¿Se puede ejecutar un virus en una unidad flash sin ejecución automática?

17

Alguien me dijo que es posible que un virus se ejecute solo desde las memorias Flash, incluso si autorun.infno está presente o si esta función está desactivada gpedit.msc. Dijo que un virus puede ejecutarse solo en cuanto conecto una memoria flash. ¿Es correcto?

windows-7 security autorun deshecho
fuente
posible duplicado de un virus puede ejecutarse solo?
Ƭᴇcʜιᴇ007
2
@ techie007 No exactamente. Esta pregunta es específica sobre el funcionamiento desde una unidad flash donde la otra pregunta es más general.
Tom
@ techie007 Encontré y leí esa pregunta antes de hacerla. pero mi pregunta era acerca de las unidades flash porque no instalé el análisis de virus y simplemente deshabilité la función de ejecución automática.
Deshecho
Tom es un poco correcto. Esta pregunta es sobre el peligro de que un virus en una unidad (flash) se ejecute espontáneamente mientras que la otra pregunta sobre la existencia específica de dicho virus. Definitivamente están relacionados, pero son ligeramente diferentes. Sin embargo, no sé si la diferencia es suficiente para justificar dos preguntas separadas.
Synetech
Creo que está relacionado pero definitivamente no es lo mismo, Windows realiza acciones en un dispositivo de memoria flash cuando se inserta que simplemente no sucede con un HDD. La redacción adicional de la pregunta se refiere específicamente a los eventos que ocurren cuando se inserta un dispositivo de memoria flash.
Tog

Respuestas:

31

Respuesta corta

No, un archivo en una unidad no puede ejecutarse solo. Como todos los virus, necesita algún tipo de inicialización. Un archivo no se inicia mágicamente sin ningún motivo; algo tiene que hacer que se cargue de alguna manera. (Desafortunadamente, la cantidad de formas es desconcertantemente grande y continúa creciendo).

Visión general

El funcionamiento de un virus depende en gran medida del tipo de archivo en el que se encuentra el virus. Por ejemplo, los .exearchivos generalmente requieren algo para cargar realmente su código (simplemente leer su contenido no es suficiente). Se supone que los archivos de imagen o audio no son código en absoluto, por lo que no deberían "ejecutarse" en primer lugar.

Técnico

Lo que sucede a menudo en estos días es que hay dos métodos principales que ejecuta el malware:

  1. Troyanos
  2. Exploits

Troyanos: con los troyanos, el código de malware se inserta en archivos normales. Por ejemplo, un juego o programa tendrá un código incorrecto inyectado de modo que cuando usted (a propósito) ejecute el programa, el código incorrecto se cuela (de ahí el nombre de troyano ). Esto requiere colocar el código en un ejecutable. Nuevamente, esto requiere que el programa host se ejecute específicamente de alguna manera.

Exploits: con exploits, lo que sucede es que un archivo contiene estructuras incorrectas / inválidas que explotan una programación deficiente. Por ejemplo, un programa de visor de gráficos que no verifica el archivo de imagen puede explotarse creando un archivo de imagen con el código del sistema de tal manera que cuando se lee, sobrecarga el búfer creado para la imagen y engaña al sistema para que pase control del código del virus que se insertó más allá del búfer (los desbordamientos del búfer siguen siendo bastante populares). Este método no requiere que se ejecute específicamente un archivo con código de malware ; explota la mala programación y la verificación de errores para engañar al sistema para que "lo ejecute" simplemente abriendo / leyendo el archivo.

Solicitud

Entonces, ¿cómo se aplica esto a una unidad flash (o cualquier otro tipo de)? Si la unidad contiene troyanos (archivos ejecutables), a menos que el sistema tenga AutoPlay habilitado o tenga algún tipo de entrada de ejecución automática / inicio que apunte al archivo, entonces no, no debería ejecutarse por sí solo. Por otro lado, si hay archivos que explotan vulnerabilidades en el sistema operativo u otro programa, simplemente leer / ver el archivo podría permitir que se inicie el malware.

Prevención

Una buena manera de verificar los vectores por los cuales los troyanos pueden ejecutarse es buscar diferentes tipos de ubicaciones de ejecución automática / inicio. Autoruns es una manera fácil de verificar muchos de ellos (es aún más fácil si oculta las entradas de Windows para reducir el desorden). Una buena manera de reducir la cantidad de vulnerabilidades que pueden utilizar los exploits es mantener actualizado su sistema operativo y su programa con las últimas versiones y parches.

