$ RECYCLE.BIN（削除されたファイル）のマルウェアは危険ですか？

ごみ箱に入っているアプリケーションは実行できますか？

メソッドによって異なります。 [いいえ]をクリックすると、特定のWinapiが[はい]を呼び出します。

しかし ...これは問題ではありません。 PEの実行可能ファイルでなくても、悪意のあるものではないという保証はありません。 （悪意のある）オーディオファイル、VBAマクロ、ブラウザーのJSなどのように考え、それらを読み取るプログラムのバグ（特定のメディアプレーヤーやMS Wordなど）や不十分なサンドボックス化に依存しています。

Windowsのごみ箱の特別なストレージシステムにバグを使用するマルウェアが存在する可能性は十分にあります。

ごみ箱に入っているアプリケーションは実行できますか？または、削除されたdllと実行可能ファイルが実行されないようにするメカニズムはありますか？

はい、ごみ箱の実行可能ファイルを実行できます。 $RECYCLE.BINはWindowsエクスプローラで特別な目的を持っているため、その内部のアイテムは操作できません。これにより、実行可能ファイルがサービス、スタートアップエントリとして一覧表示されたり、コマンドラインから使用されたりすることを防ぐことはできません。

2007年頃、お客様の$RECYCLE.BINに隠れているワームを発見しました。 USBドライブを接続すると、ワームはAUTORUN.INFファイルを「フォルダを開いてファイルを表示」のようなエントリで上書きします。 USBドライブを新しいコンピュータに接続し、間違った[フォルダを開いてファイルを表示]エントリをクリックすると、マルウェアが$RECYCLE.BINにドロップされ、レジストリにスタートアップエントリが作成されます。

$RECYCLE.BINはWindowsからアクセスするのが難しいため、手動でクリーンアップするのは特に困難でした。コマンドラインからdir /ahとdir /asを実行して、マルウェアに移動するだけです。

最後に、$RECYCLE.BINには、各ユーザーのごみ箱用のSID「フォルダ」があります。これは、存在しないSIDを置くことができることを意味します。一時ファイルのクリーニングツールがそれを削除しようとする可能性がありますが、私が見たマルウェアにはアクセス許可が壊れているため、常に機能するとは限りません。幸いなことに、今日では、私の経験では、アンチウイルスは$ RECYCLE.BINをチェックしています。

ごみ箱をバイパスしないことは、すべてのAVプログラムでよく知られています。

Linux samba共有フォルダーのごみ箱内で悪意のあるファイルが見つかった場合、それは、共有フォルダーに接続されている一部のWindowsシステムが感染していることを意味します。

ファイル共有のないLinuxのごみ箱内で見つかった場合は、システムが感染していると想定する必要があります。

メモリ内で実行されるマルウェアは、ごみ箱内のペイロードのコピーを隠す可能性があるためです。

外付けドライブについて言及したので、Windowsシステムにマルウェアが潜んでいない限り、実際にはかなり安全です。ただし、予防策として、Linuxを使用してスキャンするときは、ごみ箱内のすべての悪意のあるファイルを削除する必要があります。