Domanda:
Il codice dannoso può attivarsi senza che l'utente esegua o apra il file?
ahinath
2015-07-19 12:20:11 UTC
view on stackexchange narkive permalink

Se un file viene scaricato da Internet e salvato su disco, ma non viene aperto da un utente (se teniamo disattivato l'avvio automatico), ci sono possibilità che il codice dannoso (ad esempio un virus) nel file possa attivarsi?

Non sto chiedendo informazioni sugli attacchi che potrebbero essere effettuati durante il download o durante la navigazione in un sito: immagina che il file sia stato in qualche modo memorizzato sul disco senza che sia stato effettuato alcun attacco. Che rischio devo quindi affrontare a causa del malware?

È una domanda specifica di Windows?
1. Qual è il tuo modello di minaccia? In qualsiasi modello di minaccia in cui stai visitando un sito web potenzialmente dannoso, ci sono altri modi in cui il sito web potrebbe essere in grado di comprometterti (ad esempio, da un exploit zero-day), quindi non sono convinto che abbia senso concentrarsi solo sui download, e non credo sia possibile "scaricare solo quel file" (visiterai anche una pagina che potrebbe eseguire Javascript che potrebbe tentare di sfruttare qualsiasi vulnerabilità nel tuo browser). 2. Che ricerca hai fatto?
I virus * di per sé * di solito non possono essere attivati ​​o diffusi quando non vengono aperti, poiché un virus deve essere eseguito per diffondersi o causare danni. Vedi le risposte di seguito per alcune eccezioni spaventose. Tuttavia, esistono altri tipi di malware, come i worm, che possono farlo. In effetti, molti dei pezzi di codice descritti nelle risposte non sono veri virus.
D.W. il download dei file può avvenire attraverso altri mezzi oltre a un browser, ad esempio wget o FTP. OP sembra chiedere specificamente di essere stato infettato da un file su disco, non dal processo di download stesso.
Cinque risposte:
wireghoul
2015-07-19 13:09:39 UTC
view on stackexchange narkive permalink

Ci sono alcuni casi in cui il semplice download di un file senza aprirlo potrebbe portare all'esecuzione di codice controllato da un utente malintenzionato dall'interno del file. Di solito comporta lo sfruttamento di una vulnerabilità nota all'interno di un programma che gestirà il file in qualche modo. Ecco alcuni esempi, ma sicuramente esistono altri casi:

  • Il file prende di mira una vulnerabilità nel tuo antivirus che si attiva quando il file viene scansionato
  • Il file prende di mira una vulnerabilità nel tuo file system come NTFS dove il nome del file o un'altra proprietà potrebbe attivare il bug
  • Il file ha come obiettivo un bug che può essere attivato quando si genera un'anteprima del file come PDF o una miniatura dell'immagine
  • Un file di libreria (es. Dll) potrebbe essere eseguito se salvato nella stessa directory da cui viene eseguita un'applicazione vulnerabile alla piantumazione binaria
  • Il file è un file speciale che può modificare la configurazione di un programma come come scaricare un file .wgetrc con wget su Linux
  • ... e altro
Non che ci sia qualcosa di sbagliato in questa risposta, ma penso che valga la pena notare che tutti questi metodi implicano il file che in qualche modo inserisce se stesso (o il suo nome) in codice eseguibile da qualche parte. Il punto è che _qualcosa_ deve essere eseguito per diffondere un virus - non accade semplicemente perché i byte vengono memorizzati su un'unità.
@DavidZ Vero, ma la parte DLL in particolare è spaventosamente rilevante: chiunque esegua * qualsiasi * eseguibile dalla directory dei download è in pericolo. E riceverai l'avviso solo sull'exe (legittimo), non sulla DLL dannosa.
Quando si prende di mira il parser o altri bug in un motore AV, l'unico requisito è l'archiviazione del file.
@DavidZ Penso che sia anche abbastanza chiaro che l'OP chiedesse del caso in cui lui / lei non fa di tutto per eseguire il file e prende alcuni passaggi di base per impedire che il file stesso venga eseguito; non è il caso in cui la presenza del file provoca l'esecuzione di un altro codice. Dopo tutto, se non stiamo prendendo in considerazione alcuna situazione che causa l'esecuzione del codice, i virus sono esclusi per definizione.
@Daniel beh, sì, la tua ultima frase era esattamente il punto del mio commento. Alcune persone non lo sanno, dopotutto.
La domanda ipotetica corretta è "il codice dannoso può attivarsi senza che un thread analizzi il contenuto del file e i metadati associati". La risposta a questa domanda è no, ma in pratica è impossibile eseguire il download senza un thread che elabori il contenuto del file ei metadati. Non appena il software del downloader estrae i metadati in rete (es: posizione del server) c'è la possibilità di un exploit.
Steffen Ullrich
2015-07-19 14:05:35 UTC
view on stackexchange narkive permalink

