Frage:
Kann bösartiger Code ausgelöst werden, ohne dass der Benutzer die Datei ausführt oder öffnet?
ahinath
2015-07-19 12:20:11 UTC
view on stackexchange narkive permalink

Wenn eine Datei aus dem Internet heruntergeladen und auf der Festplatte gespeichert, aber nicht von einem Benutzer geöffnet wird (wenn die automatische Ausführung deaktiviert ist), besteht die Möglichkeit, dass bösartiger Code (z. B. ein Virus) in der Datei ausgelöst wird?

Ich frage nicht nach Angriffen, die beim Herunterladen oder beim Surfen auf eine Website ausgeführt werden könnten. Stellen Sie sich vor, die Datei wurde irgendwie auf der Festplatte gespeichert, ohne dass ein Angriff stattgefunden hat. Welchem ​​Risiko bin ich dann durch Malware ausgesetzt?

Ist das eine Windows-spezifische Frage?
1. Was ist Ihr Bedrohungsmodell? In jedem Bedrohungsmodell, in dem Sie eine möglicherweise böswillige Website besuchen, gibt es andere Möglichkeiten, wie die Website Sie gefährden kann (z. B. durch einen Zero-Day-Exploit). Ich bin daher nicht davon überzeugt, dass es sinnvoll ist, sich nur zu konzentrieren Ich glaube nicht, dass es möglich ist, "nur diese Datei herunterzuladen" (Sie werden auch eine Seite besuchen, auf der Javascript ausgeführt werden kann, um eine Sicherheitsanfälligkeit in Ihrem Browser auszunutzen). 2. Welche Recherchen haben Sie durchgeführt?
Viren * an sich * können normalerweise nicht ausgelöst oder verbreitet werden, wenn sie nicht geöffnet werden, da ein Virus ausgeführt werden muss, um sich zu verbreiten oder Schaden zu verursachen. In den Antworten unten finden Sie einige beängstigende Ausnahmen. Es gibt jedoch auch andere Arten von Malware, wie z. B. Würmer. Tatsächlich sind viele der in den Antworten beschriebenen Codeteile keine echten Viren.
D.W. Das Herunterladen von Dateien kann auf andere Weise als über einen Browser erfolgen, z. B. über Wget oder FTP. OP scheint speziell nach der Infektion durch eine Datei auf der Festplatte zu fragen, nicht nach dem Download-Prozess selbst.
Fünf antworten:
wireghoul
2015-07-19 13:09:39 UTC
view on stackexchange narkive permalink

Es gibt einige Fälle, in denen das einfache Herunterladen einer Datei ohne Öffnen zur Ausführung von vom Angreifer gesteuertem Code aus der Datei heraus führen kann. In der Regel wird eine bekannte Sicherheitsanfälligkeit in einem Programm ausgenutzt, das die Datei auf irgendeine Weise behandelt. Hier einige Beispiele, aber andere Fälle sind sicher:

  • Die Datei zielt auf eine Sicherheitsanfälligkeit in Ihrem Antivirenprogramm ab, die beim Scannen der Datei ausgelöst wird.
  • Die Datei zielt auf eine Sicherheitsanfälligkeit ab in Ihrem Dateisystem wie NTFS, in dem der Dateiname oder eine andere Eigenschaft den Fehler auslösen könnte
  • Die Datei zielt auf einen Fehler ab, der beim Generieren einer Dateivorschau wie PDF oder Bildminiatur
  • Eine Bibliotheksdatei (z. B. DLL) kann ausgeführt werden, wenn sie in demselben Verzeichnis gespeichert wird, in dem eine für binäres Pflanzen anfällige Anwendung von
  • ausgeführt wird. Die Datei ist eine spezielle Datei, die die Konfiguration eines Programms ändern kann, z als Herunterladen einer .wgetrc-Datei mit wget unter Linux
  • … und mehr
Nicht, dass irgendetwas an dieser Antwort falsch ist, aber ich denke, es ist erwähnenswert, dass bei all diesen Methoden die Datei sich selbst (oder ihren Namen) irgendwo in ausführbaren Code einfügt. Der Punkt ist, dass etwas ausgeführt werden muss, um einen Virus zu verbreiten - es passiert nicht einfach, weil Bytes auf einem Laufwerk gespeichert sind.
@DavidZ Stimmt, aber insbesondere der DLL-Teil ist erschreckend relevant - jeder, der * irgendwelche * ausführbaren Dateien aus seinem Download-Verzeichnis ausführt, ist in Gefahr. Und Sie erhalten nur die Warnung auf der exe (legitim), nicht auf der böswilligen DLL.
Wenn Sie auf Parser oder andere Fehler in einer AV-Engine abzielen, ist die einzige Anforderung die Speicherung der Datei.
@DavidZ Ich denke, es ist auch ziemlich klar, dass das OP nach dem Fall gefragt hat, in dem er / sie sich nicht die Mühe macht, die Datei auszuführen, und einige grundlegende Schritte unternimmt, um zu verhindern, dass die Datei selbst ausgeführt wird. Nicht der Fall, in dem das Vorhandensein der Datei dazu führt, dass ein anderer Code ausgeführt wird. Wenn wir keine Situation berücksichtigen, in der Code ausgeführt wird, werden Viren per Definition ausgeschlossen.
@Daniel Nun ja, Ihr letzter Satz war genau der Punkt meines Kommentars. Manche Leute wissen das doch nicht.
Die richtige hypothetische Frage lautet: "Kann bösartiger Code ausgelöst werden, ohne dass ein Thread den Dateiinhalt und die zugehörigen Metadaten analysiert?" Die Antwort auf diese Frage lautet Nein, aber in der Praxis ist das Herunterladen ohne einen Thread, der den Dateiinhalt und die Metadaten verarbeitet, nicht möglich. Sobald die Downloader-Software Metadaten auf dem Kabel abruft (z. B. Serverstandort), besteht die Möglichkeit eines Exploits.
Steffen Ullrich
2015-07-19 14:05:35 UTC
view on stackexchange narkive permalink

