Question:
Un code malveillant peut-il se déclencher sans que l'utilisateur n'exécute ou n'ouvre le fichier?
ahinath
2015-07-19 12:20:11 UTC
view on stackexchange narkive permalink

Si un fichier est téléchargé à partir d'Internet et enregistré sur le disque, mais n'est pas ouvert par un utilisateur (si nous désactivons l'exécution automatique), y a-t-il des chances qu'un code malveillant (par exemple un virus) dans le fichier se déclenche?

Je ne parle pas des attaques qui pourraient être faites lors du téléchargement ou de la navigation sur un site - imaginez que le fichier a été stocké d'une manière ou d'une autre sur le disque sans qu'aucune attaque n'ait lieu. À quel risque puis-je alors faire face à des logiciels malveillants?

Est-ce une question spécifique à Windows?
1. Quel est votre modèle de menace? Dans tout modèle de menace où vous visitez un site Web potentiellement malveillant, il existe d'autres moyens par lesquels le site Web pourrait vous compromettre (par exemple, par un exploit zero-day), je ne suis donc pas convaincu qu'il soit logique de se concentrer uniquement sur les téléchargements, et je ne pense pas qu'il soit possible de "télécharger uniquement ce fichier" (vous visiterez également une page qui pourrait exécuter du Javascript qui pourrait essayer d'exploiter n'importe quelle vulnérabilité dans votre navigateur). 2. Quelles recherches avez-vous effectuées?
Les virus * en soi * ne peuvent généralement pas être déclenchés ou se propager lorsqu'ils ne sont pas ouverts, car un virus doit être exécuté pour se propager ou causer des dommages. Voir les réponses ci-dessous pour quelques exceptions effrayantes. Cependant, il existe d'autres types de logiciels malveillants, comme les vers, qui peuvent le faire. En fait, bon nombre des morceaux de code décrits dans les réponses ne sont pas vraiment des virus.
D.W. les téléchargements de fichiers peuvent se faire par d'autres moyens qu'un navigateur, c'est-à-dire wget ou FTP. OP semble poser spécifiquement des questions sur le fait d'être infecté par un fichier sur le disque, et non par le processus de téléchargement lui-même.
Cinq réponses:
wireghoul
2015-07-19 13:09:39 UTC
view on stackexchange narkive permalink

Il existe quelques cas où le simple téléchargement d'un fichier sans l'ouvrir peut conduire à l'exécution de code contrôlé par un attaquant à partir du fichier. Il s'agit généralement d'exploiter une vulnérabilité connue dans un programme qui gérera le fichier d'une manière ou d'une autre. Voici quelques exemples, mais d'autres cas sont sûrs d'exister:

  • Le fichier cible une vulnérabilité de votre antivirus qui se déclenche lorsque le fichier est scanné
  • Le fichier cible une vulnérabilité dans votre système de fichiers tel que NTFS où le nom de fichier ou une autre propriété pourrait déclencher le bogue
  • Le fichier cible un bogue qui peut être déclenché lors de la génération d'un aperçu de fichier tel que PDF ou miniature d'image
  • Un fichier de bibliothèque (ex. Dll) pourrait être exécuté lorsqu'il est enregistré dans le même répertoire où une application vulnérable à la plantation binaire est exécutée à partir de
  • Le fichier est un fichier spécial qui peut changer la configuration d'un programme tel comme le téléchargement d'un fichier .wgetrc avec wget sous Linux
  • … et plus
Ce n'est pas qu'il y ait quelque chose de mal avec cette réponse, mais je pense qu'il vaut la peine de noter que toutes ces méthodes impliquent que le fichier s'insère en quelque sorte (ou son nom) dans le code exécutable quelque part. Le fait est que _quelque chose_ doit être exécuté pour propager un virus - cela ne se produit pas simplement à cause des octets stockés sur un lecteur.
@DavidZ C'est vrai, mais la partie DLL en particulier est terriblement pertinente - quiconque exécute * des * exécutables à partir de son répertoire de téléchargement est en danger. Et vous n'obtiendrez l'avertissement que sur l'exe (légitime), pas sur la DLL malveillante.
Lorsque vous ciblez un analyseur ou d'autres bogues dans un moteur audiovisuel, la seule exigence est le stockage du fichier.
@DavidZ Je pense qu'il est également assez clair que l'OP posait des questions sur le cas où il / elle ne sort pas de sa manière d'exécuter le fichier et prend quelques mesures de base pour empêcher le fichier lui-même d'être exécuté; pas le cas où la présence du fichier provoque l'exécution d'un autre code. Après tout, si nous ne considérons aucune situation entraînant l'exécution de code, les virus sont exclus par définition.
@Daniel bien, oui, votre dernière phrase était exactement le point de mon commentaire. Certaines personnes ne le savent pas, après tout.
La question hypothétique appropriée est «un code malveillant peut-il se déclencher sans un thread analysant le contenu du fichier et les métadonnées associées». La réponse à cette question est non, mais en pratique, il est impossible de télécharger sans un thread traitant le contenu du fichier et les métadonnées. Dès que le logiciel de téléchargement extrait des métadonnées sur le câble (ex: emplacement du serveur), il y a une possibilité d'exploit.
Steffen Ullrich
2015-07-19 14:05:35 UTC
view on stackexchange narkive permalink

