Un virus sur un lecteur flash peut-il fonctionner sans exécution automatique?

Quelqu'un m'a dit qu'il est possible qu'un virus se débrouille des mémoires Flash même si autorun.inf n'est pas présent ou cette fonctionnalité est désactivée à l'aide de gpedit.msc . Il a déclaré qu'un virus peut fonctionner dès que je branche une mémoire flash. Est-ce correct?

Réponse courte

Non, un fichier sur un lecteur ne peut pas être exécuté lui-même. Comme tous les virus, il faut une sorte d'initialisation. Un fichier ne démarre pas magiquement pour aucune raison; Quelque chose doit l'amener à charger d' une manière ou d' une autre. (Malheureusement, le nombre de façons est énormément grand et continue de croître).

Aperçu

La façon dont un virus s'exécute dépend en grande partie du type de fichier dans lequel se trouve le virus. Par exemple, les fichiers .exe nécessitent généralement quelque chose pour charger leur code (simplement lire leur contenu n'est pas suffisant). L'image ou les fichiers audio ne sont pas censés être du code, donc ils ne devraient pas être "en cours d'exécution" en premier lieu.

Technique

Ce qui arrive souvent ces jours-ci, c'est qu'il existe deux méthodes principales:

  1. Trojans
  2. Exploits

Trojans: avec des chevaux de Troie, le code de malware est inséré dans les fichiers normaux. Par exemple, un jeu ou un programme aura un mauvais code injecté afin que, lorsque vous (délibérément) exécutez le programme, le mauvais code se faufile (d'où le nom trojan ). Cela nécessite de placer le code dans un exécutable. Encore une fois, cela nécessite que le programme hôte soit spécifiquement exécuté de quelque façon.

Exploits: Avec des exploits, ce qui se passe, c'est qu'un fichier contient des structures incorrectes / non valides qui exploitent une mauvaise programmation. Par exemple, un programme de visualisation graphique qui ne vérifie pas le fichier image peut être exploité en créant un fichier image avec code système de telle sorte que lorsqu'il est lu, il surcharge le tampon créé pour l'image et empêche le système de passer Contrôle sur le code du virus qui a été inséré au-delà du tampon (les débordements des tampons sont encore assez populaires). Cette méthode n'exige pas qu'un fichier contenant un code de malware soit spécifiquement exécuté ; Il exploite la mauvaise programmation et la vérification des erreurs pour inciter le système à «l'exécuter» simplement en ouvrant / lisant le fichier.

Application

Alors, comment cela s'applique-t-il à un lecteur Flash (ou tout autre type)? Si le lecteur contient des chevaux de Troie (fichiers exécutables), alors à moins que le système ne soit activé ou qu'il y ait une sorte d'entrée autorun / démarrage indiquant le fichier, alors non, il ne devrait pas s'exécuter seul. D'autre part, s'il existe des fichiers qui exploitent les vulnérabilités du système d'exploitation ou d'un autre programme, il vous suffit simplement de lire / visualiser le fichier, ce qui pourrait permettre aux logiciels malveillants de lancer.

La prévention

Un bon moyen de vérifier les vecteurs par lesquels les chevaux de Troie peuvent s'exécuter est de vérifier les différents types d'emplacements autorun / startup. Autoruns est un moyen simple de vérifier plusieurs d'entre eux (il est encore plus facile si vous cachez les entrées Windows pour réduire le fouillis). Une bonne façon de réduire le nombre de vulnérabilités que les exploits peuvent utiliser est de maintenir votre système d'exploitation et votre programme à jour avec les dernières versions et correctifs.

Cela dépend de la façon dont le virus est écrit, et quelles sont les vulnérabilités sur le système dans lequel vous connectez le lecteur, mais la réponse est potentiellement oui.

Par exemple, il n'y a pas longtemps, il y avait une manière héritée de la vulnérabilité que Windows .lnk fichiers .lnk , ce qui signifie que le fait d'avoir un fichier créé de manière malveillante sur votre disque pourrait exécuter le virus intégré. Cette vulnérabilité a également été corrigée il y a quelque temps, de sorte qu'aucun système à jour ne devrait être menacé, mais il montre qu'il existe des vecteurs d'attaque potentiels qui sont «silencieux» et peuvent se produire, comme votre ami le suggère, sans votre consentement ou votre conscience.

Gardez votre antiviral en cours d'exécution et à jour et connectez uniquement les périphériques des personnes dont vous avez confiance.

Vous pouvez voir des informations sur cette méthode d'attaque particulière sur cette page Microsoft .

Non.

Le virus ne peut pas fonctionner en aucun cas. Une autre chose doit l'exécuter.

Alors maintenant, la question est: peut-elle être exécutée lorsqu'elle est branchée? La réponse est "non" dans le cas idéal, mais " éventuellement " dans le cas d'un défaut dans Explorer (ou un autre composant Windows). Cependant, un tel comportement serait un bogue dans Windows, pas par conception.

Oui, un virus peut se propager simplement en insérant un périphérique USB (y compris un lecteur flash).

C'est parce qu'il existe un code (appelé firmware) sur le périphérique USB qui doit être exécuté pour que l'appareil soit détecté. Ce firmware peut faire des choses comme imiter un clavier (et donc exécuter un programme), imiter une carte réseau, etc.

Consultez "BadUSB" pour plus d'informations.

Eh bien … espérons que pas actuellement. Chaque fois que l'information dans un fichier de n'importe quel type est lue, il existe également la possibilité à distance que le programme de le lire comporte un défaut que le virus tente de profiter et soit exécuter directement ou indirectement. Un exemple plus ancien était un virus jpg qui a profité d'une sorte de dépassement de tampon dans le visualiseur d'image. C'est une tâche constante pour les personnes qui produisent des logiciels antivirus pour trouver de nouveaux virus et fournir des mises à jour. Donc, si vous disposez de toutes les mises à jour antivirus et des correctifs système existants, ce n'est probablement pas un problème aujourd'hui, mais un théorique peut-être demain.

Sur un système propre, je dirais qu'un virus ne peut pas fonctionner lui-même. Mais je pense qu'un programme pourrait être écrit qui pourrait être exécuté tout le temps, en attendant qu'un disque soit inséré, puis cherchez un certain fichier et exécutez-le, si disponible. C'est assez peu probable, car le programme devrait être installé pour fonctionner tout le temps, mais il semble être dans le domaine possible mais pas très probable.