Question:
Faut-il cliquer sur un virus pour fonctionner?
user52577
2014-07-24 14:23:59 UTC
view on stackexchange narkive permalink

Un virus peut-il infecter mon système d'exploitation Windows XP par sa simple présence? Je veux dire, si je copie / colle un virus sur mon ordinateur et que je ne clique jamais dessus, infectera-t-il mon ordinateur ou restera-t-il inactif, sans nuire à mon ordinateur, tant que je ne clique pas dessus?

Une discussion connexe si vous avez besoin de plus d'informations. http://security.stackexchange.com/questions/41971/self-executing-files
Notez qu'il pourrait y avoir des bogues présents dans XP que nous ne connaissons pas encore et qui peuvent le rendre possible à l'avenir.
Parfois, la commande de lancement peut être cachée dans Register, c'est-à-dire dans la clé * \ Software \ Microsoft \ Windows \ CurrentVersion \ Run. Ensuite, le virus peut être lancé lors de la connexion de l'utilisateur.
@AJHenderson: Je me souviens de plusieurs occasions où l'explorateur Windows plantait sur divers fichiers en essayant de l'afficher, car il l'analysait pour une raison quelconque (icônes, image d'aperçu, etc.). mediaplayer planterait simplement en ouvrant la boîte de dialogue d'ouverture de fichier pour certains mp3. Win98 a également eu le bon comportement d'exécuter le mbr d'un deuxième disque dur dans certaines circonstances. Il y a beaucoup de choses où les fichiers sont chargés et analysés sans interaction utilisateur explicite pour ce fichier spécifique. Tous ces éléments ont le potentiel d'avoir des bogues pouvant conduire à l'exécution de code.
@PlasmaHH - c'est un bon point, il pourrait y avoir une petite chance. Cependant, il s'agissait encore plus de bogues susceptibles de provoquer un crash. Il serait plutôt difficile, voire possible, de rattacher un tel comportement à l'exécution d'un code, mais ce n'est peut-être pas impossible. Je dirais toujours que c'est assez improbable, en particulier pour tout virus run of the mill. Une approche d'infection active est beaucoup plus probable.
laissez des virus, tant que vous utilisez XP et que vous utilisez Internet (depuis que vous avez posé cette question), vous êtes vulnérable comme tout.
Je me souviens qu'il y avait un exploit qui utilisait des fichiers PDF, et vous ne deviez pas les ouvrir mais simplement regarder le contenu du dossier le déclencherait (via l'assistant de prévisualisation PDF, qui avait un dépassement de tampon). C'était peut-être il y a environ 5 ans.
Sept réponses:
AJ Henderson
2014-07-24 18:51:57 UTC
view on stackexchange narkive permalink

Un virus ne peut rien faire en étant simplement présent sur votre système sous forme de données. Un virus n'est qu'un programme, il doit être exécuté par quelque chose . L'astuce est que quelque chose ne doit pas être que vous cliquiez dessus.

Les ordinateurs font beaucoup de choses automatiquement sans votre attention. Ils acceptent les demandes de transfert de fichiers, de bureau à distance, fournissent des détails sur leur état, vérifient les mises à jour du système, etc. De plus, vous effectuez de nombreuses actions qui peuvent être détournées par un code malveillant sur un autre système, comme exécuter des sites Web avec Javascript ou Flash ou exécuter programmes qui extraient des données d'Internet ou traitent des documents (comme des courriers électroniques ou des documents de bureau).

Chacun de ces centaines de chemins d'exécution peut être utilisé pour inciter un système à exécuter un virus qui est téléchargé avec un site Web ou même pour provoquer l'exécution à distance d'un virus chargé sur le système sans aucune interaction de l'utilisateur. Ainsi, bien que vous puissiez (généralement) télécharger en toute sécurité une copie de la plupart des virus et laisser le code inactif sur votre système, il existe de nombreuses façons pour un attaquant de provoquer l'installation d'un virus sur votre système. sans que vous n'agissiez directement. (C'est, en fait, la façon dont l'option de quarantaine fonctionne normalement dans un antivirus. Elle le renomme simplement et la copie dans un autre emplacement.)

