¿Se puede activar el código malicioso sin que el usuario ejecute o abra el archivo?

44

Si un archivo se descarga de Internet y se guarda en un disco, pero no lo abre un usuario (si mantenemos la ejecución automática desactivada), ¿existe alguna posibilidad de que se active un código malicioso (por ejemplo, un virus) en el archivo?

No pregunto sobre los ataques que se podrían realizar durante la descarga o al navegar en un sitio. Imagine que el archivo se ha almacenado en el disco sin que se produzca ningún ataque. ¿A qué riesgo me enfrento entonces del malware?

    
pregunta ahinath 19.07.2015 - 09:20
fuente

5 respuestas

73

Hay algunos casos en los que simplemente descargar un archivo sin abrirlo podría llevar a la ejecución del código controlado por el atacante desde dentro del archivo. Por lo general, implica explotar una vulnerabilidad conocida dentro de un programa que manejará el archivo de alguna manera. Aquí hay algunos ejemplos, pero otros casos seguramente existirán:

  • El archivo apunta a una vulnerabilidad en su antivirus que se activa cuando se escanea el archivo
  • El archivo se dirige a una vulnerabilidad en su sistema de archivos, como NTFS, donde el nombre de archivo u otra propiedad podría desencadenar el error
  • El archivo se enfoca en un error que se puede desencadenar al generar una vista previa del archivo, como PDF o miniatura de imagen
  • Un archivo de biblioteca (por ejemplo, dll) podría ejecutarse cuando se guarda en el mismo directorio desde donde se ejecuta una aplicación vulnerable a la siembra binaria
  • El archivo es un archivo especial que puede cambiar la configuración de un programa, como descargar un archivo .wgetrc con wget en Linux
  • ... y más
respondido por el wireghoul 22.07.2015 - 00:37
fuente
17

Windows intentará extraer información del archivo para mostrar el ícono y la vista previa al mirar la carpeta dentro del explorador. Un ejemplo fue la Vulnerabilidad del metarchivo de Windows que solo podría explotarse previsualizando el archivo en el explorador.

Otro vector de ataque es la Búsqueda de Windows incorporada. Para extraer la información necesaria para una búsqueda de texto completo, Windows escaneará los archivos en segundo plano y usará el analizador de archivos para extraer el contenido. Un error en el analizador de archivos puede llevar a la ejecución del código.

Además, si un atacante conoce la ruta de acceso (es decir, dentro de la carpeta de descarga predeterminada), la apertura podría hacerse incrustando el archivo como imagen, archivo flash, PDF, etc. mediante un enlace file:///... dentro de la página web que visite.

    
respondido por el Steffen Ullrich 19.07.2015 - 11:05
fuente
6

La ejecución automática se aplica principalmente a unidades externas conectadas a la máquina, y menos a archivos descargados.

Si no ejecuta el archivo descargado, en teoría debería estar seguro. Sin embargo, prácticamente, su computadora puede abrirla para su comodidad y sin pedir su aprobación, ya sea para generar algún tipo de miniatura o vista previa del documento, para indexarlo para la aplicación de búsqueda de archivos, etc.

Por ejemplo, encontrará aquí un ejemplo de vulnerabilidad que afecta al software más antiguo de Windows Media Player: no es necesario para abrir el archivo, basta con navegar al directorio que contiene el archivo para ejecutar el malware ...

    
respondido por el WhiteWinterWolf 19.07.2015 - 10:12
fuente
1

Depende del tipo de virus que hayas descargado.

  • Virus de macro: cuando abre un documento infectado utilizando el programa para el que está diseñado para atacar. Lo mismo ocurre con los virus de programa que infectan otros programas de su máquina si el programa infectado por ellos se activa ejecutándolos.
  • Virus del sector de inicio: infectan sus discos duros por su simple presencia ( sin hacer clic para abrirlos ) o simplemente reiniciando su máquina
respondido por el user45139 19.07.2015 - 09:43
fuente
0

El tipo de malware más simple y más común depende de que lo ejecute, pero el malware Puede dirigirse a vulnerabilidades en cualquier programa que procese los datos. Imagen una pieza de malware dirigido a una vulnerabilidad conocida en su software antivirus o en su correo no deseado software de filtrado.

    
respondido por el ddyer 23.07.2015 - 22:11
fuente

Lea otras preguntas en las etiquetas