突然有一个想法,有没有一种病毒,不需要用户双击运行,只要存在就能自动激活运行。

2019-10-29 10:45:52 +08:00
 ReZer0

以前的系统貌似印象中可以利用一些伪装文件,或者某种条件之类的,间接运行。不知道现在有没有。

为什么会有这种想法,主要最近整理文件时突然意识到微信电脑版默认文件都是自动下载到本地的,所有群聊、私聊,只要有人发文件,就会自动提取到本地,且无关闭设置渠道。

那么如果有这样一种病毒,并且没有被微信服务器识别出来(不清楚有没有做识别)被下载到用户本地了,那么有没有潜在可能在用户不运行的情况下自己激活?

3861 次点击
所在节点    问与答
36 条回复
ReZer0
2019-10-29 10:50:48 +08:00
经常遇到同事或朋友反应磁盘空间被占满,基本都是来自微信,下载了几十 G 的文件进去。其中还有很多某些颜色的文件,所以感觉是有这个风险的,但不清楚有没有这类攻击方法。
echo1937
2019-10-29 10:51:37 +08:00
有的,比如 U 盘病毒,U 盘病毒又称 Autorun 病毒,是通过 AutoRun.inf 文件使用户所有的硬盘完全共享或中木马的病毒。

本质上是利用了 U 盘 autorun.inf 漏洞。
98jiang
2019-10-29 10:52:54 +08:00
U 盘那种是 U 盘的机制,你下载下来的文件没什么特别机制怎么会自动运行呢
ReZer0
2019-10-29 10:57:14 +08:00
@echo1937
@98jiang
所以问题在于非 U 盘下载的文件有没有这种可能,还是只要不双击打开,放在那里也没问题。
letitbesqzr
2019-10-29 11:00:32 +08:00
也不是没有,举个例子,比如 windows 的 MOF 文件,放在指定的位置,系统就会自动去执行他,关键是你要想到如何放进去,还要按照 mof 的规则来写这个文件。
letitbesqzr
2019-10-29 11:01:47 +08:00
或者 dll 劫持?也能算是放在某个目录,会被其他程序自动调用吧。。
echo1937
2019-10-29 11:02:55 +08:00
@ReZer0 #4 拿 U 盘来举例,只是说明一种感染机制。

至于在微信场景下有没有实际可行的方法,我相信肯定是有的,就看你漏洞挖掘能力了。
qsnow6
2019-10-29 11:04:53 +08:00
不需要用户”双击“运行的病毒一大把,例如可以利用计算机上现有软件的漏洞来直接执行恶意程序,无需用户双击,只需要浏览某个页面就可以。
ahhui
2019-10-29 11:08:37 +08:00
有的,肯定有啊。只是方法很巧妙,通常要借助别的程序来辅助。比如,下载的文件覆盖某个检查不严的带有自动更新功能的软件的自动更新主程序 /dll。下载一个可能在资源管理器就被打开的带有远程溢出漏洞的图片。下载一个变形的能触发杀毒软件扫描模块远程溢出漏洞的压缩包。等等。
ReZer0
2019-10-29 11:12:11 +08:00
@echo1937
@qsnow6
@ahhui
@letitbesqzr
所以如果微信某个群有人发布了一个文件,在用户不知情(因为用户不知道微信会自动下载)情况下下载了。那么往后几日,如果该用户发布某个诱导图片、视频或者文档之类的文件,诱使用户打开,就有可能间接把这个病毒激活?
ClericPy
2019-10-29 11:16:23 +08:00
上次查到病毒是有人对 dll 文件做了替换, 结果我一开软件报了病毒. 以前也有人在系统进程里放钩子, 唉, 不堪回首的年代.
最近点的一次是我在我 js 控制台里写了个无限递归 setInterval........... 电脑差点卡出屎来
仅限 Windows
cjpjxjx
2019-10-29 11:20:25 +08:00
先想办法在开机启动文件夹放一个快捷方式,快捷方式指向微信文件接收文件夹的特定文件名文件,微信接收到这个文件时不会有事,下次重启之后中招

纯属猜测
ReZer0
2019-10-29 11:36:53 +08:00
@cjpjxjx 那这样就反而需要依赖控制或诱导用户执行添加了。
@ClericPy 这个也是,不过一般情况下都是用户主动执行过某些文件导致,被动情况被执行没了解过。
zunceng
2019-10-29 11:37:40 +08:00
AutoRun 只要是一个目录打开就自动执行

以前 samba 服务器是 linux 的 疑似中了病毒 一会 samba 目录就几十 G 几百 G 去了

我在 linux 服务器上查了半天。。。后来发现是 windos 客户端有病毒

因为客户端都是 windows 特别怕其他客户端的人也打开那个目录执行 autorun
maomaomao001
2019-10-29 11:39:06 +08:00
@qsnow6 what ? 浏览就能中病毒 , 这什么神奇页面,求网址,我想看看
johnniang
2019-10-29 11:46:03 +08:00
只要不''被''加载到内存应该就是安全的
smallpython
2019-10-29 11:46:21 +08:00
所以楼主所描述的"""存在就能自动激活运行"""理论上来讲应该是不可能的吧, 总要有人调用它,要不是系统,要不是其他程序,要不是主动运行
momocraft
2019-10-29 11:48:09 +08:00
广义上可能属于水塘攻击
mercury233
2019-10-29 11:51:39 +08:00
MS08-052,libStagefright 漏洞,UNACEV2 漏洞
fancy111
2019-10-29 11:52:29 +08:00
自动运行的病毒大把的,所以别乱下东西。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/613949

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX