La mia azienda ha appena un verme. Quello specifico è accanto al punto, ma ho collegato un paio di pagine che penso descrivano il worm / virus qui sotto. Riceviamo molte e-mail in Outlook che ci chiede di aprire documenti.
Per divertimento, voglio fare un'analisi statica / analisi dinamica in una macchina virtuale a casa. So che la regola della sicurezza è che è "mai sicuro", ma posso praticamente pensare che scaricare il file zip allegato sia sicuro se non lo eseguo?
La maggior parte dei virus e-mail richiede l'esecuzione di uno di questi metodi:
Il software e-mail e / o il sistema operativo eseguono automaticamente il file quando lo vede. Questo è il caso delle immagini che sfruttano i difetti nelle librerie di rendering delle immagini: il software elabora automaticamente l'immagine (se non altro per mostrarla come miniatura), attivando l'exploit.
L'ingenuo utente umano è indotto a far girare la cosa.
La maggior parte dei virus e-mail seguono il secondo percorso, poiché è molto più semplice. I difetti nelle librerie software sono segnalati e rattoppati dai fornitori; i difetti nel cervello umano sono mai risolti. In genere, il file verrà chiamato ".zip.exe" (l'utente vedrà semplicemente ".zip" e penserà "questo è un archivio Zip, non un eseguibile), o" .scr "(l'utente non è a conoscenza del fatto che" screensaver "sono in realtà file eseguibili nel mondo Windows.) Quando il virus è di secondo tipo, scarica il file è sicuro, purché si faccia attenzione a non eseguirlo. it!
Se puoi organizzare un trasferimento senza scaricarlo sulla tua macchina da lavoro, questo sarebbe più sicuro. Ad esempio, se è possibile accedere alle e-mail attraverso un portale Web, eseguire tale operazione, ad esempio, da una macchina su cui è in esecuzione Linux (potrebbe essere una macchina virtuale). Di norma, i virus Windows non hanno alcun impatto su Linux e viceversa.
Risponderò alla domanda: come faccio a trasportare il malware da ospitare per l'analisi senza che venga eliminato o manomesso durante la trasmissione (a causa di e-mail o prodotti A / V)?
Per trasportare correttamente malware conosciuti, in modo sicuro, è necessario prima scaricarlo senza la cancellazione del SO host perché il software A / V lo ha rilevato. È possibile "mettere in pausa" l'A / V host nella maggior parte dei casi, oppure è possibile scaricare su un host senza A / V installato.
Il secondo passo è avvolgerlo in modo sicuro per il trasporto. Per fare ciò, devi inserire malware in un file zip, quindi proteggere con password il file zip . La password comune utilizzata dalla maggior parte dei distributori A / V è "infetta" senza virgolette. La maggior parte dei produttori di A / V ignorerà effettivamente i file Zip con questa password, dato che assumono che è intesa a non essere eliminata, ma trasportata per ulteriori analisi. (Intel Security e Symantec vengono in mente).