Supponiamo che tu abbia un pezzo di malware come binario autonomo o nascosto all'interno di un'immagine creata (due casi distinti).
Un pezzo di malware incorporato in un file in genere contiene un exploit e un carico utile. L'exploit è le caratteristiche che causeranno programmi che utilizzano questo file per eseguire il payload. Nel contratto, un virus che è esso stesso un binario non ha bisogno di un exploit ma ha solo bisogno di essere eseguito, e il suo contenuto è essenzialmente il payload. Per semplificare, un exploit causa un comportamento scorretto del codice non dannoso ed esegue il payload anziché il codice normale.
Il file binario deve essere eseguito per causare danni. Non conosco alcun motivo per cui un file binario compresso verrebbe automaticamente decompresso ed eseguito. La semplice presenza della versione compressa non dovrebbe causare danni.
Un exploit nascosto in un'immagine creata di solito è destinato a un visualizzatore di immagini. Più precisamente, si rivolge a un visualizzatore di immagini molto preciso di solito di una determinata versione (una volta scoperta la vulnerabilità sfruttata e aggiornato il visualizzatore di immagini dall'utente, non è più vulnerabile all'apertura dell'immagine dannosa). Una versione compressa di questa immagine è illeggibile per il visualizzatore di immagini, perché non è il formato giusto. Il codice vulnerabile all'interno del visualizzatore non elaborerà i dati che contengono l'exploit. L'immagine compressa contiene un exploit compresso e un payload compresso, i programmi che userete non saranno quelli vulnerabili allo sfruttamento non compresso.
Esiste tuttavia un'eccezione: l'exploit all'interno dell'immagine potrebbe riguardare l'app di compressione stessa, nel qual caso il tentativo di comprimere l'immagine (con l'app vulnerabile specifica) causerà l'esecuzione del payload.
E un'altra eccezione: alcuni programmi (il tuo programma di estrazione dell'archivio, il tuo gestore di file, ecc.) potrebbero tentare di offrire anteprime del contenuto di un archivio. Potrebbero esaminare l'archivio decomprimendolo, rilevando che esiste un'immagine e decidendo di visualizzarlo. Se il codice utilizzato per visualizzare l'immagine è quello che è vulnerabile allo sfruttamento originale, verrà eseguito il payload.
Riassumendo: normalmente un file compresso con un exploit compresso non causa vulnerabilità poiché l'exploit non viene più elaborato dal codice target. Tuttavia, potrebbero esserci motivi per cui l'archivio deve essere automaticamente decompresso e il suo contenuto elaborato, nel qual caso si sarebbe vulnerabili.
Per evitare tali problemi, personalmente prefisso il malware tramite una sequenza di bit di mia scelta per garantire che nessun programma sul mio sistema riconosca il tipo di file e decida di rimuoverlo in qualsiasi modo. Per quanto mi ricordo la funzione di quarantena degli antivirus fa qualcosa di simile.
Probabilmente no, ma non è una garanzia. I virus sono solo programmi per computer. Devono essere eseguiti da qualcosa (nella maggior parte dei casi, copiare semplicemente i file non compressi di un virus non è sufficiente per infettare il tuo computer), e in generale, comprimerlo ne risulterà impossibile da eseguire senza essere prima non compresso.
Tuttavia, un virus intelligente potrebbe tentare di identificare le vulnerabilità in uno dei principali motori di compressione e progettare in modo tale che, una volta compresso, potrebbe prendere il controllo della libreria di compressione stessa. Ora, ciò dipende dal fatto che siano stati sfruttati i problemi nella libreria di compressione, ma non si può essere sicuri che tali vulnerabilità non esistano neanche.
È particolarmente probabile che tu incontri un virus del genere, probabilmente no, ma non sai nemmeno cosa potrebbero fare gli altri spettatori quando guardano il contenuto del file compresso. È un rischio piuttosto basso, ma non è necessariamente impossibile scrivere qualcosa che potrebbe fuggire da esso.
Leggi altre domande sui tag compression malware virus