¿Puede un archivo peligroso (virus, troyano, malware, etc.) causar daño dentro de un archivo zip o rar?

En primer lugar, me gustaría explicar las diferencias entre virus, troyanos y malware.

Malware : es la forma abreviada de software malicioso. Es básicamente un software escrito para causar daños o infiltrarse en los sistemas informáticos sin el consentimiento informado del propietario. Es un término general usado para representar varias formas de código intrusivo, hostil y molesto.

Virus : es un software que se copia a sí mismo y se propaga sin permiso ni conocimiento del propietario. Los virus no se propagan a través de vulnerabilidades de explotación (las que lo hacen se llaman gusanos). La única forma en que se supone que se propagan los virus es con el host, al menos en su clasificación rigurosa. Digamos que un virus ha infectado un archivo, ahora si el propietario mueve el archivo a cualquier sistema, el virus tiene la posibilidad de propagarse y sobrevivir.

Los virus se pueden clasificar en las siguientes subcategorías:

• Tipo de residente: el que se ejecuta se convierte en residente de memoria (y espera para algunos desencadena tal carga de otro programa). Lo infecta otros programas y así sucesivamente.
• Sin tipo de residente: una vez que se ejecuta un virus, buscará los archivos que puede infectar. Luego, después de infectarlos, se cerrará. Cuando se vuelva a ejecutar el programa infectado, volverá a encontrar nuevos objetivos y así sucesivamente.
• Sector de inicio, que se propaga a través del sector de inicio y el tipo multiparte con varios tipos de mecanismos de infección.

Troyano : es un tipo de malware que aparece ante el usuario para realizar una función, pero de hecho facilita el acceso no autorizado al sistema. Además, son bastante diferentes de los virus. No son auto replicantes a diferencia de los virus.

En general, un virus no puede ejecutarse por sí solo, a menos que cuente con la cooperación del sistema operativo o los errores de software o la intervención del usuario.

Si el sistema operativo permite que los archivos se ejecuten automáticamente debido a su nombre o ubicación (por ejemplo, un archivo adjunto de correo electrónico), un virus puede hacerse pasar por un archivo legítimo y ser ejecutado por el sistema operativo sin la autorización del usuario. Esto solía ser el comportamiento predeterminado en los primeros clientes de correo electrónico.

Además, si el sistema operativo no tiene parches o un software específico tiene errores que un virus puede explotar para ejecutar su código, entonces un virus puede iniciarse por sí mismo.

Entonces, para responder a su pregunta: Sí, puede infectar su máquina descargando y almacenando malware en su disco duro sin ejecutar.

En general, un virus que se encuentra allí no es un problema, pero es un problema que está por suceder. Tengo virus en una PC dedicada solo para análisis y análisis forense.

Aquí está la respuesta paranoica:

STUXNET fue (en parte) creado por una vulnerabilidad en el proceso de creación del icono al generar el icono para un archivo, donde se produjo un desbordamiento de búfer.

Puedo asumir que cualquier proceso informático que se abra, escanee, previsualice, formatee o copie un objeto binario (EXE o ZIP no importa) puede ser vulnerable a un ataque de día cero, incluso si el archivo no se abre por se

Los archivos, en y por sí mismos, no se pueden ejecutar sin que algún software haga que se ejecuten. En otras palabras, hasta que algún tipo de software intente interpretar los datos como código o algún formato en particular, ya sea por accidente o por intención, son solo bytes aleatorios de datos que son completamente inofensivos. Casualmente, el término "guardar en el disco duro" es un poco engañoso, ya que cuando Thunderbird ha descargado el correo electrónico, es posible que los archivos adjuntos ya estén almacenados en su disco duro, en el archivo de la base de datos de correo electrónico (especialmente si no usa un sistema de correo electrónico basado en la web, como Hotmail).

