Un programma può cambiare la posizione di collegamento di un browser a se stesso senza UAC (Admin) in Windows?

1

Stavo leggendo un articolo sui file .desktop usati per diffondere malware su Gnome e KDE. Ho pensato che lo stesso potrebbe essere applicato a Windows .

Su Windows:

  1. Il malware è mascherato da un'immagine cambiando icona. > > Foto divertente

  2. L'utente lo apre.

  3. Copia in un posto senza UAC (amministratore) come Documenti.

  4. Sostituisce una scorciatoia come Firefox con la sua posizione e conserva l'icona.

  5. L'utente lo apre. Chiede UAC. Dice anche unsigned.

  6. L'utente di Windows ignora l'avviso Unsigned che gli fornisce UAC.

  7. Il malware apre Firefox. L'utente non si rende conto di cosa.

  8. Il computer è infetto.

Funzionerebbe? È necessario un UAC per modificare un collegamento a un percorso protetto?

Modifica: l'intero scopo di questo è di ottenere un controllo dell'account utente senza richiederlo quando si apre, ma ingannare l'utente nel fornirlo UAC impersonando firefox o qualche altro programma.

    
posta Ufoguy 04.12.2013 - 18:16
fonte

1 risposta

1

Lo scenario che hai descritto potrebbe funzionare. Potrebbe non accadere nel modo esatto in cui è stato raffigurato. I file .desktop possono essere collocati in qualsiasi posizione del computer vittima.

NOTA: ha bisogno di UAC per entrare in una posizione protetta.

Comunque deve essere eseguito per iniziare il suo lavoro effettivo. In caso di Windows basta un doppio click (un comando execute in caso di Linux).

Può possibilmente imitare / imitare qualsiasi programma che hai recentemente usato o un software familiare nel tuo sistema.

Quando l'utente tenta di eseguire / fare clic sul file rappresentato, richiede UAC come hai detto. (Questo è altamente rilevabile da questo particolare personaggio). Se l'accesso è consentito, si si è vittima vittoriosa e il computer è stato compromesso.

Tuttavia la rimozione dei file .desktop non è così difficile. Ecco un buon leggi sui file .desktop.

    
risposta data 05.12.2013 - 10:15
fonte

Leggi altre domande sui tag