La suma de comprobación del archivo SHA256 falló, pero está bien al reiniciar

Navega tus respuestas
0

Descargué el instalador de Windows (.exe) para ImageMagick a través de http (las descargas de http y ftp se proporcionan en enlace ).

Al ejecutar el archivo, Windows SmartScreen muestra una pancarta en la pantalla que dice "Ejecutar esta aplicación podría poner en riesgo su PC", por lo que decido verificar la suma de comprobación SHA256 publicada mediante el paquete md5deep.

Resulta que el archivo descargado no coincide con la suma de comprobación publicada. Luego intenté descargar el archivo a través de FTP. Éste funcionó. No hay advertencias de SmartScreen, no hay errores de suma de comprobación.

Intenté descargar la versión http un par de veces más. Una vez más, la advertencia de SmartScreen ha vuelto y la suma de comprobación no coincide.

Lo extraño es que, al reiniciar Windows, todos los archivos previamente corrompidos (los descargados a través de http) coinciden repentinamente con la suma de comprobación y, además, SmartScreen ya no muestra la advertencia.

¿Qué podría estar causando esto?

    
pregunta ThatGuy 18.08.2014 - 12:28
fuente

2 respuestas

1

@ThatGuy Comencemos por volver a descargar los enlaces http y ftp ahora, podemos cargarlos en VirusTotal.com mientras carga los archivos. deberíamos crear los hashs MD5 de los archivos, después de que hayas encontrado los MD5, deberías buscarlos en Google para ver si algo vuelve con el mismo MD5 que necesitas para Google con comillas y sin ellos. Si todo vuelve bien, entonces no tienes nada de qué preocuparte.

Tenga en cuenta que al buscar en Google el SHA256 es posible que no devuelva nada que suceda mucho cuando los busque.

Espero que ayude.

    
respondido por el BigBob1000 19.08.2014 - 11:36
fuente
1

IMPORTANTE: Todo lo que sigue es solo una parte de mis suposiciones sobre este incidente. Sin más detalles, nadie puede decirle exactamente lo que sucedió.

¿Qué navegador estás usando? Sé que algunos navegadores no protegen el archivo inmediatamente, sino que crean un archivo temporal durante la descarga. Es posible que el cambio de este archivo temporal a un archivo normal no haya finalizado (quizás debido a un bloqueo de escritura), por lo que las sumas de verificación fueron diferentes.

Al reiniciar el sistema, es posible que este proceso haya finalizado, por lo que las sumas de comprobación se obtuvieron inmediatamente después. (Un poco fuera de lugar: ¿puede explicar por qué intentó ejecutar archivos potencialmente dañinos nuevamente después de un reinicio?)

Lo de SmartScreen es que AFAIK siempre se muestra cuando se ejecutan archivos descargados de la web, excepto algunas páginas 'buenas' definidas. El archivo se flage, por lo que Windows siempre sabe preguntar primero. He comprobado que un archivo descargado a través de ftp no obtiene este indicador y, por este motivo, se puede ejecutar sin previo aviso.

En general, asumiría que alguien con acceso al servidor cambiaría ambos (los archivos de descarga http y http) el malicioso y también podría cambiar las sumas de comprobación proporcionadas. Pero ni siquiera contaría con ese hecho.

    
respondido por el Tokk 19.08.2014 - 18:04
fuente

Lea otras preguntas en las etiquetas

¿Son todos los sistemas operativos vulnerables a los ataques de restablecimiento de contraseñas locales? necesita alternativas de seguridad a nivel de red para una VPN