¿Por qué los archivos .URL y .WSH se consideran peligrosos?

0

¿Por qué los archivos de Windows con la extensión ".url" y ".wsh" se consideran peligrosos (por ejemplo, bloqueados por muchos filtros de correo)? La forma en que lo veo:

.URL: se puede vincular a un sitio web malicioso que sirve como una vulnerabilidad, pero ¿es aún más fácil escribir dicha URL en un mensaje de correo? Puede vincular a un archivo local, pero no puede pasar ningún argumento a un archivo local. .WSH: puedes enlazar a un script local. Un archivo WSH en sí mismo no puede hacer nada dañino. No puede pasar ningún argumento a un script existente en el sistema de Windows.

    
pregunta user3231622 10.04.2017 - 18:15
fuente

2 respuestas

3

.url puede llevar el uso para hacer clic y redirigir al sitio web que aloja código de explotación malintencionado, por ejemplo. Ejecutar código de explotación en el software instalado sin parchear.

El bloqueo de WSH es similar al bloqueo autorun.inf Ejemplo de archivo .WSH de esta pregunta .

[ScriptFile]
Path=C:\WINNT\Samples\WSH\showprop.vbs
[Options]
Timeout=0
DisplayLogo=1
BatchMode=0
    
respondido por el mootmoot 11.04.2017 - 10:02
fuente
1

La respuesta para esto es muy simple:

tanto los archivos WSH como los URL pueden apuntar a recursos compartidos remotos (WedDAV o SMB), controlados por personas maliciosas, donde los archivos maliciosos, como por ejemplo.

VBS, JS, WSF (para .WSH) y por ejemplo. .LNK (para el .URL) se recuperará y ejecutará:

\ X.X.X.X \ Share \ file.ext

la dirección anterior no mostrará uno de los caracteres '\' al principio (filtrado de caracteres por este sitio), así que simplemente agregue '\' al principio del addr

(.ext debe reemplazarse con, por ejemplo, una de las extensiones anteriores)

Básicamente, wsh, url, lnk, pif son todos "enlaces como archivos". (PIF es un acceso directo a los antiguos programas de MS-DOS, y es análogo a los archivos WSH y URL ... todavía existe a partir de Windows 8,10, sin embargo, no se reconocerá el formato del archivo original, pero los atacantes pueden cambiar el nombre de '.exe' a ' .pif 'y Windows lo ejecutan exactamente de la misma manera porque el comando "abrir" para' .exe 'y' .pif 'es el mismo: >% 1% *

    
respondido por el Eduardo 08.12.2018 - 08:35
fuente

Lea otras preguntas en las etiquetas