Kann ein Virus auf einem Flash-Laufwerk sich selbst ohne Autorun ausführen?

17

Jemand sagte mir, dass es möglich ist, dass ein Virus sich aus Flash-Speichern selbst heraus ausführt, selbst wenn er autorun.infnicht vorhanden ist oder diese Funktion mit deaktiviert ist gpedit.msc. Er sagte, ein Virus könne sich von selbst ausführen, sobald ich einen Flash-Speicher einstecke. Ist es richtig?

windows-7 security autorun rückgängig gemacht
quelle
Kann ein Virus ein
ᴇcƬᴇι12007
2
@ techie007 Nicht genau. Diese Frage bezieht sich speziell auf das Ausführen von einem Flash-Laufwerk, bei dem die andere Frage allgemeiner ist.
Tom
@ techie007 Ich habe diese Frage gefunden und gelesen, bevor ich sie gestellt habe. Meine Frage betraf jedoch Flash-Laufwerke, da ich keinen Virenscan installiert und nur die Autorun-Funktion deaktiviert habe.
Rückgängig gemacht
Tom ist irgendwie richtig. Bei dieser Frage geht es um die Gefahr, dass ein Virus auf einem (Flash-) Laufwerk spontan ausgeführt wird, während sich der andere nach der spezifischen Existenz eines solchen Virus erkundigt. Sie sind definitiv verwandt, aber leicht unterschiedlich. Ich weiß jedoch nicht, ob der Unterschied ausreicht, um zwei getrennte Fragen zu rechtfertigen.
Synetech,
Ich denke, es ist verwandt, aber definitiv nicht dasselbe, Windows führt Aktionen auf einem Flash-Speicherstick aus, wenn er eingesetzt ist, die bei einer Festplatte einfach nicht vorkommen. Der zusätzliche Wortlaut der Frage bezieht sich speziell auf die Ereignisse, die beim Einstecken eines Flash-Memory-Sticks auftreten.
Tog

Antworten:

31

Kurze Antwort

Nein, eine Datei auf einem Laufwerk kann nicht einfach von selbst ausgeführt werden. Wie alle Viren, braucht es eine gewisse Art von Initialisierung. Eine Datei wird nicht ohne Grund magisch initiiert. irgendetwas muss dafür sorgen, dass es auf irgendeine Weise geladen wird. (Leider ist die Anzahl der Wege verblüffend groß und wächst weiter.)

Überblick

Wie ein Virus ausgeführt wird, hängt weitgehend von der Art der Datei ab, in der sich der Virus befindet. Beispielsweise benötigen .exeDateien normalerweise etwas, um ihren Code tatsächlich zu laden (das einfache Lesen ihres Inhalts reicht nicht aus). Bild- oder Audiodateien sollten überhaupt kein Code sein, daher sollten sie nicht in erster Linie „ausgeführt“ werden.

Technisch

Was heutzutage oft passiert, ist, dass es zwei Hauptmethoden gibt, die Malware ausführt:

  1. Trojaner
  2. Exploits

Trojaner: Bei Trojanern wird Malware-Code in normale Dateien eingefügt. In ein Spiel oder Programm wird beispielsweise ein fehlerhafter Code eingefügt, sodass sich der fehlerhafte Code einschleicht, wenn Sie das Programm (absichtlich) ausführen (daher der Name Trojaner ). Dies erfordert das Platzieren des Codes in einer ausführbaren Datei. Auch dies setzt voraus, dass das Host-Programm speziell ausgeführt wird.

Exploits: Bei Exploits kommt es vor, dass eine Datei falsche / ungültige Strukturen enthält, die eine schlechte Programmierung ausnutzen . Zum Beispiel kann ein Grafik-Viewer-Programm, das die Bilddatei nicht überprüft, ausgenutzt werden, indem eine Bilddatei mit Systemcode so erstellt wird, dass sie beim Lesen den für das Bild erstellten Puffer überlastet und das System zur Übergabe verleitet Kontrolle über den Viruscode, der hinter dem Puffer eingefügt wurde (Pufferüberläufe sind immer noch recht beliebt). Bei dieser Methode muss keine Datei mit Malware-Code speziell ausgeführt werden . Es nutzt die schlechte Programmierung und Fehlerprüfung aus, um das System dazu zu bringen, es einfach durch Öffnen / Lesen der Datei auszuführen.