Cela dit, Je recommande tout de même de configurer un environnement virtualisé pour tester. Il n'y a aucune bonne raison de ne pas le faire, ils sont faciles à configurer et fournissent une couche supplémentaire de protection. Il est très peu probable qu'il puisse abuser de certains processus système, comme accrocher un indexeur de recherche ou une visionneuse de vignettes. Cependant, il y a aussi une très faible chance qu'un virus puisse échapper à un environnement virtualisé. Cependant, les chances que cela fasse les deux deviennent de plus en plus improbables, surtout si vous modifiez l'extension pour la dissocier de nombreux processus système qui pourraient autrement la traiter différemment.

C'est pourquoi il est si important d'utiliser les choses comme les pare-feu sur votre réseau et pour garder votre système d'exploitation et d'autres applications corrigés et à jour. Des correctifs de sécurité sont publiés pour corriger les failles au fur et à mesure qu'elles sont découvertes, mais de nombreuses vulnérabilités non découvertes ou non publiées existent toujours. Les choses sont suffisamment sécurisées pour que tout le monde ne puisse pénétrer dans votre système si vous le maintenez à jour, et tant que vous gardez les attaquants hors de votre réseau avec un pare-feu, vous êtes probablement assez en sécurité, surtout si vous désactivez le contenu actif (comme Flash et certains Javascript) lorsque vous naviguez sur Internet.

Comme XP ne reçoit plus de mises à jour de sécurité, vous êtes laissé à l'abri de toute nouvelle vulnérabilité découverte et il deviendra de plus en plus facile pour une vulnérabilité d'exécution de code à distance utilisé contre votre système sans que vous puissiez faire quoi que ce soit pour l'empêcher de supprimer votre ordinateur d'Internet.

Pouvez-vous nous expliquer comment désactiver "Certains javascript"? J'ai entendu parler de certaines personnes désactivant js entièrement pour des raisons de sécurité, mais comment le faire de manière sélective?
@loneboat - principalement en utilisant un système séparé. Personnellement, je n'y ai pas beaucoup réfléchi, mais il y a des projets comme [Caja Project] (http://en.wikipedia.org/wiki/Caja_project) travaillant sur des sous-ensembles de Javascript qui sont plus sécurisés. Je ne sais pas s'il existe des navigateurs qui peuvent actuellement limiter l'exécution à cela.
Je ne sais pas à quel point c'est courant, mais certains logiciels antivirus «brouillent» les virus avant de les enregistrer sur le disque. Probablement pour éviter de faire paniquer un autre programme AV, ou pour diminuer les chances qu'il s'exécute en raison d'un exploit. Je pense qu'il a xor-ed chaque octet avec 10101010 ou quelque chose comme ça.
@AJHenderson Sauf erreur de ma part, il semble que Caja est conçu pour permettre au JavaScript défini par l'utilisateur de s'exécuter dans une page Web sans exposer le site hôte aux attaques XSS. Caja ne semble pas être conçu pour empêcher les exploits de navigateur zero-day, qui est la seule menace que pose JavaScript qui soit pertinente pour cette question.
@Ajedi32 - XSS est un vecteur majeur pour injecter un tel JavaScript malveillant, si vous pouvez empêcher cela, alors les instances de lecteur par malware diminuent considérablement. Empêcher le téléchargement de logiciels malveillants est l'un des principaux objectifs du projet. Le point principal auquel je voulais en venir était simplement que tout Javascript n'est pas dangereux, seulement certaines parties. Si vous pouvez éviter cette partie, alors vous êtes beaucoup plus en sécurité, cela peut être fait soit par le client, soit par le serveur, soit par les deux, tant que le serveur lui-même est digne de confiance.
N'oubliez pas les vignettes; probablement si vous y trouvez une faille, c'est un vecteur d'attaque.
@emodendroket - ouais, cela a été regroupé avec "Il y a une très faible possibilité qu'il puisse abuser de certains processus du système." L'indexation de la recherche, l'analyse des virus elle-même, d'autres choses comme celles-ci pourraient potentiellement poser des problèmes, mais ce type de vulnérabilité est assez rare et être véritablement exploitable est encore plus rare car vous devez finir par évaluer les données de telle sorte que l'évaluation du les données peuvent entraîner un détournement du processus.
Une fois, j'ai eu un ordinateur sur lequel j'ai téléchargé une tonne de virus et leur code source. J'ai beaucoup appris de ma programmation grâce à ces virus (les virus, par nature, sont * beaucoup * plus inventifs que les applications professionnelles, car leur objectif est l'infiltration et la furtivité). Malheureusement, j'en ai accidentellement lancé un lorsque j'essayais de lire le code source (ils étaient dans le même dossier, une conception négligente étant donné qu'ils étaient triple-zippés), et cela a à jamais saccagé mon disque dur. C'était de retour sous DOS, pas d'anti-virus. Aujourd'hui, je ne stocke les virus que dans une machine virtuelle, juste pour être en sécurité.
Évalué car il s'agit d'informations incorrectes. Il n'est pas nécessaire pour l'utilisateur d'interagir avec un fichier chargé de virus, seulement un besoin pour le * système * d'interagir et il existe de nombreuses façons d'y parvenir.
@JamesSnell - Si vous lisez mon message, je l'indique. Il est cependant assez rare qu'un virus accroche des processus automatisés s'il n'est pas transmis au système via le vecteur prévu. La plupart des virus sont activement délivrés. À moins que les choses n'aient beaucoup changé depuis ma dernière visite, la livraison passive efficace est si rare que, même si elle mérite une mention et reste une bonne raison d'utiliser une VM, les chances sont à peu près aussi bonnes qu'un virus conçu pour échapper à une VM. qui accrochera une analyse du système ou une visionneuse de vignettes ou quelque chose de similaire, surtout si vous le dissociez de son extension normale.
Je ne suis pas sûr d'être tout à fait d'accord, mais vous m'avez suffisamment convaincu pour retirer le vote négatif.
executifs
2014-07-24 14:42:12 UTC
view on stackexchange narkive permalink

