V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ReZer0
V2EX  ›  问与答

突然有一个想法,有没有一种病毒,不需要用户双击运行,只要存在就能自动激活运行。

  •  
  •   ReZer0 · 2019-10-29 10:45:52 +08:00 · 4023 次点击
    这是一个创建于 1847 天前的主题,其中的信息可能已经有所发展或是发生改变。

    以前的系统貌似印象中可以利用一些伪装文件,或者某种条件之类的,间接运行。不知道现在有没有。

    为什么会有这种想法,主要最近整理文件时突然意识到微信电脑版默认文件都是自动下载到本地的,所有群聊、私聊,只要有人发文件,就会自动提取到本地,且无关闭设置渠道。

    那么如果有这样一种病毒,并且没有被微信服务器识别出来(不清楚有没有做识别)被下载到用户本地了,那么有没有潜在可能在用户不运行的情况下自己激活?

    第 1 条附言  ·  2019-10-29 12:02:55 +08:00
    讨论下来,貌似只要不被诱导执行,即使存在也不会有问题?
    比如:
    1、文件下载下来,用户不知情,不运行(安全)
    2、文件下载下来,过几天后,发送者通过某个诱导文件(图片?视频?文本?因为诱导文件可能会让用户双击打开)间接运行这个文件(不安全)
    3、文件下载下来,直接用户执行。( GG )
    是否是这种可能?



    因为微信上群聊的文件,一般来说如果用户不知情,即使下载下来了,也不会去执行,等后续清理空间时就自己清空了。可能的方式是直接或间接,但用户既然不知情,直接情况就不大。那就是如何间接,比如发送图片之类的文件,诱导用户打开,但这个图片之类的文件能间接调用这个(同目录下搜搜)病毒文件,导致计算机感染。是否有可能?


    这个帖子主要还是围绕微信不经确认直接下载文件的这种方式是否安全,以及是否有防护措施。(除了卸载微信)
    36 条回复    2019-10-30 20:54:27 +08:00
    ReZer0
        1
    ReZer0  
    OP
       2019-10-29 10:50:48 +08:00
    经常遇到同事或朋友反应磁盘空间被占满,基本都是来自微信,下载了几十 G 的文件进去。其中还有很多某些颜色的文件,所以感觉是有这个风险的,但不清楚有没有这类攻击方法。
    echo1937
        2
    echo1937  
       2019-10-29 10:51:37 +08:00
    有的,比如 U 盘病毒,U 盘病毒又称 Autorun 病毒,是通过 AutoRun.inf 文件使用户所有的硬盘完全共享或中木马的病毒。

    本质上是利用了 U 盘 autorun.inf 漏洞。
    98jiang
        3
    98jiang  
       2019-10-29 10:52:54 +08:00
    U 盘那种是 U 盘的机制,你下载下来的文件没什么特别机制怎么会自动运行呢
    ReZer0
        4
    ReZer0  
    OP
       2019-10-29 10:57:14 +08:00
    @echo1937
    @98jiang
    所以问题在于非 U 盘下载的文件有没有这种可能,还是只要不双击打开,放在那里也没问题。
    letitbesqzr
        5
    letitbesqzr  
       2019-10-29 11:00:32 +08:00
    也不是没有,举个例子,比如 windows 的 MOF 文件,放在指定的位置,系统就会自动去执行他,关键是你要想到如何放进去,还要按照 mof 的规则来写这个文件。
    letitbesqzr
        6
    letitbesqzr  
       2019-10-29 11:01:47 +08:00
    或者 dll 劫持?也能算是放在某个目录,会被其他程序自动调用吧。。
    echo1937
        7
    echo1937  
       2019-10-29 11:02:55 +08:00
    @ReZer0 #4 拿 U 盘来举例,只是说明一种感染机制。

    至于在微信场景下有没有实际可行的方法,我相信肯定是有的,就看你漏洞挖掘能力了。
    qsnow6
        8
    qsnow6  
       2019-10-29 11:04:53 +08:00
    不需要用户”双击“运行的病毒一大把,例如可以利用计算机上现有软件的漏洞来直接执行恶意程序,无需用户双击,只需要浏览某个页面就可以。
    0TSH60F7J2rVkg8t
        9
    0TSH60F7J2rVkg8t  
       2019-10-29 11:08:37 +08:00
    有的,肯定有啊。只是方法很巧妙,通常要借助别的程序来辅助。比如,下载的文件覆盖某个检查不严的带有自动更新功能的软件的自动更新主程序 /dll。下载一个可能在资源管理器就被打开的带有远程溢出漏洞的图片。下载一个变形的能触发杀毒软件扫描模块远程溢出漏洞的压缩包。等等。
    ReZer0
        10
    ReZer0  
    OP
       2019-10-29 11:12:11 +08:00
    @echo1937
    @qsnow6
    @ahhui
    @letitbesqzr
    所以如果微信某个群有人发布了一个文件,在用户不知情(因为用户不知道微信会自动下载)情况下下载了。那么往后几日,如果该用户发布某个诱导图片、视频或者文档之类的文件,诱使用户打开,就有可能间接把这个病毒激活?
    ClericPy
        11
    ClericPy  
       2019-10-29 11:16:23 +08:00
    上次查到病毒是有人对 dll 文件做了替换, 结果我一开软件报了病毒. 以前也有人在系统进程里放钩子, 唉, 不堪回首的年代.
    最近点的一次是我在我 js 控制台里写了个无限递归 setInterval........... 电脑差点卡出屎来
    仅限 Windows
    cjpjxjx
        12
    cjpjxjx  
       2019-10-29 11:20:25 +08:00
    先想办法在开机启动文件夹放一个快捷方式,快捷方式指向微信文件接收文件夹的特定文件名文件,微信接收到这个文件时不会有事,下次重启之后中招

