Un virus sur un lecteur flash peut-il s'exécuter sans exécution automatique?

17

Quelqu'un m'a dit qu'il est possible qu'un virus s'exécute à partir des mémoires Flash même s'il autorun.infn'est pas présent ou que cette fonctionnalité est désactivée à l'aide gpedit.msc. Il a dit qu'un virus peut se lancer dès que je branche une mémoire flash. Est-ce correct?

défait
la source
doublon possible d' un virus peut-il s'exécuter seul?
Ƭᴇcʜιᴇ007
2
@ techie007 Pas exactement. Cette question est spécifique au sujet d'être exécuté à partir d'un lecteur flash où l'autre question est plus générale.
Tom
@ techie007 J'ai trouvé et lu cette question avant de poser celle-ci. mais ma question concernait les lecteurs flash parce que je n'ai pas installé d'analyse antivirus et que j'ai juste désactivé la fonction d'exécution automatique.
annulé le
Tom a raison. Cette question pose la question du danger d'un virus sur un lecteur (flash) s'exécutant spontanément tandis que l'autre pose la question de l'existence spécifique d'un tel virus. Ils sont certainement liés, mais légèrement différents. Je ne sais pas si la différence est suffisante pour justifier deux questions distinctes.
Synetech
Je pense que c'est lié mais certainement pas le même, Windows effectue des actions sur une clé USB lorsqu'elle est insérée, ce qui n'arrive tout simplement pas avec un disque dur. Le libellé supplémentaire de la question se réfère spécifiquement aux événements qui se produisent lorsqu'une clé USB est insérée.
Tog

Réponses:

31

Réponse courte

Non, un fichier sur un lecteur ne peut pas simplement s'exécuter lui-même. Comme tous les virus, il a besoin d' une sorte d'initialisation. Un fichier ne s'initie pas comme par magie sans aucune raison; quelque chose doit le faire charger d' une manière ou d' une autre. (Malheureusement, le nombre de voies est incroyablement grand et continue de croître.)

Aperçu

La façon dont un virus s'exécute dépend en grande partie du type de fichier dans lequel il se trouve. Par exemple, les .exefichiers nécessitent généralement quelque chose pour réellement charger leur code (il ne suffit pas de lire leur contenu). Les fichiers image ou audio ne sont pas du tout censés être du code, ils ne doivent donc pas «fonctionner» en premier lieu.

Technique

Ce qui se produit souvent de nos jours, c'est qu'il existe deux méthodes principales pour exécuter les logiciels malveillants:

  1. Chevaux de Troie
  2. Exploits

Chevaux de Troie: avec les chevaux de Troie, le code malveillant est inséré dans les fichiers normaux. Par exemple, un jeu ou un programme aura un mauvais code injecté de sorte que lorsque vous (à dessein) exécutez le programme, le mauvais code se faufile (d'où le nom cheval de Troie ). Cela nécessite de placer le code dans un exécutable. Encore une fois, cela nécessite que le programme hôte soit spécifiquement exécuté d'une manière ou d'une autre.

Exploits: Avec les exploits, ce qui se passe, c'est qu'un fichier contient des structures incorrectes / invalides qui exploitent une mauvaise programmation. Par exemple, un programme de visualisation graphique qui ne vérifie pas le fichier image peut être exploité en créant un fichier image avec le code système de telle sorte que lorsqu'il est lu, il surcharge la mémoire tampon créée pour l'image et trompe le système en passant contrôle du code du virus qui a été inséré après le tampon (les débordements de tampon sont encore assez populaires). Cette méthode ne nécessite pas d' exécuter spécifiquement un fichier avec un code malveillant ; il exploite la mauvaise programmation et la vérification des erreurs pour inciter le système à le «faire fonctionner» simplement en ouvrant / lisant le fichier.

Application

Alors, comment cela s'applique-t-il à un lecteur flash (ou tout autre type de)? Si le lecteur contient des chevaux de Troie (fichiers exécutables), à moins que le système n'ait activé la lecture automatique ou n'ait une sorte d'entrée autorun / startup pointant vers le fichier, alors non, il ne devrait pas fonctionner de lui-même. D'un autre côté, s'il existe des fichiers qui exploitent des vulnérabilités dans le système d'exploitation ou un autre programme, la simple lecture / visualisation du fichier pourrait permettre au malware de se lancer.

La prévention

Un bon moyen de vérifier les vecteurs par lesquels les chevaux de Troie peuvent s'exécuter consiste à rechercher différents types d'emplacements d'exécution automatique / de démarrage. Les exécutions automatiques sont un moyen facile de vérifier bon nombre d'entre elles (c'est encore plus facile si vous masquez les entrées Windows pour réduire l'encombrement). Un bon moyen de réduire le nombre de vulnérabilités que les exploits peuvent utiliser est de maintenir votre système d'exploitation et votre programme à jour avec les dernières versions et correctifs.

