it-swarm-pt.tech

O código malicioso pode ser acionado sem que o usuário execute ou abra o arquivo?

Se um arquivo é baixado da Internet e salvo em disco, mas não é aberto por um usuário (se mantivermos a execução automática desativada), há chances de que um código malicioso (por exemplo, um vírus) no arquivo possa ser acionado?

Não estou perguntando sobre ataques que poderiam ser feitos durante o download ou a navegação em um site - imagine que o arquivo tenha sido armazenado de alguma forma no disco sem que ocorra nenhum ataque. Que risco eu então enfrento de malware?

45
ahinath

Existem alguns casos em que o simples download de um arquivo sem abri-lo pode levar à execução do código controlado pelo invasor de dentro do arquivo. Geralmente envolve a exploração de uma vulnerabilidade conhecida dentro de um programa que manipulará o arquivo de alguma maneira. Aqui estão alguns exemplos, mas outros casos certamente existem:

  • O arquivo tem como alvo uma vulnerabilidade no seu antivírus que é acionada quando o arquivo é verificado
  • O arquivo tem como alvo uma vulnerabilidade no seu sistema de arquivos, como NTFS, em que o nome do arquivo ou outra propriedade pode disparar o erro
  • O arquivo tem como alvo um bug que pode ser acionado ao gerar uma visualização de arquivo como PDF ou miniatura da imagem
  • Um arquivo de biblioteca (por exemplo, dll) pode ser executado quando salvo no mesmo diretório em que um aplicativo vulnerável ao plantio binário é executado a partir de
  • O arquivo é um arquivo especial que pode alterar a configuração de um programa, como baixar um arquivo .wgetrc com o wget no Linux
  • …e mais
74
wireghoul

O Windows tentará extrair informações do arquivo para exibir o ícone e visualizar ao olhar para a pasta dentro do Explorer. Um exemplo foi o Vulnerabilidade de metarquivo do Windows , que poderia ser explorado apenas pela visualização do arquivo no Explorer.

Outro vetor de ataque é o Windows Search interno. Para extrair as informações necessárias para uma pesquisa de texto completo, o Windows examinará os arquivos em segundo plano e usará o analisador de arquivos para extrair o conteúdo. Um erro no analisador de arquivos pode levar à execução do código.

Além disso, se o caminho for conhecido por um invasor (ou seja, dentro da pasta de download padrão), a abertura poderá ser imposta incorporando o arquivo como imagem, arquivo flash, PDF etc, usando um file:///... link dentro de uma página da web que você visita.

17
Steffen Ullrich

A execução automática se aplica principalmente a unidades externas conectadas à máquina, menos a arquivos baixados.

Se você não executar o arquivo baixado, em teoria você deve estar seguro. No entanto, praticamente, o seu computador pode abri-lo para sua conveniência e, sem pedir sua aprovação, é para gerar algum tipo de miniatura ou visualização do documento, indexá-lo para o aplicativo de busca de arquivos etc.

Por exemplo, você encontrará aqui um exemplo de exploração que afeta o software Windows Media Player mais antigo: não é necessário abrir o arquivo, basta navegar até o diretório que o contém para executar o malware ...

6
WhiteWinterWolf

Depende do tipo de vírus que você pode ter baixado.

  • Vírus de macro: quando você abre um documento infectado usando o programa que ele foi projetado para atacar. O mesmo ocorre com vírus de programas que infectam outros programas da sua máquina se o programa infectado por eles for ativado executando-os.
  • Vírus do setor de inicialização: eles infectam seus discos rígidos pela presença simples (sem clicar para abrir) ou simplesmente reiniciando sua máquina
1
user45139

O tipo de malware mais simples e mais comum depende da sua execução, mas o malware pode ter como alvo vulnerabilidades em qualquer programa que processe os dados. Imagem de um malware que visava uma vulnerabilidade conhecida no seu software antivírus ou no seu software de filtragem de spam.

0
ddyer