Một virus trên ổ đĩa flash có thể tự chạy mà không cần tự động chạy không?


17

Có người nói với tôi rằng virus có thể tự chạy từ bộ nhớ Flash ngay cả khi autorun.infkhông có hoặc tính năng này bị vô hiệu hóa khi sử dụng gpedit.msc. Anh ấy nói một con virus có thể tự chạy ngay khi tôi cắm vào bộ nhớ flash. Nó có đúng không?



2
@ techie007 Không chính xác. Câu hỏi này là cụ thể về việc chạy ong từ một ổ đĩa flash trong đó câu hỏi khác là tổng quát hơn.
Tom

@ techie007 Tôi đã tìm và đọc câu hỏi đó trước khi hỏi câu này. nhưng câu hỏi của tôi là về các ổ đĩa flash vì tôi chưa cài đặt quét vi-rút và chỉ tắt tính năng tự động chạy.
hoàn tác

Tom là loại chính xác. Câu hỏi này là hỏi về sự nguy hiểm của vi-rút trên ổ đĩa (flash) tự chạy trong khi người kia hỏi về sự tồn tại cụ thể của vi-rút đó. Chúng chắc chắn có liên quan, nhưng hơi khác nhau. Tôi không biết liệu sự khác biệt có đủ để biện minh cho hai câu hỏi riêng biệt hay không.
Synetech

Tôi nghĩ nó có liên quan nhưng chắc chắn không giống nhau, Windows thực hiện các hành động trên thẻ nhớ flash khi nó được đưa vào mà không xảy ra với ổ cứng. Từ ngữ bổ sung của câu hỏi đề cập cụ thể đến các sự kiện xảy ra khi lắp thẻ nhớ flash.
Tog

Câu trả lời:


31

Câu trả lời ngắn

Không, một tệp trên ổ đĩa không thể tự chạy. Giống như tất cả các virus, nó cần một số loại khởi tạo. Một tập tin không bắt đầu một cách kỳ diệu mà không có lý do nào cả; một cái gì đó phải làm cho nó tải theo một cách nào đó. (Thật không may, số cách là rất lớn và tiếp tục phát triển.)

Tổng quat

Cách thức vi-rút chạy phụ thuộc phần lớn vào loại tệp chứa vi-rút. Ví dụ: .execác tệp thường yêu cầu một cái gì đó thực sự tải mã của chúng (chỉ cần đọc nội dung của chúng là không đủ). Các tập tin hình ảnh hoặc âm thanh hoàn toàn không phải là mã, vì vậy chúng không nên là một ứng dụng chạy ở chế độ đầu tiên.

Kỹ thuật

Điều thường xảy ra trong những ngày này là có hai phương thức chính mà phần mềm độc hại chạy:

  1. Trojans
  2. Khai thác

Trojan: Với trojan, mã phần mềm độc hại được chèn vào các tệp bình thường. Ví dụ, một trò chơi hoặc chương trình sẽ có một số mã xấu được đưa vào để khi bạn (cố tình) chạy chương trình, mã xấu sẽ lẻn vào (do đó có tên trojan ). Điều này đòi hỏi phải đặt mã trong một thực thi. Một lần nữa, điều này đòi hỏi chương trình máy chủ phải được chạy cụ thể bằng cách nào đó.

Khai thác: Với các khai thác, điều xảy ra là một tệp chứa các cấu trúc không chính xác / không hợp lệ khai thác lập trình kém. Ví dụ, một chương trình xem đồ họa không kiểm tra tệp hình ảnh có thể bị khai thác bằng cách tạo một tệp hình ảnh với mã hệ thống theo cách mà khi nó được đọc, nó làm quá tải bộ đệm được tạo cho hình ảnh và lừa hệ thống đi qua kiểm soát mã virus được chèn qua bộ đệm (tràn bộ đệm vẫn còn khá phổ biến). Phương pháp này không yêu cầu một tệp có mã phần mềm độc hại được chạy cụ thể ; nó khai thác lập trình xấu và kiểm tra lỗi để lừa hệ thống chạy vào hệ điều hành của Google bằng cách mở / đọc tệp.

Ứng dụng

Vì vậy, làm thế nào điều này áp dụng cho một ổ đĩa flash (hoặc bất kỳ loại khác)? Nếu ổ đĩa chứa trojan (tệp thực thi), thì trừ khi hệ thống đã bật AutoPlay hoặc có một số mục nhập tự động / khởi động trỏ đến tệp, thì không, nó không nên tự chạy. Mặt khác, nếu có các tệp khai thác lỗ hổng trong hệ điều hành hoặc chương trình khác, thì chỉ cần đọc / xem tệp có thể cho phép phần mềm độc hại khởi tạo.

Phòng ngừa

Một cách tốt để kiểm tra các vectơ mà trojan có thể chạy là kiểm tra các loại vị trí tự động / khởi động khác nhau. Tự động chạy là một cách dễ dàng để kiểm tra nhiều trong số chúng (thậm chí còn dễ hơn nếu bạn ẩn các mục Windows để giảm sự lộn xộn). Một cách tốt để giảm số lượng lỗ hổng mà khai thác có thể sử dụng là giữ cho hệ điều hành và chương trình của bạn cập nhật với các phiên bản và bản vá mới nhất.


1
Bạn cần một cái khác \subsubsectionvà một vài cái khác subsubsubsection, đây là nơi không đủ gần. : P
Mehrdad

Khai thác nói chung cũng chỉ hoạt động (đúng cách) với một ứng dụng trình xem duy nhất và đôi khi thậm chí chỉ với một phiên bản duy nhất. Ví dụ: nếu một lỗi khiến MS Word có thể bị khai thác theo một cách nhất định, OpenOffice có thể vẫn không bị ảnh hưởng (hoặc bị ảnh hưởng theo một cách rất khác nếu lỗi được kích hoạt). Khai thác các tính năng theo thiết kế (mã thực thi trong PDF, ActiveX trên các trang web được xem bằng MSIE, v.v.) tất nhiên là một con thú khác.
một CVn

Một điều cần làm lại cho một ví dụ về việc khai thác virus là cách Stuxnet khai thác một lỗi trong cách xử lý .lnkcác tệp (phím tắt) của windows . Vì vậy, chỉ cần xem thư mục trong windows explorer đã kích hoạt sự lây nhiễm virus.
Scott Chamberlain

Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version. Rất may là có, mặc dù các lỗi có thể không bị phát hiện / không được trộn trong một thời gian và do đó, một lỗ hổng có thể bị khai thác cho nhiều phiên bản. `Vì vậy, chỉ cần xem thư mục trong windows explorer đã kích hoạt sự lây nhiễm vi-rút. 'Vâng, đó chính xác là loại lỗ hổng khai thác, tốt, khai thác. Bạn không thực sự phải chạy một tệp để bị lây nhiễm nữa bởi vì chỉ cần truy cập vào nó (mà ngay cả việc xem danh sách thư mục cũng có thể có khả năng lây nhiễm cho bạn. ◔̯◔
Synetech

7

Điều này phụ thuộc vào cách thức virus được viết và những lỗ hổng tồn tại trên hệ thống mà bạn cắm ổ đĩa vào, nhưng câu trả lời là có khả năng.

Ví dụ, cách đây không lâu, lỗ hổng được thừa hưởng theo cách mà Windows xử lý .lnkcác tệp có nghĩa là chỉ cần có tệp được tạo độc hại trên ổ đĩa của bạn có thể thực hiện vi-rút được nhúng trong đó. Lỗ hổng này cũng đã được sửa chữa cách đây khá lâu nên không có hệ thống cập nhật nào có nguy cơ nhưng nó cho thấy có những vectơ tấn công tiềm năng "im lặng" và có thể xảy ra, như bạn bè của bạn gợi ý, mà không có sự đồng ý hoặc nhận thức của bạn.

Giữ cho thuốc chống vi-rút của bạn chạy và cập nhật và chỉ kết nối các thiết bị từ những người bạn tin tưởng.

Bạn có thể xem thông tin về phương thức tấn công cụ thể này trên trang Microsoft này .


4

Không.

Các vi-rút không thể chạy bản thân trong bất kỳ trường hợp. Một cái gì đó khác cần phải chạy nó.

Vì vậy, bây giờ câu hỏi là: Nó có thể chạy khi cắm không? Câu trả lời là "không" trong trường hợp lý tưởng, nhưng " có thể " trong trường hợp có lỗi trong Explorer (hoặc một số thành phần Windows khác). Tuy nhiên, một hành vi như vậy sẽ là một lỗi trong Windows, không phải do thiết kế.


1
Lỗi trong phần mềm rất thường được sử dụng làm vectơ khai thác bằng cách tự lan truyền virus. (Tôi dám nói không có lập trình viên nào cố tình đặt lỗi trong phần mềm sản xuất.) Một số lỗ hổng bảo mật có thể xuất phát từ các tính năng do thiết kế, chẳng hạn như các vấn đề bảo mật kéo dài với ActiveX.
một CVn

Đây là cách máy tính bị nhiễm Stuxnet. Bằng cách chỉ xem biểu tượng của tệp bị nhiễm, điều đó đã gây ra lỗ hổng và bắt đầu thực thi mã.
Bigbio2002

4

Có, vi-rút có thể lan truyền đơn giản bằng cách cắm thiết bị USB (bao gồm cả ổ đĩa flash).

Điều này là do có mã (được gọi là phần sụn) trên thiết bị USB phải chạy để phát hiện thiết bị. Phần sụn này có thể làm những việc như bắt chước bàn phím (và do đó chạy chương trình), bắt chước card mạng, v.v.

Nhìn vào "BadUSB" để biết thêm thông tin.


2

Chà ... hy vọng là không. Bất kỳ thời gian nào thông tin trong một tệp thuộc bất kỳ loại nào cũng được đọc, cũng có khả năng từ xa rằng chương trình đọc nó có một số khiếm khuyết mà virus cố gắng lợi dụng và chạy trực tiếp hoặc gián tiếp. Một ví dụ cũ hơn là virus jpg đã lợi dụng một số loại bộ đệm tràn ngập trong trình xem ảnh. Nhiệm vụ thường xuyên của những người sản xuất phần mềm chống vi-rút là tìm vi-rút mới và cung cấp các bản cập nhật. Vì vậy, nếu bạn có tất cả các bản cập nhật chống vi-rút hiện tại và các bản vá hệ thống, thì có lẽ nó không phải là vấn đề ngày hôm nay, nhưng có thể là bất tử vào ngày mai.


2

Trên một hệ thống sạch, tôi sẽ nói rằng virus không thể tự chạy. Nhưng tôi nghĩ rằng một chương trình có thể được viết có thể chạy mọi lúc, chỉ cần đợi một ổ đĩa được chèn, sau đó tìm một tệp nhất định và chạy nó, nếu có sẵn. Điều này khá khó xảy ra, vì chương trình sẽ cần phải được cài đặt để chạy mọi lúc, nhưng dường như nó nằm trong phạm vi có thể nhưng không có khả năng lắm.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.