Autorun, taşınabilir disklerin bilgisayara takıldığında istenilen programı veya programları otomatik olarak çalıştırması için kullanılan bir uygulamadır. Autorun özelliği CD, DVD ve USB diskler gibi bütün taşınabilir disklerde bulunmaktadır. Autorun özelliği işlevinden dolayı çok ciddi güvenlik açıklıklarına sebep olmaktadır.
Trojan ve worm gibi zararlı yazılımlar bu özelliği kullanarak son kullanıcıya farkettirmeden çok hızlı bir şekilde yayılmaktadır. Autorun ile yayılma özelliğinin oldukça kolay olması ve son kullanıcının farkındalığını en aza indirmesi dolayısıyla, bu yöntemi kullanan zararlı yazılımların sayısında son yıllarda ciddi bir artış görülmektedir.
Bu konuda Bilgi Güvenliği sitemizde "USB Disklerde AutoRun ile Gelen Tehlike " adlı bir makale yayınlanmış ve bir çözüm önerisinden bahsedilmişti. Microsoft tarafından da önerilen bu çözüm önerisinin bazı Windows işletim sistemlerinde yetersiz olduğu belirlenmiştir. Bu makalede Autorun özelliğinin Microsoft Windows işletim sistemlerinde tam olarak nasıl kapatılacağına dair yöntemler anlatılmaktadır.
Öncelikle çok karıştırılan Autorun ve Autoplay arasındaki farka değinelim. Bu iki özellik isimleri itibariyle benzer işlevlere sahipmiş gibi görünse de aslında birbirlerinden farklıdır. Autorun özelliği, taşınabilir disklerin bilgisayara takıldığında istenilen programı veya programları otomatik olarak çalıştırması için kullanılır. Örneğin, USB disk takıldığında bir kurulum dosyasının otomatik olarak çalışması isteniyorsa Autorun özelliği kullanılır.
Autoplay özelliği ise, taşınabilir disk bilgisayara takıldığında bir ortam dosyasının nasıl çalıştırılacağına kullanıcının karar vermesini sağlar. Örneğin, taşınabilir diskte bir mp3 dosyası olsun. Autoplay özelliği sayesinde kullanıcı bu mp3 dosyasının winamp programıyla veya windows media player programıyla çalıştırılacağına karar verebilir.
Autorun özelliğinin çalışması için Autorun.inf dosyası kullanılmaktadır. Bu dosya ile Autorun özelliği kullanılarak taşınabilir disk takıldığında neler yapılacağı komutlarla belirlenmektedir. Örnek bir Autorun dosyası aşağıdaki gibidir
[autorun]
open = program.exe
Bu komutlar kullanılarak taşınabilir diskte bulunan program.exe dosyası otomatik olarak çalıştırılabilmektedir.
Autorun Özelliğinin Beraberinde Getirdiği Riskler
Autorun özelliği, taşınabilir disk içerisine kopyalanan zararlı yazılımların, taşınabilir diskin takıldığı bilgisayara, kullanıcıya farkettirmeden kurulmasına sebep olur. Zararlı yazılımın bulaştığı bilgisayara başka bir taşınabilir disk takılması durumunda zararlı yazılım kendini bu diske de kopyalamaktadır. Zararlı yazılımlar bu şekilde hızlı bir şekilde yayılmaktadır.
Zararlı yazılım sisteme sızdığında, internet üzerinden bir bilgisayara bağlanarak, bulaştığı bilgisayarın zombi haline gelmesini sağlayabilir. Kurulan zararlı yazılım bir keylogger olabilir ve kişisel bilgilerin çalınmasına sebep olabilir. Bunun gibi pek çok zararlı işlemi gerçekleştirebilir.
Autorun Özelliği Nasıl Kapatılır?
