Может ли вирус запуститься сам

Обновлено: 01.05.2024

Кто-то сказал мне, что вирус может запускаться из флэш-памяти, даже если autorun.inf его нет или эта функция отключена gpedit.msc . Он сказал, что вирус может запуститься сам, как только я подключу флэш-память. Это правильно?

@ techie007 Не совсем так. Этот вопрос специфичен для запуска с флешки, где другой вопрос носит более общий характер.

@ techie007 Я нашел и прочитал этот вопрос, прежде чем задавать этот. но мой вопрос был о флешках, потому что я не установил проверку на вирусы и просто отключил функцию автозапуска.

Том вроде правильно. Этот вопрос задает вопрос об опасности вируса на (флеш-накопителе), который самопроизвольно запускается сам, а другой задается вопросом о конкретном существовании такого вируса. Они определенно связаны, но немного отличаются. Я не знаю, достаточно ли разницы, чтобы оправдать два отдельных вопроса.

Я думаю, что это связано, но определенно не то же самое, Windows выполняет действия на флэш-карте памяти, когда она вставлена, что просто не происходит с жестким диском. Дополнительная формулировка вопроса относится конкретно к событиям, которые происходят, когда вставлена флешка.

Нет, файл на диске не может быть запущен сам по себе. Как и все вирусы, он нуждается в некоторой инициализации. Файл магическим образом не инициируется ни по какой причине; что-то должно заставить его загружаться каким-то образом. (К сожалению, количество способов неоправданно велико и продолжает расти.)

В наши дни часто происходит то, что вредоносные программы запускаются двумя способами:

Трояны: с помощью троянов вредоносный код вставляется в обычные файлы. Например, в игру или программу будет введен какой-то плохой код, так что, когда вы (преднамеренно) запустите программу, в нее проникнет плохой код (отсюда и название троян ). Это требует помещения кода в исполняемый файл. Опять же, это требует, чтобы программа хоста была как-то специально запущена.

Итак, как это относится к флэш-накопителю (или любому другому типу)? Если диск содержит трояны (исполняемые файлы), то, если в системе не включена функция автозапуска или есть запись автозапуска / запуска, указывающая на файл, то нет, он не должен запускаться самостоятельно. С другой стороны, если есть файлы, использующие уязвимости в операционной системе или другой программе, то простое чтение / просмотр файла может позволить запустить вредоносное ПО.

Хороший способ проверить наличие векторов, по которым могут работать трояны, - это проверить различные типы мест автозапуска / запуска. Автозапуск - это простой способ проверить многие из них (это еще проще, если скрыть записи Windows, чтобы уменьшить беспорядок). Хороший способ уменьшить число уязвимостей, которые могут использовать эксплойты, - поддерживать операционную систему и программу в актуальном состоянии с последними версиями и исправлениями.

Локальный компьютер, НЕ СОЕДИНЁННЫЙ с интернетом отказался грузиться -- пока я его не убрал полностью. До этого поведение было весьма странное -- во всех браузерах (а у меня их много!) появился "тулбар", изменилась домашняя страница (была моего собственного сайта, стала их) и пр.

На чистку уходит большое время.

Делается это так:

Потом на partition (диске) c:\ с помощью любого поисковика найти все директории ("фолдеры") и файлы, в название которых входят эти же слова

NB: когда ищете, не забудьте искать и в c:\Documents and Settings\, и в c:\Program Files\

/*4*/
С рабочего стола убрать иконку "поиск в интернете"

Вроде бы всё описал.

Каким образом вирус из флешки (или из интернета) не только переходит на компьютер, но еще и сам запускается?
То, что так происходит - известно давно. А вот про сам механизм - я так и не понял. Вот, к примеру.

Может ли exe - вирус запуститься сам?
Собственно вопрос в теме. У меня есть вирусы в виде exe файлов, безопасно ли их хранить, не.

Сам запускается IE, грузится aol mail
Самостоятельно запускается IE (браузер по умолчанию), причем в любое время - когда браузер не.

не бред. конечно про вирус - это паранойя, ничего этот софт не делает противозаконного. А вам, уважаемый автор, я могу посоветовать одно - разувайте глазки, когда устанавливаете что-нибудь от майла, например агента. если выбрать стандартную установку, то она вместе с агентов влупит вам в плечи и спутник, и тулбары, и гуард, и стартовую страницу изменит, и поиск по умолчанию, и горшок еще вам на голову оденет. Всего этого можно избежать простым способом - устанавливайте ВЫБОРОЧНО и снимайте галки со всего что вам не нужно. Удачи

доктор Брейн, не рассказывайте нам байки, что вы ничего не устанавливали
Спутник и гуард устанавливаются с маил-агентом, спутник можно отключить при установке, а вот гуард устанавливается, хотите вы этого или нет. приходится вычищать это гуано ручками

"конечно про вирус - это паранойя, ничего этот софт не делает противозаконного."

Куда уж больше? Меняет настройки браузеров, мейлера -- это не противозаконно? Вам нужно, чтобы он HDD переформатировал?!

