以前的系统貌似印象中可以利用一些伪装文件,或者某种条件之类的,间接运行。不知道现在有没有。
为什么会有这种想法,主要最近整理文件时突然意识到微信电脑版默认文件都是自动下载到本地的,所有群聊、私聊,只要有人发文件,就会自动提取到本地,且无关闭设置渠道。
那么如果有这样一种病毒,并且没有被微信服务器识别出来(不清楚有没有做识别)被下载到用户本地了,那么有没有潜在可能在用户不运行的情况下自己激活?
1
ReZer0 OP 经常遇到同事或朋友反应磁盘空间被占满,基本都是来自微信,下载了几十 G 的文件进去。其中还有很多某些颜色的文件,所以感觉是有这个风险的,但不清楚有没有这类攻击方法。
|
2
echo1937 2019-10-29 10:51:37 +08:00
有的,比如 U 盘病毒,U 盘病毒又称 Autorun 病毒,是通过 AutoRun.inf 文件使用户所有的硬盘完全共享或中木马的病毒。
本质上是利用了 U 盘 autorun.inf 漏洞。 |
3
98jiang 2019-10-29 10:52:54 +08:00
U 盘那种是 U 盘的机制,你下载下来的文件没什么特别机制怎么会自动运行呢
|
4
ReZer0 OP |
5
letitbesqzr 2019-10-29 11:00:32 +08:00
也不是没有,举个例子,比如 windows 的 MOF 文件,放在指定的位置,系统就会自动去执行他,关键是你要想到如何放进去,还要按照 mof 的规则来写这个文件。
|
6
letitbesqzr 2019-10-29 11:01:47 +08:00
或者 dll 劫持?也能算是放在某个目录,会被其他程序自动调用吧。。
|
7
echo1937 2019-10-29 11:02:55 +08:00
|
8
qsnow6 2019-10-29 11:04:53 +08:00
不需要用户”双击“运行的病毒一大把,例如可以利用计算机上现有软件的漏洞来直接执行恶意程序,无需用户双击,只需要浏览某个页面就可以。
|
9
0TSH60F7J2rVkg8t 2019-10-29 11:08:37 +08:00
有的,肯定有啊。只是方法很巧妙,通常要借助别的程序来辅助。比如,下载的文件覆盖某个检查不严的带有自动更新功能的软件的自动更新主程序 /dll。下载一个可能在资源管理器就被打开的带有远程溢出漏洞的图片。下载一个变形的能触发杀毒软件扫描模块远程溢出漏洞的压缩包。等等。
|
10
ReZer0 OP @echo1937
@qsnow6 @ahhui @letitbesqzr 所以如果微信某个群有人发布了一个文件,在用户不知情(因为用户不知道微信会自动下载)情况下下载了。那么往后几日,如果该用户发布某个诱导图片、视频或者文档之类的文件,诱使用户打开,就有可能间接把这个病毒激活? |
11
ClericPy 2019-10-29 11:16:23 +08:00
上次查到病毒是有人对 dll 文件做了替换, 结果我一开软件报了病毒. 以前也有人在系统进程里放钩子, 唉, 不堪回首的年代.