    纯属猜测
    ReZer0
        13
    ReZer0  
    OP
       2019-10-29 11:36:53 +08:00
    @cjpjxjx 那这样就反而需要依赖控制或诱导用户执行添加了。
    @ClericPy 这个也是,不过一般情况下都是用户主动执行过某些文件导致,被动情况被执行没了解过。
    zunceng
        14
    zunceng  
       2019-10-29 11:37:40 +08:00
    AutoRun 只要是一个目录打开就自动执行

    以前 samba 服务器是 linux 的 疑似中了病毒 一会 samba 目录就几十 G 几百 G 去了

    我在 linux 服务器上查了半天。。。后来发现是 windos 客户端有病毒

    因为客户端都是 windows 特别怕其他客户端的人也打开那个目录执行 autorun
    maomaomao001
        15
    maomaomao001  
       2019-10-29 11:39:06 +08:00
    @qsnow6 what ? 浏览就能中病毒 , 这什么神奇页面,求网址,我想看看
    johnniang
        16
    johnniang  
       2019-10-29 11:46:03 +08:00 via Android
    只要不''被''加载到内存应该就是安全的
    smallpython
        17
    smallpython  
       2019-10-29 11:46:21 +08:00
    所以楼主所描述的"""存在就能自动激活运行"""理论上来讲应该是不可能的吧, 总要有人调用它,要不是系统,要不是其他程序,要不是主动运行
    momocraft
        18
    momocraft  
       2019-10-29 11:48:09 +08:00
    广义上可能属于水塘攻击
    mercury233
        19
    mercury233  
       2019-10-29 11:51:39 +08:00
    MS08-052,libStagefright 漏洞,UNACEV2 漏洞
    fancy111
        20
    fancy111  
       2019-10-29 11:52:29 +08:00
    自动运行的病毒大把的,所以别乱下东西。
    ReZer0
        21
    ReZer0  
    OP
       2019-10-29 11:52:52 +08:00
    @johnniang
    @smallpython 嗯,所以除非被人诱导运行,不然微信自动下载的文件,除了占用空间,并不会影响系统安全。除非有人通过另一个文件诱导或者主动运行源文件。是否可以这样结论,因为这个问题主要还是想了解下微信这样的方式,有没有可能导致机子中毒。
    doveyoung
        22
    doveyoung  
       2019-10-29 11:54:02 +08:00
    rar5.x 的漏洞吧好像,用特殊的方式压缩进去,用户一打开,病毒文件被放在开机启动项,下次启动运行。当时是无感知的,也不影响压缩包正常用。
    ReZer0
        23
    ReZer0  
    OP
       2019-10-29 11:54:29 +08:00
    @fancy111 那个,这个是知道的。但是帖子讨论的问题是,微信会自动下载。目前的问题在于是否能在不执行情况下运行,这……算是对于微信这种举措是否妥当的探讨吧。
    imdong
        24
    imdong  
       2019-10-29 11:55:09 +08:00
    lpk.dll ???
    ho121
        25
    ho121  
       2019-10-29 11:56:19 +08:00
    引导区病毒? BIOS 病毒?
    DOLLOR
        26
    DOLLOR  
       2019-10-29 12:05:26 +08:00 via Android
    记得以前有个 jpg 病毒,利用 Windows 漏洞,在系统自动生成缩略图的时候就中招。当年是吓得我把缩略图功能关了。
    Davic1
        27
    Davic1  
       2019-10-29 14:03:41 +08:00
    投#25 一票, 引导型病毒在开机的的时候就可以掌握计算机的控制权.
    Johnny168
        28
    Johnny168  
       2019-10-29 14:50:07 +08:00
    所以 apk 会变成 apk.1
    ouqihang
        29
    ouqihang  
       2019-10-29 15:24:02 +08:00
    startup 文件夹。
    还有很多格式的预览功能,比如 pdf,视频预览,算打开了文件吧。
    SakuraKuma
        30
    SakuraKuma  
       2019-10-29 16:05:48 +08:00
    dll hijack? 好多年前外挂经常使用的方法。
    其实还是 windows 特有机制。
    flynaj
        31
    flynaj  
       2019-10-29 16:16:14 +08:00 via Android
    10 多年前 QQ 被诱骗执行的特别流行,现在基本上不可能了,系统就自带杀毒软件,大家也学聪明了,不会乱点。以前还有用浏览器漏洞的,打开网站就中病毒,现在也没有了。
    littiefish
        32
    littiefish  
       2019-10-29 17:31:06 +08:00 via iPhone
    要是只能双击才能执行,那 tm 一个管理员权限能秒多少病毒了
    mxT52CRuqR6o5
        33
    mxT52CRuqR6o5  
       2019-10-29 19:01:59 +08:00 via Android
    @maomaomao001 ie6 的
    CEBBCAT
        34
    CEBBCAT  
       2019-10-30 00:37:22 +08:00 via Android
    看了这个问题,我有一种感觉,半天说不出是什么感觉,后来我明白了,这就是民科
    wdv2ly
        35
    wdv2ly  
       2019-10-30 08:20:51 +08:00 via Android
    @littiefish 管理员权限还真能秒大部分病毒,只要别瞎点确认
    stevobm
        36
    stevobm  
       2019-10-30 20:54:27 +08:00
    村口捡破烂的老头也突然想到一个问题——会不会有人通过 QQ 发送病毒诱导二炮司令部引爆原子弹?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5842 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 06:29 · PVG 14:29 · LAX 22:29 · JFK 01:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.