Windows tenterà di estrarre le informazioni dal file per visualizzare l'icona e l'anteprima quando si guarda la cartella all'interno di Explorer. Un esempio è stata la vulnerabilità di Windows Metafile, che può essere sfruttata solo visualizzando l'anteprima del file in Explorer.

Un altro vettore di attacco è la ricerca incorporata di Windows. Per estrarre le informazioni necessarie per una ricerca di testo completo, Windows scansionerà i file in background e utilizzerà il parser di file per estrarre il contenuto. Un bug nel parser del file può quindi portare all'esecuzione del codice.

Inoltre, se il percorso è noto a un aggressore (cioè all'interno della cartella di download predefinita) l'apertura potrebbe essere forzata incorporando il file come immagine, flash file, PDF ecc. utilizzando un collegamento file: /// ... all'interno di una pagina Web visitata.

Tecnicamente il tuo ultimo paragrafo richiede anche di prendere di mira una vulnerabilità ad es. il visualizzatore di immagini, flash, visualizzatore di PDF, ecc.
@Random832: non solo l'ultimo paragrafo ha bisogno di una vulnerabilità, ma tutti i miei esempi. Ma dubito che troverai un sistema senza vulnerabilità, solo senza (ancora) vulnerabilità pubblicamente note.
WhiteWinterWolf
2015-07-19 13:12:19 UTC
view on stackexchange narkive permalink

L'esecuzione automatica si applica principalmente alle unità esterne collegate alla macchina, meno ai file scaricati.

Se non esegui il file scaricato, in teoria dovresti essere al sicuro. Tuttavia, in pratica, il tuo computer potrebbe aprirlo da solo per tua comodità e senza chiedere la tua approvazione, sia che si tratti di generare una sorta di miniatura o anteprima del documento, di indicizzarlo per l'applicazione di ricerca di file, ecc.

Ad esempio, troverai qui un esempio di exploit che colpisce il vecchio software Windows Media Player: non è necessario aprire il file, è sufficiente navigare nella directory contenente il file per eseguire il malware ...

user45139
2015-07-19 12:43:00 UTC
view on stackexchange narkive permalink

Dipende dal tipo di virus che potresti aver scaricato.

  • Virus da macro: quando apri un documento infetto utilizzando il programma che è progettato per attaccare. La stessa cosa accade con i virus dei programmi che infettano altri programmi della tua macchina se il programma infettato da essi viene attivato eseguendoli.
  • Virus del settore di avvio: infettano i tuoi dischi rigidi con la loro semplice presenza ( senza facendo clic per aprirli ) o semplicemente riavviando la macchina
Il virus del settore di avvio deve essere installato in qualche modo (cioè un codice offensivo deve essere eseguito a un certo punto dall'utente), non verrà scaricato direttamente da Internet nel settore di avvio del disco rigido.
@WhiteWinterWolf No, non necessariamente: se si dispone di una chiavetta USB infetta da un tale virus, la si collega al computer e la si avvia, quindi gli HDD verranno infettati senza bisogno di aprire (fare clic) il virus sull'USB. In origine, questo tipo di virus segue questo schema utilizzando un disco floppy
La domanda qui riguarda i file scaricati da Internet.
@WhiteWinterWolf Sì, download del file, sono d'accordo, ma il mio precedente commento era la risposta al tuo :)
E il mio commento era rilevante solo nel contesto della domanda. In realtà il tuo computer potrebbe essere compromesso anche senza scaricarlo, usando qualsiasi chiavetta USB o interagendo con esso in alcun modo per quello che conta, purché qualcuno trovi un modo per eseguire del codice su di esso;).
ddyer
2015-07-24 01:11:31 UTC
view on stackexchange narkive permalink

Il tipo di malware più semplice e comune dipende dalla tua esecuzione, ma il malware può colpire le vulnerabilità in qualsiasi programma che elabora i dati. Immagina un malware che ha preso di mira una vulnerabilità nota nel tuo software antivirus o nel tuo software di filtraggio dello spam.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...