Synetech
fuente
1
Necesita otro \subsubsectiony un par de otros subsubsubsections, esto no está lo suficientemente cerca. : P
Mehrdad
Los exploits también generalmente solo funcionan (correctamente) con una sola aplicación de visor, y a veces incluso con una sola versión. Por ejemplo , si un error hace que MS Word sea explotable de cierta manera, es probable que OpenOffice no se vea afectado (o que se vea afectado de una manera muy diferente si se activa el error). La explotación de características por diseño (código ejecutable en PDF, ActiveX en páginas web vistas usando MSIE, etc.) es, por supuesto, una bestia diferente.
un CVn
Una cosa a la que hacer referencia para un ejemplo de virus de explotación es cómo Stuxnet explotó un error en la forma en que Windows manejaba los .lnkarchivos (acceso directo). Entonces, solo ver el directorio en el explorador de Windows desencadenó la infección del virus.
Scott Chamberlain el
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version. Afortunadamente, sí, aunque los errores pueden pasar desapercibidos / no corregidos por un tiempo y, por lo tanto, una vulnerabilidad se puede aprovechar para muchas versiones. `Así que solo ver el directorio en el explorador de Windows desencadenó la infección del virus. Sí, ese es exactamente el tipo de vulnerabilidad que explota, bueno, explota. En realidad, ya no tiene que ejecutar un archivo para infectarse porque simplemente acceder a él (lo que incluso hace ver una lista de directorios) puede infectarlo. ◔̯◔
Synetech
7

Esto depende de cómo esté escrito el virus y de qué vulnerabilidades existan en el sistema en el que conecta el disco, pero la respuesta es potencialmente sí.

Por ejemplo, no hace mucho tiempo, había una forma heredada de vulnerabilidad en la que Windows manejaba los .lnkarchivos, lo que significaba que solo tener un archivo creado con fines malintencionados en su disco podía ejecutar el virus incrustado en él. Esta vulnerabilidad también se solucionó hace bastante tiempo, por lo que ningún sistema actualizado debería estar en riesgo, pero muestra que hay posibles vectores de ataque que son "silenciosos" y pueden suceder, como sugiere su amigo, sin su consentimiento o conocimiento.

Mantenga su antiviral en funcionamiento y actualizado y solo conecte dispositivos de personas de su confianza.

Puede ver información sobre este método de ataque en particular en esta página de Microsoft .

Mokubai
fuente
4

No.

El virus no puede ejecutarse solo en ningún caso. Algo más necesita ejecutarlo.

Entonces, la pregunta es: ¿se puede ejecutar cuando está enchufado? La respuesta es "no" en el caso ideal, pero " posiblemente " en el caso de un defecto en Explorer (o algún otro componente de Windows). Sin embargo, tal comportamiento sería un error en Windows, no por diseño.

Mehrdad
fuente
1
Los errores en el software se usan muy a menudo como vectores de explotación por virus autopropagantes. (Me atrevo a decir que ningún programador deliberadamente pone errores en el software de producción). Algunos agujeros de seguridad pueden provenir de características que son por diseño, como los problemas de seguridad de larga duración con ActiveX.
un CVn
Así es como Stuxnet infectó las computadoras. Simplemente viendo el ícono del archivo infectado, eso provocó una vulnerabilidad y comenzó la ejecución del código.
Bigbio2002
4

Sí, un virus puede propagarse simplemente insertando un dispositivo USB (incluida una unidad flash).

Esto se debe a que hay un código (llamado firmware) en el dispositivo USB que debe ejecutarse para que el dispositivo sea detectado. Este firmware puede hacer cosas como imitar un teclado (y así ejecutar un programa), imitar una tarjeta de red, etc.

Busque "BadUSB" para obtener más información.

Dan Sandberg
fuente
2

Bueno ... espero que no actualmente. Cada vez que se lee información en un archivo de cualquier tipo, también existe la posibilidad remota de que el programa que lo lee tenga algún defecto que el virus intente aprovechar y que se ejecute directa o indirectamente. Un ejemplo anterior fue un virus jpg que aprovechó algún tipo de desbordamiento de búfer en el visor de imágenes. Es una tarea constante para las personas que fabrican software antivirus encontrar nuevos virus y proporcionar actualizaciones. Entonces, si tiene todas las actualizaciones de antivirus y parches de sistema actuales, probablemente no sea un problema hoy, pero quizás sea una teoría mañana.

jdh
fuente
2

En un sistema limpio, diría que un virus no puede ejecutarse solo. Pero creo que se podría escribir un programa que podría estar ejecutándose todo el tiempo, solo esperando que se inserte una unidad, luego busque un determinado archivo y ejecútelo, si está disponible. Esto es bastante improbable, ya que el programa necesitaría estar instalado para ejecutarse todo el tiempo, pero parece estar dentro del ámbito de lo posible pero no muy probable.

Marty Fried
fuente