マルウェア感染の理解に役立ちます
私はセキュリティの初心者であり、不注意で自分自身に感染する方法を完全に理解するための支援が必要です。
電子メールに添付された.Zipファイルをダウンロードし、内容を解凍したとします。私のコンピュータが危険にさらされる唯一の方法は、その中に含まれているファイルのいずれかを実行した場合であると理解しています...そうですか?それらをハードドライブに置くだけでは何も起こりません...そうですか?
一般的に言えば、あなたは正しいです。いくつかの例外を見てみましょう:
- マルウェアが電子メールプログラムの脆弱性を悪用した場合。
- マルウェアが「解凍」に使用するソフトウェアの脆弱性を悪用した場合。
- マルウェアがそのコンテンツの表示に使用されるソフトウェア(Windowsエクスプローラーなど)の脆弱性を悪用した場合。
- マルウェアが、抽出されたものを開くために使用されるプログラムの脆弱性を悪用した場合。
- エクスプロイトが存在する他のソフトウェアによってファイルが使用されている場合。これは、「開かれた」ではなく「実行された」を指定したためです。
- ソフトウェアが誤って他の誰かによって実行された場合。たとえば、a DLLは、他のソフトウェアによってロードおよび実行できます。
はい。ハードドライブにファイルがあるだけでは何も起こりません。
ただし、実行される可能性があることに注意してください。エクスプロイトが.pdf内にあり、脆弱なリーダーによってエクスプロイトを開くと、コードが実行されるとします。 PDFビューアで開かなくても、フォルダを開くだけで、サムネイルを作成するためのプラグインが開いてPDFを解析し、感染する可能性があります。または、PDFを解析しようとする自動インデックス作成プロセスを実行しているため、感染が発生します。
エクスプロイトは通常特定のプログラムに固有であり、別のリーダーを使用している可能性が高く、感染させようとしているリーダー以外のものを使用して誤って実行したエクスプロイトを実行しない可能性が高いため、これは非常にまれです。 (ただし、同じソフトウェアがビューアとプラグインを提供している可能性があります…)。ただし、可能性は低いですが、ソフトウェアスタック内の未知の部分による不注意な実行は、考慮に入れるリスクです。
別のクラスの攻撃は、一部のプログラムに特別な名前のファイルに基づいています。
.profileという名前のファイルは、ホームフォルダーに配置しない限り、Unixでは無害です。その後、シェルは次回のログイン時に問題なく実行します(これにより、ユーザー制御のファイル名がCVE-2010-2252になりました)。特定の条件下で 、同じフォルダから同じ名前のdllを使用するプログラムを開くと、抽出した
.dllが実行される可能性があります。