Um vírus em uma unidade flash pode ser executado sem execução automática?

17

Alguém me disse que é possível que um vírus funcione das memórias Flash, mesmo que autorun.infnão esteja presente ou que esse recurso esteja desativado gpedit.msc. Ele disse que um vírus pode funcionar sozinho assim que eu conectar uma memória flash. Está correto?

windows-7 security autorun desfeito
fonte
possível duplicação de um vírus pode ser executado sozinho?
Ƭᴇcʜιᴇ007
2
@ techie007 Não exatamente. Esta pergunta é específica sobre ser executado a partir de uma unidade flash, onde a outra pergunta é mais geral.
23412 Tom
@ techie007 Encontrei e li essa pergunta antes de fazer esta. mas minha pergunta era sobre unidades flash, porque não instalei a verificação de vírus e apenas desabilitei o recurso de execução automática.
desfeito
Tom está meio correto. Esta pergunta está perguntando sobre o perigo de um vírus em uma unidade (flash) espontaneamente se executar espontaneamente, enquanto a outra pergunta sobre a existência específica desse vírus. Eles estão definitivamente relacionados, mas um pouco diferentes. Não sei se a diferença é suficiente para justificar duas perguntas separadas.
Synetech 23/02
Eu acho que está relacionado, mas definitivamente não é o mesmo, o Windows executa ações em um cartão de memória flash quando é inserido que simplesmente não acontece com um disco rígido. O texto adicional da pergunta refere-se especificamente aos eventos que ocorrem quando um cartão de memória flash é inserido.
Tog

Respostas:

31

Resposta curta

Não, um arquivo em uma unidade não pode simplesmente ser executado sozinho. Como todos os vírus, ele precisa de algum tipo de inicialização. Um arquivo não é iniciado magicamente sem nenhum motivo; algo tem que causar o carregamento de alguma maneira. (Infelizmente, o número de maneiras é surpreendentemente grande e continua a crescer.)

Visão geral

A forma como um vírus é executado depende muito do tipo de arquivo em que ele está. Por exemplo, os .exearquivos geralmente exigem algo para realmente carregar seu código (simplesmente ler o conteúdo não é suficiente). Os arquivos de imagem ou áudio não devem ser de todo o código, portanto, eles não devem estar "em execução" em primeiro lugar.

Técnico

O que costuma acontecer hoje em dia é que existem dois métodos principais que o malware executa:

  1. Trojans
  2. Façanhas

Trojans: com trojans, o código de malware é inserido nos arquivos normais. Por exemplo, um jogo ou programa terá algum código incorreto injetado para que, quando você (propositalmente) execute o programa, o código incorreto ocorra (daí o nome trojan ). Isso requer colocar o código em um executável. Novamente, isso requer que o programa host seja executado especificamente de alguma forma.

Façanhas: com explorações, o que acontece é que um arquivo contém estruturas incorretas / inválidas que exploram uma programação ruim. Por exemplo, um programa visualizador de gráficos que não verifica o arquivo de imagem pode ser explorado criando um arquivo de imagem com o código do sistema de modo que, quando lido, ele sobrecarregue o buffer criado para a imagem e engane o sistema para que ele passe controle para o código de vírus que foi inserido após o buffer (os estouros de buffer ainda são bastante populares). Este método não requer que um arquivo com código de malware seja executado especificamente ; ele explora a programação ruim e a verificação de erros para induzir o sistema a “executá-lo” simplesmente abrindo / lendo o arquivo.

Inscrição

Então, como isso se aplica a uma unidade flash (ou qualquer outro tipo de)? Se a unidade contiver cavalos de Troia (arquivos executáveis), a menos que o sistema tenha a Reprodução Automática ativada ou possua algum tipo de entrada de execução automática / inicialização apontando para o arquivo, não, não deverá ser executada por si só. Por outro lado, se houver arquivos que exploram vulnerabilidades no sistema operacional ou em outro programa, a simples leitura / visualização do arquivo pode permitir a inicialização do malware.

Prevenção

Uma boa maneira de verificar os vetores pelos quais os cavalos de Troia podem executar é verificar os diferentes tipos de locais de execução automática / inicialização. A execução automática é uma maneira fácil de verificar muitas delas (é ainda mais fácil se você ocultar as entradas do Windows para reduzir a confusão). Uma boa maneira de reduzir o número de vulnerabilidades que as explorações podem usar é manter o sistema operacional e o programa atualizados com as últimas versões e patches.

