17

Кто-то сказал мне, что вирус может запускаться из флэш-памяти, даже если отсутствует autorun.inf или эта функция отключена с помощью gpedit.msc . Он сказал, что вирус может запуститься сам, как только я подключу флэш-память. Это правильно?

6 ответов6

31

Короткий ответ

Нет, файл на диске не может быть запущен сам по себе. Как и все вирусы, он нуждается в некоторой инициализации. Файл волшебным образом не инициируется ни по какой причине; что-то должно заставить его загружаться каким-то образом. (К сожалению, количество способов неоправданно велико и продолжает расти.)

обзор

То, как работает вирус, во многом зависит от типа файла, в котором находится вирус. Например, файлам .exe обычно требуется что-то, чтобы фактически загрузить их код (простого чтения их содержимого недостаточно). Изображения или аудиофайлы вообще не должны кодироваться, поэтому они не должны быть «запущены» в первую очередь.

технический

В наши дни часто происходит то, что вредоносные программы запускаются двумя способами:

  1. трояны
  2. бреши

Трояны: с помощью троянов вредоносный код вставляется в обычные файлы. Например, в игру или программу будет введен какой-то плохой код, так что когда вы (намеренно) запустите программу, в нее проникнет плохой код (отсюда и название троян). Это требует помещения кода в исполняемый файл. Опять же, это требует, чтобы программа хоста была как-то специально запущена

Эксплойты: с помощью эксплойтов происходит то, что файл содержит неправильные / недействительные структуры, которые используют плохое программирование. Например, программа просмотра графики, которая не проверяет файл изображения, может быть использована путем создания файла изображения с системным кодом таким образом, чтобы при чтении он перегружал буфер, созданный для изображения, и обманывал систему при передаче. контроль над кодом вируса, который был вставлен после буфера (переполнения буфера все еще довольно популярны). Этот метод не требует специального запуска файла с вредоносным кодом; он использует плохое программирование и проверку ошибок, чтобы заставить систему «запустить» ее, просто открыв / прочитав файл.

заявка

Итак, как это относится к флэш-накопителю (или любому другому типу)? Если на диске есть трояны (исполняемые файлы), то, если в системе не включена функция автозапуска или есть запись автозапуска / запуска, указывающая на файл, то нет, он не должен запускаться самостоятельно. С другой стороны, если есть файлы, использующие уязвимости в операционной системе или другой программе, то простое чтение / просмотр файла может позволить запустить вредоносное ПО.

профилактика

Хороший способ проверить наличие векторов, по которым могут работать трояны, - это проверить различные типы мест автозапуска / запуска. Автозапуск - это простой способ проверить многие из них (это еще проще, если скрыть записи Windows, чтобы уменьшить беспорядок). Хороший способ уменьшить количество уязвимостей, которые могут использовать эксплойты, - поддерживать операционную систему и программу в актуальном состоянии с последними версиями и исправлениями.

7

Это зависит от того, как написан вирус, и какие уязвимости существуют в системе, к которой вы подключаете диск, но ответ потенциально - да.

Например, не так давно существовал унаследованный от уязвимости способ, которым Windows обрабатывает файлы .lnk что означало, что наличие злонамеренно созданного файла на вашем диске может запустить встроенный в него вирус. Эта уязвимость также была исправлена довольно давно, поэтому ни одна современная система не должна подвергаться риску, но она действительно показывает, что существуют потенциальные векторы атаки, которые "молчат" и могут произойти, как предполагает ваш друг, без вашего согласия или уведомления.

Постоянно работайте на антивирусах и подключайте устройства только тех людей, которым доверяете.

Вы можете увидеть информацию об этом конкретном методе атаки на этой странице Microsoft.

4

Нет.

Вирус не может работать сам в любом случае. Что - то еще нужно запустить.

Итак, теперь вопрос: можно ли его запустить при подключении? Ответ "нет" в идеальном случае, но « возможно » в случае дефекта в Проводнике (или каком-либо другом компоненте Windows). Однако такое поведение было бы ошибкой в Windows, а не в дизайне.

4

Да, вирус может распространяться, просто вставив USB-устройство (включая флэш-диск).

Это связано с тем, что на устройстве USB имеется код (называемый микропрограммой), который должен быть запущен для обнаружения устройства. Эта прошивка может делать такие вещи, как имитация клавиатуры (и, следовательно, запуск программы), имитация сетевой карты и т.д.

Посмотрите на "BadUSB" для получения дополнительной информации.

2

Ну ... надеюсь, не сейчас. Всякий раз, когда информация в файле любого типа читается, существует также небольшая вероятность того, что программа, читающая его, имеет какой-то дефект, который вирус пытается использовать, и либо запускается прямо, либо косвенно. Одним из старых примеров был вирус jpg, который воспользовался каким-то образом переполнением буфера в средстве просмотра изображений. Для людей, которые производят антивирусное программное обеспечение, постоянная задача находить новые вирусы и предоставлять обновления. Так что, если у вас есть все текущие обновления антивируса и системные исправления, это, вероятно, не проблема сегодня, а может быть теоретическая завтра.

2

В чистой системе я бы сказал, что вирус сам по себе не запускается. Но я думаю, что можно написать программу, которая может работать все время, просто ожидая вставки диска, затем найдите определенный файл и запустите его, если он доступен. Это довольно маловероятно, так как программа должна быть установлена для запуска постоянно, но, похоже, она находится в пределах возможного, но не очень вероятного.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .