Um vírus em uma unidade flash pode ser executado sem autorização?

16

Alguém me disse que é possível que um vírus seja executado a partir de memórias Flash, mesmo se autorun.inf não estiver presente ou esse recurso estiver desabilitado usando gpedit.msc . Ele disse que um vírus pode funcionar sozinho assim que eu conecto uma memória flash. Está correto?

    
por undone 23.02.2012 / 04:31

6 respostas

30

Resposta curta

Não, um arquivo em uma unidade não pode ser executado sozinho. Como todos os vírus, ele precisa de algum tipo de inicialização. Um arquivo não inicia magicamente sem nenhuma razão; algo tem que fazer com que seja carregado algum caminho. (Infelizmente, o número de maneiras é desconcertantemente grande e continua a crescer.)

Visão geral

Como um vírus é executado depende em grande parte do tipo do arquivo em que o vírus se encontra. Por exemplo, .exe arquivos geralmente exigem algo para realmente carregar seu código ( simplesmente ler o seu conteúdo não é suficiente). Os arquivos de imagem ou áudio não devem ser códigos, portanto, eles não devem estar "em execução" em primeiro lugar.

Técnico

O que acontece frequentemente nos dias de hoje é que existem dois métodos principais que o malware executa:

  1. Trojans
  2. Exploits

Trojans: Com trojans, o código de malware é inserido nos arquivos normais. Por exemplo, um jogo ou programa terá algum código ruim injetado de forma que quando você (propositadamente) executar o programa, o código incorreto entra (daí o nome trojan ). Isso requer colocar o código em um executável. Novamente, isso requer que o programa host seja executado especificamente de alguma forma.

Explorações: Com as explorações, o que acontece é que um arquivo contém estruturas incorretas / inválidas que exploram programação ruim. Por exemplo, um programa de visualização de gráficos que não verifica o arquivo de imagem pode ser explorado ao criar um arquivo de imagem com código de sistema de tal forma que, quando lido, sobrecarrega o buffer criado para a imagem e engana o sistema para passar controle para o código de vírus que foi inserido após o buffer (buffer overflows ainda são bastante populares). Esse método não exige que um arquivo com código de malware seja especificamente executado ; ele explora a má programação e a verificação de erros para enganar o sistema para "executá-lo" simplesmente abrindo / lendo o arquivo.

Aplicativo

Então, como isso se aplica a um flash (ou qualquer outro tipo de) drive? Se a unidade contiver trojans (arquivos executáveis), a menos que o sistema tenha o AutoPlay ativado ou tenha algum tipo de entrada autorun / startup apontando para o arquivo, então não, ele não deve ser executado sozinho. Por outro lado, se houver arquivos que exploram vulnerabilidades no sistema operacional ou em outro programa, simplesmente ler / visualizar o arquivo pode permitir que o malware seja iniciado.

Prevenção

Uma boa maneira de verificar vetores pelos quais os trojans podem ser executados é verificar os diferentes tipos de locais de execução automática / inicialização. O Autoruns é uma maneira fácil de verificar muitos deles (é ainda mais fácil ocultar as entradas do Windows para reduzir a desordem). Uma boa maneira de reduzir o número de vulnerabilidades que as explorações podem usar é manter o sistema operacional e o programa atualizados com as versões e correções mais recentes.

    
por 23.02.2012 / 04:53
7

Isso depende de como o vírus é gravado e de quais vulnerabilidades existem no sistema em que você conectou a unidade, mas a resposta é possivelmente sim.

Por exemplo, não há muito tempo, havia uma vulnerabilidade herdada do modo como o Windows lidava com arquivos .lnk , o que significava que apenas ter um arquivo criado de forma mal-intencionada em sua unidade poderia executar o vírus incorporado nele. Essa vulnerabilidade também foi corrigida há algum tempo, portanto nenhum sistema atualizado deve estar em risco, mas mostra que há vetores de ataque em potencial que são "silenciosos" e podem acontecer, como seu amigo sugere, sem o seu consentimento ou conscientização.

Mantenha seu antiviral em funcionamento e atualizado e conecte apenas dispositivos de pessoas em quem você confia.

Você pode ver informações sobre esse método de ataque específico em esta página da Microsoft .

    
por 23.02.2012 / 04:59
4

Não.

O vírus não pode ser executado em em qualquer caso. Algo else precisa executá-lo.

Agora, a pergunta é: ele pode ser executado quando conectado? A resposta é "não" no caso ideal, mas " possivelmente " no caso de um defeito no Explorer (ou algum outro componente do Windows). No entanto, esse comportamento seria um bug no Windows, não por design.

    
por 23.02.2012 / 04:55
4

Sim, um vírus pode se propagar simplesmente inserindo um dispositivo USB (incluindo uma unidade flash).

Isso ocorre porque existe um código (chamado firmware) no dispositivo USB que deve ser executado para que o dispositivo seja detectado. Este firmware pode fazer coisas como imitar um teclado (e, portanto, executar um programa), imitar uma placa de rede, etc.

Procure em "BadUSB" para mais informações.

    
por 22.09.2016 / 00:23
2

Bem ... esperemos que não atualmente. Sempre que uma informação de tempo em um arquivo de qualquer tipo é lida, há também a possibilidade remota de que o programa que a lê tenha algum defeito do qual o vírus tente se aproveitar e seja executado direta ou indiretamente. Um exemplo antigo era um vírus jpg que aproveitava algum tipo de buffer excedido no visualizador de imagens. É uma tarefa constante para as pessoas que produto software antivírus para encontrar novos vírus e fornecer atualizações. Então, se você tem todas as atualizações atuais de antivírus e patches do sistema, provavelmente não é um problema hoje, mas talvez um amanhã, na teoria.

    
por 23.02.2012 / 04:51
2

Em um sistema limpo, eu diria que um vírus não pode ser executado sozinho. Mas eu acho que um programa poderia ser escrito que poderia estar rodando o tempo todo, apenas esperando uma unidade ser inserida, então procure por um certo arquivo e execute-o, se disponível. Isso é bem improvável, já que o programa precisaria ser instalado para rodar o tempo todo, mas parece estar dentro do alcance do possível, mas não muito provável.

    
por 27.02.2012 / 22:59