Domanda:
È necessario fare clic su un virus per funzionare?
user52577
2014-07-24 14:23:59 UTC
view on stackexchange narkive permalink

Un virus può infettare il mio sistema operativo Windows XP con la sua semplice presenza? Voglio dire, se copio / incollo un virus sul mio computer e non faccio mai clic su di esso, infetterà il mio computer o rimarrà inattivo, senza danneggiare il mio computer, finché non ci clicco sopra?

Una discussione correlata se hai bisogno di maggiori informazioni. http://security.stackexchange.com/questions/41971/self-executing-files
Nota che potrebbero esserci bug presenti in XP che non sappiamo ancora che possono rendere possibile in futuro.
A volte il comando di avvio può essere nascosto in Register, ovvero in * \ Software \ Microsoft \ Windows \ CurrentVersion \ Run key. Quindi il virus può essere avviato durante l'accesso dell'utente.
@AJHenderson: Ricordo alcune occasioni in cui Windows Explorer si bloccava su vari file nel tentativo di visualizzarlo, perché lo analizza per qualsiasi motivo (icone, immagine di anteprima ecc.). mediaplayer si bloccava semplicemente aprendo la finestra di dialogo di apertura del file per alcuni mp3. Anche win98 ha avuto il bel comportamento di eseguire il mbr di un secondo hdd in determinate circostanze. Ci sono molte cose in cui i file vengono caricati e analizzati senza l'interazione esplicita dell'utente per quel file specifico. Tutti questi hanno il potenziale per avere bug che possono portare all'esecuzione di codice.
@PlasmaHH: questo è un punto giusto, potrebbe esserci una piccola possibilità. Quelli erano ancora bug più probabili che hanno provocato l'arresto anomalo. Sarebbe piuttosto difficile, se addirittura possibile, agganciare un simile comportamento alla causa dell'esecuzione del codice, ma potrebbe non essere impossibile. Direi ancora che è piuttosto improbabile, specialmente per qualsiasi virus run of the mill. Un approccio di infezione attiva è molto più probabile.
lasciare virus, fintanto che si esegue XP e si utilizza Internet (poiché hai posto questa domanda), sei vulnerabile come qualsiasi cosa.
Mi sembra di ricordare che c'era un exploit che utilizzava i file PDF e non era necessario aprirli ma semplicemente guardare il contenuto della cartella lo avrebbe attivato (tramite l'helper di anteprima PDF, che aveva un sovraccarico del buffer). Potrebbe essere stato circa 5 anni fa.
Sette risposte:
#1
+45
AJ Henderson
2014-07-24 18:51:57 UTC
view on stackexchange narkive permalink

Un virus non può fare nulla semplicemente essendo presente nel tuo sistema come dati. Un virus è solo un programma, deve essere eseguito da qualcosa . Il trucco è che quel qualcosa non deve essere tu che ci fai clic.

I computer fanno molte cose automaticamente senza la tua attenzione. Accettano richieste di trasferimento di file, desktop remoto, forniscono dettagli sul loro stato, controllano gli aggiornamenti di sistema, ecc. Inoltre, esegui molte azioni che possono essere dirottate da codice nefasto su un altro sistema, come l'esecuzione di siti Web con Javascript o Flash o l'esecuzione programmi che estraggono dati da Internet o elaborano documenti (come posta elettronica o documenti d'ufficio).

Ognuno di queste centinaia di percorsi di esecuzione può essere utilizzato per indurre un sistema a eseguire un virus che viene scaricato con un sito Web o anche in remoto per provocare l'esecuzione di un virus caricato nel sistema senza alcuna interazione da parte dell'utente. Quindi, sebbene tu possa (generalmente) scaricare in sicurezza una copia della maggior parte dei virus e lasciare che il codice rimanga inattivo sul tuo sistema, ci sono molti modi in cui un utente malintenzionato potrebbe potenzialmente causare l'installazione di un virus sul tuo sistema senza che tu intraprenda alcuna azione diretta. (Questo è, infatti, il modo in cui normalmente funziona l'opzione di quarantena in uno scanner antivirus. Lo rinomina e lo copia in una posizione diversa.)