Para llegar a la pregunta planteada aquí, asumiendo que Thunderbird guarda el archivo sin tratar de analizarlo de ninguna manera, el archivo permanecerá allí de manera segura hasta que otra persona intente procesar los datos. Sin embargo, todas las apuestas están desactivadas si intenta previsualizar o abrir los archivos. Como tal, recomendaría encarecidamente que no se guarden automáticamente los archivos adjuntos en el disco duro, no por el riesgo de infección de los archivos que llegan a su disco duro, sino porque todos los archivos desconocidos deben tratarse con la mayor precaución hasta que se demuestre que son seguros; es probable que se resbale tarde o temprano y simplemente corra ese virus que pretendía eliminar.

Como anécdota, solía descargar virus de BBSes y varios sitios web y leer su código fuente como una cuestión de ampliar mi conocimiento de cómo funcionaban las computadoras y cómo se explotaban los sistemas. Una mina de oro en particular era un archivo zip que contenía muchos archivos zip que contenían un archivo zip, cada uno con un archivo binario y un único archivo de origen (la mayoría de los virus en ese entonces estaban escritos en ensamblador / código de máquina). Esos archivos permanecieron inofensivos en mi computadora durante años, hasta que un día escribí accidentalmente el nombre del virus mirror en lugar de escribir edit mirror.asm , y se ejecutó, mostrándome un momento divertido y destruyendo mi registro de arranque maestro. Afortunadamente, en estos días solo podemos activar máquinas virtuales para reducir el riesgo.

Iré en contra de la respuesta anterior y le diré que no, no puede ejecutar un programa dentro de un archivo Zip sin extraerlo primero. Windows Explorer puede abrir archivos zip y mostrar su contenido, pero debe descomprimir el programa antes de la ejecución. El propio archivo zip en teoría podría contener datos mal formados intencionalmente que, en combinación con un error de software, pueden conducir a la ejecución de código arbitrario. Cualquier programa que analice los metadatos o el contenido del archivo debe considerarse potencialmente en riesgo. Los ejemplos de esto incluyen analizar el archivo para determinar su tipo de datos y enumerar el contenido del archivo.

Debe establecer la configuración de seguridad de su PC comenzando con cualquier navegador que esté usando. (En su caso, Firefox). También puede configurar su software AV para que analice automáticamente cualquier elemento nuevo que se cargue / descargue en su carpeta "Descargas". Esto suele denominarse "Escaneado en acceso".

Estoy de acuerdo con todos los comentarios anteriores, de que un virus, troyano o software malintencionado no supondrá, por sí solo, una amenaza para ningún sistema. El código en sí está inactivo hasta que se active.

¿Por qué, entonces, se activa un archivo?

Existen circunstancias en las que existe una vulnerabilidad que permitirá que los archivos legítimos analicen la información que llevará a la ejecución de los archivos, que luego ejecutará el código inactivo.

Dicha vulnerabilidad formaba parte de la distribución del troyano Stuxnet tal como se explica en los siguientes artículos:

Exención de responsabilidad: hacer clic en cualquier enlace en Internet puede suponer un riesgo para su sistema.

Geoff Chappell, analista de software:
Vulnerabilidad de carga del icono de CPL
El cargador de malware MRXCLS.SYS

Eset NOD Antivirus:
Stuxnet bajo el microscopio

Entonces, mientras que cualquier código malicioso en sí mismo permanece inactivo hasta que se active, hay vectores de ataque (vulnerabilidades) que permitirán que el código malicioso se ejecute aunque sea totalmente inesperado.

Para responder a su pregunta inicial:

Como estos archivos .exe, .zip y .rar solo se han descargado en mi HD, ¿pueden causar algún daño solo al colocarlos?

Respuesta:

... ¿solo estás sentado ahí?

... pueden hacer cualquier daño ...

Por lo tanto, analizar un archivo para determinar su función puede provocar una infección en un sistema si existiera una vulnerabilidad en la cadena de análisis.