Un pezzo di malware incorporato in un file in genere contiene un exploit e un carico utile. L'exploit è le caratteristiche che causeranno programmi che utilizzano questo file per eseguire il payload. Nel contratto, un virus che è esso stesso un binario non ha bisogno di un exploit ma ha solo bisogno di essere eseguito, e il suo contenuto è essenzialmente il payload. Per semplificare, un exploit causa un comportamento scorretto del codice non dannoso ed esegue il payload anziché il codice normale.
Caso binario
Il file binario deve essere eseguito per causare danni. Non conosco alcun motivo per cui un file binario compresso verrebbe automaticamente decompresso ed eseguito. La semplice presenza della versione compressa non dovrebbe causare danni.
Caso di immagine
Un exploit nascosto in un'immagine creata di solito è destinato a un visualizzatore di immagini. Più precisamente, si rivolge a un visualizzatore di immagini molto preciso di solito di una determinata versione (una volta scoperta la vulnerabilità sfruttata e aggiornato il visualizzatore di immagini dall'utente, non è più vulnerabile all'apertura dell'immagine dannosa). Una versione compressa di questa immagine è illeggibile per il visualizzatore di immagini, perché non è il formato giusto. Il codice vulnerabile all'interno del visualizzatore non elaborerà i dati che contengono l'exploit. L'immagine compressa contiene un exploit compresso e un payload compresso, i programmi che userete non saranno quelli vulnerabili allo sfruttamento non compresso.
Esiste tuttavia un'eccezione: l'exploit all'interno dell'immagine potrebbe riguardare l'app di compressione stessa, nel qual caso il tentativo di comprimere l'immagine (con l'app vulnerabile specifica) causerà l'esecuzione del payload.
E un'altra eccezione: alcuni programmi (il tuo programma di estrazione dell'archivio, il tuo gestore di file, ecc.) potrebbero tentare di offrire anteprime del contenuto di un archivio. Potrebbero esaminare l'archivio decomprimendolo, rilevando che esiste un'immagine e decidendo di visualizzarlo. Se il codice utilizzato per visualizzare l'immagine è quello che è vulnerabile allo sfruttamento originale, verrà eseguito il payload.
Riassumendo: normalmente un file compresso con un exploit compresso non causa vulnerabilità poiché l'exploit non viene più elaborato dal codice target. Tuttavia, potrebbero esserci motivi per cui l'archivio deve essere automaticamente decompresso e il suo contenuto elaborato, nel qual caso si sarebbe vulnerabili.
Per evitare tali problemi, personalmente prefisso il malware tramite una sequenza di bit di mia scelta per garantire che nessun programma sul mio sistema riconosca il tipo di file e decida di rimuoverlo in qualsiasi modo. Per quanto mi ricordo la funzione di quarantena degli antivirus fa qualcosa di simile.