Czy wirus na dysku flash może działać sam bez automatycznego uruchamiania?

17

Ktoś powiedział mi, że wirus może uruchomić się z pamięci Flash, nawet jeśli autorun.infnie jest obecny lub ta funkcja jest wyłączona gpedit.msc. Powiedział, że wirus może uruchomić się, gdy tylko podłączę pamięć flash. Czy to jest poprawne?

windows-7  security  autorun 
nie zrobiony
źródło
ᴇcʜιᴇ007
2
@ techie007 Niezupełnie. To pytanie jest szczegółowe na temat uruchamiania z dysku flash, gdzie drugie pytanie jest bardziej ogólne.
Tom
@ techie007 Znalazłem i przeczytałem to pytanie, zanim zadałem to pytanie. ale moje pytanie dotyczyło dysków flash, ponieważ nie zainstalowałem skanowania antywirusowego i właśnie wyłączyłem funkcję autorun.
cofnięto
Tom ma trochę racji. To pytanie dotyczy niebezpieczeństwa wirusa na dysku (flash), który sam się uruchamia, podczas gdy drugie pyta o konkretne istnienie takiego wirusa. Są zdecydowanie powiązane, ale nieco inne. Nie wiem jednak, czy różnica jest wystarczająca, aby uzasadnić dwa oddzielne pytania.
Synetech
Myślę, że jest to powiązane, ale zdecydowanie nie to samo, system Windows wykonuje działania na karcie pamięci flash po włożeniu, które po prostu nie występują z dyskiem twardym. Dodatkowe sformułowanie pytania odnosi się w szczególności do zdarzeń, które mają miejsce po włożeniu karty pamięci flash.
Tog

Odpowiedzi:

31

Krótka odpowiedź

Nie, plik na dysku nie może po prostu sam się uruchomić. Jak wszystkie wirusy, potrzebuje jakiejś inicjalizacji. Plik nie inicjuje się magicznie bez żadnego powodu; coś musi spowodować, że w jakiś sposób się załaduje . (Niestety liczba dróg jest zadziwiająco duża i wciąż rośnie).

Przegląd

Sposób działania wirusa zależy w dużej mierze od typu pliku, w którym znajduje się wirus. Na przykład .exepliki zwykle wymagają czegoś, aby faktycznie załadować kod (samo czytanie ich zawartości nie wystarczy). Pliki obrazów lub audio nie powinny być wcale kodem, więc nie powinny być „uruchomione”.

Techniczny

Obecnie często zdarza się, że istnieją dwie główne metody uruchamiania złośliwego oprogramowania:

  1. Trojany
  2. Wykorzystuje

Trojany: w przypadku trojanów kod złośliwego oprogramowania jest wstawiany do normalnych plików. Na przykład do gry lub programu zostanie wstrzyknięty zły kod, aby po (celowym) uruchomieniu programu zepsuł się kod (stąd nazwa trojan ). Wymaga to umieszczenia kodu w pliku wykonywalnym. Ponownie wymaga to szczególnego uruchomienia programu hosta.

Exploity: W przypadku exploitów plik zawiera niepoprawne / niepoprawne struktury wykorzystujące słabe programowanie. Na przykład program do przeglądania grafiki, który nie sprawdza pliku obrazu, może zostać wykorzystany przez spreparowanie pliku obrazu za pomocą kodu systemowego w taki sposób, że gdy zostanie odczytany, przeciąża bufor utworzony dla obrazu i powoduje, że system przechodzi kontrola kodu wirusa wstawionego poza bufor (przepełnienia bufora są nadal dość popularne). Ta metoda ma nie wymaga pliku z kodem złośliwym oprogramowaniem być specjalnie uruchomić ; wykorzystuje złe programowanie i sprawdzanie błędów, aby nakłonić system do „uruchomienia” go po prostu przez otwarcie / odczyt pliku.

Podanie

Jak to się ma do dysku flash (lub innego rodzaju)? Jeśli dysk zawiera trojany (pliki wykonywalne), to o ile system nie ma włączonej funkcji Autoodtwarzanie lub jakiegoś wpisu automatycznego uruchamiania / uruchamiania wskazującego na plik, to nie, nie powinien uruchamiać się sam. Z drugiej strony, jeśli istnieją pliki wykorzystujące luki w zabezpieczeniach systemu operacyjnego lub innego programu, to po prostu czytanie / przeglądanie pliku może pozwolić na uruchomienie szkodliwego oprogramowania.

Zapobieganie

Dobrym sposobem sprawdzenia wektorów, za pomocą których trojany mogą być uruchamiane, jest sprawdzenie różnego rodzaju lokalizacji autorun / startup. Autoruns to łatwy sposób na sprawdzenie wielu z nich (nawet łatwiej jest ukryć wpisy Windows, aby zmniejszyć bałagan). Dobrym sposobem na ograniczenie liczby luk w zabezpieczeniach, które mogą wykorzystać exploity, jest utrzymanie aktualności systemu operacyjnego i programu przy użyciu najnowszych wersji i poprawek.

