Может ли вирус на флешке запуститься сам без автозапуска?

17

Кто-то сказал мне, что вирус может запускаться из флэш-памяти, даже если autorun.infего нет или эта функция отключена gpedit.msc. Он сказал, что вирус может запуститься сам, как только я подключу флэш-память. Это правильно?

отменить
источник
возможный дубликат вируса может выполняться сам по себе?
Ƭᴇcʜιᴇ007
2
@ techie007 Не совсем так. Этот вопрос специфичен для запуска с флешки, где другой вопрос носит более общий характер.
Том
@ techie007 Я нашел и прочитал этот вопрос, прежде чем задавать этот. но мой вопрос был о флешках, потому что я не установил проверку на вирусы и просто отключил функцию автозапуска.
отменено
Том вроде правильно. Этот вопрос задает вопрос об опасности вируса на (флеш-накопителе), который самопроизвольно запускается сам, а другой задается вопросом о конкретном существовании такого вируса. Они определенно связаны, но немного отличаются. Я не знаю, достаточно ли разницы, чтобы оправдать два отдельных вопроса.
Synetech
Я думаю, что это связано, но определенно не то же самое, Windows выполняет действия на флэш-карте памяти, когда она вставлена, что просто не происходит с жестким диском. Дополнительная формулировка вопроса относится конкретно к событиям, которые происходят, когда вставлена ​​флешка.
Тог

Ответы:

31

Короткий ответ

Нет, файл на диске не может быть запущен сам по себе. Как и все вирусы, он нуждается в некоторой инициализации. Файл магическим образом не инициируется ни по какой причине; что-то должно заставить его загружаться каким-то образом. (К сожалению, количество способов неоправданно велико и продолжает расти.)

обзор

То, как работает вирус, во многом зависит от типа файла, в котором находится вирус. Например, .exeфайлам обычно требуется что-то, чтобы фактически загрузить свой код (простого чтения их содержимого недостаточно). Картинки или аудиофайлы вообще не должны кодироваться, поэтому они не должны быть «запущены» в первую очередь.

технический

В наши дни часто происходит то, что вредоносные программы запускаются двумя способами:

  1. трояны
  2. бреши

Трояны: с помощью троянов вредоносный код вставляется в обычные файлы. Например, в игру или программу будет введен какой-то плохой код, так что, когда вы (преднамеренно) запустите программу, в нее проникнет плохой код (отсюда и название троян ). Это требует помещения кода в исполняемый файл. Опять же, это требует, чтобы программа хоста была как-то специально запущена.

Эксплойты: с помощью эксплойтов происходит то, что файл содержит неправильные / недействительные структуры, которые используют плохое программирование. Например, программа для просмотра графики, которая не проверяет файл изображения, может быть использована путем создания файла изображения с системным кодом таким образом, чтобы при чтении он перегружал буфер, созданный для изображения, и обманывал систему при передаче. контроль над кодом вируса, который был вставлен после буфера (переполнения буфера все еще довольно популярны). Этот метод не требует, чтобы файл с вредоносным кодом был специально запущен ; он использует плохое программирование и проверку ошибок, чтобы заставить систему «запустить» ее, просто открыв / прочитав файл.

заявка

Итак, как это относится к флэш-накопителю (или любому другому типу)? Если диск содержит трояны (исполняемые файлы), то, если в системе не включена функция автозапуска или есть запись автозапуска / запуска, указывающая на файл, то нет, он не должен запускаться самостоятельно. С другой стороны, если есть файлы, использующие уязвимости в операционной системе или другой программе, то простое чтение / просмотр файла может позволить запустить вредоносное ПО.

профилактика

Хороший способ проверить наличие векторов, по которым могут работать трояны, - это проверить различные типы мест автозапуска / запуска. Автозапуск - это простой способ проверить многие из них (это еще проще, если скрыть записи Windows, чтобы уменьшить беспорядок). Хороший способ уменьшить число уязвимостей, которые могут использовать эксплойты, - поддерживать операционную систему и программу в актуальном состоянии с последними версиями и исправлениями.

