Le risposte presenti sostengono che il malware può fare praticamente qualsiasi cosa sul tuo computer, e questo è corretto . Tuttavia, ciò non significa necessariamente che ogni malware sarà in grado di eseguire qualsiasi operazione una volta installato. L'infezione da malware ha due fasi principali: injection e escalation di privilegi .
iniezione
Prima di tutto il malware deve raggiungere un contesto di esecuzione sul tuo computer. Questo può essere ottenuto in diversi modi (questi non sono esaustivi):
- Creazione di un programma (ad esempio un client di posta) per eseguire le vulnerabilità malware (ad esempio allegato e-mail) alla vulnerabilità;
- Chiedendoti di scaricare il malware e aspettandoti di eseguirlo (ad esempio facendo clic su di esso);
- Qualcuno con accesso fisico può installarlo ed eseguirlo;
- Qualcuno potrebbe installarlo ed eseguirlo attraverso una backdoor.
Se il malware è in esecuzione come utente non privilegiato, il danno che potrebbe causare è limitato all'autorizzazione (e ai privilegi di tale utente). Tuttavia, molti malware sono progettati per andare oltre e tentare l'escalation dei privilegi.
Rialzo dei privilegi
Un malware in esecuzione come utente non privilegiato non ha il controllo diretto sull'hardware (sulla maggior parte dei sistemi operativi). Ad esempio, un malware in esecuzione all'interno di un browser Web non sarà in grado di accendere la webcam (o almeno non senza abilmente farti dare tale autorizzazione). L'escalation di Privilegde avviene nel contesto di un malware in esecuzione in un ambiente semi-sandbox (come il browser nell'esempio della webcam) o nel caso in cui venga eseguito come utente non privilegiato.
Se il malware può aumentare i propri privilegi per entrare nel contesto di esecuzione come utente root (famiglia * nix OS) o amministratore (famiglia MS OS) solo allora è libero di fare qualsiasi cosa su un computer. L'escalation dei privilegi dipende in larga misura dalla costruzione del sistema operativo (o sandbox), ma potrebbe includere:
- programmi setuid su * nix
- modifiche al registro sulla famiglia MS
- phishing dell'utente per una password per consentire privilegi più elevati (ad esempio
exec sudo ...
)
Conclusione
Non tutti i malware possono attraversare entrambe le fasi. Alcuni malware possono iniettarsi in una sandbox o in un contesto di esecuzione senza privilegi (ad esempio, non riesce mai ad aumentare ulteriormente i privilegi). Questo limita ciò che il malware può fare.
E questo è un buon motivo per eseguire applicazioni che possono entrare in contatto con malware (ad esempio client di posta, browser) come utente non privilegiato.