Bisakah virus pada flash drive berjalan sendiri tanpa autorun?

17

Seseorang mengatakan kepada saya bahwa ada kemungkinan virus menjalankan dirinya sendiri dari memori Flash walaupun autorun.inftidak ada atau fitur ini dinonaktifkan menggunakan gpedit.msc. Katanya virus bisa berjalan sendiri begitu saya pasang di memori flash. Apakah itu benar?

windows-7 security autorun terlepas
sumber
duplikat yang dapat dilakukan virus dengan sendirinya?
Ƭᴇcʜιᴇ007
2
@ techie007 Tidak juga. Pertanyaan ini khusus tentang beeing run dari flash drive di mana pertanyaan lain lebih umum.
Tom
@ techie007 Saya menemukan dan membaca pertanyaan itu sebelum mengajukan pertanyaan ini. tetapi pertanyaan saya adalah tentang flash drive karena saya belum menginstal scan virus dan hanya menonaktifkan fitur autorun.
dibatalkan
Tom agak benar. Pertanyaan ini menanyakan tentang bahaya virus pada drive (flash) yang secara spontan menjalankan dirinya sendiri sementara yang lain bertanya tentang keberadaan virus tersebut. Mereka pasti terkait, tetapi sedikit berbeda. Saya tidak tahu apakah perbedaannya cukup untuk membenarkan dua pertanyaan terpisah.
Synetech
Saya pikir ini terkait tetapi jelas tidak sama, Windows melakukan tindakan pada memory stick ketika dimasukkan yang tidak terjadi dengan HDD. Kata-kata tambahan dari pertanyaan merujuk secara khusus pada peristiwa yang terjadi ketika stik memori flash dimasukkan.
Tog

Jawaban:

31

Jawaban singkat

Tidak, file pada drive tidak bisa berjalan sendiri. Seperti semua virus, dibutuhkan beberapa jenis inisialisasi. File tidak secara ajaib memulai tanpa alasan sama sekali; sesuatu harus membuatnya dimuat dengan cara tertentu . (Sayangnya jumlah cara ini sangat besar dan terus bertambah.)

Gambaran

Cara virus berjalan sangat tergantung pada jenis file yang digunakan. Misalnya, .exefile biasanya memerlukan sesuatu untuk memuat kode mereka (membaca isinya saja tidak cukup). File gambar atau audio tidak seharusnya menjadi kode sama sekali, jadi mereka seharusnya tidak "berjalan" sejak awal.

Teknis

Apa yang sering terjadi hari ini, adalah bahwa ada dua metode utama yang dijalankan malware:

  1. Trojans
  2. Eksploitasi

Trojans: Dengan trojan, kode malware dimasukkan ke file normal. Misalnya permainan atau program akan memiliki beberapa kode buruk yang disuntikkan sehingga ketika Anda (dengan sengaja) menjalankan program, kode yang buruk akan menyelinap masuk (maka nama itu adalah trojan ). Ini membutuhkan penempatan kode dalam executable. Sekali lagi, ini membutuhkan program host untuk dapat dijalankan secara khusus.

Eksploitasi: Dengan eksploitasi, yang terjadi adalah file berisi struktur yang salah / tidak valid yang mengeksploitasi pemrograman yang buruk. Sebagai contoh, program penampil grafik yang tidak memeriksa file gambar dapat dieksploitasi dengan membuat file gambar dengan kode sistem sedemikian rupa sehingga ketika dibaca, itu membebani buffer yang dibuat untuk gambar dan mengelabui sistem agar lewat kontrol ke kode virus yang dimasukkan melewati buffer (buffer overflows masih cukup populer). Metode ini tidak memerlukan file dengan kode malware untuk dijalankan secara khusus ; itu mengeksploitasi pemrograman yang buruk dan pengecekan kesalahan untuk mengelabui sistem agar "menjalankan" itu hanya dengan membuka / membaca file.

Aplikasi

Jadi bagaimana ini berlaku untuk drive flash (atau jenis lain)? Jika drive berisi trojan (file yang dapat dieksekusi), maka kecuali jika sistem AutoPlay telah diaktifkan atau memiliki semacam entri autorun / startup yang menunjuk ke file, maka tidak, itu tidak boleh berjalan sendiri. Di sisi lain, jika ada file yang mengeksploitasi kerentanan dalam sistem operasi atau program lain, maka cukup membaca / melihat file tersebut dapat memungkinkan malware untuk memulai.

Pencegahan

Cara yang baik untuk memeriksa vektor yang dapat dijalankan oleh trojan adalah memeriksa berbagai jenis lokasi autorun / startup. Autoruns adalah cara mudah untuk memeriksa banyak dari mereka (bahkan lebih mudah jika Anda menyembunyikan entri Windows untuk mengurangi kekacauan). Cara yang baik untuk mengurangi jumlah kerentanan yang dapat digunakan eksploit adalah menjaga agar sistem operasi dan program Anda tetap mutakhir dengan versi dan tambalan terbaru.

