Чи може вірус на флешці працювати сам без автозапуску?

17

Хтось сказав мені, що вірус може запускатись із Flash-пам’яті, навіть якщо autorun.infїї немає або цю функцію вимкнено за допомогою gpedit.msc. Він сказав, що вірус може запустити себе, як тільки я підключу флеш-пам'ять. Це правильно?

windows-7  security  autorun 
скасувати
джерело
можливий дублікат вірусу може виконати сам?
Ƭᴇcʜιᴇ007
2
@ techie007 Не зовсім. Це питання є специфічним щодо роботи з флешки, де інше питання є загальнішим.
Том
@ techie007 Я знайшов і прочитав це питання, перш ніж задати це питання. але моє запитання стосувалося флеш-накопичувачів, оскільки я не встановив пошук вірусів і просто відключив функцію автозапуску.
скасовано
Том якось правильний. Це питання задає питання про небезпеку вірусу на (флеш-диску), який спонтанно працює сам, а інший запитує про специфічне існування такого вірусу. Вони напевно споріднені, але трохи відрізняються. Я не знаю, чи достатня різниця для обгрунтування двох окремих питань.
Synetech
Я думаю, що це пов'язано, але, безумовно, не те саме, Windows виконує дії на флеш-пам’яті, коли вона вставлена, що просто не відбувається з жорстким диском. Додаткове формулювання питання стосується конкретно подій, які стаються при вставлянні флеш-пам'яті.
Тог

Відповіді:

31

Коротка відповідь

Ні, файл на диску не може просто запустити себе. Як і всі віруси, йому потрібна якась ініціалізація. Файл взагалі не магічно створюється без жодної причини; щось має змусити його певним чином завантажитися. (На жаль, кількість шляхів приголомшливо велика і продовжує зростати.)

Огляд

Те, як працює вірус, багато в чому залежить від типу файлу, в якому знаходиться вірус. Наприклад, для .exeфайлів зазвичай потрібно щось, щоб фактично завантажити свій код (просто читання їх вмісту недостатньо). Зображення або звукові файли не повинні бути кодом на всіх, тому вони повинні не бути «працюють» в першу чергу.

Технічні

Що часто трапляється в ці дні, це те, що існують два основні методи, якими працює зловмисне програмне забезпечення:

  1. Троянців
  2. Подвиги

Трояни: З троянами код зловмисного програмного забезпечення вставляється у звичайні файли. Наприклад, у гру або програму буде введено якийсь поганий код, щоб, коли ви (навмисно) запустили програму, поганий код прокрадеться (звідси і назва троян ). Це вимагає розміщення коду у виконаному файлі. Знову ж таки, це вимагає, щоб хост-програма була якось спеціально запущена.

Подвиги: з подвигами відбувається те, що файл містить неправильні / недійсні структури, які експлуатують неякісне програмування. Наприклад, програма для перегляду графічних зображень, яка не перевіряє файл зображення, може бути використана шляхом створення файлу зображення із системним кодом таким чином, що при його прочитанні він перевантажує створений для зображення буфер і наштовхує систему на проходження контроль над кодом вірусу, який був вставлений повз буфер (переповнення буфера як і раніше досить популярні). Цей метод не вимагає спеціального запуску файлу зі зловмисним кодом ; він використовує неправильне програмування та перевірку помилок, щоб навести систему на "запуск" просто відкривши / прочитавши файл.

Застосування

То як це стосується флеш (або будь-якого іншого типу) накопичувача? Якщо накопичувач містить трояни (виконувані файли), то, якщо в системі не включено функцію автовідтворення або введено якийсь запис автозапуску / запуску, що вказує на файл, ні, він не повинен працювати самостійно. З іншого боку, якщо в операційній системі чи іншій програмі є файли, які використовують вразливості, то просто читання / перегляд файлу може дати можливість ініціювати зловмисне програмне забезпечення.

Профілактика

Хороший спосіб перевірити наявність векторів, за допомогою яких можна запускати трояни, - це перевірити наявність різних типів автозапуску / запуску. Авторуни - це простий спосіб перевірити багато з них (це ще простіше, якщо ви заховати записи Windows, щоб зменшити безлад). Хороший спосіб зменшити кількість вразливостей, якими можна скористатися, - це підтримувати операційну систему та програму в курсі останніх версій та патчів.

