フラッシュドライブ上のウイルスは、自動実行なしで自身を実行できますか?

17

誰かが私に、ウイルスがautorun.inf存在しないか、この機能がを使用して無効になってgpedit.mscいる場合でも、フラッシュメモリからウイルスが実行される可能性があると言いました。彼は、私がフラッシュメモリを差し込むとすぐにウイルスが自分自身で実行できると言いました。それが正しいか?

windows-7  security  autorun 
元に戻す
ソース
Ƭᴇcʜιᴇ007
2
@ techie007正確ではありません。この質問は、他の質問がより一般的であるフラッシュドライブからの実行に関する特定のものです。
トム
@ techie007この質問をする前に、その質問を見つけて読みました。しかし、ウイルススキャンをインストールしておらず、自動実行機能を無効にしているだけなので、私の質問はフラッシュドライブについてでした。
元に戻す
トムはちょっと正しい。この質問は、(フラッシュ)ドライブ上のウイルスが自発的に自身を実行する危険性について尋ねているのに対し、他の人はそのようなウイルスの特定の存在について尋ねています。それらは間違いなく関連していますが、わずかに異なります。ただし、2つの個別の質問を正当化するのに十分な差があるかどうかはわかりません。
Synetech
私はそれが関連していると思いますが、間違いなく同じではありません。Windowsは、フラッシュメモリスティックが挿入されたときに、HDDでは起こらないアクションを実行します。質問の追加の文言は、特にフラッシュメモリスティックが挿入されたときに発生するイベントを指します。
トグ

回答:

31

短い答え

いいえ、ドライブ上のファイルはそれ自体を実行することはできません。すべてのウイルスのように、それは必要いくつかの初期のようなものを。ファイルは、理由もなく魔法のように開始されることはありません。何かが負荷にそれを引き起こすことがあり、いくつかの方法。(残念ながら、方法の数は途方もなく大きく、成長し続けています。)

概要

ウイルスの実行方法は、ウイルスが含まれているファイルの種類に大きく依存します。たとえば、通常.exeファイル実際にコードをロードするために何かを必要とします(単に内容を読むだけでは不十分です)。画像または音声ファイルはコードでないため、そもそも「実行中」であってはなりません。

テクニカル

最近よくあることは、マルウェアが実行される主な方法が2つあることです。

  1. トロイの木馬
  2. エクスプロイト

トロイの木馬: トロイの木馬では、マルウェアコードが通常のファイルに挿入されます。たとえば、ゲームまたはプログラムには不正なコードが挿入されているため、プログラムを(意図的に)実行すると、不正なコードが侵入します(そのため、trojanという名前になります)。これには、コードを実行可能ファイルに配置する必要があります。繰り返しますが、これにはホストプログラムが何らかの形で具体的に実行される必要があります。

エクスプロイト: エクスプロイトを使用すると、不適切なプログラミングを悪用する不正または無効な構造がファイルに含まれることになります。たとえば、画像ファイルをチェックしないグラフィックスビューアプログラムは、読み取られると画像用に作成されたバッファをオーバーロードし、システムを通過させるように、システムコードで画像ファイルを作成することにより悪用される可能性がありますバッファを超えて挿入されたウイルスコードの制御(バッファオーバーフローは依然としてかなり一般的です)。この方法では、マルウェアコードを含むファイルを特別に実行する必要ありませ。不正なプログラミングとエラーチェックを悪用して、ファイルを開いたり読み取ったりするだけでシステムを「実行」させます。

応用

では、これはフラッシュ(または他のタイプの)ドライブにどのように適用されますか?ドライブにトロイの木馬(実行可能ファイル)が含まれる場合、システムでAutoPlayが有効になっていないか、ファイルを指す何らかの自動実行/スタートアップエントリがない限り、それ自体では実行されません。一方、オペレーティングシステムまたは他のプログラムの脆弱性を悪用するファイルがある場合、単にファイルを読み取り/表示すると、マルウェアが開始される可能性があります。

防止

トロイの木馬が実行できるベクトルを確認する良い方法は、さまざまな種類の自動実行/起動場所を確認することです。自動実行は、それらの多くを簡単にチェックする方法です(混乱を減らすためにWindowsエントリを非表示にすると、さらに簡単になります)。エクスプロイトが使用できる脆弱性の数を減らす良い方法は、オペレーティングシステムとプログラムを最新のバージョンとパッチで最新の状態に保つことです。