Cela dépend du format de fichier.

Les exécutables ne s'exécutent pas eux-mêmes, à moins qu'une astuce intelligente ne soit employée (autorun.inf et .lnk étaient des techniques populaires il y a quelque temps).

Néanmoins, MS11-006 démontre que cliquer sur un fichier infecté n'est pas toujours nécessaire (cet exploit se déclenche lorsqu'une vignette du document infecté est rendue par le système, par exemple lorsque vous naviguez vers un dossier contenant il). La leçon que nous en tirons est que le système peut interagir avec vos fichiers sans que vous ne le demandiez explicitement.

Par exemple, vous pouvez avoir un logiciel antivirus qui analysera automatiquement le fichier infecté. Supposons que l'analyseur PE de l'AV soit défectueux, vous pourriez simplement obtenir une exécution de code sans aucune interaction.

De manière réaliste, vous êtes probablement en sécurité si vous ne double-cliquez pas sur le fichier . Sinon, cela signifie que vous analysez quelque chose d'assez sophistiqué. Par mesure de sécurité, gérez toujours les malwares dans des environnements virtualisés!

James Snell
2014-07-25 19:30:50 UTC
view on stackexchange narkive permalink

Non, un virus n'a pas besoin d'être cliqué ou accédé directement par l'utilisateur pour infecter un système. Tout ce que le fichier chargé de virus doit faire est de tirer parti d'une vulnérabilité du programme qui y accède.

Exemples sous Windows XP

Le bulletin de sécurité MS11-006 documente un bogue dans la façon dont les miniatures ont été produites par l'explorateur Windows pour le tromper dans le code en cours d'exécution et exigeait seulement que l'utilisateur accède au dossier contenant le fichier.

Base de connaissances Microsoft 971029 - La mise à jour de la fonctionnalité de lecture automatique dans Windows documente un changement de comportement dans Windows XP où un fichier (appelé autorun.inf) est utilisé pour diriger le système pour lancer des applications lorsqu'un élément de média est inséré / connecté. Ce comportement a été exploité par des virus comme Autorun.NH sur les clés USB, les lecteurs amovibles et les lecteurs réseau par des virus pour se propager. Aucune interaction de l'utilisateur au-delà de la connexion d'un lecteur USB ou amovible pour propager et exécuter.

Ce n'est pas seulement un problème de système d'exploitation non plus

Eh bien non. Des problèmes comme celui-ci ne sont pas limités au système d'exploitation, ni à Windows. Un exemple récent est Un bogue vieux de 20 ans dans le module de compression LZO couramment utilisé qui a été découvert et corrigé. Cela affectait une bibliothèque partagée utilisée par des dizaines (sinon des centaines) d'applications et signifiait que si la routine défectueuse se trouvait dans un programme qui scanne des fichiers (par exemple une application multimédia analysant les métadonnées), une machine pourrait à nouveau être infectée sans l'utilisateur interagit ou clique sur ce fichier.

