Un file pericoloso (virus, trojan, malware, ecc.) può causare danni all'interno di uno zip o rar?

In primo luogo vorrei spiegare le differenze tra virus, trojan e malware.

Malware - è la forma abbreviata di Software dannoso. È fondamentalmente un software scritto per causare danni o infiltrarsi nei sistemi informatici senza il consenso informato del proprietario. È un termine generale usato per rappresentare varie forme di codice intrusivo, ostile e fastidioso.

Virus - è un software che si copia e si diffonde senza l'autorizzazione o la conoscenza del proprietario. I virus non si diffondono sfruttando le vulnerabilità (quelle che vengono chiamate Worm). L'unico modo in cui i virus dovrebbero diffondersi è con l'host, almeno nella loro rigorosa classificazione. Diciamo che un virus ha infettato un file, ora se il proprietario sposta il file su qualsiasi sistema, il virus ha quindi la possibilità di diffondersi e sopravvivere.

I virus possono essere classificati nelle seguenti sottocategorie:

• Tipo di residente: quale eseguito diventa residente in memoria (e attende) per alcuni attiva tale caricamento di altri programmi). E 'infetto altri programmi e così via.
• Nessun tipo di residente: una volta che un virus viene eseguito, cercherà i file che può infettare. Quindi, dopo averli infettati, si chiuderà. Quando il programma infetto viene eseguito di nuovo, troverà nuovamente nuovi target e così via.
• Settore di avvio, che si diffonde tramite il settore di avvio e il tipo Multi partite con diversi tipi di meccanismi di infezione.

Trojan - è un tipo di malware che appare all'utente per eseguire una funzione, ma in realtà facilita l'accesso non autorizzato al sistema. Inoltre, sono molto diversi dai virus. Non si auto replicano a differenza dei virus.

Quindi in generale un virus non può eseguire se stesso, a meno che non abbia la cooperazione del sistema operativo o dei bug del software o dell'intervento dell'utente.

Se il sistema operativo consente l'esecuzione automatica dei file a causa del loro nome o posizione (ad esempio un allegato di posta elettronica), un virus può mascherarsi come file legittimo ed essere eseguito dal sistema operativo senza l'autorizzazione dell'utente. Questo era il comportamento predefinito nei primi client di posta elettronica.

Inoltre, se il sistema operativo non è riparato o il software specifico presenta errori che un virus può sfruttare per eseguire il suo codice, allora un virus può avviarsi da solo.

Quindi, per rispondere alla tua domanda: Sì, puoi infettare il tuo computer scaricando e archiviando malware sul tuo disco rigido senza eseguirlo.

Generalmente, un virus che sta seduto lì non è un problema, ma è un problema che aspetta di accadere. Ho virus su un PC dedicato solo per analisi e analisi forense.

Ecco la risposta paranoica:

STUXNET è stato (in parte) creato da una vulnerabilità nel processo di creazione dell'icona durante la generazione dell'icona di un file, in cui si è verificato un overflow del buffer.

Posso presumere che qualsiasi processo del computer che apre, scansiona, visualizza in anteprima, formatta o copia un oggetto binario (EXE o ZIP non importa) può essere vulnerabile a un attacco zero-day anche se il file non è aperto per SE

I file, di per se stessi, non possono essere eseguiti senza che alcuni software li facciano girare. In altre parole, finché un certo tipo di software tenta di interpretare i dati come codice o qualche formato particolare, sia per caso che per intento, sono solo byte casuali di dati che sono completamente innocui. Per coincidenza, il termine "salva su disco rigido" è un po 'fuorviante, perché quando Thunderbird ha scaricato l'e-mail, gli allegati potrebbero già essere memorizzati sul disco rigido, nel file del database di posta elettronica (in particolare se non si sta usando un sistema di posta elettronica basato sul Web, come Hotmail).

