Perché i file .URL e .WSH sono considerati pericolosi?

Naviga le tue risposte
0

Perché i file di Windows con estensione ".url" e ".wsh" sono considerati pericolosi (ad esempio, sono bloccati da molti filtri di posta)? Il modo in cui lo vedo:

.URL: puoi collegarti a un sito Web dannoso che offre un exploit, ma è ancora più semplice digitare l'url in un messaggio di posta elettronica? È possibile collegare a un file locale, ma non è possibile passare alcun argomento a un file locale. .WSH: puoi collegarti a uno script locale. Un file WSH su se stesso non può fare nulla di dannoso. Non è possibile passare alcun argomento a uno script esistente sul sistema Windows.

    
posta user3231622 10.04.2017 - 18:15
fonte

2 risposte

3

.url può portare l'uso a fare clic e reindirizzare al sito Web che ospita codice di exploit dannoso, ad es. eseguire il codice exploit sul software senza patch installato.

Il blocco di WSH è simile al blocco di autorun.inf Esempio di file .WSH da questa domanda . 

[ScriptFile]
Path=C:\WINNT\Samples\WSH\showprop.vbs
[Options]
Timeout=0
DisplayLogo=1
BatchMode=0
    
risposta data 11.04.2017 - 10:02
fonte
1

La risposta è molto semplice:

Sia i file WSH che i file URL possono puntare a condivisioni remote (WedDAV o SMB), controllate da persone malintenzionate, in cui file dannosi come ad es.

VBS, JS, WSF (per .WSH) ed es. .LNK (per .URL) verrà recuperato ed eseguito:

\ x.x.x.x \ Share \ file.ext

l'indirizzo sopra non mostrerà uno dei caratteri \ "all'inizio (filtro dei caratteri di questo sito), quindi aggiungi '\' all'inizio dell'aggiunta

(. ext dovrebbe essere sostituito con una delle estensioni sopra)

Di base, wsh, url, lnk, pif sono tutti "link come file". (PIF è un collegamento ai vecchi programmi MS-DOS ed è analogo ai file WSH e URL ... esiste ancora da Windows 8,10 tuttavia, il formato del file originale non verrà riconosciuto, ma gli autori degli attacchi possono rinominare '.exe' in ' .pif 'e Windows lo esegue esattamente allo stesso modo perché il comando "apri" per' .exe 'e' .pif 'è lo stesso - >% 1% *

    
risposta data 08.12.2018 - 08:35
fonte

Leggi altre domande sui tag

Implicazioni sulla sicurezza dell'identificazione del nome host in SNI e altre domande SNI Ho appena notato che Teamviewer Host è stato installato sul mio computer il 5/4/17 a nostra insaputa. cosa significa? [chiuso]