Synetech
źródło
1
Potrzebujesz kolejnej \subsubsectioni kilku innych subsubsubsection, nie jest to wystarczająco blisko. : P
user541686,
Wykorzystuje również ogólnie tylko (poprawnie) z pojedynczą aplikacją przeglądarki, a czasem nawet tylko z jedną wersją. Na przykład , jeśli błąd powoduje, że MS Word może być wykorzystany w określony sposób, OpenOffice prawdopodobnie pozostanie nienaruszony (lub zostanie zmieniony w inny sposób, jeśli błąd zostanie wyzwolony). Wykorzystywanie funkcji zgodnie z projektem (kod wykonywalny w plikach PDF, ActiveX na stronach przeglądanych za pomocą MSIE itp.) To oczywiście inna bestia.
CVn
Przykładem wirusów wykorzystujących luk w zabezpieczeniach jest to, w jaki sposób Stuxnet wykorzystał błąd w sposobie obsługi .lnkplików (skrótów) w systemie Windows . Więc wyświetlenie katalogu w Eksploratorze Windows wywołało infekcję wirusową.
Scott Chamberlain
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version. Na szczęście tak, chociaż błędy mogą przez jakiś czas pozostać niewykryte / usunięte, dlatego w przypadku wielu wersji można wykorzystać lukę. `Więc samo wyświetlenie katalogu w Eksploratorze Windows wywołało infekcję wirusową. Tak, to właśnie ten rodzaj luki wykorzystuje, no cóż, wykorzystuje. Nie musisz już uruchamiać pliku, aby zostać zainfekowanym, ponieważ po prostu dostęp do niego (co robi nawet przeglądanie katalogu) może potencjalnie Cię zainfekować. ◔̯◔
Synetech
7

Zależy to od tego, w jaki sposób jest napisany wirus i jakie podatności istnieją w systemie, do którego podłączasz dysk, ale odpowiedź jest potencjalnie tak.

Na przykład nie tak dawno istniała odziedziczona luka w sposobie, w jaki system Windows obsługiwał .lnkpliki, co oznaczało, że posiadanie złośliwie utworzonego pliku na dysku może uruchomić wirusa w nim osadzonego. Luka ta została również ustalona sporo czasu temu, więc nie aż do systemu data powinna być zagrożone, ale to nie dowodzi, że istnieją potencjalne wektory ataku, które są „ciche” i może się zdarzyć, jak twój przyjaciel sugeruje, bez zgody lub wiedzy.

Dbaj o to, aby Twój program antywirusowy działał i był aktualny oraz podłączaj urządzenia tylko od zaufanych osób.

Informacje na temat tej konkretnej metody ataku można znaleźć na tej stronie Microsoft .

Mokubai
źródło
4

Nie.

Wirus nie może uruchomić się w każdym przypadku. Coś jeszcze musi go uruchomić.

Więc teraz pytanie brzmi: czy można go uruchomić po podłączeniu? Odpowiedź brzmi „nie” w idealnym przypadku, ale „ prawdopodobnie ” w przypadku defektu w Eksploratorze (lub innym komponencie Windows). Jednak takie zachowanie byłoby błędem w systemie Windows, a nie z założenia.

użytkownik541686
źródło
1
Błędy w oprogramowaniu są bardzo często wykorzystywane jako wektory wykorzystujące do rozprzestrzeniania się wirusów. (Nie śmiem twierdzić, że żaden programista celowo nie wprowadza błędów w oprogramowaniu produkcyjnym). Niektóre luki w zabezpieczeniach mogą wynikać z funkcji, które są projektowane, takich jak długotrwałe problemy z zabezpieczeniami związane z ActiveX.
CVN
W ten sposób zainfekowane komputery Stuxnet. Przez samo wyświetlenie ikony zainfekowanego pliku uruchomiono lukę i rozpoczęto wykonywanie kodu.
Bigbio2002
4

Tak, wirus może rozprzestrzeniać się po prostu przez włożenie urządzenia USB (w tym dysku flash).

Wynika to z faktu, że na urządzeniu USB znajduje się kod (nazywany oprogramowaniem sprzętowym), który musi zostać uruchomiony, aby urządzenie zostało wykryte. To oprogramowanie układowe może naśladować klawiaturę (a tym samym uruchamiać program), naśladować kartę sieciową itp.

Spójrz na „BadUSB”, aby uzyskać więcej informacji.

Dan Sandberg
źródło
2

Cóż ... mam nadzieję, że obecnie nie. Za każdym razem, gdy odczytywane są informacje z dowolnego typu pliku, istnieje również zdalna szansa, że ​​czytający go program ma pewną wadę, z której wirus próbuje skorzystać i działa bezpośrednio lub pośrednio. Jednym ze starszych przykładów był wirus jpg, który wykorzystał pewnego rodzaju przepełnienie bufora w przeglądarce zdjęć. Jest to stałe zadanie dla osób, które produkują oprogramowanie antywirusowe, w celu znalezienia nowych wirusów i zapewnienia aktualizacji. Więc jeśli masz wszystkie aktualne aktualizacje antywirusowe i łatki systemowe, to prawdopodobnie nie jest to dzisiaj problem, ale aortal może jutro.

jdh
źródło
2

W czystym systemie powiedziałbym, że wirus nie może sam się uruchomić. Myślę jednak, że można napisać program, który mógłby cały czas działać, tylko czekać na włożenie dysku, a następnie poszukać określonego pliku i uruchomić go, jeśli jest dostępny. Jest to raczej mało prawdopodobne, ponieważ program musiałby być zainstalowany, aby cały czas działał, ale wydaje się, że mieści się w zakresie możliwego, ale mało prawdopodobnego.

Marty Fried
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.