Detto questo, consiglierei comunque di configurare un ambiente virtualizzato con cui eseguire i test. Non ci sono buone ragioni per non farlo, sono facili da configurare e fornire un ulteriore livello di protezione. C'è una possibilità molto ridotta che possa essere in grado di abusare di alcuni processi di sistema, come l'aggancio di un indicizzatore di ricerca o di un visualizzatore di miniature. Tuttavia, esiste anche una possibilità molto ridotta che un virus possa sfuggire a un ambiente virtualizzato. Tuttavia, le probabilità che vengano eseguite entrambe le cose diventano sempre più improbabili, soprattutto se si modifica l'estensione su di essa per dissociarla da molti processi di sistema che altrimenti potrebbero elaborarla in modo diverso.

Questo è il motivo per cui è così importante usare le cose come i firewall sulla rete e per mantenere il sistema operativo e altre applicazioni aggiornati e aggiornati. Le patch di sicurezza vengono rilasciate per correggere i buchi non appena vengono scoperti, ma certamente esistono ancora molte vulnerabilità non scoperte o non pubblicate. Le cose sono abbastanza sicure che non solo chiunque può entrare nel tuo sistema se lo mantieni aggiornato, e fintanto che tieni gli aggressori lontani dalla tua rete con un firewall, probabilmente sei abbastanza al sicuro, soprattutto se disabiliti il ​​contenuto attivo (come Flash e alcuni Javascript) durante la navigazione in Internet.

Poiché XP non riceve più gli aggiornamenti di sicurezza, si rimane a bocca aperta di fronte a eventuali vulnerabilità scoperte di recente e diventerà sempre più facile essere usato contro il tuo sistema senza che tu possa fare nulla per impedirgli di rimuovere il tuo computer da Internet.

Puoi approfondire la disabilitazione di "Certain javascript"? Ho sentito di alcune persone che disabilitano js interamente per motivi di sicurezza, ma come si fa a farlo in modo selettivo?
@loneboat - principalmente utilizzando un sistema separato. Personalmente non ci ho pensato molto, ma ci sono progetti come [Caja Project] (http://en.wikipedia.org/wiki/Caja_project) che lavorano su sottoinsiemi di Javascript che sono più sicuri. Non sono sicuro che ci siano browser che attualmente possono limitare l'esecuzione a questo.
Non so quanto sia comune, ma alcuni software antivirus "rimescolano" i virus prima di salvarli su disco. Probabilmente per evitare di far prendere dal panico un altro programma AV o per diminuire le possibilità che venga eseguito a causa di qualche exploit. Penso che abbia xorizzato ogni byte con 10101010 o qualcosa del genere.
@AJHenderson A meno che non sbaglio, sembra che Caja sia progettato per consentire l'esecuzione di JavaScript definito dall'utente in una pagina Web senza esporre il sito host ad attacchi XSS. Caja non sembra essere progettato per prevenire gli exploit del browser zero-day, che è l'unica minaccia che JavaScript pone pertinente a questa domanda.
@Ajedi32 - XSS è un vettore importante per l'iniezione di JavaScript così dannoso, tuttavia, se puoi impedirlo, le istanze di drive by malware diminuiscono in modo significativo. Prevenire il download di malware è uno degli obiettivi principali del progetto. Il punto principale a cui stavo arrivando era semplicemente che non tutto Javascript è pericoloso, solo parti particolari. Se puoi evitare quella parte, allora sei molto più sicuro, ciò può essere fatto dal client o dal server o da entrambi, purché il server stesso sia effettivamente degno di fiducia.
Non dimenticare le miniature; presumibilmente se hai trovato un difetto lì è un vettore di attacco.
@emodendroket - sì, è stato raggruppato con "C'è una possibilità molto ridotta che possa essere in grado di abusare di alcuni processi di sistema". L'indicizzazione della ricerca, la scansione antivirus stessa, altre cose del genere potrebbero potenzialmente avere problemi, ma quel tipo di vulnerabilità è piuttosto raro ed essere sfruttabile in modo significativo è ancora più raro poiché devi finire per valutare i dati in modo tale che la valutazione del i dati possono comportare un dirottamento del processo.
Una volta avevo un computer da cui scaricavo un sacco di virus e il loro codice sorgente. Ho imparato molto della mia programmazione da quei virus (i virus, per natura, sono * molto * più inventivi delle app aziendali, poiché il loro obiettivo è l'infiltrazione e la furtività). Sfortunatamente, ne ho eseguito uno accidentalmente mentre stavo cercando di leggere il codice sorgente (erano nella stessa cartella, un design incurante considerando che erano con tripla zip), e ha distrutto per sempre il mio disco rigido. Questo era di nuovo in DOS, nessun antivirus. Oggi conserverei i virus solo in una macchina virtuale, solo per sicurezza.
Downvoted in quanto si tratta di informazioni errate. Non è necessario che l'utente interagisca con un file carico di virus, solo che il * sistema * interagisca e ci sono molti modi per farlo accadere.
@JamesSnell - Se leggi il mio post, lo indico. Tuttavia, è piuttosto raro che un virus agganci i processi automatizzati se non viene portato nel sistema tramite il vettore previsto. La maggior parte dei virus viene distribuita attivamente. A meno che le cose non siano cambiate molto dall'ultima volta che ho guardato l'ultima volta, la consegna passiva efficace è così rara che, sebbene meriti una menzione e sia ancora una buona ragione per usare una VM, le possibilità sono quasi altrettanto buone di un virus progettato per sfuggire a una VM come uno che aggancerà una scansione del sistema o un visualizzatore di miniature o qualcosa di simile, specialmente se lo dissocia dalla sua normale estensione.
Non sono sicuro di essere completamente d'accordo, ma mi hai convinto abbastanza da ritirare il voto negativo.
#2
+39
executifs
2014-07-24 14:42:12 UTC
view on stackexchange narkive permalink

