it-swarm.com.de

Kann bösartiger Code ausgelöst werden, ohne dass der Benutzer die Datei ausführt oder öffnet?

Wenn eine Datei aus dem Internet heruntergeladen und auf der Festplatte gespeichert, aber nicht von einem Benutzer geöffnet wird (wenn die automatische Ausführung deaktiviert ist), besteht die Möglichkeit, dass bösartiger Code (z. B. ein Virus) in der Datei ausgelöst wird?

Ich frage nicht nach Angriffen, die beim Herunterladen oder beim Surfen auf eine Website ausgeführt werden könnten. Stellen Sie sich vor, die Datei wurde irgendwie auf der Festplatte gespeichert, ohne dass ein Angriff stattgefunden hat. Welches Risiko habe ich dann von Malware?

45
ahinath

Es gibt einige Fälle, in denen das einfache Herunterladen einer Datei ohne Öffnen zur Ausführung von vom Angreifer gesteuertem Code aus der Datei heraus führen kann. In der Regel wird eine bekannte Sicherheitsanfälligkeit in einem Programm ausgenutzt, das die Datei auf irgendeine Weise behandelt. Hier sind einige Beispiele, aber andere Fälle sind sicher:

  • Die Datei zielt auf eine Sicherheitsanfälligkeit in Ihrem Antivirenprogramm ab, die beim Scannen der Datei ausgelöst wird
  • Die Datei zielt auf eine Sicherheitsanfälligkeit in Ihrem Dateisystem ab, z. B. NTFS, bei der der Dateiname oder eine andere Eigenschaft den Fehler auslösen könnte
  • Die Datei zielt auf einen Fehler ab, der beim Generieren einer Dateivorschau ausgelöst werden kann, z. B. PDF oder Bildminiatur)
  • Eine Bibliotheksdatei (z. B. DLL) kann ausgeführt werden, wenn sie in demselben Verzeichnis gespeichert wird, in dem eine für binäres Pflanzen anfällige Anwendung ausgeführt wird
  • Die Datei ist eine spezielle Datei, die die Konfiguration eines Programms ändern kann, z. B. das Herunterladen einer .wgetrc-Datei mit wget unter Linux
  • …und mehr
74
wireghoul

Windows versucht, Informationen aus der Datei zu extrahieren, um das Symbol und die Vorschau anzuzeigen, wenn der Ordner im Explorer angezeigt wird. Ein Beispiel war Windows Metafile Vulnerability , das nur durch Vorschau der Datei im Explorer ausgenutzt werden konnte.

Ein weiterer Angriffsvektor ist die integrierte Windows-Suche. Um die für eine Volltextsuche erforderlichen Informationen zu extrahieren, scannt Windows die Dateien im Hintergrund und extrahiert den Inhalt mithilfe des Datei-Parsers. Ein Fehler im Datei-Parser kann daher zur Codeausführung führen.

Wenn der Pfad einem Angreifer bekannt ist (dh innerhalb des Standard-Download-Ordners), kann das Öffnen erzwungen werden, indem die Datei als Image, Flash-Datei, PDF usw. usw. mit einem file:///... Link innerhalb einer von Ihnen besuchten Webseite.

17
Steffen Ullrich

Autorun gilt hauptsächlich für externe Laufwerke, die an den Computer angeschlossen sind, weniger für heruntergeladene Dateien.

Wenn Sie die heruntergeladene Datei nicht ausführen, sollten Sie theoretisch sicher sein. In der Praxis kann Ihr Computer es jedoch selbst öffnen und ohne Ihre Zustimmung einzuholen, ob eine Art Miniaturansicht oder Vorschau des Dokuments erstellt, für die Dateisuchanwendung indiziert werden soll usw.

Beispiel: finden Sie hier Ein Beispiel für einen Exploit, der sich auf ältere Windows Media Player-Software auswirkt: Sie müssen die Datei nicht öffnen. Ein einfaches Durchsuchen des Verzeichnisses mit der Datei reicht aus, um die Malware auszuführen.

6
WhiteWinterWolf

Dies hängt von der Art des Virus ab, den Sie möglicherweise heruntergeladen haben.

  • Makroviren: Wenn Sie öffnen ein infiziertes Dokument mit dem Programm, das angegriffen werden soll. Gleiches gilt für Programmviren, die andere Programme Ihres Computers infizieren, wenn das von ihnen infizierte Programm durch Ausführen aktiviert wird.
  • Bootsektor-Viren: Sie infizieren Ihre Festplatten durch ihre einfache Anwesenheit (ohne zum Öffnen zu klicken sie) oder durch einen Neustart Ihres Computers
1
user45139

Die einfachste und häufigste Art von Malware hängt davon ab, dass Sie sie ausführen. Malware kann jedoch auf Schwachstellen in jedem Programm abzielen, das die Daten verarbeitet. Stellen Sie sich eine Malware vor, die auf eine bekannte Sicherheitsanfälligkeit in Ihrer Antivirensoftware oder Ihrer Spamfilter-Software abzielt.

0
ddyer