Aiuta a capire l'infezione da malware

Naviga le tue risposte
1

Sono una specie di principiante della sicurezza e ho bisogno di aiuto per comprendere appieno come mi infetto inavvertitamente.

Diciamo che dovevo scaricare un file .zip allegato a un'email e ho decompresso il contenuto. È a mia conoscenza che l'unico modo in cui il mio computer sarebbe compromesso sarebbe SE SEI ESEGUITO uno di quei file contenuti all'interno ... giusto? Semplicemente averli sul mio disco rigido non fa nulla ... giusto?

    
posta Ron Burgundy 16.10.2014 - 23:50
fonte

2 risposte

3

In generale , sei corretto. Diamo un'occhiata ad alcune eccezioni:

  • Se il malware sfrutta una vulnerabilità nel tuo programma di posta elettronica.
  • Se il malware sfrutta una vulnerabilità nel software utilizzato per "decomprimerlo".
  • Se il malware sfrutta una vulnerabilità nel software utilizzato per visualizzarne il contenuto (ad es. Windows Explorer).
  • Se il malware sfrutta una vulnerabilità nel programma utilizzato per aprire un estratto.
  • Se i file sono utilizzati da altri software, per i quali esiste un exploit. Dico questo perché hai specificato "eseguito" non "aperto".
  • Se il software viene inavvertitamente gestito da qualcos'altro. Ad esempio, una DLL potrebbe essere caricata ed eseguita da qualche altro software.
risposta data 17.10.2014 - 00:11
fonte
1

Sì. Il solo fatto di avere un file sul tuo disco rigido non fa nulla.

Tuttavia, si noti che potrebbe esserci potenziale per l'esecuzione. Supponiamo che l'exploit fosse all'interno di un file .pdf e aprirlo da un lettore vulnerabile comporta l'esecuzione di codice. È possibile che sebbene tu non lo apri nel tuo pdf viewer, semplicemente aprendo la sua cartella, un plugin per creare una miniatura si apre e analizza il pdf ... e ti infetta. Oppure stai eseguendo un processo di indicizzazione automatico, che cerca di analizzare il pdf, portando all'infezione.

Questo è abbastanza raro, poiché gli exploit sono solitamente particolari per un programma specifico, ed è più probabile che tu usi un lettore diverso e quindi non esegui l'exploit che lo hai inavvertitamente usando qualcosa di diverso dal lettore che erano cercando di infettare (tuttavia lo stesso software potrebbe fornire il visualizzatore e il plug-in ...). Ma anche se improbabile, l'esecuzione involontaria di pezzi sconosciuti nel tuo stack software è un rischio da prendere in considerazione.

Un'altra classe di attacchi si baserebbe su file con nomi speciali per alcuni programmi.

  • Un file chiamato .profile sarebbe innocuo su Unix a meno che non lo si trovi nella cartella home. Quindi la shell funzionerà felicemente al prossimo login (questo è ciò che ha reso i nomi dei file controllati dall'utente CVE-2010-2252).

  • In determinate condizioni , è possibile che una .dll estratta venga eseguita se apri dalla stessa cartella un programma che utilizza una dll con lo stesso nome.

risposta data 17.10.2014 - 00:17
fonte

Leggi altre domande sui tag

Qualcuno che usa Thunderbird con il plugin Enigmail può essere vittima dello spoofing della posta elettronica Come posso leggere il codice sorgente di questo script PowerShell codificato dal registro?