シネテック
ソース
1
あなたはもう一つ\subsubsectionと他subsubsubsectionのカップルが必要です、これはどこにも十分ではありません。:P
Mehrdad
通常、エクスプロイトは単一のビューアアプリケーションでのみ(適切に)動作し、場合によっては単一のバージョンでも動作します。たとえば、バグによってMS Wordが特定の方法で悪用されるようになった場合、OpenOfficeは影響を受けないままになる可能性があります(または、バグがトリガーされた場合、まったく異なる方法で影響を受けます)。機能ごとの設計(PDFの実行可能コード、MSIEを使用して表示されるWebページ上のActiveXなど)を悪用することは、もちろん別の獣です。
CVn
エクスプロイトウイルスの例を参考にするには、Stuxnetが Windowsの.lnk(ショートカット)ファイルの処理方法のバグをどのように悪用したかを考えてください。そのため、Windowsエクスプローラーでディレクトリを表示するだけでウイルス感染が引き起こされました。
スコットチェンバレン
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version. ありがたいことに、バグはしばらくの間、検出/修正されない可能性があるため、多くのバージョンで脆弱性が悪用される可能性があります。`そのため、Windowsエクスプローラでディレクトリを表示するだけでウイルス感染が引き起こされました。`はい、それはまさに悪用される脆弱性です。実際にファイルを実行して感染させる必要はありません。単にファイルにアクセスするだけで(ディレクトリリストを表示することも可能)、感染する可能性があります。◔̯◔
Synetech
7

これは、ウイルスがどのように記述されているか、ドライブを接続するシステムに存在する脆弱性によって異なりますが、答えは「はい」です。

たとえば、少し前までは、Windowsが.lnkファイルを処理する脆弱性が継承されていたため、ドライブに悪意を持って作成されたファイルがあるだけで、その中に埋め込まれたウイルスを実行できました。この脆弱性もかなり前に修正されたため、最新のシステムが危険にさらされることはありませんが、友人が示唆するように、「サイレント」で発生する可能性のある攻撃ベクトルが存在することを示しています。

ウイルス対策を常に最新の状態に保ち、信頼できる人のデバイスのみを接続してください。

このMicrosoftページで、この特定の攻撃方法に関する情報を確認できます

モクバイ
ソース
4

番号。

このウイルスは、実行することはできません自体をして任意の場合。他の何かがそれを実行する必要があります。

だから今質問は:プラグインされたときにそれを実行できますか?答えは、理想的な場合は「いいえ」ですが、Explorer(または他のWindowsコンポーネント)に欠陥がある場合は「可能性あります」。ただし、このような動作はWindowsのバグであり、仕様によるものではありません。

メアーダッド
ソース
1
ソフトウェアのバグは、自己増殖型ウイルスによるエクスプロイトベクターとして頻繁に使用されます。(私はプログラマはあえて言う意図的に制作ソフトのバグを入れていない。)いくつかのセキュリティホールは、ActiveXのと長期的なセキュリティ上の問題として、設計である特徴から幹ことができます。
CVn
これは、Stuxnetがコンピューターを感染させる方法です。感染したファイルのアイコンを表示するだけで、脆弱性が引き起こされ、コードの実行が開始されました。
Bigbio2002
4

はい、ウイルスはUSBデバイス(フラッシュドライブを含む)を挿入するだけで増殖できます。

これは、デバイスを検出するために実行する必要があるコード(ファームウェアと呼ばれる)がUSBデバイスにあるためです。このファームウェアは、キーボードを模倣する(したがってプログラムを実行する)、ネットワークカードを模倣するなどのことを実行できます。

詳細については、「BadUSB」をご覧ください。

ダン・サンドバーグ
ソース
2

まあ...うまくいけば、現在はありません。任意のタイプのファイルの情報が読み取られるたびに、それを読み取るプログラムに、ウイルスが悪用しようとする何らかの欠陥があり、直接または間接的に実行される可能性があります。古い例の1つは、イメージビューアで何らかのバッファオーバーランを利用したjpgウイルスでした。ウイルス対策ソフトウェアを製造する人々が新しいウイルスを見つけて更新プログラムを提供することは、常に課題です。したがって、現在のすべてのウイルス対策更新プログラムとシステムパッチがあれば、おそらく今日は問題ではなく、おそらく明日は理論上の問題です。

jdh
ソース
2

クリーンなシステムでは、ウイルスは自分自身を実行できないと言えます。しかし、ドライブが挿入されるのを待って、特定のファイルを探して実行可能であれば、常に実行できるプログラムを作成できると思います。常に実行するためにプログラムをインストールする必要があるため、これは非常にまれです。

マーティフライド
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.