Per arrivare alla domanda posta qui, supponendo che Thunderbird salvi il file senza tentare di analizzare il file in alcun modo, il file si posizionerà tranquillamente fino a quando qualcos'altro tenta di elaborare i dati. Tutte le scommesse sono disattivate, tuttavia, se si tenta di visualizzare in anteprima o aprire i file. Pertanto, sconsiglio vivamente di salvare automaticamente gli allegati sul disco rigido, non a causa del rischio di infezione dei file che raggiungono il disco rigido, ma piuttosto perché tutti i file sconosciuti devono essere trattati con la massima cautela fino a quando non vengono provati sicuri; è probabile che prima o poi ti scivoli e ti capiti di eseguire quell'unico virus che intendevi eliminare.

Aneddoticamente, scaricavo virus da BBSes e vari siti Web e leggevo il loro codice sorgente per ampliare le mie conoscenze su come funzionavano i computer e su come i sistemi venivano sfruttati. Una particolare miniera d'oro era un file zip che conteneva molti file zip che contenevano un file zip, ognuno con un file binario e un unico file sorgente (la maggior parte dei virus erano scritti in assembler / codice macchina). Quei file erano rimasti invariati sul mio computer per anni, finché un giorno non ho digitato accidentalmente il nome del virus mirror invece di digitare edit mirror.asm , ed è stato eseguito, mostrandomi un momento divertente e rovinando il mio record di avvio principale. Per fortuna, in questi giorni possiamo semplicemente far ruotare le macchine virtuali per ridurre il rischio.

Vado contro la risposta precedente e dico di no non è possibile eseguire un programma all'interno di un file Zip senza prima estrarlo. Windows Explorer può aprire i file zip e mostrarne il contenuto ma deve decomprimere il programma prima dell'esecuzione. Lo stesso file zip potrebbe in teoria contenere dati intenzionalmente malformati che, in combinazione con un bug del software, possono condurre all'esecuzione di codice arbitrario. Qualsiasi programma che analizzi i metadati o il contenuto del file deve essere considerato potenzialmente a rischio. Esempi di questo includono l'analisi del file per determinarne il tipo di dati e l'enumerazione del contenuto dell'archivio.

Devi impostare le impostazioni di sicurezza del tuo PC a partire da qualunque browser stai usando. (Nel tuo caso, Firefox.) È inoltre possibile impostare il software AV per la scansione automatica di qualsiasi nuovo elemento che viene caricato / scaricato nella cartella "Download". Questo è solitamente chiamato "Scansione all'accesso".

Sono d'accordo con tutti i commenti precedenti, che un virus, un trojan o un pezzo di software dannoso non costituirà di per sé una minaccia per qualsiasi sistema. Il codice in sé è sospeso fino a quando non viene attivato.

Perché allora viene attivato un file?

Ci sono circostanze in cui esiste una vulnerabilità, che consentirà ai file altrimenti legittimi di analizzare le informazioni che porteranno a file in esecuzione, che quindi eseguiranno il codice dormiente.

Tale vulnerabilità era parte della distribuzione di Stuxnet Trojan come discusso nei seguenti articoli:

Dichiarazione di non responsabilità: fare clic su qualsiasi collegamento in Internet può rappresentare un rischio per il sistema.

Geoff Chappell, analista software: Vulnerabilità del caricamento di icone CPL
Il caricatore di malware MRXCLS.SYS

Eset NOD Antivirus:
Stuxnet Under the Microsope

Quindi, mentre un codice malevolo in sé è inattivo fino a quando non viene attivato, ci sono vettori di attacco (vulnerabilità) che consentono l'esecuzione di codice malevolo anche se totalmente inaspettati.

Per rispondere alla tua domanda iniziale:

As these .exe, .zip and .rar files have only been downloaded to my HD, can they do any damage just sitting their?

Risposta:

...just sitting there?

...can they do any damage ...

Quindi analizzare un file per determinarne la funzione può portare a un'infezione di un sistema se esiste una vulnerabilità nella catena di analisi.