Ktoś powiedział mi, że wirus może uruchomić się z pamięci Flash, nawet jeśli autorun.inf
nie jest obecny lub ta funkcja jest wyłączona gpedit.msc
. Powiedział, że wirus może uruchomić się, gdy tylko podłączę pamięć flash. Czy to jest poprawne?
Ktoś powiedział mi, że wirus może uruchomić się z pamięci Flash, nawet jeśli autorun.inf
nie jest obecny lub ta funkcja jest wyłączona gpedit.msc
. Powiedział, że wirus może uruchomić się, gdy tylko podłączę pamięć flash. Czy to jest poprawne?
Odpowiedzi:
Nie, plik na dysku nie może po prostu sam się uruchomić. Jak wszystkie wirusy, potrzebuje jakiejś inicjalizacji. Plik nie inicjuje się magicznie bez żadnego powodu; coś musi spowodować, że w jakiś sposób się załaduje . (Niestety liczba dróg jest zadziwiająco duża i wciąż rośnie).
Sposób działania wirusa zależy w dużej mierze od typu pliku, w którym znajduje się wirus. Na przykład .exe
pliki zwykle wymagają czegoś, aby faktycznie załadować kod (samo czytanie ich zawartości nie wystarczy). Pliki obrazów lub audio nie powinny być wcale kodem, więc nie powinny być „uruchomione”.
Obecnie często zdarza się, że istnieją dwie główne metody uruchamiania złośliwego oprogramowania:
Trojany: w przypadku trojanów kod złośliwego oprogramowania jest wstawiany do normalnych plików. Na przykład do gry lub programu zostanie wstrzyknięty zły kod, aby po (celowym) uruchomieniu programu zepsuł się kod (stąd nazwa trojan ). Wymaga to umieszczenia kodu w pliku wykonywalnym. Ponownie wymaga to szczególnego uruchomienia programu hosta.
Exploity: W przypadku exploitów plik zawiera niepoprawne / niepoprawne struktury wykorzystujące słabe programowanie. Na przykład program do przeglądania grafiki, który nie sprawdza pliku obrazu, może zostać wykorzystany przez spreparowanie pliku obrazu za pomocą kodu systemowego w taki sposób, że gdy zostanie odczytany, przeciąża bufor utworzony dla obrazu i powoduje, że system przechodzi kontrola kodu wirusa wstawionego poza bufor (przepełnienia bufora są nadal dość popularne). Ta metoda ma nie wymaga pliku z kodem złośliwym oprogramowaniem być specjalnie uruchomić ; wykorzystuje złe programowanie i sprawdzanie błędów, aby nakłonić system do „uruchomienia” go po prostu przez otwarcie / odczyt pliku.
Jak to się ma do dysku flash (lub innego rodzaju)? Jeśli dysk zawiera trojany (pliki wykonywalne), to o ile system nie ma włączonej funkcji Autoodtwarzanie lub jakiegoś wpisu automatycznego uruchamiania / uruchamiania wskazującego na plik, to nie, nie powinien uruchamiać się sam. Z drugiej strony, jeśli istnieją pliki wykorzystujące luki w zabezpieczeniach systemu operacyjnego lub innego programu, to po prostu czytanie / przeglądanie pliku może pozwolić na uruchomienie szkodliwego oprogramowania.
Dobrym sposobem sprawdzenia wektorów, za pomocą których trojany mogą być uruchamiane, jest sprawdzenie różnego rodzaju lokalizacji autorun / startup. Autoruns to łatwy sposób na sprawdzenie wielu z nich (nawet łatwiej jest ukryć wpisy Windows, aby zmniejszyć bałagan). Dobrym sposobem na ograniczenie liczby luk w zabezpieczeniach, które mogą wykorzystać exploity, jest utrzymanie aktualności systemu operacyjnego i programu przy użyciu najnowszych wersji i poprawek.
