Solución:
Nic Hartley mencionó a los conductores. Windows 10 instala automáticamente controladores para dispositivos desconocidos tan pronto como se conectan. Si Windows no tiene el controlador para el dispositivo, descarga silenciosamente los controladores en línea. Si Windows tiene los controladores, aún busca en línea una versión actualizada.
Entonces, mi teoría es: que Windows descarga e instala los controladores necesarios de Logitech. A continuación, el controlador Logitech muestra la ventana emergente para instalar el software.
Puede probar esta teoría conectando el dongle a una PC con Windows 10 que no esté conectada a Internet y no tenga los controladores Logitech instalados.
Si aún se muestra la ventana emergente, intente deshabilitar los controladores de Logitech en el Administrador de dispositivos.
Además, intente usar una herramienta como Sysinternals Process Explorer para encontrar el proceso que creó la ventana. Más información.
Windows 10 instala el controlador Logitech cuando se conecta el mouse. En este controlador, se activa la descarga del software de opciones de logitech directamente desde Logitech. Lo mismo sucede con las impresoras HP cuando se conectan localmente.
Esto se hace principalmente para evitar problemas con los controladores antiguos en Windows Update, especialmente en combinación con el modelo de lanzamiento continuo.
Cuando Windows 10 obtiene una actualización de una versión principal a otra, se realiza una nueva instalación completa y todos los dispositivos se descargan e instalan nuevamente después de la actualización.
¿Cómo empezó este proceso? Además, esto parece un vector de ataque ideal para máquinas con Windows. ¿Alguien puede darnos una idea de cómo el dongle USB (sin volumen) puede hacer esto?
El USB ya es un vector de ataque bien conocido del que se habla ocasionalmente (BadUSB, por ejemplo). ¿Es realmente necesario todo el alarmismo en torno a BadUSB con respecto a los dispositivos host?
Aunque una memoria USB no sea supuesto también podría pretender ser un teclado HID y emitir comandos como tú. En el caso de un dongle de teclado / mouse, esto ni siquiera parecería sospechoso; ya es un teclado. Pensar start+r -> "\?volume{something-logitech-hardcoded}autorun.exe"
Otro truco menos nefasto que he visto es exponer una unidad de CD virtual con una ejecución automática, donde generalmente son un poco más confiables. Incluso en Windows 10, alguna forma de reproducción automática se ejecuta de forma predeterminada.
Desafortunadamente, no tengo acceso a dicho dispositivo, por lo que no puedo ofrecer información específica sobre el exploit involucrado. Un experimento podría ser conectarlo a una computadora e intentar observar algo extraño que aparece brevemente en la pantalla, guiado por la información anterior. De lo contrario, el uso del explorador de dispositivos en el modo de conexión podría ayudar a revelar funcionalidades ocultas (pero no particularmente ocultas, el dispositivo podría eliminarlas después de un ataque). Determinar el contenido del almacenamiento interno secreto puede resultar útil. Por ejemplo, ¿tiene archivos de ejecución automática?