Il codice maligno può essere attivato senza che l'utente esegua o apra il file?

44

Se un file viene scaricato da Internet e salvato su disco, ma non viene aperto da un utente (se manteniamo spento l'autorun), ci sono possibilità che il codice dannoso (ad esempio un virus) nel file possa attivarsi?

Non sto chiedendo informazioni sugli attacchi che potrebbero essere fatti durante il download, o sulla navigazione in un sito - immagina che il file sia stato in qualche modo memorizzato sul disco senza che si sia verificato alcun attacco. Quale rischio subisco quindi dal malware?

    
posta ahinath 19.07.2015 - 09:20
fonte

5 risposte

73

Ci sono alcuni casi in cui il semplice download di un file senza aprirlo potrebbe portare all'esecuzione di codice controllato da un utente malintenzionato all'interno del file. Solitamente comporta lo sfruttamento di una vulnerabilità nota all'interno di un programma che gestirà il file in qualche modo. Ecco alcuni esempi, ma esistono sicuramente altri casi:

  • Il file prende di mira una vulnerabilità del tuo antivirus che si attiva quando il file viene scansionato
  • Il file ha come obiettivo una vulnerabilità nel tuo file system come NTFS, dove il nome del file o un'altra proprietà potrebbe attivare il bug
  • Il file prende di mira un errore che può essere attivato durante la generazione di un'anteprima del file come PDF o miniatura dell'immagine
  • Un file di libreria (ex. dll) potrebbe essere eseguito quando salvato nella stessa directory in cui un'applicazione da vulnerabile al binario viene eseguita da
  • Il file è un file speciale che può modificare la configurazione di un programma come il download di un file .wgetrc con wget su Linux
  • ... e altro
risposta data 22.07.2015 - 00:37
fonte
17

Windows cercherà di estrarre le informazioni dal file per visualizzare l'icona e l'anteprima quando si guarda la cartella all'interno di explorer. Un esempio è la Vulnerabilità del metafile di Windows che potrebbe essere sfruttata solo visualizzando l'anteprima del file in explorer.

Un altro vettore di attacco è la ricerca Windows integrata. Per estrarre le informazioni necessarie per una ricerca di testo completo, Windows eseguirà la scansione dei file in background e utilizzerà il parser dei file per estrarre il contenuto. Un bug nel parser di file può quindi portare all'esecuzione del codice.

Inoltre, se il percorso è noto a un utente malintenzionato (ovvero all'interno della cartella di download predefinita), l'apertura potrebbe essere applicata incorporando il file come immagine, file flash, PDF ecc. utilizzando un link file:///... all'interno di una pagina Web visitata.

    
risposta data 19.07.2015 - 11:05
fonte
6

L'esecuzione automatica si applica principalmente alle unità esterne collegate alla macchina, meno ai file scaricati.

Se non esegui il file scaricato, in teoria dovresti essere sicuro. Tuttavia, in pratica, il tuo computer potrebbe aprirlo autonomamente per tua comodità e senza chiedere la tua approvazione, se deve generare un qualche tipo di miniatura o anteprima del documento, indicizzarlo per l'applicazione di ricerca di file, ecc.

Ad esempio, troverai qui un esempio di exploit che riguarda il vecchio software Windows Media Player: non serve per aprire il file, basta sfogliare la directory contenente il file è sufficiente per eseguire il malware ...

    
risposta data 19.07.2015 - 10:12
fonte
1

Dipende dal tipo di virus che potresti aver scaricato.

  • Virus macro: quando apri un documento infetto utilizzando il programma che è progettato per attaccare. La stessa cosa accade con i virus del programma che infettano altri programmi della tua macchina se il programma da loro infettato viene attivato eseguendoli.
  • Virus del settore di avvio: infettano i dischi rigidi grazie alla loro semplice presenza ( senza fare clic per aprirli ) o semplicemente riavviando la macchina
risposta data 19.07.2015 - 09:43
fonte
0

Il tipo più semplice e più comune di malware dipende dall'esecuzione, ma dal malware può indirizzare le vulnerabilità in qualsiasi programma che elabora i dati. Immagine un pezzo di malware che ha come obiettivo una vulnerabilità nota nel tuo software antivirus o il tuo spam software di filtraggio.

    
risposta data 23.07.2015 - 22:11
fonte

Leggi altre domande sui tag