" А вам, уважаемый автор, я могу посоветовать одно - разувайте глазки, когда устанавливаете что-нибудь от майла, например агента. если выбрать стандартную установку, то она вместе с агентов влупит вам в плечи и спутник, и тулбары, и гуард, и стартовую страницу изменит, и поиск по умолчанию, и горшок еще вам на голову оденет. Всего этого можно избежать простым способом - устанавливайте ВЫБОРОЧНО и снимайте галки со всего что вам не нужно. Удачи"

Именно это я и делаю уже много десятилетий.

MailRu появился когда я получил из одной закачки (библиотека книг на русском на разные темы) некий файл.exe; проверка его Norton + McAfee вируса и пр. проблем не дала. 7z внутри ничего не увидел. Двойной клик на файл НЕМЕДЛЕННО, безо всяких предупреждений начал инсталляцию — которую я НЕМЕДЛЕННО прервал. Когда комп перезагрузился, он был заражён этой дрянью (см. описанное другим юзером выше).

Если это не злонамеренное поведение -- то я извиняюсь. Сомневаюсь, что ваш совет "разуть глаза" корректен — а вы ведь в ваших собственных правилах форума требуете её…

Насчёт паранойи: есть по этому поводу хорошая английская поговорка: "Better safe, than sorry" (в вольном переводе: Лучше быть в безопасности, чем сожалеть потом).

Если просто распаковать запароленный rar архив с exe'шником вирусом, может ли он запуститься в процессе распаковки? Или только если после распаковки запустить сам exe.

RAR архив (не SFX) представляет собой неисполняемый формат данных. А файлы .EXE сами по себе не вызываются. Есть что-то, что побуждает их исполняться. Этим "что-то" является программа-распаковщик, пытающаяся извлечь данные из архива, считывая с него данные.
Ведь просто лежащие на диске файлы .exe с вирусами сами по себе не несут вреда до тех пор, пока пока что-нибудь не вызовет их.
С другой стороны, специально формированные архивы могут использовать недочёты в программах-распаковщиках и эксплуатировать их уязвимости.
Итого, если в читающей архив программе нет уязвимостей, то всё безопасно даже если вирус внутри архива до тех пор пока его не запустит какой-то процесс.

Если я не прав, буду рад получить новые сведения.

Роман Мирр, не всем очевидно, что 0дей в коде, который показывает иконку, может привести к компроментации системы

Давно, помнится, в rar формате присутствовали некие пост-архивационные процессы - типа благое дело в виде распаковать и что-то выполнить. Если вдруг такое осталось и распаковщик отработает - то ситуация вполне вероятна.
Второй вариант - похитрее: имя файла, которое файловая система может воспринять как "специальное". Например что будет при распаковке архива, где находится файл с именем com1.

Еще вариант - файл с именем rar.exe (unrar.exe) и многопоточная распаковка многотомного архива - как бы попытка распаковки последующих сегментов не спровоцировала вызов rar.exe arch.r02 из текущей директории.

Естественно примеры из детских, известных и скорее всего "прикрытых", но это как бы иллюстрация, что вариант нештатного действия не исключен.

С другой стороны, специально формированные архивы могут использовать недочёты в программах-распаковщиках и эксплуатировать их уязвимости.

А файлы .EXE сами по себе не вызываются. Есть что-то, что побуждает их исполняться. Этим "что-то" является программа-распаковщик, пытающаяся извлечь данные из архива, считывая с него данные.

Роман Мирр,
Я не критикую вашу формулировку ответа - я уточняю и обращаю внимание на детали, которые рядовые пользователи часто не замечают

Чисто теоретически - да может - архивный файл может сам по себе быть вирусом, который проникает через уязвимость в программе архиватора.
Но на практике вероятность меньше 1 процента, так что можете извлекать.

Поговорим о компьютерных вирусах? Нет, не о том, что вчера поймал ваш антивирус. Не о том, что вы скачали под видом инсталлятора очередного Photoshop. Не о rootkit-e, который стоит на вашем сервере, маскируясь под системный процесс. Не о поисковых барах, downloader-ах и другой малвари. Не о коде, который делает плохие вещи от вашего имени и хочет ваши деньги. Нет, всё это коммерция, никакой романтики…

В общем, для статьи вполне достаточно лирики, перейдем к делу. Я хочу рассказать о классическом вирусе, его структуре, основных понятиях, методах детектирования и алгоритмах, которые используются обеими сторонами для победы.

Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.

Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:

Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т.д., его можно внедрять внутрь буфера с чужим кодом.

Куда положить вирус? Необходимо найти достаточно места, чтобы вирус туда поместился, записать его туда, по возможности не разломав файл и так, чтобы в области, в которой вирус окажется, было разрешено исполнение кода.
Как передать управление на вирус? Просто положить вирус в файл недостаточно, надо еще совершить переход на его тело, а после завершения его работы вернуть управление программе-жертве. Или в другом порядке, но, в любом случае, мы же договорились не ломать ничего, да?

Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).

Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.

Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.

Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.

поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
повторять, пока не решим остановиться

Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
Читаем свой код (код тела вируса).
Берем несколько первых инструкций из файла-жертвы.
Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
Создаем новую секцию, записываем туда код вируса и правим заголовок.
На место этих первых инструкций кладем переход на код вируса.

Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.

Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:

сокрытие кода самого вируса;
сокрытие его точки входа.

Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т.п. Таким образом, вирус затрудняет указание смещения сигнатуры.

Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.

Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.