Anwendung

Wie trifft dies auf ein Flash-Laufwerk (oder eine andere Art von Laufwerk) zu? Wenn das Laufwerk Trojaner (ausführbare Dateien) enthält, sollte es nicht eigenständig ausgeführt werden, es sei denn, auf dem System ist die automatische Wiedergabe aktiviert oder es gibt einen Autorun / Start-Eintrag, der auf die Datei verweist. Wenn es andererseits Dateien gibt, die Sicherheitslücken im Betriebssystem oder einem anderen Programm ausnutzen, kann die Malware durch einfaches Lesen / Anzeigen der Datei initiiert werden.

Verhütung

Eine gute Möglichkeit, nach Vektoren zu suchen, mit denen Trojaner ausgeführt werden können, besteht darin, nach verschiedenen Arten von Autorun- / Startpositionen zu suchen. Mit Autoruns können Sie viele von ihnen auf einfache Weise überprüfen (es ist sogar noch einfacher, wenn Sie die Windows-Einträge ausblenden, um die Unordnung zu verringern). Eine gute Möglichkeit, die Anzahl der Schwachstellen zu verringern, die von Exploits ausgenutzt werden können, besteht darin, Ihr Betriebssystem und Ihre Programme mit den neuesten Versionen und Patches auf dem neuesten Stand zu halten.

Synetech
quelle
1
Du brauchst noch einen \subsubsectionund ein paar andere subsubsubsection, das ist bei weitem nicht genug. : P
Mehrdad
Exploits funktionieren in der Regel auch nur (ordnungsgemäß) mit einer einzelnen Viewer-Anwendung und manchmal sogar nur mit einer einzelnen Version. Wenn beispielsweise ein Fehler dazu führt, dass MS Word auf bestimmte Weise ausgenutzt werden kann, bleibt OpenOffice wahrscheinlich davon unberührt (oder ist auf eine ganz andere Weise betroffen, wenn der Fehler ausgelöst wird). Das gezielte Ausnutzen von Funktionen (ausführbarer Code in PDFs, ActiveX auf mit MSIE angezeigten Webseiten usw.) ist natürlich eine andere Sache.
ein Lebenslauf
Ein Beispiel für Exploit-Viren ist, wie Stuxnet einen Fehler im Umgang mit Windows- .lnkDateien (Verknüpfungen) ausnutzt . Das Anzeigen des Verzeichnisses im Windows Explorer löste die Virusinfektion aus.
Scott Chamberlain
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version. Zum Glück ja, obwohl Fehler für eine Weile unentdeckt bleiben und somit eine Sicherheitslücke für viele Versionen ausgenutzt werden kann. `Das einfache Betrachten des Verzeichnisses im Windows Explorer hat die Virusinfektion ausgelöst.` Ja, genau diese Art von Sicherheitslücke wird ausgenutzt. Sie müssen eine Datei nicht mehr ausführen , um infiziert zu werden, da Sie möglicherweise infiziert werden, wenn Sie nur darauf zugreifen (was selbst beim Anzeigen einer Verzeichnisliste der Fall ist). ◔̯◔
Synetech
7

Dies hängt davon ab, wie der Virus geschrieben wurde und welche Sicherheitslücken auf dem System bestehen, an das Sie das Laufwerk anschließen. Die Antwort lautet jedoch möglicherweise Ja.

