web-dev-qa-db-ja.com

フラッシュドライブ上のウイルスは、自動実行なしで実行できますか?

誰かが、autorun.infが存在しないか、gpedit.mscを使用してこの機能が無効になっている場合でも、フラッシュメモリからウイルスが実行される可能性があると私に言いました。彼は、私がフラッシュメモリを差し込むとすぐにウイルスが実行できると言った。それが正しいか?

17
undone

短い答え

いいえ、ドライブ上のファイルはそれ自体を実行することはできません。すべてのウイルスと同様に、someの初期化が必要です。ファイルが理由もなく魔法のように開始されることはありません。 somethingsomeの方法でロードする必要があります。 (残念ながら、方法の数は途方もなく大きく、増え続けています。)

概観

ウイルスの実行方法は、ウイルスが存在するファイルのtypeによって大きく異なります。たとえば、.exeファイル通常実際にコードをロードするために何かが必要です(単に内容を読み取るだけでは不十分です)。画像または音声ファイルはコードであるとは想定されていないため、そもそもすべき「実行中」ではありません。

テクニカル

最近よく起こるのは、マルウェアが実行する主な方法が2つあることです。

  1. トロイの木馬
  2. エクスプロイト

トロイの木馬:トロイの木馬では、マルウェアコードが通常のファイルに挿入されます。たとえば、ゲームまたはプログラムにはいくつかの不正なコードが挿入されているため、(意図的に)プログラムを実行すると、不正なコードが潜入します(したがって、名前はtrojan)。これには、実行可能ファイルにコードを配置する必要があります。繰り返しになりますが、これにはホストプログラムを特別な方法で実行する必要があります。

エクスプロイト:エクスプロイトを使用すると、ファイルに不正な/無効な構造が含まれているため、エクスプロイトプログラミングが不十分です。たとえば、画像ファイルをチェックしないグラフィックスビューアプログラムは、システムコードを使用して画像ファイルを作成することで悪用される可能性があります。これにより、画像ファイルは、読み込まれたときに、画像用に作成されたバッファをオーバーロードし、システムをだまして通過させます。バッファを越えて挿入されたウイルスコードの制御(バッファオーバーフローは依然としてかなり一般的です)。この方法ではnotマルウェアコードを含むファイルを具体的に指定する必要がありますrun;不正なプログラミングとエラーチェックを悪用して、ファイルを開く/読み取るだけで、システムをだまして「実行」させます。

応用

では、これはフラッシュ(または他の種類の)ドライブにどのように適用されますか?ドライブにトロイの木馬(実行可能ファイル)が含まれている場合、システムで自動再生が有効になっているか、ファイルを指す何らかの自動実行/起動エントリがない限り、ドライブは単独で実行されません。一方、オペレーティングシステムや他のプログラムの脆弱性を悪用するファイルが存在する場合、ファイルを読み取る/表示するだけでマルウェアが起動する可能性があります。

防止

トロイの木馬が実行できるベクターをチェックする良い方法は、さまざまな種類の自動実行/起動場所をチェックすることです。 Autoruns は、それらの多くをチェックする簡単な方法です(Windowsのエントリを非表示にして混乱を減らすと、さらに簡単になります)。エクスプロイトが使用できる脆弱性の数を減らす良い方法は、オペレーティングシステムとプログラムを最新のバージョンとパッチで最新の状態に保つことです。

31
Synetech

これは、ウイルスの記述方法、およびドライブを接続したシステムに存在する脆弱性によって異なりますが、答えは潜在的に「はい」です。

たとえば、つい最近まで、Windowsが処理する方法に継承された脆弱性がありました.lnkファイルは、悪意を持って作成されたファイルがドライブにあるだけで、その中に埋め込まれたウイルスが実行される可能性があることを意味します。この脆弱性もかなり前に修正されたため、最新のシステムが危険にさらされることはありませんが、「サイレント」であり、あなたの同意や意識なしに友人が示唆する可能性のある潜在的な攻撃ベクトルがあることを示しています。

ウイルス対策を常に最新の状態に保ち、信頼できる人からのデバイスのみを接続します。

この特定の攻撃方法に関する情報は このMicrosoftページ で確認できます。

7
Mokubai

番号。

ウイルスitselfanyケース。何かelseを実行する必要があります。

だから今問題は:差し込まれたときにそれを実行することはできますか?答えは理想的な場合は「いいえ」ですが、エクスプローラ(または他のWindowsコンポーネント)に欠陥がある場合は「おそらく」です。ただし、このような動作はWindowsのバグであり、設計によるものではありません。

4
user541686

はい、USBデバイス(フラッシュドライブを含む)を挿入するだけでウイルスは増殖します。

これは、デバイスを検出するために実行する必要があるコード(ファームウェアと呼ばれる)がUSBデバイスにあるためです。このファームウェアは、キーボードの模倣(つまり​​プログラムの実行)、ネットワークカードの模倣などを実行できます。

詳細については、「BadUSB」をご覧ください。

4
Dan Sandberg

まあ...うまくいけば、現在はできません。あらゆるタイプのファイル内の情報が読み取られるたびに、それを読み取るプログラムに何らかの欠陥があり、ウイルスが利用しようとする直接または間接的な実行の可能性がほとんどありません。以前の例の1つは、画像ビューアのある種のバッファオーバーランを利用したjpgウイルスでした。ウイルス対策ソフトウェアを開発し、新しいウイルスを見つけてアップデートを提供する人々にとって、これは常に課題です。したがって、現在のすべてのウイルス対策更新プログラムとシステムパッチがある場合、おそらく今日の問題ではなく、理論的には明日になるでしょう。

2
jdh

クリーンなシステムでは、ウイルスはそれ自体を実行することはできません。しかし、ドライブが挿入されるのを待つだけで、常に実行できるプログラムを作成し、特定のファイルを探して、可能であれば実行することができると思います。プログラムを常に実行するためにインストールする必要があるため、これはかなりありそうにありませんが、可能性の範囲内にあるようですが、それほど可能性は低いです。

2
Marty Fried