简短回答

简短回答

autorun.inf有人告诉我,即使没有闪存或使用 禁用了此功能,病毒也可能从闪存中自行运行gpedit.msc。他说,只要我插入闪存,病毒就可以自行运行。这是正确的吗?

答案1

简短回答

不,驱动器上的文件不能自行运行。像所有病毒一样,它需要一些某种初始化。文件不会无缘无故地神奇地启动;某物必须让它加载一些方式。(不幸的是,方式的数量多得令人困惑,并且还在不断增长。)

概述

病毒如何运行很大程度上取决于类型病毒所在的文件。例如,.exe文件通常需要一些东西来真正加载它们的代码(仅仅读取它们的内容是不够的)。图片或音频文件根本不应该是代码,所以它们应该一开始就不要“跑步”。

技术的

目前常见的情况是,恶意软件运行主要有两种方法:

  1. 特洛伊木马
  2. 漏洞

特洛伊木马: 特洛伊木马病毒会将恶意代码插入到正常文件中。例如,游戏或程序中会注入一些恶意代码,这样当你(故意)运行该程序时,恶意代码就会潜入其中(因此得名木马)。这需要将代码放在可执行文件中。同样,这需要以某种方式专门运行主机程序。

漏洞利用: 对于漏洞,会发生的情况是文件包含不正确/无效的结构,开发糟糕的编程。例如,一个不检查图片文件的图形查看器程序可能会被利用,方法是用系统代码制作一个图片文件,这样当读取时,它就会使为图像创建的缓冲区过载,并欺骗系统将控制权传递给插入到缓冲区后面的病毒代码(缓冲区溢出仍然相当流行)。这种方法确实不是要求包含恶意软件代码的文件具体跑步;它利用糟糕的编程和错误检查来欺骗系统仅通过打开/读取文件即可“运行”它。

应用

那么这如何适用于闪存(或任何其他类型)驱动器?如果驱动器包含木马(可执行文件),那么除非系统启用了自动播放或有某种指向该文件的自动运行/启动条目,否则它不应该自行运行。另一方面,如果存在利用操作系统或其他程序漏洞的文件,那么只需读取/查看该文件即可启动恶意软件。

预防

检查木马运行载体的一个好方法是检查不同类型的自动运行/启动位置。自动运行是检查其中许多漏洞的简单方法(如果隐藏 Windows 条目以减少混乱,则更加容易)。减少漏洞利用的漏洞数量的好方法是让您的操作系统和程序保持最新版本和补丁。

答案2

这取决于病毒是如何编写的,以及插入驱动器的系统存在哪些漏洞,但答案可能是肯定的。

例如,不久前,Windows 处理.lnk文件的方式存在一个漏洞,这意味着只要驱动器上有一个恶意创建的文件,就可以执行其中嵌入的病毒。这个漏洞也已经修复了一段时间,所以任何最新的系统都不应该有风险,但它确实表明存在潜在的攻击媒介,这些攻击媒介是“静默的”,可能会发生,就像你的朋友所说的那样,在你不知情或不知情的情况下发生。

保持抗病毒软件正常运行并更新,并且只连接您信任的人的设备。

您可以查看有关此特定攻击方法的信息此 Microsoft 页面

答案3

是的,只需插入 USB 设备(包括闪存驱动器)即可传播病毒。

这是因为 USB 设备上有代码(称为固件),必须运行该代码才能检测到设备。该固件可以执行诸如模拟键盘(从而运行程序)、模拟网卡等操作。

查看“BadUSB”以了解更多信息。

答案4

嗯……希望目前不会。任何时候读取任何类型的文件中的信息时,也有可能读取它的程序存在一些缺陷,病毒会试图利用这些缺陷,并直接或间接地运行。一个较早的例子是 jpg 病毒,它利用了图像查看器中的某种缓冲区溢出。对于生产防病毒软件的人来说,寻找新病毒并提供更新是一项持续的任务。因此,如果您拥有所有当前的防病毒更新和系统补丁,那么它可能不是今天的问题,但理论上可能是明天的问题。

相关内容