Il malware in $ RECYCLE.BIN (file cancellati) è pericoloso?

Question

Il malware in $ RECYCLE.BIN (file cancellati) è pericoloso?

#1 da (2 voti)
#2 da (1 voti)

5

Sto usando Debian 9.1 con KDE e scannerizzato qualche altro disco rigido con l'open source ClamAv . Ho molti risultati, molti dei quali sono PUA ^{(e sospetto che molti o addirittura tutti siano falsi positivi - sembra che ClamAV mostri letteralmente tutti .dll e .exe come "PUA" s e quelli rimanenti non sono stati rilevati dalla maggior parte degli altri AV)}.
La maggior parte di questi si trovava sotto $ RECYCLE.BIN / someid / someid / ...
In precedenza ho eseguito Windows (incluso AV) con quel disco rigido e ora mi chiedo se il malware in tali luoghi potrebbe essere pericoloso. È possibile eseguire le applicazioni nei contenitori di raccolta differenziata? Oppure esiste un meccanismo che impedisce l'esecuzione delle DLL e degli eseguibili eliminati?

windows malware antimalware

posta mYnDstrEAm 06.08.2017 - 22:53

fonte

2 risposte

Leggi altre domande sui tag windows malware antimalware

Cosa posso fare con una shell SQL usando SQLMap? Come aggirare ASLR con ROP

score 2 · Answer 1

Can applications in recycle bins be executed?

Dipende dal metodo. Cliccando su no, alcuni Winapi chiamano si.

Ma ... non importa. Non essere un eseguibile PE non garantisce che non sia dannoso. Pensa a file audio (dannosi), macro VBA, JS nel browser, ecc., Si basano su bug nel programma che li legge (come alcuni lettori multimediali specifici o MS Word) e / o sandboxing insufficiente.

È molto probabile che ci sia un malware che utilizza bug nel sistema di storage speciale del cestino di Windows.

score 1 · Answer 2

È noto a tutti i programmi AV che il cestino NON TO BYPASS.

SE il file dannoso trovato all'interno del cestino della cartella condivisa di samba Linux, significa che alcuni sistemi Windows si connettono alla cartella condivisa è infetto.

Se si trova all'interno del cestino di Linux senza alcuna condivisione di file, è necessario presupporre che il sistema sia infetto.

Poiché il malware in esecuzione all'interno della memoria può nascondere una copia del payload all'interno del cestino.

Dato che hai menzionato un'unità esterna, in realtà è abbastanza sicuro, purché il tuo sistema Windows non contenga malware in agguato. Ma come precauzioni, dovresti rimuovere tutti i file dannosi all'interno del cestino quando esegui la scansione usando Linux.