web-dev-qa-db-fra.com

Un code malveillant peut-il se déclencher sans que l'utilisateur exécute ou n'ouvre le fichier?

Si un fichier est téléchargé à partir d'Internet et enregistré sur le disque, mais n'est pas ouvert par un utilisateur (si nous gardons l'exécution automatique désactivée), y a-t-il des chances qu'un code malveillant (par exemple un virus) dans le fichier puisse se déclencher?

Je ne pose pas de questions sur les attaques qui pourraient être faites pendant le téléchargement ou la navigation sur un site - imaginez que le fichier a été en quelque sorte stocké sur le disque sans qu'aucune attaque n'ait lieu. À quel risque puis-je alors faire face aux logiciels malveillants?

45
ahinath

Il y a quelques cas où le simple téléchargement d'un fichier sans l'ouvrir pourrait entraîner l'exécution de code contrôlé par un attaquant à partir du fichier. Cela implique généralement d'exploiter une vulnérabilité connue dans un programme qui gérera le fichier d'une manière ou d'une autre. Voici quelques exemples, mais d'autres cas sont sûrs d'exister:

  • Le fichier cible une vulnérabilité de votre antivirus qui se déclenche lorsque le fichier est analysé
  • Le fichier cible une vulnérabilité dans votre système de fichiers telle que NTFS où le nom de fichier ou une autre propriété pourrait déclencher le bogue
  • Le fichier cible un bogue qui peut être déclenché lors de la génération d'un aperçu de fichier tel que PDF ou miniature de l'image
  • Un fichier de bibliothèque (ex. Dll) pourrait être exécuté lorsqu'il est enregistré dans le même répertoire où une application vulnérable à la plantation binaire est exécutée à partir de
  • Le fichier est un fichier spécial qui peut changer la configuration d'un programme tel que le téléchargement d'un fichier .wgetrc avec wget sous Linux
  • …et plus
74
wireghoul

Windows essaiera d'extraire des informations du fichier pour afficher l'icône et un aperçu lors de la consultation du dossier dans l'Explorateur. Un exemple était la Vulnérabilité du métafichier Windows qui ne pouvait être exploitée qu'en prévisualisant le fichier dans l'Explorateur.

Un autre vecteur d'attaque est la recherche Windows intégrée. Pour extraire les informations nécessaires à une recherche en texte intégral, Windows analysera les fichiers en arrière-plan et utilisera l'analyseur de fichiers pour extraire le contenu. Un bogue dans l'analyseur de fichiers peut donc conduire à l'exécution de code.

De plus, si le chemin est connu d'un attaquant (c'est-à-dire à l'intérieur du dossier de téléchargement par défaut), l'ouverture pourrait être imposée en incorporant le fichier en tant qu'image, fichier flash, PDF etc en utilisant un file:///... lien à l'intérieur d'une page Web que vous visitez.

17
Steffen Ullrich

L'exécution automatique s'applique principalement aux disques externes connectés à la machine, moins aux fichiers téléchargés.

Si vous n'exécutez pas le fichier téléchargé, vous devriez en principe être en sécurité. Cependant, pratiquement, votre ordinateur peut l'ouvrir lui-même pour votre commodité et sans demander votre approbation, que ce soit pour générer une sorte de miniature ou d'aperçu du document, pour l'indexer pour une application de recherche de fichiers, etc.

Par exemple, vous trouverez ici un exemple d'exploit affectant les anciens logiciels Windows Media Player: pas besoin d'ouvrir le fichier, il suffit de parcourir le répertoire contenant le fichier pour exécuter le malware ...

6
WhiteWinterWolf

Cela dépend du type de virus que vous avez téléchargé.

  • Virus de macro: lorsque vous ouvrez un document infecté utilisant le programme qu'il est conçu pour attaquer. La même chose se produit avec les virus de programme qui infectent d'autres programmes de votre machine si le programme infecté par eux est activé en les exécutant.
  • Virus du secteur de démarrage: ils infectent vos disques durs par leur simple présence (sans cliquer pour les ouvrir eux) ou simplement en redémarrant votre machine
1
user45139

Le type de malware le plus simple et le plus courant dépend de votre exécution, mais le malware peut cibler les vulnérabilités de tout programme qui traite les données. Image d'un logiciel malveillant qui ciblait une vulnérabilité connue de votre logiciel antivirus ou de votre logiciel de filtrage du courrier indésirable.

0
ddyer