Synetech
источник
1
Вы нуждаетесь в другом \subsubsectionи паре других subsubsubsectionс, это далеко не достаточно. : P
user541686
Эксплойты также обычно работают (корректно) только с одним приложением для просмотра, а иногда даже только с одной версией. Например , если ошибка приводит к тому, что MS Word может использоваться определенным образом, OpenOffice, вероятно, останется неизменным (или будет затронуто совсем иным образом, если ошибка вызвана). Использование функциональных возможностей (исполняемый код в PDF-файлах, ActiveX на веб-страницах, просматриваемых с использованием MSIE и т. Д.) - это, конечно, другое чудовище.
CVn
В качестве примера использования вирусов эксплойтов следует упомянуть, как Stuxnet использовал ошибку в способе обработки .lnkфайлов (ярлыков) окнами . Так что просто просмотр каталога в проводнике Windows вызвал вирусную инфекцию.
Скотт Чемберлен
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version. К счастью, да, хотя ошибки могут некоторое время оставаться незамеченными / незафиксированными, и, таким образом, уязвимость может быть использована для многих версий. «Так что просто просмотр каталога в проводнике Windows вызвал заражение вирусом». Да, это именно та уязвимость, которая эксплуатирует, ну, в общем, эксплуатирует. Вам больше не нужно запускать файл для заражения, потому что простой доступ к нему (что делает даже просмотр списка каталогов) может заразить вас. ◔̯◔
Synetech
7

Это зависит от того, как написан вирус, и от того, какие уязвимости существуют в системе, к которой вы подключаете диск, но ответ потенциально - да.

Например, не так давно существовал унаследованный от уязвимости способ обработки .lnkфайлов в Windows, что означало, что наличие злонамеренно созданного файла на вашем диске может привести к внедрению вируса, встроенного в него. Эта уязвимость также была исправлена ​​довольно давно, поэтому ни одна современная система не должна подвергаться риску, но она показывает, что существуют потенциальные векторы атаки, которые «молчат» и могут произойти, как предполагает ваш друг, без вашего согласия или уведомления.

Постоянно работайте на антивирусах и подключайте устройства только от людей, которым вы доверяете.

Вы можете увидеть информацию об этом конкретном методе атаки на этой странице Microsoft .

Мокубай
источник
4

Нет.

Вирус не может запустить себя в любом случае. Что - то еще нужно, чтобы запустить его.

Итак, теперь вопрос: можно ли его запустить при подключении? Ответ «нет» в идеальном случае, но « возможно » в случае дефекта в проводнике (или каком-либо другом компоненте Windows). Однако такое поведение было бы ошибкой в ​​Windows, а не в дизайне.

user541686
источник
1
Ошибки в программном обеспечении очень часто используются в качестве векторов эксплойтов для самораспространяющихся вирусов. (Осмелюсь сказать, что ни один программист не намеренно вносит ошибки в производственное программное обеспечение.) Некоторые дыры в безопасности могут возникать из-за конструктивных особенностей, таких как длительные проблемы безопасности с ActiveX.
CVn
Так Stuxnet заражал компьютеры. Просто просмотрев значок зараженного файла, это вызвало уязвимость и запустило выполнение кода.
Bigbio2002
4

Да, вирус может распространяться, просто вставив USB-устройство (включая флэш-диск).

Это связано с тем, что на устройстве USB имеется код (называемый микропрограммой), который должен быть запущен для обнаружения устройства. Эта прошивка может выполнять такие действия, как имитация клавиатуры (и, следовательно, запуск программы), имитация сетевой карты и т. Д.

Посмотрите на "BadUSB" для получения дополнительной информации.

Дэн Сандберг
источник
2

Ну ... надеюсь, не сейчас. Всякий раз, когда информация в файле любого типа читается, существует также небольшая вероятность того, что программа, читающая его, имеет какой-либо дефект, который вирус пытается использовать в своих интересах, и либо запускается прямо, либо косвенно. Один более старый пример - это jpg-вирус, который воспользовался каким-то образом переполнением буфера в средстве просмотра изображений. Это постоянная задача для людей, которые производят антивирусное программное обеспечение, чтобы находить новые вирусы и предоставлять обновления. Так что, если у вас есть все текущие обновления антивируса и системные исправления, это, вероятно, не проблема сегодня, а теоретическая, может быть, завтра.

JDH
источник
2

В чистой системе я бы сказал, что вирус сам по себе не запускается. Но я думаю, что можно написать программу, которая может работать все время, просто ожидая вставки диска, затем найдите определенный файл и запустите его, если он доступен. Это довольно маловероятно, так как программа должна быть установлена ​​для запуска постоянно, но, похоже, она находится в пределах возможного, но не очень вероятного.

Марти Фрид
источник