Windows essaiera d'extraire les informations du fichier pour afficher l'icône et l'aperçu en regardant le dossier dans l'explorateur. Un exemple était la vulnérabilité du métafichier Windows qui ne pouvait être exploitée qu'en prévisualisant le fichier dans l'explorateur.

Un autre vecteur d'attaque est la recherche Windows intégrée. Pour extraire les informations nécessaires à une recherche en texte intégral, Windows analysera les fichiers en arrière-plan et utilisera l'analyseur de fichiers pour extraire le contenu. Un bug dans l'analyseur de fichiers peut donc conduire à l'exécution de code.

De plus, si le chemin est connu d'un attaquant (c'est-à-dire à l'intérieur du dossier de téléchargement par défaut), l'ouverture peut être imposée en incorporant le fichier en tant qu'image, flash fichier, PDF, etc. en utilisant un lien file: /// ... à l'intérieur d'une page Web que vous visitez.

Techniquement, votre dernier paragraphe nécessite également de cibler une vulnérabilité par exemple. la visionneuse d'images, le flash, la visionneuse PDF, etc.
@Random832: non seulement le dernier paragraphe a besoin d'une vulnérabilité, mais tous mes exemples. Mais je doute que vous trouviez un système sans vulnérabilités, mais sans (encore) vulnérabilités publiquement connues.
WhiteWinterWolf
2015-07-19 13:12:19 UTC
view on stackexchange narkive permalink

L'exécution automatique s'applique principalement aux lecteurs externes connectés à la machine, moins aux fichiers téléchargés.

Si vous n'exécutez pas le fichier téléchargé, en théorie, vous devriez être en sécurité. Cependant, pratiquement, votre ordinateur peut l'ouvrir lui-même pour votre commodité et sans demander votre approbation, que ce soit pour générer une sorte de vignette ou un aperçu du document, pour l'indexer pour une application de recherche de fichiers, etc.

Par exemple, vous trouverez ici un exemple d'exploit affectant les anciens logiciels Windows Media Player: pas besoin d'ouvrir le fichier, il suffit de parcourir le répertoire contenant le fichier pour exécuter le malware ...

user45139
2015-07-19 12:43:00 UTC
view on stackexchange narkive permalink

Cela dépend du type de virus que vous avez téléchargé.

  • Virus de macro: lorsque vous ouvrez un document infecté à l'aide du programme, il est conçu pour attaquer. La même chose se produit avec les virus de programme qui infectent d'autres programmes de votre machine si le programme infecté par eux est activé en les exécutant.
  • Virus du secteur d'amorçage: ils infectent vos disques durs par leur simple présence ( sans en cliquant pour les ouvrir ) ou en redémarrant simplement votre machine
Le virus du secteur de démarrage doit être installé d'une manière ou d'une autre (c'est-à-dire qu'un code offensant doit être exécuté à un moment donné par l'utilisateur), il ne sera pas téléchargé directement depuis Internet vers le secteur de démarrage du disque dur.
@WhiteWinterWolf Non, pas nécessairement: si vous avez une clé USB infectée par un tel virus, vous la branchez sur votre ordinateur et la démarrez alors les disques durs seront infectés sans avoir besoin d'ouvrir (cliquer) le virus sur l'USB. À l'origine, ce type de virus suit ce schéma à l'aide d'une disquette
La question ici concerne les fichiers téléchargés sur Internet.
@WhiteWinterWolf Oui, téléchargement de fichier, je suis d'accord, mais mon ancien commentaire était une réponse au vôtre :)
Et mon commentaire n'était pertinent que dans le contexte de la question. En fait, votre ordinateur peut être compromis même sans téléchargement, en utilisant une clé USB ou en interagissant avec elle de quelque façon que ce soit pour cela, tant que quelqu'un trouve un moyen d'exécuter du code dessus;).
ddyer
2015-07-24 01:11:31 UTC
view on stackexchange narkive permalink

Le type de logiciel malveillant le plus simple et le plus courant dépend de votre exécution, mais il peut cibler les vulnérabilités de tout programme qui traite les données. Imaginez un logiciel malveillant ciblant une vulnérabilité connue de votre logiciel antivirus ou de votre logiciel de filtrage de spam.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...