Dipende dal formato del file.

Gli eseguibili non vengono eseguiti da soli, a meno che non venga impiegato qualche trucco intelligente (autorun.inf e .lnk erano tecniche popolari qualche tempo fa).

Tuttavia, MS11-006 dimostra che non è sempre necessario fare clic su un file infetto (questo exploit si attiva quando una miniatura del documento infetto viene visualizzata dal sistema, ad esempio quando si accede a una cartella contenente it). La lezione che impariamo da questo è che il sistema può interagire con i tuoi file senza che tu lo richieda esplicitamente.

Ad esempio, potresti avere un software antivirus che scansionerà automaticamente il file infetto. Supponi che il parser PE dell'AV sia difettoso, potresti semplicemente ottenere l'esecuzione del codice senza alcuna interazione.

Realisticamente, sei molto probabilmente al sicuro se non fai doppio clic sul file . Altrimenti, significa che stai analizzando qualcosa di abbastanza sofisticato. Per sicurezza, gestisci sempre il malware in ambienti virtualizzati!

#3
+24
James Snell
2014-07-25 19:30:50 UTC
view on stackexchange narkive permalink

No, un virus non deve essere cliccato o acceduto direttamente dall'utente per infettare un sistema. Tutto ciò che il file carico di virus deve fare è sfruttare una vulnerabilità nel programma che lo accede.

Esempi in Windows XP

Il bollettino sulla sicurezza MS11-006 documenta un bug nel modo in cui le miniature venivano prodotte da Windows Explorer per indurlo a eseguire il codice e richiedeva solo all'utente di accedere alla cartella contenente il file.

Microsoft Knowledge Base 971029 - L'aggiornamento alla funzionalità AutoPlay in Windows documenta una modifica al comportamento in Windows XP in cui un file (chiamato autorun.inf) viene utilizzato per indicare al sistema di avviare le applicazioni quando un supporto è inserito / connesso. Questo comportamento è stato sfruttato da virus come Autorun.NH su chiavette USB, unità rimovibili e unità di rete da virus per propagarsi. Nessuna interazione da parte dell'utente oltre al collegamento di un'unità USB o rimovibile per la propagazione e l'esecuzione.