Vor nicht allzu langer Zeit gab es beispielsweise eine vererbte Sicherheitsanfälligkeit, bei der Windows .lnkDateien handhabte , was bedeutete, dass nur eine in böswilliger Absicht erstellte Datei auf Ihrem Laufwerk den darin eingebetteten Virus ausführen konnte. Diese Sicherheitsanfälligkeit wurde ebenfalls vor einiger Zeit behoben, sodass kein aktuelles System gefährdet sein sollte. Sie zeigt jedoch, dass es potenzielle Angriffsmethoden gibt, die "still" sind und, wie Ihr Freund vorschlägt, ohne Ihr Einverständnis oder Bewusstsein auftreten können.

Halten Sie Ihren Virenschutz auf dem neuesten Stand und verbinden Sie nur Geräte von Personen, denen Sie vertrauen.

Informationen zu dieser bestimmten Angriffsmethode finden Sie auf dieser Microsoft-Seite .

Mokubai
quelle
4

Nein.

Der Virus kann sich auf keinen Fall selbst ausführen . Etwas anderes muss es ausführen.

Die Frage ist nun also: Kann es ausgeführt werden, wenn es eingesteckt ist? Die Antwort lautet im Idealfall "nein", im Falle eines Defekts im Explorer (oder einer anderen Windows-Komponente) " möglicherweise ". Ein solches Verhalten wäre jedoch nicht beabsichtigt, sondern ein Fehler in Windows.

Mehrdad
quelle
1
Bugs in Software werden sehr oft als Exploit-Vektoren von sich selbst ausbreitenden Viren verwendet. (Ich wage zu behaupten, dass kein Programmierer absichtlich Fehler in der Produktionssoftware behebt.) Einige Sicherheitslücken können auf beabsichtigte Funktionen zurückzuführen sein, z. B. auf die lang anhaltenden Sicherheitsprobleme mit ActiveX.
ein Lebenslauf
So infizierte Stuxnet Computer. Durch das bloße Anzeigen des Symbols der infizierten Datei wurde eine Sicherheitsanfälligkeit ausgelöst und die Ausführung des Codes gestartet.
Bigbio2002,
4

Ja, ein Virus kann sich einfach durch Einstecken eines USB-Geräts (einschließlich eines Flash-Laufwerks) verbreiten.

Dies liegt daran, dass sich auf dem USB-Gerät ein Code (Firmware) befindet, der ausgeführt werden muss, damit das Gerät erkannt wird. Diese Firmware kann zum Beispiel eine Tastatur imitieren (und damit ein Programm ausführen), eine Netzwerkkarte imitieren usw.

Schauen Sie in "BadUSB" für weitere Informationen.

Dan Sandberg
quelle
2

Naja ... hoffentlich momentan nicht. Jedes Mal, wenn Informationen in einer Datei eines beliebigen Typs gelesen werden, besteht auch die Möglichkeit, dass das gelesene Programm einen Fehler aufweist, den der Virus auszunutzen versucht und entweder direkt oder indirekt ausführt. Ein älteres Beispiel war ein JPG-Virus, der eine Art Pufferüberlauf im Bildbetrachter ausnutzte. Es ist eine ständige Aufgabe für die Benutzer von Antivirensoftware, neue Viren zu finden und Updates bereitzustellen. Wenn Sie also über alle aktuellen Antivirus-Updates und System-Patches verfügen, ist dies heute wahrscheinlich kein Problem, aber morgen vielleicht ein theoretisches.

jdh
quelle
2

Auf einem sauberen System würde ich sagen, dass ein Virus sich nicht selbst ausführen kann. Aber ich denke, dass ein Programm geschrieben werden könnte, das die ganze Zeit ausgeführt wird, nur darauf wartet, dass ein Laufwerk eingelegt wird, dann nach einer bestimmten Datei sucht und sie ausführt, falls verfügbar. Dies ist ziemlich unwahrscheinlich, da das Programm installiert werden muss, um die ganze Zeit ausgeführt zu werden, aber es scheint im Bereich des Möglichen zu liegen, aber nicht sehr wahrscheinlich.

Marty Fried
quelle