Ayuda a comprender la infección de malware

Navega tus respuestas
1

Soy como un novato en seguridad y necesito ayuda para entender completamente cómo me infectaría inadvertidamente.

Supongamos que descargué un archivo .zip adjunto a un correo electrónico y descomprimí el contenido. Tengo entendido que la única forma en que mi computadora se vería comprometida sería si ejecutara alguno de esos archivos contenidos dentro de ... ¿verdad? Simplemente tenerlos en mi disco duro no hace nada ... ¿verdad?

    
pregunta Ron Burgundy 16.10.2014 - 23:50
fuente

2 respuestas

3

En términos generales , tienes razón. Veamos algunas excepciones:

  • Si el malware explota una vulnerabilidad en su programa de correo electrónico.
  • Si el malware explota una vulnerabilidad en el software utilizado para "descomprimirlo".
  • Si el malware explota una vulnerabilidad en el software utilizado para ver su contenido (es decir, el Explorador de Windows).
  • Si el malware explota una vulnerabilidad en el programa utilizado para abrir un archivo extraído.
  • Si los archivos son utilizados por otro software, para los cuales existe un exploit. Digo esto porque usted especificó "ejecutado" no "abierto".
  • Si el software es ejecutado inadvertidamente por otra cosa. Por ejemplo, una DLL podría ser cargada y ejecutada por otro software.
respondido por el Thebluefish 17.10.2014 - 00:11
fuente
1

Sí. El solo hecho de tener un archivo en su disco duro no hace nada.

Sin embargo, tenga en cuenta que puede haber potencial para la ejecución. Supongamos que el exploit estaba dentro de un archivo .pdf, y que un lector vulnerable lo abriera resultaba en la ejecución del código. Es posible que, aunque no lo abra en su visor de pdf, simplemente abriendo su carpeta se abra un complemento para crear una miniatura que analice el pdf ... y lo infecte. O está ejecutando un proceso de indexación automática, que intenta analizar el pdf, lo que lleva a la infección.

Esto no es muy común, ya que las vulnerabilidades suelen ser específicas de un programa específico, y es más probable que uses un lector diferente y, por lo tanto, no ejecutes la vulnerabilidad que ejecutas inadvertidamente usando otra cosa que no sea el lector que eran. intentar infectar (sin embargo, el mismo software puede proporcionarle al espectador y al complemento ...). Pero aunque es improbable, la ejecución involuntaria de piezas desconocidas en su pila de software es un riesgo a tener en cuenta.

Otra clase de ataques se basaría en archivos con algunos nombres que son especiales para algunos programas.

  • Un archivo llamado .profile sería inofensivo en Unix a menos que lo pongas en tu carpeta de inicio. Luego, el shell lo ejecutará felizmente en el próximo inicio de sesión (esto es lo que hizo que los nombres de archivo CVE-2010-2252 sean controlados por el usuario).

  • Bajo ciertas condiciones , es posible que se ejecute .dll que extrajiste si luego abres desde esa misma carpeta un programa que usa una DLL con el mismo nombre.

respondido por el Ángel 17.10.2014 - 00:17
fuente

Lea otras preguntas en las etiquetas

¿Puede alguien que use Thunderbird con el complemento Enigmail ser víctima de la falsificación de correos electrónicos? ¿Cómo puedo leer el código fuente de este script codificado de powershell del registro?