Un virus su un'unità flash può funzionare da solo senza autorun?

17

Qualcuno mi ha detto che è possibile che un virus si esegua da memorie Flash anche se autorun.infnon è presente o questa funzione è disabilitata usando gpedit.msc. Ha detto che un virus può funzionare da solo non appena inserisco una memoria flash. È corretto?

windows-7  security  autorun 
disfatto
fonte
Ƭᴇcʜιᴇ007,
2
@ techie007 Non esattamente. Questa domanda è specifica su come essere eseguito da un'unità flash in cui l'altra domanda è più generale.
Tom,
@ techie007 Ho trovato e letto quella domanda prima di porre questa domanda. ma la mia domanda riguardava le unità flash perché non ho installato la scansione antivirus e ho disabilitato la funzione di esecuzione automatica.
annullato il
Tom ha ragione. Questa domanda si pone in merito al pericolo di un virus su un'unità (flash) che si esegue spontaneamente mentre l'altro si chiede dell'esistenza specifica di tale virus. Sono sicuramente correlati, ma leggermente diversi. Non so se la differenza sia sufficiente per giustificare due domande separate.
Synetech,
Penso che sia correlato ma sicuramente non è lo stesso, Windows esegue azioni su una memory stick flash quando viene inserito che semplicemente non accade con un HDD. La formulazione aggiuntiva della domanda si riferisce specificamente agli eventi che si verificano quando viene inserita una memory stick flash.
Tog

Risposte:

31

Risposta breve

No, un file su un'unità non può semplicemente eseguirsi da solo. Come tutti i virus, ha bisogno di una sorta di inizializzazione. Un file non si avvia magicamente per nessun motivo; qualcosa deve causarne il caricamento in qualche modo. (Purtroppo il numero di modi è sconcertante e continua a crescere.)

Panoramica

La modalità di esecuzione di un virus dipende in gran parte dal tipo di file in cui si trova il virus. Ad esempio, i .exefile in genere richiedono qualcosa per caricare effettivamente il loro codice (semplicemente leggere il loro contenuto non è sufficiente). I file di immagini o audio non dovrebbero essere affatto codice, quindi non dovrebbero essere "in esecuzione" in primo luogo.

Tecnico

Quello che succede spesso in questi giorni è che ci sono due metodi principali che il malware esegue:

  1. Trojan
  2. gesta

Trojan: con i trojan, il codice malware viene inserito in file normali. Ad esempio, in un gioco o in un programma verrà iniettato del codice errato in modo tale che quando si esegue (volutamente) il programma, il codice errato si insinua (da qui il nome trojan ). Ciò richiede l'inserimento del codice in un eseguibile. Ancora una volta, ciò richiede che il programma host sia eseguito in qualche modo in modo specifico.

Exploit: con gli exploit, ciò che accade è che un file contiene strutture errate / non valide che sfruttano una programmazione scadente. Ad esempio, un programma di visualizzazione grafica che non controlla il file di immagine può essere sfruttato creando un file di immagine con codice di sistema in modo tale che quando viene letto, sovraccarica il buffer creato per l'immagine e induce il sistema a passare controllo del codice virus che è stato inserito oltre il buffer (gli overflow del buffer sono ancora abbastanza diffusi). Questo metodo non richiede l' esecuzione specifica di un file con codice malware ; sfrutta la cattiva programmazione e il controllo degli errori per indurre il sistema a "eseguirlo" semplicemente aprendo / leggendo il file.

Applicazione

Quindi, come si applica a un'unità flash (o qualsiasi altro tipo di) unità? Se l'unità contiene trojan (file eseguibili), a meno che il sistema non abbia AutoPlay abilitato o abbia una sorta di voce di avvio / avvio che punta al file, allora no, non dovrebbe funzionare da solo. D'altra parte, se ci sono file che sfruttano le vulnerabilità nel sistema operativo o in altri programmi, la semplice lettura / visualizzazione del file potrebbe consentire l'avvio del malware.

Prevenzione

Un buon modo per verificare la presenza di vettori con cui i trojan possono essere eseguiti è verificare la presenza di diversi tipi di posizioni di avvio automatico / avvio. Autoruns è un modo semplice per controllarne molti (è ancora più semplice se si nascondono le voci di Windows per ridurre il disordine). Un buon modo per ridurre il numero di vulnerabilità che gli exploit possono utilizzare è mantenere il sistema operativo e il programma aggiornati con le ultime versioni e patch.