Synetech
la source
1
Vous avez besoin d'un autre \subsubsectionet de quelques autres subsubsubsection, ce n'est pas du tout suffisant. : P
user541686
Les exploits ne fonctionnent généralement (correctement) qu'avec une seule application de visualisation, et parfois même avec une seule version. Par exemple , si un bogue rend MS Word exploitable d'une certaine manière, OpenOffice est susceptible de ne pas être affecté (ou d'être affecté d'une manière très différente si le bogue est déclenché). L'exploitation des fonctionnalités par conception (code exécutable dans les PDF, ActiveX sur les pages Web consultées à l'aide de MSIE, etc.) est bien sûr une bête différente.
un CVn
Une chose à réfrencer pour un exemple de virus d'exploitation est la façon dont Stuxnet a exploité un bogue dans la façon dont Windows traitait les .lnkfichiers (raccourcis). Ainsi, la simple visualisation du répertoire dans l'explorateur Windows a déclenché l'infection par le virus.
Scott Chamberlain
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version. Heureusement oui, bien que les bogues puissent rester non détectés / non corrigés pendant un certain temps et donc une vulnérabilité peut être exploitée pour de nombreuses versions. `Donc, la simple visualisation du répertoire dans l'explorateur Windows a déclenché l'infection virale. 'Oui, c'est exactement le genre de vulnérabilité qui exploite, eh bien, exploite. Vous ne devez pas réellement exécuter un fichier pour être infecté, car simplement y accéder (ce que fait même l'affichage d'une liste de répertoires) peut potentiellement vous infecter. ◔̯◔
Synetech
7

Cela dépend de la façon dont le virus est écrit et des vulnérabilités qui existent sur le système auquel vous branchez le lecteur, mais la réponse est potentiellement oui.

Par exemple, il n'y a pas longtemps, il y avait une vulnérabilité héritée de la façon dont Windows traitait les .lnkfichiers, ce qui signifiait que le simple fait d'avoir un fichier créé de manière malveillante sur votre lecteur pouvait exécuter le virus intégré. Cette vulnérabilité a également été corrigée il y a un certain temps, donc aucun système à jour ne devrait être en danger, mais cela montre qu'il existe des vecteurs d'attaque potentiels qui sont "silencieux" et peuvent se produire, comme votre ami le suggère, sans votre consentement ou votre conscience.

Gardez votre antivirus en marche et à jour et connectez uniquement les appareils de personnes en qui vous avez confiance.

Vous pouvez voir des informations sur cette méthode d'attaque particulière sur cette page Microsoft .

Mokubai
la source
4

Non.

Le virus ne peut pas exécuter lui - même dans une cas. Quelque chose d' autre doit l'exécuter.

Alors maintenant, la question est: peut-il être exécuté lorsqu'il est branché? La réponse est "non" dans le cas idéal, mais " éventuellement " dans le cas d'un défaut dans l'Explorateur (ou un autre composant Windows). Cependant, un tel comportement serait un bogue dans Windows, pas par conception.

user541686
la source
1
Les bogues dans les logiciels sont très souvent utilisés comme vecteurs d'exploitation par des virus auto-propagatifs. (J'ose dire qu'aucun programmeur ne met délibérément des bogues dans les logiciels de production.) Certaines failles de sécurité peuvent provenir de fonctionnalités de conception, telles que les problèmes de sécurité persistants avec ActiveX.
un CVn
C'est ainsi que les ordinateurs infectés par Stuxnet. En affichant simplement l'icône du fichier infecté, cela a déclenché une vulnérabilité et a commencé l'exécution du code.
Bigbio2002
4

Oui, un virus peut se propager simplement en insérant un périphérique USB (y compris un lecteur flash).

Cela est dû au fait qu'il y a du code (appelé firmware) sur le périphérique USB qui doit s'exécuter pour que le périphérique soit détecté. Ce micrologiciel peut faire des choses comme imiter un clavier (et donc exécuter un programme), imiter une carte réseau, etc.

Regardez dans "BadUSB" pour plus d'informations.

Dan Sandberg
la source
2

Eh bien ... j'espère pas actuellement. Chaque fois que les informations d'un fichier de n'importe quel type sont lues, il y a également une faible chance que le programme qui le lit présente des défauts dont le virus tente de tirer parti et s'exécute directement ou indirectement. Un exemple plus ancien était un virus jpg qui tirait parti d'une sorte de dépassement de tampon dans la visionneuse d'images. C'est une tâche constante pour les personnes qui produisent un logiciel antivirus de trouver de nouveaux virus et de fournir des mises à jour. Donc, si vous disposez de toutes les mises à jour antivirus et correctifs système actuels, ce n'est probablement pas un problème aujourd'hui, mais une théorie peut-être demain.

jdh
la source
2

Sur un système propre, je dirais qu'un virus ne peut pas s'exécuter lui-même. Mais je pense qu'un programme pourrait être écrit qui pourrait être exécuté tout le temps, en attendant simplement qu'un lecteur soit inséré, puis chercher un certain fichier et l'exécuter, s'il est disponible. C'est assez improbable, car le programme devrait être installé pour fonctionner tout le temps, mais il semble être du domaine du possible mais peu probable.

Marty Fried
la source