Quelle est la probabilité?

Ces exemples ont tous été repérés et corrigés pour ceux qui ont appliqué le mises à jour et correctifs appropriés. Ce qu'ils devraient faire avant tout, c'est servir d'illustration sur la façon dont ces types de bogues peuvent être utilisés et exploités pour faire exécuter du code sans interaction de l'utilisateur. Copier ou simplement avoir le fichier là-bas peut suffire.

La création initiale de fichiers pour tirer parti de ces failles / fonctionnalités au départ peut demander beaucoup de compétences. Mais des boîtes à outils sont disponibles qui font de la production d'un virus plus une opération pointer-cliquer - vous lui indiquez les défauts dont vous voulez qu'il tire parti et ce que vous voulez exécuter et cela vous rendra méchant. C'est donc plus probable que vous ne le pensez.

Avez-vous des conseils pour me protéger? Pourquoi, oui! La défense en profondeur est la clé et fonctionne sur le principe qu'aucune d'entre elles ne tiendra tout à l'écart, mais chacune y contribue. Voici mon top 3 pour les virus basés sur des fichiers.

  • Exécutez un logiciel antivirus - ce n'est pas une solution miracle, mais si vous gardez les définitions à jour et analysez régulièrement les fichiers existants ainsi que les nouveaux cela vous aidera, et si vous avez plusieurs machines exécutant un antivirus différent sur chacun d'eux, cela vous aidera.
  • Restez à jour avec leurs correctifs - En plus de Windows Update, utilisez un outil comme Secunia PSI pour vous aider à garder le reste de vos applications sous contrôle.
  • Ne pas exécuter avec plus d'autorisations que ce dont vous avez besoin - Oui, cela peut être ennuyeux une fois par an, vous pourriez installer un logiciel ou vouloir pour modifier un paramètre système mais cela ajoute une autre couche de protection.

Je ne suis pas affilié à Secunia, juste un utilisateur satisfait.

Je devrais rechercher des sources publiques pour les exploits MS11-006, mais cela peut avoir été soumis à la NDA. Je l'ai également utilisé via metasploit qui aurait probablement été plus tard.
Je serais d'accord avec la quasi-totalité de votre message - mais un lecteur suffisamment pédant marchanderait sur la définition de «virus» que vous (et toutes les autres réponses!) Utilisez. Strictement parlant, votre réponse suppose que l'OP signifiait «virus» pour inclure «ver» - probablement une hypothèse sûre, mais j'ai pensé qu'il valait la peine de le souligner. Bien que je n'ai pas de définitions solides, [l'article de Wikipedia sur «Virus informatique»] (http://en.wikipedia.org/wiki/Computer_virus) semble utiliser la définition qu'un «virus» se répliquera automatiquement et un «ver» se «répliquera», souvent «en s'appuyant sur des échecs de sécurité». Encore une fois, n'essayez pas d'être un âne ici! :)
@JamesSnell si c'est dans metasploit cela seul contredirait ma question, en supposant qu'il permet une exécution arbitraire.
@randomdude - Je vois où vous voulez en venir. Ma réponse va plus loin et suppose que «virus» est un terme générique pour désigner un code malveillant. Les mécanismes de réplication semblaient en tout cas sans intérêt.
@AJHenderson il le fait en effet, il y a des démos de celui-ci avec des charges utiles ouvrant la calculatrice et créant une session meterpreter.
@JamesSnell Cool. Heureux que vous n'ayez pas mal interprété mon commentaire :)
Christoph Böhmwalder
2014-07-24 14:30:25 UTC
view on stackexchange narkive permalink

Cela dépend. En règle générale, les virus triviaux nécessitent que vous cliquiez dessus (c'est-à-dire exécutent un fichier d'une manière ou d'une autre). Il ne devrait pas être possible d’exécuter du code sans avoir à double-cliquer sur virus.exe ou similaire.

En réalité, un auteur de virus peut techniquement trouver un bug dans Windows (ce qui n'est pas si improbable sur XP) et causer des problèmes de cette façon. Par exemple, s'il y a un bogue dans la routine de copie de fichiers et qu'un attaquant est capable d'exécuter du code simplement en copiant le fichier, alors oui, le virus peut certainement vous nuire.

