web-dev-qa-db-fra.com

Un virus sur un lecteur flash peut-il s'exécuter sans AUTORUN?

Quelqu'un m'a dit qu'il est possible qu'un virus se déroule de souvenirs flash, même si autorun.inf n'est pas présent ou cette fonctionnalité est désactivée à l'aide de gpedit.msc. Il a dit qu'un virus peut se dérouler dès que je branche une mémoire flash. Est-ce correct?

17
undone

Réponse courte

Non, un fichier sur un lecteur ne peut pas se dérouler. Comme tous les virus, il a besoin Certains Sorte d'initialisation. Un fichier n'enseigne pas comme par magie sans raison; quelque chose doit le faire charger dans certains WAY. (Malheureusement, le nombre de voies est extrêmement importante et continue de croître.)

Aperçu

Comment fonctionne un virus dépend en grande partie du type du fichier que le virus est dans. Par exemple, .exe Files Habituellement Exiger quelque chose pour charger leur code (la lecture de leur contenu ne suffit pas). Les fichiers d'image ou d'audio ne sont pas censés être du code du tout, ils devraient ne pas être "en cours d'exécution" en premier lieu.

Technique

Ce qui arrive souvent ces jours-ci est qu'il y a deux méthodes principales que les logiciels malveillants fonctionnent:

  1. Chevaux de Troie
  2. Exploits

Trojans: Avec Troie, le code de programmes malveillants est inséré dans des fichiers normaux. Par exemple, un jeu ou un programme aura un mauvais code injecté pour que lorsque vous exécutez (délibérément) le programme, le mauvais code se faufile (d'où le nom Trojan). Cela nécessite de placer le code dans un exécutable. Encore une fois, cela nécessite que le programme hôte soit spécifiquement exécuté d'une manière ou d'une autre.

Exploits: Avec des exploits, que se passe-t-il, c'est qu'un fichier contient des structures incorrectes/non valides que Exploitez Programmation médiocre. Par exemple, un programme graphique-visualiseur qui ne vérifie pas que le fichier image peut être exploité en créant un fichier d'images avec le code système de telle manière que lorsqu'il est lu, il surcharge le tampon créé pour l'image et tente le système en passant Contrôle du code de virus inséré au-delà du tampon (les débordements tampons sont encore assez populaires). Cette méthode est non Demander un fichier avec un code malveillant spécifiquement exécuter; Il exploite la mauvaise programmation et la vérification des erreurs pour tromper le système en "exécutant" simplement en ouvrant/lisant le fichier.

Application

Alors, comment cela s'applique-t-il à un flash (ou à un autre type de fichier)? Si le lecteur contient des chevaux de Troie (fichiers exécutables), alors que le système ait une autoplay activé ou a une sorte d'entrée Autorun/Startup pointant vers le fichier, alors non, il ne doit pas fonctionner seul. D'autre part, s'il existe des fichiers qui exploitent des vulnérabilités dans le système d'exploitation ou d'un autre programme, il suffit de lire/visualiser le fichier pour permettre aux logiciels malveillants d'initier.

La prévention

Un bon moyen de rechercher des vecteurs par lesquels les chevaux de Trojans peuvent exécuter, c'est de vérifier différents types d'emplacements Autorun/StartUp. Autoruns est un moyen facile de vérifier beaucoup d'entre eux (il est encore plus facile si vous masquez les entrées Windows pour réduire l'encombrement). Un bon moyen de réduire le nombre de vulnérabilités que les exploits peuvent utiliser est de conserver votre système d'exploitation et de votre programme à jour avec les dernières versions et correctifs.

31
Synetech

Cela dépend de la manière dont le virus est écrit et quelles vulnérabilités existent sur le système que vous branchez le lecteur, mais la réponse est potentiellement oui.

Par exemple, il n'y a pas si longtemps, il y avait une vulnérabilité héritée de manière à ce que Windows manipulait .lnk Fichiers qui signifiaient que le fait d'avoir un fichier malicieux créé sur votre lecteur pourrait exécuter le virus intégré à celui-ci. Cette vulnérabilité a également été réparée il y a assez de temps, donc aucun système à jour devrait être à risque, mais il montre qu'il existe des vecteurs d'attaque potentiels qui sont "silencieux" et peuvent se produire, comme votre ami le suggère, sans votre consentement ou sa conscience.

Gardez votre fonctionnement antiviral et à jour et ne connectez que des périphériques de personnes en qui vous avez confiance.

Vous pouvez voir des informations sur cette méthode d'attaque particulière sur cette page Microsoft .

7
Mokubai

Non.

Le Virus Impossible d'exécuter lui-même In Toute cas. Quelque chose sinon doit le faire fonctionner.

Alors, la question est la suivante: peut-il être exécuté lorsqu'il est branché? La réponse est "non" dans le cas idéal, mais "éventuellement" Dans le cas d'un défaut d'explorateur (ou d'un autre composant Windows). Cependant, un tel comportement serait un bogue dans Windows, pas par la conception.

4
user541686

Eh bien ... espérons pas actuellement. Toute information sur le temps dans un fichier de n'importe quel type est lue, il existe également la chanson distante que le programme la lecture ait un défaut que le virus tente de profiter et de fonctionner directement ou indirectement. Un ancien exemple était un virus JPG qui a profité d'une sorte de dépassement de tampon dans la visionneuse d'images. C'est une tâche constante pour les personnes qui produisent des logiciels antivirus pour trouver de nouveaux virus et fournir des mises à jour. Donc, si vous avez tous les mises à jour et les correctifs du système antivirus actuels, ce n'est probablement pas un problème aujourd'hui, mais une théorticale peut-être demain.

2
jdh

Sur un système propre, je dirais qu'un virus ne peut pas se dérouler. Mais je pense qu'un programme pourrait être écrit qui pourrait être exécuté tout le temps, il suffit d'attendre qu'un lecteur soit inséré, puis cherchez un certain fichier et exécutez-le, le cas échéant. Cela est assez improbable, car le programme devra être installé pour fonctionner tout le temps, mais cela semble être dans le domaine du possible mais pas très probable.

2
Marty Fried