Windows işletim sistemlerinde Autorun özelliğini kapatmak için pek çok yol bulunmaktadır. Ancak bazı çözümler diğerlerine göre daha etkilidir. Þimdi Autorun özelliğini kapatma yollarına bir göz atalım:
SYS
oesNotExist Yöntemi ile Autorun.inf Dosyalarının Çalışmasının Engellenmesi
Autorun.inf dosyalarının çalışmasını engellemek için en kolay ve en etkili yöntemdir. Bu yöntemde, kütük anahtarı (registry key) yazılarak genel bir politika oluşturulur ve autorun.inf dosyalarının çalışması engellenir. Bu yöntemi uygulamak için aşağıdaki adımlar izlenir:
1. Notepad açılarak yeni bir dosya oluşturulur. Dosyanın içerisine aşağıdaki satırlar eklenir. Köşeli parantez arasındaki kısmın tek bir satırda olmasına dikkat edilmelidir.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYSoesNotExist"
2. Dosya NoAutoRun.reg ismiyle kaydedilir. Dosya uzantısının reg olmasına dikkat edilmelidir.
3. Oluşturulan NoAutoRun.reg dosyası üzerinde sağ tıklanır ve birleştir (merge) seçilir. Uyarı mesajları kabul edildiğinde kayıt kaydedilmiş olacaktır.
4. Bilgisayar yeniden başlatıldığında kütük kaydı etkin hale gelir ve autorun.inf dosyalarının çalışmamasını sağlar.
Bu yöntem bütün Windows işletim sistemlerinde çalışmaktadır.
Grup İlkesi Yöntemi
Grup İlkesi’nde yer alan Otomatik kullan’ı kapat özelliği etkin hale getirilerek Autorun özelliği devre dışı bırakılabilir. Bu yöntemi uygulamak için Windows 2000, Windows 2003 ve Windows XP’de aşağıdaki adımlar izlenmelidir:
1. Başlat menüsünden Çalıştır tıklanır.
2. Gpedit.msc yazılır ve Tamam tıklanır.
3. Bilgisayar Yapılandırması Yönetim Þablonları Sistem tıklanır.
4. Pencerenin sağ kısmında yer alan Otomatik kullan’ı kapat ayarı etkin hale getirilir ve All drives seçilir. OK tıklanarak ayar kaydedilir. (Windows 2000 işletim sisteminde Otomatik kullan’ı kapat ayarı yerine Otomatik kullan’ı devre dışı bırak ayarı yer almaktadır.)
Grup ilkesi ayarı Windows Vista işletim sisteminde ise şu şekilde yapılır:
1. Başlat düğmesine tıklanır. Aramaya Başla kutusuna Gpedit.msc yazılır ve ENTER tuşuna basılır.
2. Açılan pencerede Bilgisayar Yapılandırması Yönetim Þablonları Windows Bileşenleri Otomatik Kullan İlkeleri ayarına tıklanır.
3. Ayrıntılar bölümünde yer alan Otomatik Kullan’ı Kapat ayarına çift tıklanır.
4. Etkin seçeneği işaretlenir ve Tüm sürücüler seçeneği seçilir.
5. Bilgisayar yeniden başladığında yapılan ayar etkili olacaktır.
Bu adımlar aşağıda belirtilen kütük anahtarının değerini 0xFF olarak ayarlamaktadır:HK_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun.Windows XP Home Edition, Windows Vista Home Premium ve Windows Vista Home işletim sistemi sürümlerinde ilgili grup ilkesi ayarları bulunmamaktadır. Bu işletim sistemlerinde kütük anahtarları kullanılarak aynı işlem gerçekleştirilebilir:
1. Başlat menüsünde Çalıştır kısmına regedit yazılır ve ENTER tuşuna basılır.
2. HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services CDROM ayarlarına tıklanır.
3. Autorun’a çift tıklanır.
4. 1 değeri 0 olarak değiştirilir. Ayar kaydedilir.
5. HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorerayarlarına tıklanır.
6. NoDriveTypeAutoRun çift tıklanır. Açılan pencerede yer alan değer 0xFF olarak değiştirilir. Ayarlar kaydedilir ve bilgisayar yeniden başlatılır.
Yukarıda bahsedilen bu iki yöntemin, aşağıda belirtilen Windows işletim sistemlerinde etkin olarak çalışmadığı tespit edilmiştir.
• Microsoft Windows 2000
• Windows XP Service Pack 2
• Windows Server 2003 Service Pack 1
• Windows Server 2003 Service Pack 2
• Windows Vista
Bu yöntemlerin düzgün bir şekilde çalışması için aşağıda belirtilen güncelleştirmelerin yüklenmesi gerekir:
• Windows XP Güncelleştirmesi (KB950582)
Yükleme ayrıntıları: Windows XP Güncelleştirmesi (KB950582)
• Itanium tabanlı sistemler için Windows Server 2003 Güncelleştirmesi (KB950582)
Download details: Update for Windows Server 2003 for Itanium-based Systems (KB950582)
• Windows Server 2003 x64 Edition Güncelleştirmesi (KB950582)
Download details: Update for Windows Server 2003 x64 Edition (KB950582)
• Windows Server 2003 Güncelleştirmesi (KB950582)
Yükleme ayrıntıları: Windows Server 2003 Güncelleştirmesi (KB950582)
• Windows XP x64 Edition Güncelleştirmesi (KB950582)
Download details: Update for Windows XP x64 Edition (KB950582)
• Windows 2000 Güncelleştirmesi (KB950582)
Yükleme ayrıntıları: Windows 2000 Güvenlik Güncelleştirmesi (KB950582)
• Windows Vista Güncelleştirmesi (KB950582)
Microsoft Güvenlik Bülteni MS08-038 – Önemli: Windows Gezgini'ndeki Güvenlik Aç??? Uzaktan Kod Yürütülmesine ?zin Verebilir (950582)
Yukarıda belirtilen KB950582 güncelleştirmesi Windows XP SP3 ve Windows Vista SP1 sürümlerinde yüklü olarak gelmektedir. Bu sürümlerde KB950582 güncelleştirmesinin yüklenmesine gerek yoktur.
MountPoint2 Yöntemi
Taşınabilir disk bilgisayara ilk takıldığında, bilgisayar taşınabilir diskte autorun.inf dosyası olup olmadığını kontrol eder. Tespit ettiği değerleri MountPoint2 kütük anahtarına kaydeder. Bu anahtar bilgisayara takılmış bütün cihazlara ait bilgileri tutmaktadır.
MountPoint2 anahtarının erişim izinleri değştirilerek autorun.inf dosyasının çalışması engellenebilir. Bu durum bilgisayar taşınabilir diski daha önceden tanımış olsa da geçerlidir. MountPoint2 kütük anahtarına ait izinleri değiştirmek için şu adımlar uygulanır:
1. Başlat menüsünden Çalıştır tıklanır.
2. Regedit yazılarak kütük açılır.
3. Aşağıda belirtilen kütük anahtarı açılır.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
4. Mountpoints2 üzerine sağ tıklanır ve İzin (Permission) tıklanır.
5. Gelişmiş tıklanır. Açılan pencerede “inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here” yazan kısımda yer alan tik kaldırılır.
6. Uyarı penceresinde sırasıyla Kaldır, Evet ve Tamam tıklanır.
Bu yöntem autorun özelliğini engellemekle birlikte, işletim sistemi üzerinde başka etkileri olup olmadığı bilinmediğinden tavsiye edilmemektedir. Ancak bu ayar oldukça etkilidir. Bilgisayarı yeniden başlatmaya gerek yoktur. Ayar geri alındığında ise Autorun özelliği çalışmaya devam etmektedir. Yukarıda gösterilen ayarı geri almak için “inherit fromparent the permission entries that apply to child objects. Include these with entries explicitly defined here” yazan kısma yeniden tik konulmalı ve ayar kaydedilmelidir.