Dans tous les cas, si vous avez un virus à analyser (ou tout ce que vous essayez de faire avec celui-ci sur votre ordinateur), vous devez le faire dans un environnement en bac à sable (c.-à-d. VirtualBox ou un ordinateur séparé) afin qu'il ne puisse pas nuire à votre système

Un bug? Sous * Windows XP *?
BlackMamba
2014-07-24 14:46:15 UTC
view on stackexchange narkive permalink

Cela dépend.

Je suis entièrement d'accord avec la réponse de HackerCow. Il existe de nombreux virus qui se comportent différemment dans leur comportement: exécution par clic, exécution automatique, duplication automatique, etc.

Une fois qu'un virus pénètre dans votre système, vous êtes vulnérable quel que soit le type ou le comportement qu'il possède. Et comme une déclaration évidente, nous savons que XP n'est pas aussi performant en matière de sécurité que les dernières versions du système d'exploitation. Par exemple, le contrôle de compte d'utilisateur (UAC) qui permet d'exécuter un programme avec des droits d'administrateur est manquant.

Ayez un logiciel antivirus mis à jour installé et ne permettez à aucune sorte de virus ou de malwares d'entrer dans votre machine. C'est dangereux même si vous l'avez sans l'exécuter.

4oxer
2014-07-24 14:44:27 UTC
view on stackexchange narkive permalink

Non. Il n'est pas toujours nécessaire de cliquer sur un virus. Par exemple. Un virus peut être déposé sur votre ordinateur par un téléchargement au volant. Cela se fait lorsque vous visitez un site qui exploite une vulnérabilité de votre navigateur, supprimant ainsi des logiciels malveillants sur votre système. Cela permet également à un attaquant distant de lancer le virus.

Un autre exemple est un virus qui s'attachera aux commandes de démarrage d'autres applications, étant ainsi appelé lorsque, par exemple, le lecteur multimédia est utilisé. Vous n'ouvrez pas directement le virus mais il sera ouvert par le lecteur multimédia par exemple.

Un fichier malveillant, un virus si vous voulez, assis complètement isolé sur un disque dur sans interaction de l'utilisateur ou du système ne pourra pas se lancer si tel est le problème.

Votre réponse n'explique pas vraiment comment le virus est attaché ou comment un site Web peut exécuter un processus local; c'est pourtant ce qui compte pour la portée de cette question.
IMO ce n'est pas vraiment la portée. Cependant, il existe de nombreuses façons de procéder. La plupart du temps, cela est fait par des pirates informatiques qui connaissent une vulnérabilité basée sur la pile et l'exploitent. Les exemples sont les débordements de tampon, le retour aux attaques libc, etc. Cela permet l'exécution de code à distance et d'exécuter des programmes avec les mêmes autorisations que le navigateur. Ou même vous déposer dans un shell root avec un retour à l'attaque de la libc.
La question n'était pas "quel est le mécanisme de persistance typique des logiciels malveillants?" mais "existe-t-il un malware dont le vecteur d'attaque n'implique pas d'interaction utilisateur?". Maintenant, étant donné les types d'exploits que vous décrivez, les vulnérabilités qui les permettent peuvent être trouvées dans le code qui traite les données sans interaction explicite de l'utilisateur comme le téléchargement, le rendu d'une vignette ou même l'analyse de virus comme expliqué par @executifs ci-dessus.
Dan
2014-07-27 03:08:59 UTC
view on stackexchange narkive permalink

Une réponse pratique à cette question également. Ce qui était: «Si je copie / colle un virus sur mon ordinateur et que je ne clique jamais dessus», cela ferait-il du mal? Et comme d'autres l'ont noté, cela ne fera presque certainement aucun mal si vous le copiez sur votre ordinateur et ne faites rien d'autre. Les e-mails et la navigation Web sont des sujets distincts. Cependant, si vous souhaitez stocker un virus pour une raison quelconque (?) Et que vous voulez vous assurer qu'il ne fait rien: a) changez le type de fichier (comme mentionné), b) placez-le dans une archive de fichier (ZIP, etc.), et mieux encore, c) cryptez-le ou autre.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Continuer la lecture sur narkive:
Loading...