Non è solo un problema del sistema operativo

Beh, no. Problemi come questo non sono limitati al sistema operativo, né sono limitati a Windows. Un esempio recente è Un bug di 20 anni nel modulo di compressione LZO comunemente usato che è stato scoperto e corretto. Ha interessato una libreria condivisa utilizzata da dozzine (se non 100) di applicazioni e significava che se la routine difettosa si trovava in un programma che esegue la scansione dei file (ad esempio un'applicazione multimediale che esegue la scansione dei metadati), una macchina potrebbe essere infettata senza un utente che interagisce o fa clic su quel file.

Quante probabilità ci sono?

Questi esempi sono stati tutti individuati e corretti per coloro che hanno applicato il aggiornamenti e patch appropriati. Quello che dovrebbero fare soprattutto è servire come illustrazione di come questi tipi di bug possono essere utilizzati e sfruttati per far funzionare il codice senza l'interazione dell'utente. Copiare o semplicemente avere il file lì può essere sufficiente.

La creazione iniziale di file per trarre vantaggio da questi difetti / funzionalità inizialmente potrebbe richiedere una buona dose di abilità. Ma sono disponibili toolkit che rendono la produzione di un virus più di un'operazione punta e clicca: gli dici quali difetti vuoi che tragga vantaggio e cosa vuoi eseguire e ti restituirà un brutto colpo. Quindi è più probabile di quanto pensi.

Hai qualche consiglio su come proteggermi? Perché, sì, lo faccio! La difesa in profondità è la chiave e si opera sul principio che nessuno di loro terrà fuori tutto ma ognuno aiuta. Ecco i miei primi 3 virus basati su file.

  • Esegui un software antivirus: non è una bacchetta magica, ma se mantieni aggiornate le definizioni e scansiona periodicamente i file esistenti e quelli nuovi aiuterà e se hai più macchine che eseguono un diverso antivirus su ciascuna di esse aiuta.
  • Tieniti aggiornato con le loro patch - Oltre a Windows Update, usa uno strumento come Secunia PSI per aiutarti a tenere sotto controllo il resto delle tue applicazioni.
  • Non eseguire con più autorizzazioni del necessario - Sì, potrebbe essere fastidioso per una volta all'anno in cui potresti effettivamente installare del software o per modificare un'impostazione di sistema ma aggiunge un altro livello di protezione.

Non sono affiliato con Secunia, solo un utente soddisfatto.

Avrei dovuto cercare fonti pubbliche per gli exploit MS11-006, ma potrebbe essere stato soggetto a NDA. L'ho anche usato tramite metasploit che molto probabilmente sarebbe stato più tardi.
Concordo con quasi tutto il tuo post, ma un lettore sufficientemente pedante contratterebbe sulla definizione di "virus" che tu (e tutte le altre risposte!) Usi. A rigor di termini, la tua risposta presume che l'OP significasse "virus" per includere "worm", probabilmente un assunto sicuro, ma ho pensato che valesse la pena sottolineare. Anche se non ho definizioni solide, [l'articolo di Wikipedia su "Computer Virus"] (http://en.wikipedia.org/wiki/Computer_virus) sembra utilizzare la definizione che un "virus" si auto-replicherà e un "worm" "replicherà", spesso "facendo affidamento su errori di sicurezza". Ancora una volta, non cercherò di fare lo stronzo qui! :)
@JamesSnell se è in metasploit che da solo risponderebbe alla mia domanda, supponendo che consenta un'esecuzione arbitraria.
@randomdude - Capisco cosa stai ottenendo. La mia risposta va oltre e presume che "virus" sia un termine generico per il codice dannoso. I meccanismi di replica sembravano in ogni caso discutibili.
@AJHenderson lo fa davvero, ci sono demo di esso con il calcolatore di apertura dei payload e la creazione di una sessione di meterpreter.
@JamesSnell Cool. Sono contento che tu non abbia preso il mio commento nel modo sbagliato :)
#4
+6
Christoph Böhmwalder
2014-07-24 14:30:25 UTC
view on stackexchange narkive permalink

Dipende. I virus tipicamente banali richiedono di fare clic su di essi (ad es. Eseguire un file in qualche modo). Non dovrebbe esserci alcun modo per eseguire codice senza che tu faccia doppio clic su virus.exe o simili.

