unidad detallada.
Sin embargo, la Política de grupo sería el método aceptado para deshabilitar la ejecución automática en todo un dominio de Windows.
Se puede crear un archivo de configuración de Registro que, cuando se ejecuta, realiza los cambios deseados en el Registro.
En el ejemplo anterior, la ejecución automática estaría deshabilitada para todas las unidades y para todos los usuarios. Este ejemplo se debería ejecutar como administrador y sería necesario reiniciar para que la configuración surta efecto por completo.
Windows Vista y versiones posteriores de Windows tienen una configuración de política, "Comportamiento predeterminado para la ejecución automática", que se puede configurar para no permitir la lectura de un archivo autorun.inf en cualquier volumen. Esto evita ciertos escenarios en los que el malware aprovecha la funcionalidad de autorun.inf para infectar una máquina. Las versiones anteriores de Windows no tienen esta configuración de política, pero el uso de la asignación de archivos de inicialización es una solución eficaz. [20] [21]
Como un archivo autorun.inf es un archivo INI estándar de Windows, Windows utiliza las llamadas API adecuadas para obtener su configuración. Estas llamadas API se pueden redirigir mediante el método de asignación de archivos INI. El siguiente archivo de Registro ilustra la solución alternativa, en la que todas las configuraciones de autorun.inf se toman únicamente de la HKEY_LOCAL_MACHINE\Software\DoesNotExist
clave de Registro:
Como esta clave no existe, es como si el archivo autorun.inf no contuviera información de configuración. Es importante tener en cuenta que esto se aplica a cualquier archivo autorun.inf en cualquier ubicación y en cualquier unidad.
Dado que la configuración de la política o esta solución alternativa deshabilitan la ejecución automática, la instalación de software desde un CD o DVD de instalación de ejecución automática obviamente ya no será automática. Será necesario ver el archivo autorun.inf del CD y luego ejecutar el programa de instalación apropiado manualmente.
Microsoft reconoció que "debido a que el código puede ejecutarse sin el conocimiento o consentimiento del usuario, es posible que los usuarios deseen desactivar esta función por cuestiones de seguridad" y lanzó una "solución" para desactivar la ejecución automática para los usuarios que no se sienten cómodos editando el registro. [13]
Desde Windows 2000 hasta Windows Server 2008, las entradas del Registro relevantes para la ejecución automática no se manejaban adecuadamente, lo que generaba una vulnerabilidad de seguridad. [22] Windows 95 y Windows 98 no se vieron afectados.
Cuando la ejecución automática está deshabilitada, Windows no debería continuar con la secuencia de activación más allá de la verificación del Registro. Sin embargo, analiza cualquier archivo autorun.inf que encuentre y realiza todo excepto la acción final de invocar la ejecución automática o ejecutar una aplicación.
Esto deja al usuario expuesto a ataques de malware que utiliza autorun.inf para alterar el comportamiento del doble clic y del menú contextual. Hacer doble clic en el icono de la unidad infectará la máquina. Hacer clic derecho y seleccionar las opciones "Explorar" o "Abrir" en el menú contextual no es una solución alternativa, ya que estos elementos del menú pueden ser cooptados por las entradas adecuadas de autorun.inf.
Este error se corrigió en una serie de actualizaciones de seguridad, detalladas en el artículo 967715 de Microsoft Knowledge Base . [13]
NoDriveTypeAutoRun
valor puede restablecerse a un valor predeterminado. [23] Esto se debe a que la configuración de la Política de grupo en el dominio entra en vigencia. No se trata de un error.está activado (Habilitado), entonces la ejecución automática puede no funcionar. [24]
Los instaladores de Windows también funcionarán mal porque se denegará el acceso del "Sistema local" al CD-ROM. [25]
Esta configuración de directiva de grupo refleja el valor de la entrada del Registro:
y debe establecerse en 0.La función de ejecución automática se ha utilizado como vector de malware durante algún tiempo. Antes de Windows Vista, la acción predeterminada con un tipo de unidad de CD-ROM era seguir las instrucciones del archivo autorun.inf sin avisos ni advertencias. Esto convierte a los CD-ROM maliciosos en un posible vector de infección.
En la misma categoría se encuentran los CD-ROM de contenido mixto. Un CD de audio, que un usuario no esperaría que contuviera ningún software, puede contener una sección de datos con un autorun.inf. Algunas empresas, como Sony BMG , han utilizado este vector para instalar malware que intenta proteger contra la copia de las pistas de audio.
Las unidades flash habilitadas para U3 , al emular una unidad de CD-ROM, también pueden hacer que Windows ejecute comandos desde el autorun.inf que se encuentra en el CD-ROM emulado.
Los dispositivos como el módem Huawei E220 HSDPA utilizan este método para instalar automáticamente los controladores del módem. Sin embargo, conectar una unidad flash de una fuente desconocida es una medida poco inteligente. USB Switchblade y otras herramientas similares han hecho que los ataques a unidades flash U3 sean triviales. Dada la facilidad de escribir ataques basados en scripts , el software antivirus puede resultar ineficaz para evitar el robo de datos y contraseñas.
Con una unidad flash estándar, se pueden emplear ataques de ingeniería social para incitar a un usuario a hacer clic en el elemento correspondiente en el cuadro de diálogo de reproducción automática. Una cadena de acciones atractivas que prometa juegos gratuitos o pornografía atraería a muchos usuarios a la trampa. En cualquier momento, al hacer doble clic en el icono de la unidad, se utilizará automáticamente el archivo autorun.inf, una trampa en la que podrían caer los usuarios más avanzados.
Cualquier usuario puede configurar la Reproducción automática para que tome varias decisiones por ellos; al marcar la casilla correspondiente en el cuadro de diálogo de Reproducción automática, la ejecución de malware en la unidad flash se vuelve silenciosa y automática.
El malware AutoRun se ha extendido para utilizar discos duros, [29] marcos de fotos y otros dispositivos digitales. [30] El cuidado al tratar con dispositivos externos es una prioridad de seguridad. La prevalencia de la infección de malware mediante AutoRun y unidades flash USB se documentó en un estudio de Microsoft de 2011 [31] que analizó datos de más de 600 millones de sistemas en todo el mundo en la primera mitad de 2011. El estudio encontró que el 26 por ciento de todas las infecciones de malware del sistema Windows se debieron a unidades flash USB que explotaban la función AutoRun en Microsoft Windows . Ese hallazgo estaba en línea con otras estadísticas, como el informe mensual del malware más comúnmente detectado por la empresa antivirus ESET, que enumera el abuso de autorun.inf como el primero entre las diez principales amenazas en 2011. [32]
Además de las precauciones básicas de seguridad, que incluyen [33]
La exposición a estos ataques se puede minimizar mediante el uso adecuado de la Política de grupo y la configuración del Registro. Las siguientes políticas de seguridad son un resumen de las que se describen en este artículo:
KB971029
. [34] En febrero de 2011, este parche se agregó al canal oficial de Windows Update . [35] El comportamiento de la tarea AutoRun de Windows 7 ahora se convierte en el predeterminado para todas las versiones actuales del sistema operativo Windows.Además, Microsoft ha recomendado las siguientes acciones, principalmente durante los ataques del gusano Conficker :
823732
[36]