最近点的一次是我在我 js 控制台里写了个无限递归 setInterval........... 电脑差点卡出屎来 仅限 Windows |
12
cjpjxjx 2019-10-29 11:20:25 +08:00
先想办法在开机启动文件夹放一个快捷方式,快捷方式指向微信文件接收文件夹的特定文件名文件,微信接收到这个文件时不会有事,下次重启之后中招
纯属猜测 |
13
ReZer0 OP |
14
zunceng 2019-10-29 11:37:40 +08:00
AutoRun 只要是一个目录打开就自动执行
以前 samba 服务器是 linux 的 疑似中了病毒 一会 samba 目录就几十 G 几百 G 去了 我在 linux 服务器上查了半天。。。后来发现是 windos 客户端有病毒 因为客户端都是 windows 特别怕其他客户端的人也打开那个目录执行 autorun |
15
maomaomao001 2019-10-29 11:39:06 +08:00
@qsnow6 what ? 浏览就能中病毒 , 这什么神奇页面,求网址,我想看看
|
16
johnniang 2019-10-29 11:46:03 +08:00 via Android
只要不''被''加载到内存应该就是安全的
|
17
smallpython 2019-10-29 11:46:21 +08:00
所以楼主所描述的"""存在就能自动激活运行"""理论上来讲应该是不可能的吧, 总要有人调用它,要不是系统,要不是其他程序,要不是主动运行
|
18
momocraft 2019-10-29 11:48:09 +08:00
广义上可能属于水塘攻击
|
19
mercury233 2019-10-29 11:51:39 +08:00
MS08-052,libStagefright 漏洞,UNACEV2 漏洞
|
20
fancy111 2019-10-29 11:52:29 +08:00
自动运行的病毒大把的,所以别乱下东西。
|
21
ReZer0 OP @johnniang
@smallpython 嗯,所以除非被人诱导运行,不然微信自动下载的文件,除了占用空间,并不会影响系统安全。除非有人通过另一个文件诱导或者主动运行源文件。是否可以这样结论,因为这个问题主要还是想了解下微信这样的方式,有没有可能导致机子中毒。 |
22
doveyoung 2019-10-29 11:54:02 +08:00
rar5.x 的漏洞吧好像,用特殊的方式压缩进去,用户一打开,病毒文件被放在开机启动项,下次启动运行。当时是无感知的,也不影响压缩包正常用。
|
23
ReZer0 OP @fancy111 那个,这个是知道的。但是帖子讨论的问题是,微信会自动下载。目前的问题在于是否能在不执行情况下运行,这……算是对于微信这种举措是否妥当的探讨吧。
|
24
imdong 2019-10-29 11:55:09 +08:00
lpk.dll ???
|
25
ho121 2019-10-29 11:56:19 +08:00
引导区病毒? BIOS 病毒?
|
26
DOLLOR 2019-10-29 12:05:26 +08:00 via Android
记得以前有个 jpg 病毒,利用 Windows 漏洞,在系统自动生成缩略图的时候就中招。当年是吓得我把缩略图功能关了。
|
27
Davic1 2019-10-29 14:03:41 +08:00
投#25 一票, 引导型病毒在开机的的时候就可以掌握计算机的控制权.
|
28
Johnny168 2019-10-29 14:50:07 +08:00
所以 apk 会变成 apk.1
|
29
ouqihang 2019-10-29 15:24:02 +08:00
startup 文件夹。
还有很多格式的预览功能,比如 pdf,视频预览,算打开了文件吧。 |
30
SakuraKuma 2019-10-29 16:05:48 +08:00
dll hijack? 好多年前外挂经常使用的方法。
其实还是 windows 特有机制。 |
31
flynaj 2019-10-29 16:16:14 +08:00 via Android
10 多年前 QQ 被诱骗执行的特别流行,现在基本上不可能了,系统就自带杀毒软件,大家也学聪明了,不会乱点。以前还有用浏览器漏洞的,打开网站就中病毒,现在也没有了。
|
32
littiefish 2019-10-29 17:31:06 +08:00 via iPhone
要是只能双击才能执行,那 tm 一个管理员权限能秒多少病毒了
|
33
mxT52CRuqR6o5 2019-10-29 19:01:59 +08:00 via Android
@maomaomao001 ie6 的
|
34
CEBBCAT 2019-10-30 00:37:22 +08:00 via Android
看了这个问题,我有一种感觉,半天说不出是什么感觉,后来我明白了,这就是民科
|
35
wdv2ly 2019-10-30 08:20:51 +08:00 via Android
@littiefish 管理员权限还真能秒大部分病毒,只要别瞎点确认
|
36
stevobm 2019-10-30 20:54:27 +08:00
村口捡破烂的老头也突然想到一个问题——会不会有人通过 QQ 发送病毒诱导二炮司令部引爆原子弹?
|