.zip datoteka in virus
3 naročniki
3 naročniki
Menda je lahko zip datoteka executable in lahko dobiš virus že z dvojnim klikom na zip datoteko, brez da bi kaj razpakiral. Včeraj sem kliknil na zip in mi je javilo
Error The archive is either in unkown format or damaged.
Bral pa sem, da lahko tudi virus prikaže ta error, da bi samo zgledalo da gre za poškodovan archive, da ne bi kaj posumil, v resnici pa virus v ozadju izvede kar želi.
Ker so v ozadju še druge sumljive okoliščine, me skrbi da sem fasal kakega trojanca. Nastavljeno imam, da po defaultu zip končnice odpira winrar. Če prav sklepam bi probal winrar odpakirat datoteko, tudi če bi šlo v resnici za drug tip datoteke in v tem primeru ni nobene nevarnosti, da se je ta datoteka skušala zagnati ker jo je prvo probal razpakirat winrar. Isto kot če bi preimenoval jpeg v zip, slike ne bi prikazalo ker bi jo probalo odpret z winrarom. Imam prav, imam prav da v tem primeru ni nobene nevarnosti?
10 odgovorov
odvisno je ali je to bila res zip datoteka .. verjetno ne.
Vsaki exe datoteki se da zamenjat ikono, tako da vprašanje kaj si dobil. Vedi pa , da nobeden normalen človek ne bo pošiljal zip v exe obliki (self unzip) . To je priljubljena praksa napadalcev, s tem da sploh ne pošljejo exe zip-a ampak kar EXE z trojancem kateremu pa so prej zamenjali ikono (imaš še druge fore : dvojne končnice, uporaba drugih kodnih tabel - tudi takih ki imajo RTL način pisanja ... )
Kaj lahko narediš ? Namesti si comodo in ga nastavi tako, da vsako neznano datoteko izvaja v sandboxu brez da bi te kaj vprašal. Poleg tega si namesti winpatrol. ki te bo vprašal za dovoljenje pri večini zahtev za start up zagon.
Ko že ravno debatiramo : ali kdo ve, če se da v Spamassasinu / ClamAV nastaviti, da se pregleda vsak zip in če je v njem datoteka EXE, BAT, PIF, SCR ipd da se tak mail označi kot SPAM ali blokira.
Torej da zip fajle spusti skozi samo če v njih ni EXE, BAT, PIF, SCR ipd ?
Menda je lahko zip datoteka executable
DA
in lahko dobiš virus že z dvojnim klikom na zip datoteko
NE
ne vem pa kako boš rekel tej datoteki (v tem primeru sem nastavil da prikaže vse končnice, po defaultu jih namreč ne)
ko boš klinil nanj se odpre winrar maska z poljubnim sporočilom + gratis payload
Ne govorim o imefajla.zip.exe ampak o imefajla.zip. Tudi imefajla.exe se lahko preimenuje v imefajla.zip v načinu ko prikazuje vse končnice.
potem pa ne razumem tvojega vprašanja ... a če misliš na kako anologijo autorun.inf znotraj zipa kot jaz vem ne obstaja ... a nikoli ne veš
Mogoče sem malo čudno vprašal. Zanimalo me je pač ali je možno da nekdo preimenuje exe datoteko v .zip in ostane še vedno exe tip datoteke kljub temu da ima končnico .zip in če lahko posledično pri odpiranju tega fajla z winrarom dobiš virus (ne mislim na odpiranje znotraj arhiva ampak že dvojni klik na .zip).
Odgovor je NE. :)
Za okužbo sistema, se mora datoteka z "virusom", pretty much izvršiti oz. po domače zalaufat.
Če uporabljaš AV, pa bi le ta že med razpakiranjem moral zaznati nesnago.
AV zazna nesnago samo če ima vzorec (signature) v bazi, kar pa je dandanes redko + večina resne nesnage je prilagojena in se njena (polimorfna) koda modificira za vsak deploy posebej ... zato AV ni več tako zanesljiv kot je bil včasih, je boljše uporabljati sandbox za VSE programe (dokler se ne izkaža da so ok).
Kot je meni znano je edini avto sandbox (tudi za komercialno uporabo) Comodo.
Se strinjam. Itak. Sandbox je preventivni ukrep.
Ampak koncept, da se sistem okuži, če vpogledaš v zip kontejner, kjer je izvršilna datoteka z virusom, ne drži. Right? Četudi je majstrinfo prejel error, ki pa po mojem mnenju ni fake error, ki ga ponavadi uporabljajo za self extractable (.exe) kontejnerje.
Majstrinfo, poskeniraj sistem (Spybot S&D, UnHackMe,...).