Windows versucht, Informationen aus der Datei zu extrahieren, um das Symbol und die Vorschau anzuzeigen, wenn der Ordner im Explorer angezeigt wird. Ein Beispiel war die Windows Metafile Vulnerability, die nur durch Vorschau der Datei im Explorer ausgenutzt werden konnte.

Ein weiterer Angriffsvektor ist die integrierte Windows-Suche. Um die für eine Volltextsuche erforderlichen Informationen zu extrahieren, scannt Windows die Dateien im Hintergrund und extrahiert den Inhalt mithilfe des Datei-Parsers. Ein Fehler im Datei-Parser kann daher zur Codeausführung führen.

Wenn der Pfad einem Angreifer bekannt ist (dh innerhalb des Standard-Download-Ordners), kann das Öffnen durch Einbetten der Datei als Image, Flash erzwungen werden Datei, PDF usw. über einen Link file: /// ... innerhalb einer von Ihnen besuchten Webseite.

Technisch gesehen erfordert Ihr letzter Absatz auch das Targeting einer Sicherheitsanfälligkeit in z. der Bildbetrachter, Flash, PDF-Betrachter usw.
@Random832: benötigt nicht nur der letzte Absatz eine Sicherheitslücke, sondern alle meine Beispiele. Ich bezweifle jedoch, dass Sie ein System ohne Schwachstellen finden, nur ohne (noch) öffentlich bekannte Schwachstellen.
WhiteWinterWolf
2015-07-19 13:12:19 UTC
view on stackexchange narkive permalink

Autorun gilt hauptsächlich für externe Laufwerke, die an den Computer angeschlossen sind, weniger für heruntergeladene Dateien.

Wenn Sie die heruntergeladene Datei nicht ausführen, sollten Sie theoretisch sicher sein. In der Praxis kann Ihr Computer es jedoch selbst öffnen und ohne Ihre Zustimmung einzuholen, ob eine Art Miniaturbild oder eine Vorschau des Dokuments erstellt, für eine Dateisuchanwendung usw. indiziert werden soll.

Zum Beispiel finden Sie hier ein Beispiel für einen Exploit, der sich auf ältere Windows Media Player-Software auswirkt: Sie müssen die Datei nicht öffnen, sondern nur in das Verzeichnis navigieren, in dem sich die Datei befindet, um die Malware auszuführen ...

user45139
2015-07-19 12:43:00 UTC
view on stackexchange narkive permalink

Dies hängt von der Art des Virus ab, den Sie möglicherweise heruntergeladen haben.

  • Makroviren: Wenn Sie ein infiziertes Dokument mit dem Programm öffnen, das angegriffen werden soll. Dasselbe gilt für Programmviren, die andere Programme Ihres Computers infizieren, wenn das von ihnen infizierte Programm durch Ausführen aktiviert wird.
  • Bootsektorviren: Sie infizieren Ihre Festplatten durch ihre einfache Anwesenheit ( ohne) Klicken Sie, um sie zu öffnen () oder indem Sie Ihren Computer neu starten
Der Bootsektor-Virus muss auf irgendeine Weise installiert werden (dh ein anstößiger Code muss irgendwann vom Benutzer ausgeführt werden). Er wird nicht direkt aus dem Internet auf den Bootsektor der Festplatte heruntergeladen.
@WhiteWinterWolf Nein, nicht unbedingt: Wenn Sie einen USB-Stick haben, der mit einem solchen Virus infiziert ist, schließen Sie ihn an Ihren Computer an und starten Sie ihn. Dann werden die Festplatten infiziert, ohne dass Sie den Virus auf dem USB öffnen (klicken) müssen. Ursprünglich folgt diese Art von Viren diesem Schema unter Verwendung einer Diskette
Die Frage hier betrifft Dateien, die aus dem Internet heruntergeladen wurden.
@WhiteWinterWolf Ja, Dateidownload, ich stimme zu, aber mein früherer Kommentar war eine Antwort auf Ihre :)
Und mein Kommentar war nur im Zusammenhang mit der Frage relevant. Tatsächlich kann Ihr Computer kompromittiert werden, auch ohne ihn herunterzuladen, einen USB-Stick zu verwenden oder in irgendeiner Weise damit zu interagieren, solange jemand eine Möglichkeit findet, Code darauf auszuführen;).
ddyer
2015-07-24 01:11:31 UTC
view on stackexchange narkive permalink

Die einfachste und häufigste Art von Malware hängt davon ab, dass Sie sie ausführen. Malwarecan kann jedoch Schwachstellen in jedem Programm beseitigen, das die Daten verarbeitet. Stellen Sie sich eine Malware vor, die auf eine bekannte Sicherheitsanfälligkeit in Ihrer Antivirensoftware oder Ihrer Spamfilter-Software abzielt.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...