Synetech
джерело
1
Вам потрібна ще одна \subsubsectionі пара інших subsubsubsectionс, це ніде недостатньо близько. : P
користувач541686
Експлойти також, як правило, працюють лише (належним чином) з однією програмою перегляду, а іноді навіть лише з однією версією. Наприклад , якщо помилка призводить до того, що MS Word певним чином може експлуатуватися, OpenOffice, ймовірно, не вплине (або вплине зовсім іншим чином, якщо помилка викликається). Використання функцій за задумом (виконуваний код у PDF-файлах, ActiveX на веб-сторінках, переглянуті за допомогою MSIE тощо), звичайно, є іншим звіром.
CVn
Одним із речей, на який можна попросити приклад використання експлуатованих вірусів, є те, як Stuxnet експлуатував помилку в тому, як Windows обробляв .lnk(ярлики) файли. Тож просто перегляд каталогу у Windows Explorer викликало вірусну інфекцію.
Скотт Чемберлен
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version. На щастя, так, хоча помилки можуть залишатися непоміченими / непоправленими на деякий час, і, таким чином, вразливість може бути використана для багатьох версій. "Отже, саме перегляд каталогу в Windows Explorer викликав вірусну інфекцію". Так, саме таку вразливість, яка експлуатується, ну і експлуатується. Вам більше не потрібно запускати файл, щоб заразитися більше, тому що просто доступ до нього (який навіть перегляд списку каталогів) може потенційно заразити вас. ◔̯◔
Synetech
7

Це залежить від того, як записаний вірус і які вразливості існують у системі, в яку ви підключите накопичувач, але відповідь потенційно - так.

Наприклад, не так давно з'явився у спадок уразливий спосіб, по якому Windows обробляла .lnkфайли, що означало, що тільки маючи на своєму диску зловмисно створений файл, можна виконати вбудований в нього вірус. Ця вразливість також була виправлена ​​досить давно, тому жодна сучасна система не повинна загрожувати, але вона показує, що є потенційні вектори атаки, які "мовчать" і можуть статися, як пропонує ваш друг, без вашої згоди чи усвідомлення.

Слідкуйте за тим, щоб антивірус працював та оновлювався та підключайте пристрої лише людей, яким ви довіряєте.

Інформацію про конкретний метод атаки ви можете побачити на цій сторінці Microsoft .

Мокубай
джерело
4

Ні.

Вірус не може запустити себе в будь-якому випадку. Щось ще потрібно запустити.

Отже, тепер питання: Чи можна його запускати під час підключення? Відповідь - "ні" в ідеальному випадку, але " можливо " у разі дефекту в Провіднику (або іншому компоненті Windows). Однак така поведінка була б помилкою в Windows, а не за дизайном.

користувач541686
джерело
1
Помилки в програмному забезпеченні дуже часто використовуються як експлуатуючі вектори шляхом саморозмноження вірусів. (Смію сказати, що жоден програміст навмисно не ставить помилки у виробничому програмному забезпеченні.) Деякі отвори в безпеці можуть випливати з функцій, які є дизайном, наприклад, тривалих проблем із безпекою в ActiveX.
CVn
Ось так Stuxnet заразив комп’ютери. Просто переглянувши піктограму зараженого файлу, це викликало вразливість і розпочало виконання коду.
Bigbio2002
4

Так, вірус може поширюватися, просто вставивши USB-пристрій (включаючи флешку).

Це відбувається тому, що на пристрої USB є код (званий прошивкою), який повинен працювати для виявлення пристрою. Ця прошивка може робити такі речі, як імітувати клавіатуру (і, таким чином, запускати програму), імітувати мережеву карту тощо.

Перегляньте "BadUSB" для отримання додаткової інформації.

Ден Сандберг
джерело
2

Ну ... сподіваюсь, зараз немає. Щоразу, коли інформація у файлі будь-якого типу читається, є також віддалений шанс, що програма, яка її читає, має певний дефект, яким намагається скористатися вірус, або запустити прямо чи опосередковано. Одним із старих прикладів був вірус jpg, який скористався деяким перевищенням буфера в засобі перегляду зображень. Це постійне завдання для людей, які виробляють антивірусне програмне забезпечення, знаходити нові віруси та надавати оновлення. Тож якщо у вас є всі поточні оновлення антивірусу та системні патчі, це, ймовірно, не проблема сьогодні, а аортальна, можливо, завтра.

jdh
джерело
2

У чистій системі я б сказав, що вірус не може запустити себе. Але я думаю, що можна було б написати програму, яка могла б працювати весь час, просто чекаючи, коли буде вставлений диск, потім шукати певний файл і запускати його, якщо він є. Це дуже малоймовірно, оскільки програму потрібно було б встановлювати для роботи весь час, але це, здається, знаходиться у царині можливого, але не дуже ймовірного.

Марті Фрід
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.