Ho un file dannoso compresso in .gz che non è stato aperto. Tuttavia, quando ho provato a eliminare la cartella contenente il file, non ero in grado di causa dei processi in esecuzione. Un malware zippato può essere eseguito su Windows?
A meno che tu non abbia un programma in grado di eseguire programmi compressi dall'archivio, non può farlo.
L'impossibilità di sopprimere il file è più probabile a causa del fatto che il file stesso viene utilizzato o l'accesso è limitato da qualche programma (ad esempio la quarantena antivirus).
Normalmente un programma non può essere eseguito da solo, ma deve essere lanciato da qualcos'altro (*). Che qualcos'altro è normalmente:
command.exe
, /bin/sh
(o bash, zsh, ecc.)) Questi possono solo avviare programmi in un formato eseguibile standard.
Ma un programma può anche essere avviato da un altro programma che lo avvia come sottoprocesso secondario. Qui quasi tutto è possibile, perché dipende da come è stato progettato quell'altro programma. Ad ogni modo, su un sistema operativo comune (almeno Windows e Unix o Unix), il sistema può solo eseguire un file non compresso, quindi in tal caso, il programma di avvio dovrebbe prima decomprimere il file in uno temporaneo e quindi eseguire il temporaneo. Ciò significa che il file zippato non deve essere tenuto aperto, perché il sistema non lo usa direttamente.
TL / DR: Probabilmente un file zippato potrebbe essere eseguito tramite un laucher specializzato, ma anche in quel caso, è molto improbabile che venga tenuto aperto tutto il suo tempo di esecuzione: dovrebbe essere tenuto aperto solo per non essere compresso.
(*) attenti, il programma di avvio potrebbe essere un normale programma come un lettore di posta o un browser, attraverso una vulnerabilità sfruttabile
Leggi altre domande sui tag process zip malware phishing code-execution