\subsubsection
i kilku innych subsubsubsection
, nie jest to wystarczająco blisko. : P
.lnk
plików (skrótów) w systemie Windows . Więc wyświetlenie katalogu w Eksploratorze Windows wywołało infekcję wirusową.
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version.
Na szczęście tak, chociaż błędy mogą przez jakiś czas pozostać niewykryte / usunięte, dlatego w przypadku wielu wersji można wykorzystać lukę. `Więc samo wyświetlenie katalogu w Eksploratorze Windows wywołało infekcję wirusową. Tak, to właśnie ten rodzaj luki wykorzystuje, no cóż, wykorzystuje. Nie musisz już uruchamiać pliku, aby zostać zainfekowanym, ponieważ po prostu dostęp do niego (co robi nawet przeglądanie katalogu) może potencjalnie Cię zainfekować. ◔̯◔
Zależy to od tego, w jaki sposób jest napisany wirus i jakie podatności istnieją w systemie, do którego podłączasz dysk, ale odpowiedź jest potencjalnie tak.
Na przykład nie tak dawno istniała odziedziczona luka w sposobie, w jaki system Windows obsługiwał .lnk
pliki, co oznaczało, że posiadanie złośliwie utworzonego pliku na dysku może uruchomić wirusa w nim osadzonego. Luka ta została również ustalona sporo czasu temu, więc nie aż do systemu data powinna być zagrożone, ale to nie dowodzi, że istnieją potencjalne wektory ataku, które są „ciche” i może się zdarzyć, jak twój przyjaciel sugeruje, bez zgody lub wiedzy.
Dbaj o to, aby Twój program antywirusowy działał i był aktualny oraz podłączaj urządzenia tylko od zaufanych osób.
Informacje na temat tej konkretnej metody ataku można znaleźć na tej stronie Microsoft .
Wirus nie może uruchomić się w każdym przypadku. Coś jeszcze musi go uruchomić.
Więc teraz pytanie brzmi: czy można go uruchomić po podłączeniu? Odpowiedź brzmi „nie” w idealnym przypadku, ale „ prawdopodobnie ” w przypadku defektu w Eksploratorze (lub innym komponencie Windows). Jednak takie zachowanie byłoby błędem w systemie Windows, a nie z założenia.
Tak, wirus może rozprzestrzeniać się po prostu przez włożenie urządzenia USB (w tym dysku flash).
Wynika to z faktu, że na urządzeniu USB znajduje się kod (nazywany oprogramowaniem sprzętowym), który musi zostać uruchomiony, aby urządzenie zostało wykryte. To oprogramowanie układowe może naśladować klawiaturę (a tym samym uruchamiać program), naśladować kartę sieciową itp.
Spójrz na „BadUSB”, aby uzyskać więcej informacji.
Cóż ... mam nadzieję, że obecnie nie. Za każdym razem, gdy odczytywane są informacje z dowolnego typu pliku, istnieje również zdalna szansa, że czytający go program ma pewną wadę, z której wirus próbuje skorzystać i działa bezpośrednio lub pośrednio. Jednym ze starszych przykładów był wirus jpg, który wykorzystał pewnego rodzaju przepełnienie bufora w przeglądarce zdjęć. Jest to stałe zadanie dla osób, które produkują oprogramowanie antywirusowe, w celu znalezienia nowych wirusów i zapewnienia aktualizacji. Więc jeśli masz wszystkie aktualne aktualizacje antywirusowe i łatki systemowe, to prawdopodobnie nie jest to dzisiaj problem, ale aortal może jutro.
W czystym systemie powiedziałbym, że wirus nie może sam się uruchomić. Myślę jednak, że można napisać program, który mógłby cały czas działać, tylko czekać na włożenie dysku, a następnie poszukać określonego pliku i uruchomić go, jeśli jest dostępny. Jest to raczej mało prawdopodobne, ponieważ program musiałby być zainstalowany, aby cały czas działał, ale wydaje się, że mieści się w zakresie możliwego, ale mało prawdopodobnego.