Trojan ve worm gibi zararlı yazılımlar bu özelliği kullanarak son kullanıcıya farkettirmeden çok hızlı bir şekilde yayılmaktadır. Autorun ile yayılma özelliğinin oldukça kolay olması ve son kullanıcının farkındalığını en aza indirmesi dolayısıyla, bu yöntemi kullanan zararlı yazılımların sayısında son yıllarda ciddi bir artış görülmektedir.
Bu konuda Bilgi Güvenliği sitemizde "USB Disklerde AutoRun ile Gelen Tehlike " adlı bir makale yayınlanmış ve bir çözüm önerisinden bahsedilmişti. Microsoft tarafından da önerilen bu çözüm önerisinin bazı Windows işletim sistemlerinde yetersiz olduğu belirlenmiştir. Bu makalede Autorun özelliğinin Microsoft Windows işletim sistemlerinde tam olarak nasıl kapatılacağına dair yöntemler anlatılmaktadır.
Öncelikle çok karıştırılan Autorun ve Autoplay arasındaki farka değinelim. Bu iki özellik isimleri itibariyle benzer işlevlere sahipmiş gibi görünse de aslında birbirlerinden farklıdır. Autorun özelliği, taşınabilir disklerin bilgisayara takıldığında istenilen programı veya programları otomatik olarak çalıştırması için kullanılır. Örneğin, USB disk takıldığında bir kurulum dosyasının otomatik olarak çalışması isteniyorsa Autorun özelliği kullanılır.
Autoplay özelliği ise, taşınabilir disk bilgisayara takıldığında bir ortam dosyasının nasıl çalıştırılacağına kullanıcının karar vermesini sağlar. Örneğin, taşınabilir diskte bir mp3 dosyası olsun. Autoplay özelliği sayesinde kullanıcı bu mp3 dosyasının winamp programıyla veya windows media player programıyla çalıştırılacağına karar verebilir.
Autorun özelliğinin çalışması için Autorun.inf dosyası kullanılmaktadır. Bu dosya ile Autorun özelliği kullanılarak taşınabilir disk takıldığında neler yapılacağı komutlarla belirlenmektedir. Örnek bir Autorun dosyası aşağıdaki gibidir
[autorun]
open = program.exe
Bu komutlar kullanılarak taşınabilir diskte bulunan program.exe dosyası otomatik olarak çalıştırılabilmektedir.
Autorun Özelliğinin Beraberinde Getirdiği Riskler
Autorun özelliği, taşınabilir disk içerisine kopyalanan zararlı yazılımların, taşınabilir diskin takıldığı bilgisayara, kullanıcıya farkettirmeden kurulmasına sebep olur. Zararlı yazılımın bulaştığı bilgisayara başka bir taşınabilir disk takılması durumunda zararlı yazılım kendini bu diske de kopyalamaktadır. Zararlı yazılımlar bu şekilde hızlı bir şekilde yayılmaktadır.
Zararlı yazılım sisteme sızdığında, internet üzerinden bir bilgisayara bağlanarak, bulaştığı bilgisayarın zombi haline gelmesini sağlayabilir. Kurulan zararlı yazılım bir keylogger olabilir ve kişisel bilgilerin çalınmasına sebep olabilir. Bunun gibi pek çok zararlı işlemi gerçekleştirebilir.
Autorun Özelliği Nasıl Kapatılır?
Windows işletim sistemlerinde Autorun özelliğini kapatmak için pek çok yol bulunmaktadır. Ancak bazı çözümler diğerlerine göre daha etkilidir. Þimdi Autorun özelliğini kapatma yollarına bir göz atalım:
SYS
oesNotExist Yöntemi ile Autorun.inf Dosyalarının Çalışmasının EngellenmesiAutorun.inf dosyalarının çalışmasını engellemek için en kolay ve en etkili yöntemdir. Bu yöntemde, kütük anahtarı (registry key) yazılarak genel bir politika oluşturulur ve autorun.inf dosyalarının çalışması engellenir. Bu yöntemi uygulamak için aşağıdaki adımlar izlenir:
1. Notepad açılarak yeni bir dosya oluşturulur. Dosyanın içerisine aşağıdaki satırlar eklenir. Köşeli parantez arasındaki kısmın tek bir satırda olmasına dikkat edilmelidir.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS
oesNotExist"2. Dosya NoAutoRun.reg ismiyle kaydedilir. Dosya uzantısının reg olmasına dikkat edilmelidir.
3. Oluşturulan NoAutoRun.reg dosyası üzerinde sağ tıklanır ve birleştir (merge) seçilir. Uyarı mesajları kabul edildiğinde kayıt kaydedilmiş olacaktır.
4. Bilgisayar yeniden başlatıldığında kütük kaydı etkin hale gelir ve autorun.inf dosyalarının çalışmamasını sağlar.
Bu yöntem bütün Windows işletim sistemlerinde çalışmaktadır.
Grup İlkesi Yöntemi
Grup İlkesi’nde yer alan Otomatik kullan’ı kapat özelliği etkin hale getirilerek Autorun özelliği devre dışı bırakılabilir. Bu yöntemi uygulamak için Windows 2000, Windows 2003 ve Windows XP’de aşağıdaki adımlar izlenmelidir:
1. Başlat menüsünden Çalıştır tıklanır.
2. Gpedit.msc yazılır ve Tamam tıklanır.
3. Bilgisayar Yapılandırması Yönetim Þablonları Sistem tıklanır.
4. Pencerenin sağ kısmında yer alan Otomatik kullan’ı kapat ayarı etkin hale getirilir ve All drives seçilir. OK tıklanarak ayar kaydedilir. (Windows 2000 işletim sisteminde Otomatik kullan’ı kapat ayarı yerine Otomatik kullan’ı devre dışı bırak ayarı yer almaktadır.)
Grup ilkesi ayarı Windows Vista işletim sisteminde ise şu şekilde yapılır:
1. Başlat düğmesine tıklanır. Aramaya Başla kutusuna Gpedit.msc yazılır ve ENTER tuşuna basılır.
2. Açılan pencerede Bilgisayar Yapılandırması Yönetim Þablonları Windows Bileşenleri Otomatik Kullan İlkeleri ayarına tıklanır.
3. Ayrıntılar bölümünde yer alan Otomatik Kullan’ı Kapat ayarına çift tıklanır.
4. Etkin seçeneği işaretlenir ve Tüm sürücüler seçeneği seçilir.
5. Bilgisayar yeniden başladığında yapılan ayar etkili olacaktır.
Bu adımlar aşağıda belirtilen kütük anahtarının değerini 0xFF olarak ayarlamaktadır:HK_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun.Windows XP Home Edition, Windows Vista Home Premium ve Windows Vista Home işletim sistemi sürümlerinde ilgili grup ilkesi ayarları bulunmamaktadır. Bu işletim sistemlerinde kütük anahtarları kullanılarak aynı işlem gerçekleştirilebilir:
1. Başlat menüsünde Çalıştır kısmına regedit yazılır ve ENTER tuşuna basılır.
2. HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services CDROM ayarlarına tıklanır.
3. Autorun’a çift tıklanır.
4. 1 değeri 0 olarak değiştirilir. Ayar kaydedilir.
5. HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorerayarlarına tıklanır.
6. NoDriveTypeAutoRun çift tıklanır. Açılan pencerede yer alan değer 0xFF olarak değiştirilir. Ayarlar kaydedilir ve bilgisayar yeniden başlatılır.