In realtà, un autore di virus può tecnicamente trovare un bug in Windows (il che non è improbabile su XP) e causare problemi in questo modo. Ad esempio, se c'è un bug nella routine di copia dei file e un utente malintenzionato è in grado di eseguire il codice semplicemente copiando il file, allora sì, il virus può sicuramente danneggiarti.

In ogni caso, se hai un virus da analizzare (o qualunque cosa tu stia cercando di fare con esso sul tuo computer) dovresti farlo in un ambiente sandbox (cioè VirtualBox o un computer separato) in modo che non possa danneggiare il tuo sistema

Un insetto? In * Windows XP *?
#5
+4
BlackMamba
2014-07-24 14:46:15 UTC
view on stackexchange narkive permalink

Dipende.

Non potrei essere più d'accordo con la risposta di HackerCow. Ci sono molti virus che differiscono nel modo in cui si comportano, come l'esecuzione tramite clic, l'esecuzione automatica, la duplicazione automatica, ecc.

Una volta che un virus entra nel tuo sistema, sei vulnerabile indipendentemente dal tipo o dal comportamento che possiede. E come un'affermazione ovvia, sappiamo che XP non è così eccezionale in termini di sicurezza rispetto alle ultime versioni del sistema operativo. Ad esempio, manca lo User Account Control (UAC) che consente di eseguire un programma con diritti di amministratore.

Avere un software antivirus aggiornato installato e non consentire a nessun tipo di virus o malware di entrare nel tuo macchina. È dannoso anche se lo hai senza eseguirlo.

#6
+2
4oxer
2014-07-24 14:44:27 UTC
view on stackexchange narkive permalink

No. Non è sempre necessario fare clic su un virus. Per esempio. Un virus potrebbe essere lanciato sul tuo computer da un download drive-by. Questo viene fatto quando visiti un sito che sfrutta una vulnerabilità nel tuo browser, rilasciando quindi malware sul tuo sistema. Ciò consente anche a un aggressore remoto di avviare il virus.

Un altro esempio è un virus che si attaccherà ai comandi di avvio di altre applicazioni, quindi viene chiamato quando per eample viene utilizzato il mediaplayer. Non apri direttamente il virus, ma verrà aperto dal lettore multimediale, ad esempio.

Un file dannoso, se vuoi un virus, seduto completamente isolato su un disco rigido senza l'interazione dell'utente o del sistema non sarà in grado per avviarsi se questo è il problema.

La tua risposta non spiega realmente in che modo il virus è collegato o in che modo un sito Web può eseguire un processo locale; eppure questo è effettivamente ciò che conta per lo scopo di questa domanda.
IMO non è proprio lo scopo. Tuttavia ci sono molti modi per farlo. Principalmente questo viene fatto da hacker che conoscono una vulnerabilità basata sullo stack e la sfruttano. Esempi sono buffer overflow, ritorno ad attacchi libc ecc. Ciò consente l'esecuzione di codice in modalità remota ed eseguire programmi con le stesse autorizzazioni del browser. O anche farti cadere in una shell di root con un attacco di ritorno alla libc.
La domanda non era "qual è il tipico meccanismo di persistenza del malware?" ma "esiste un malware il cui vettore di attacco non coinvolge l'interazione dell'utente?". Ora, dati i tipi di exploit che descrivi, le vulnerabilità che li consentono possono essere trovate nel codice che elabora i dati senza l'interazione esplicita dell'utente come il download, il rendering di una miniatura o persino la scansione antivirus come spiegato da @executifs sopra.
#7
  0
Dan
2014-07-27 03:08:59 UTC
view on stackexchange narkive permalink

Una risposta pratica anche a questa domanda. Che era: "Se copio / incollo un virus sul mio computer e non faccio mai clic su di esso", farà del male? E come altri hanno notato, quasi certamente non farà alcun danno, se lo copi sul tuo computer e non fai nient'altro. La posta elettronica e la navigazione sul Web sono argomenti separati. Tuttavia, se vuoi archiviare un virus per qualche motivo (?) E vuoi assicurarti che non faccia nulla: a) cambia il tipo di file (come menzionato), b) mettilo in un archivio di file (ZIP, ecc.), E meglio tuttavia, c) crittografalo o qualcosa di simile.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...