Synetech
fonte
1
Você precisa de outro \subsubsectione outros dois subsubsubsection, isso não chega nem perto. : P
Mehrdad 23/02
Geralmente, as explorações funcionam apenas (adequadamente) com um aplicativo de visualizador único e, às vezes, apenas com uma única versão. Por exemplo , se um bug faz com que o MS Word seja explorável de uma certa maneira, é provável que o OpenOffice permaneça inalterado (ou afetado de uma maneira muito diferente se o bug for disparado). Explorar os recursos por design (código executável em PDFs, ActiveX em páginas da web visualizadas usando o MSIE, etc) é obviamente uma fera diferente.
um CVn
Uma coisa a se referir a um exemplo de vírus de exploração é como o Stuxnet explorou um bug na maneira como o Windows manipulava .lnkarquivos (atalhos). Então, apenas a visualização do diretório no Windows Explorer acionou a infecção por vírus.
Scott Chamberlain
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version. Felizmente sim, apesar de os bugs não serem detectados / corrigidos por um tempo e, portanto, uma vulnerabilidade pode ser explorada em muitas versões. `Então, apenas a visualização do diretório no Windows Explorer desencadeou a infecção por vírus '. Sim, esse é exatamente o tipo de vulnerabilidade que explora, bem, explora. Você não precisa mais executar um arquivo para ser infectado, porque simplesmente acessá- lo (o que até mesmo visualiza uma lista de diretórios) pode potencialmente infectá-lo. Sy
Synetech
7

Isso depende de como o vírus é gravado e de quais vulnerabilidades existem no sistema em que você conecta a unidade, mas a resposta é potencialmente positiva.

Por exemplo, não muito tempo atrás, havia uma maneira herdada de vulnerabilidade em que o Windows tratava .lnkarquivos, o que significava que apenas ter um arquivo criado com códigos maliciosos em sua unidade poderia executar o vírus incorporado a ela. Essa vulnerabilidade também foi corrigida há algum tempo, portanto, nenhum sistema atualizado deve estar em risco, mas mostra que existem vetores de ataque em potencial que são "silenciosos" e podem ocorrer, como sugere seu amigo, sem o seu consentimento ou conhecimento.

Mantenha seu antiviral funcionando e atualizado e conecte apenas dispositivos de pessoas em que você confia.

Você pode ver informações sobre esse método de ataque específico nesta página da Microsoft .

Mokubai
fonte
4

Não.

O vírus não pode se auto - executar em nenhum caso. Algo mais precisa executá-lo.

Então agora a pergunta é: ele pode ser executado quando conectado? A resposta é "não" no caso ideal, mas " possivelmente " no caso de um defeito no Explorer (ou em algum outro componente do Windows). No entanto, esse comportamento seria um bug no Windows, não por design.

Mehrdad
fonte
1
Os erros no software são frequentemente usados ​​como vetores de exploração por vírus de propagação automática. (Atrevo-me a dizer que nenhum programador coloca deliberadamente erros no software de produção.) Algumas brechas de segurança podem surgir de recursos projetados, como os problemas de segurança duradouros do ActiveX.
um CVn
Foi assim que o Stuxnet infectou os computadores. A simples visualização do ícone do arquivo infectado provocou uma vulnerabilidade e iniciou a execução do código.
Bigbio2002
4

Sim, um vírus pode se propagar simplesmente inserindo um dispositivo USB (incluindo uma unidade flash).

Isso ocorre porque existe um código (chamado firmware) no dispositivo USB que deve ser executado para que o dispositivo seja detectado. Este firmware pode fazer coisas como imitar um teclado (e, portanto, executar um programa), imitar uma placa de rede etc.

Olhe em "BadUSB" para mais informações.

Dan Sandberg
fonte
2

Bem ... espero que não no momento. Sempre que as informações em um arquivo de qualquer tipo são lidas, há também a chance remota de que o programa que o lê tenha algum defeito do qual o vírus tente tirar proveito e seja executado direta ou indiretamente. Um exemplo mais antigo foi um vírus jpg que aproveitou algum tipo de saturação de buffer no visualizador de imagens. É uma tarefa constante para as pessoas que produzem software antivírus encontrar novos vírus e fornecer atualizações. Portanto, se você possui todas as atualizações antivírus e patches do sistema atuais, provavelmente não é um problema hoje, mas talvez um futuro teórico.

jdh
fonte
2

Em um sistema limpo, eu diria que um vírus não pode ser executado sozinho. Mas acho que poderia ser escrito um programa que estivesse em execução o tempo todo, apenas aguardando a inserção de uma unidade, procure um determinado arquivo e execute-o, se disponível. Isso é bastante improvável, pois o programa precisaria ser instalado para ser executado o tempo todo, mas parece estar dentro do domínio possível, mas não muito provável.

Marty Fried
fonte