Synetech
fonte
1
Hai bisogno di un altro \subsubsectione un paio di altri subsubsubsection, questo non è abbastanza vicino. : P
Mehrdad,
Gli exploit funzionano generalmente (correttamente) solo con una singola applicazione di visualizzazione e talvolta anche solo con una singola versione. Ad esempio , se un bug fa sì che MS Word sia sfruttabile in un certo modo, è probabile che OpenOffice rimanga inalterato (o venga influenzato in un modo molto diverso se il bug viene attivato). Sfruttare le caratteristiche in base alla progettazione (codice eseguibile in PDF, ActiveX su pagine Web visualizzate utilizzando MSIE, ecc.) È ovviamente una bestia diversa.
un CVn del
Una cosa a cui fare riferimento per un esempio di virus exploit è il modo in cui Stuxnet ha sfruttato un bug nel modo in cui Windows gestiva i .lnkfile (collegamento). Quindi, solo la visualizzazione della directory in Windows Explorer ha innescato l'infezione da virus.
Scott Chamberlain,
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version. Per fortuna sì, anche se i bug possono rimanere inosservati / non risolti per un po 'e quindi una vulnerabilità può essere sfruttata per molte versioni. `Quindi la sola visualizzazione della directory in Windows Explorer ha innescato l'infezione da virus. Sì, questo è esattamente il tipo di vulnerabilità che sfrutta, beh, sfrutta. Non è più necessario eseguire effettivamente un file per essere infettati perché accedervi (cosa che fa anche visualizzare un elenco di directory) può potenzialmente infettarti. ◔̯◔
Synetech,
7

Ciò dipende da come viene scritto il virus e da quali vulnerabilità esistono nel sistema in cui si collega l'unità, ma la risposta è potenzialmente sì.

Ad esempio, non molto tempo fa c'era la vulnerabilità ereditata dal modo in cui Windows gestiva i .lnkfile, il che significava che avere un file creato in modo pericoloso sull'unità poteva eseguire il virus incorporato al suo interno. Questa vulnerabilità è stata anche risolta un po 'di tempo fa, quindi nessun sistema aggiornato dovrebbe essere a rischio, ma mostra che ci sono potenziali vettori di attacco che sono "silenziosi" e possono accadere, come suggerisce il tuo amico, senza il tuo consenso o consapevolezza.

Mantieni il tuo antivirale attivo e aggiornato e collega i dispositivi solo da persone di cui ti fidi.

Puoi vedere informazioni su questo particolare metodo di attacco in questa pagina di Microsoft .

Mokubai
fonte
4

No.

Il virus non può essere eseguito per sé in qualsiasi caso. Qualcosa altro ha bisogno per eseguirlo.

Quindi ora la domanda è: può essere eseguito quando è collegato? La risposta è "no" nel caso ideale, ma " probabilmente " nel caso di un difetto in Explorer (o in qualche altro componente di Windows). Tuttavia, un tale comportamento sarebbe un bug in Windows, non in base alla progettazione.

Mehrdad
fonte
1
I bug nel software sono molto spesso usati come vettori di exploit da virus auto-propaganti. (Oserei dire che nessun programmatore inserisce deliberatamente bug nel software di produzione.) Alcune falle di sicurezza possono derivare da funzionalità progettate, come i problemi di sicurezza di lunga durata con ActiveX.
un CVn del
Ecco come i computer infettati da Stuxnet. Semplicemente visualizzando l'icona del file infetto, ciò ha innescato una vulnerabilità e avviato l'esecuzione del codice.
Bigbio2002,
4

Sì, un virus può propagarsi semplicemente inserendo un dispositivo USB (inclusa un'unità flash).

Questo perché sul dispositivo USB è presente un codice (chiamato firmware) che deve essere eseguito affinché il dispositivo venga rilevato. Questo firmware può fare cose come imitare una tastiera (e quindi eseguire un programma), imitare una scheda di rete, ecc.

Cerca "BadUSB" per ulteriori informazioni.

Dan Sandberg
fonte
2

Beh ... speriamo non al momento. Ogni volta che vengono lette informazioni in un file di qualsiasi tipo, c'è anche la remota possibilità che il programma leggendolo abbia qualche difetto che il virus tenta di sfruttare e di eseguire direttamente o indirettamente. Un esempio precedente era un virus jpg che sfruttava una sorta di sovraccarico del buffer nel visualizzatore di immagini. È un compito costante per le persone che producono software antivirus trovare nuovi virus e fornire aggiornamenti. Quindi se hai tutti gli aggiornamenti antivirus e le patch di sistema attuali, probabilmente non è un problema oggi, ma un teortico forse domani.

JDH
fonte
2

Su un sistema pulito, direi che un virus non può funzionare da solo. Ma penso che potrebbe essere scritto un programma che potrebbe essere sempre in esecuzione, aspettando solo che venga inserita un'unità, quindi cerca un determinato file ed eseguilo, se disponibile. Questo è abbastanza improbabile, poiché il programma dovrebbe essere installato per funzionare continuamente, ma sembra essere nel regno del possibile ma non molto probabile.

Marty Fried
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.