Synetech
sumber
1
Anda memerlukan \subsubsectionpasangan lain dan pasangan lain subsubsubsection, ini tidak cukup dekat. : P
Mehrdad
Eksploitasi juga umumnya hanya berfungsi (dengan benar) dengan aplikasi penampil tunggal, dan kadang-kadang bahkan hanya dengan satu versi. Misalnya , jika bug menyebabkan MS Word dieksploitasi dengan cara tertentu, OpenOffice kemungkinan akan tetap tidak terpengaruh (atau terpengaruh dengan cara yang sangat berbeda jika bug dipicu). Memanfaatkan fitur-oleh-desain (kode yang dapat dieksekusi dalam PDF, ActiveX pada halaman web yang dilihat menggunakan MSIE, dll) tentu saja binatang buas yang berbeda.
CVn
Satu hal yang perlu diperhatikan untuk contoh virus eksploit adalah bagaimana Stuxnet mengeksploitasi bug dalam cara windows menangani .lnkfile (pintasan). Jadi hanya melihat direktori di windows explorer memicu infeksi virus.
Scott Chamberlain
Exploits also generally only work (properly) with a single viewer application, and sometimes even just with a single version. Untungnya ya, meskipun bug dapat tidak terdeteksi / tidak diperbaiki untuk sementara waktu dan dengan demikian kerentanan dapat dieksploitasi untuk banyak versi. `Jadi, hanya dengan melihat direktori di windows explorer memicu infeksi virus.` Ya, itulah jenis kerentanan yang mengeksploitasi, well, exploit. Anda tidak harus benar - benar menjalankan file untuk terinfeksi lagi karena hanya mengaksesnya (yang bahkan melihat daftar direktori) dapat berpotensi menginfeksi Anda. ◔̯◔
Synetech
7

Ini tergantung pada bagaimana virus ditulis, dan kerentanan apa yang ada pada sistem yang Anda masukkan drive, tetapi jawabannya berpotensi ya.

Misalnya belum lama ini ada kerentanan yang diwarisi cara Windows menangani .lnkfile yang berarti bahwa hanya memiliki file yang dibuat berbahaya pada drive Anda dapat mengeksekusi virus yang tertanam di dalamnya. Kerentanan ini juga diperbaiki beberapa waktu yang lalu sehingga tidak ada sistem terkini yang beresiko tetapi itu menunjukkan bahwa ada vektor serangan potensial yang "diam" dan dapat terjadi, seperti yang disarankan teman Anda, tanpa persetujuan atau kesadaran Anda.

Pastikan antivirus Anda tetap berjalan dan terbaru dan hubungkan saja perangkat dari orang yang Anda percayai.

Anda dapat melihat informasi tentang metode serangan khusus ini di halaman Microsoft ini .

Mokubai
sumber
4

Tidak.

The virus tidak dapat menjalankan sendiri dalam setiap kasus. Sesuatu yang lain perlu dijalankan.

Jadi sekarang pertanyaannya adalah: Bisakah dijalankan ketika dicolokkan? Jawabannya adalah "tidak" dalam kasus yang ideal, tetapi " mungkin " dalam kasus cacat di Explorer (atau komponen Windows lainnya). Namun, perilaku seperti itu akan menjadi bug di Windows, bukan karena desain.

Mehrdad
sumber
1
Bug dalam perangkat lunak sangat sering digunakan sebagai vektor eksploitasi oleh virus yang memperbanyak diri. (Saya berani mengatakan tidak ada programmer yang sengaja memasukkan bug ke dalam perangkat lunak produksi.) Beberapa lubang keamanan dapat berasal dari fitur yang dirancang, seperti masalah keamanan jangka panjang dengan ActiveX.
CVn
Beginilah cara Stuxnet menginfeksi komputer. Dengan hanya melihat ikon file yang terinfeksi, yang memicu kerentanan dan memulai eksekusi kode.
Bigbio2002
4

Ya, virus dapat menyebar hanya dengan memasukkan perangkat USB (termasuk flash drive).

Ini karena ada kode (disebut firmware) pada perangkat USB yang harus dijalankan agar perangkat terdeteksi. Firmware ini dapat melakukan hal-hal seperti meniru keyboard (dan dengan demikian menjalankan program), meniru kartu jaringan, dll.

Lihatlah "BadUSB" untuk informasi lebih lanjut.

Dan Sandberg
sumber
2

Yah ... semoga tidak saat ini. Setiap kali informasi dalam file jenis apa pun dibaca, ada juga kemungkinan kecil bahwa program yang membacanya memiliki beberapa cacat yang mencoba dimanfaatkan oleh virus, dan dijalankan secara langsung atau tidak langsung. Salah satu contoh yang lebih tua adalah virus jpg yang mengambil keuntungan dari semacam buffer overrun di penampil gambar. Ini adalah tugas konstan bagi orang-orang yang membuat perangkat lunak antivirus untuk menemukan virus baru dan memberikan pembaruan. Jadi, jika Anda memiliki semua pembaruan antivirus dan tambalan sistem saat ini, mungkin ini bukan masalah hari ini, tapi mungkin yang teortikal besok.

jdh
sumber
2

Pada sistem yang bersih, saya akan mengatakan bahwa virus tidak dapat berjalan sendiri. Tetapi saya pikir suatu program dapat ditulis yang dapat berjalan setiap saat, hanya menunggu drive dimasukkan, kemudian mencari file tertentu dan menjalankannya, jika tersedia. Ini sangat tidak mungkin, karena program harus diinstal untuk dijalankan sepanjang waktu, tetapi tampaknya berada dalam bidang yang mungkin tetapi tidak terlalu mungkin.

Marty Fried
sumber