Yukarıda bahsedilen bu iki yöntemin, aşağıda belirtilen Windows işletim sistemlerinde etkin olarak çalışmadığı tespit edilmiştir.
• Microsoft Windows 2000
• Windows XP Service Pack 2
• Windows Server 2003 Service Pack 1
• Windows Server 2003 Service Pack 2
• Windows Vista
Bu yöntemlerin düzgün bir şekilde çalışması için aşağıda belirtilen güncelleştirmelerin yüklenmesi gerekir:
• Windows XP Güncelleştirmesi (KB950582)
Yükleme ayrıntıları: Windows XP Güncelleştirmesi (KB950582)
• Itanium tabanlı sistemler için Windows Server 2003 Güncelleştirmesi (KB950582)
Download details: Update for Windows Server 2003 for Itanium-based Systems (KB950582)
• Windows Server 2003 x64 Edition Güncelleştirmesi (KB950582)
Download details: Update for Windows Server 2003 x64 Edition (KB950582)
• Windows Server 2003 Güncelleştirmesi (KB950582)
Yükleme ayrıntıları: Windows Server 2003 Güncelleştirmesi (KB950582)
• Windows XP x64 Edition Güncelleştirmesi (KB950582)
Download details: Update for Windows XP x64 Edition (KB950582)
• Windows 2000 Güncelleştirmesi (KB950582)
Yükleme ayrıntıları: Windows 2000 Güvenlik Güncelleştirmesi (KB950582)
• Windows Vista Güncelleştirmesi (KB950582)
Microsoft Güvenlik Bülteni MS08-038 – Önemli: Windows Gezgini'ndeki Güvenlik Aç??? Uzaktan Kod Yürütülmesine ?zin Verebilir (950582)
Yukarıda belirtilen KB950582 güncelleştirmesi Windows XP SP3 ve Windows Vista SP1 sürümlerinde yüklü olarak gelmektedir. Bu sürümlerde KB950582 güncelleştirmesinin yüklenmesine gerek yoktur.
MountPoint2 Yöntemi
Taşınabilir disk bilgisayara ilk takıldığında, bilgisayar taşınabilir diskte autorun.inf dosyası olup olmadığını kontrol eder. Tespit ettiği değerleri MountPoint2 kütük anahtarına kaydeder. Bu anahtar bilgisayara takılmış bütün cihazlara ait bilgileri tutmaktadır.
MountPoint2 anahtarının erişim izinleri değştirilerek autorun.inf dosyasının çalışması engellenebilir. Bu durum bilgisayar taşınabilir diski daha önceden tanımış olsa da geçerlidir. MountPoint2 kütük anahtarına ait izinleri değiştirmek için şu adımlar uygulanır:
1. Başlat menüsünden Çalıştır tıklanır.
2. Regedit yazılarak kütük açılır.
3. Aşağıda belirtilen kütük anahtarı açılır.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
4. Mountpoints2 üzerine sağ tıklanır ve İzin (Permission) tıklanır.
5. Gelişmiş tıklanır. Açılan pencerede “inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here” yazan kısımda yer alan tik kaldırılır.
6. Uyarı penceresinde sırasıyla Kaldır, Evet ve Tamam tıklanır.
Bu yöntem autorun özelliğini engellemekle birlikte, işletim sistemi üzerinde başka etkileri olup olmadığı bilinmediğinden tavsiye edilmemektedir. Ancak bu ayar oldukça etkilidir. Bilgisayarı yeniden başlatmaya gerek yoktur. Ayar geri alındığında ise Autorun özelliği çalışmaya devam etmektedir. Yukarıda gösterilen ayarı geri almak için “inherit fromparent the permission entries that apply to child objects. Include these with entries explicitly defined here” yazan kısma yeniden tik konulmalı ve ayar kaydedilmelidir.
![[Resim: report.gif]](http://www.donanimmerkezi.com/images/buttons/report.gif)
butonuna basarak bizleri bilgilendirebilirsiniz.