2

У меня сегодня был разговор с сотрудником моего хостера электронной почты, потому что хостер просто заблокировал некоторые письма моих клиентов, потому что они содержали ZIP-файлы.

После того, как я спросил, почему почта была заблокирована, он ответил, что клиент отправил мне по почте исполняемый zip-файл, и поскольку в настоящее время существует большое количество писем с прикрепленными троянами, все письма с исполняемыми zip-файлами будут автоматически заблокированы.

Хотя я знаю, что рассылка исполняемых почтовых файлов на 99%, безусловно, троян, я был в замешательстве. Исполняемый (самораспаковывающийся) ZIP-архив не будет файлом * .zip, но должен быть файлом * .exe, верно? Я ответил на это персоналу и сказал ему, что - afaik - ни одна операционная система в мире никогда не будет обрабатывать и запускать файл * .zip непосредственно как программу.

Он ответил, что (без обид) у меня будет большой недостаток информации. Сейчас я более или менее перевожу его немецкую почту: в разных версиях ms-windows zip-файл будет напрямую отображаться в виде папки. В текущей версии osX прикрепленный zip-файл будет извлечен напрямую. В обоих случаях zip-файл будет сканироваться на наличие специальных заголовков с дополнительными директивами. Сохраненный исполняемый код, конечно же, будет выполняться без разрешения пользователя.

Тот. Я был сбит с толку. Как "отображение списка содержимого архива" совпадает с извлечением и выполнением содержимого архива? Потому что он подразумевает, что это так. И хотя я думаю, что автоматическое извлечение файлов, как это делает Apple Mail, является абсолютным запретом, это все равно ничего не выполнит. Или это? Знает ли этот парень больше о zip-файлах, чем я, работая с ними с тех пор навсегда?

4 ответа4

1

Некоторые мысли Я согласен с вами, но могу понять, почему поставщик услуг решил заблокировать ZIP-файлы. Я не могу найти слишком много информации по некоторым из них, я буду обновлять, если я найду больше информации.

  1. Существует такая вещь, как бомба на молнии.

  2. Формат файла ZIP поддерживает различные форматы сжатия - указывается как 16-битное значение. Многие операционные системы загружают библиотеку для этого метода для обработки сжатия и распаковки. Это не похоже на то, что пользователь может указать. В Windows .hlp была такая уязвимость, когда файл .hlp мог содержать настраиваемую DLL для отображения, но, похоже, этого нельзя сделать с помощью .zip .

  3. Проводник Windows будет считывать определенные файлы * .ini (и другие в зависимости от версии Windows IIRC) и, возможно, запускать программы на их основе. Windows 98 позволяет вам многое с этим делать, хотя я считаю, что в более поздних версиях она ограничена. Я не могу найти, будет ли файл Desktop.ini в zip-архиве обрабатываться Проводником, если он открыт. Но это может быть вектор атаки.

  4. Технически ЛЮБОЙ файл, открытый Windows, который имеет распознанное расширение, запускает программу. Для файлов .zip по умолчанию это файл explorer.exe, но он может быть другой программой, если пользователь установил другое приложение ZIP. Если злоумышленник знает, что у пользователя есть WinZip, и знает об уязвимости WinZip, он может стать целью.

  5. SFX молнии, очевидно, могут быть вредоносными.

0

В Windows есть выполнение zip-файлов, и это не просто win9X и NT, это существует даже сегодня с windows 7,8,10. Это "особенность" в Windows, пока она не будет признана уязвимой.

Кроме того, exe просто расширение. Windows смотрит на расширения, чтобы определить, как обрабатывать файлы, но любой файл может быть исполняемым. (при условии, что он содержит исполняемый код).

Популярная разработка в области извлечения и выполнения zip-файлов заключается в том, чтобы включить shell-скрипт или java-скрипт, который не содержит вредоносного кода по своей сути (поэтому при проверке на вирусы он пропускается во время запуска), затем он загружает и выполняет вредоносный код ,

Вчера я загрузил в Google несколько вредоносных скриптов, и даже Google разрешил отправлять код, хотя и помечал его как потенциально опасный. (Google, на мой взгляд, часто имеет очень приличную безопасность, поэтому я хотел проверить это.)

Из того, что я могу сказать, MS не думает, что исполняемые zip-файлы - это уязвимость, ее существование хорошо известно за десятилетия. Может быть, а может и не быть редактирования политики Windows, чтобы разрешить или запретить выполнение zip-файла по умолчанию (поэтому я попал на эту страницу, и если я ее найду, я дам вам знать).

Другие утилиты распаковки для окон знают лучше, чем выполнять код при распаковке файла. 7zip например.

0

Windows (95 OS2? 98? Мне?) добавлена функция "папок zip", которая, насколько я знаю, остается по сей день. Это позволяет вам заглянуть внутрь zip-архивов, как если бы они были папками, поэтому для ПОЛЬЗОВАТЕЛЯ они выглядят так, как будто они являются обычными файлами. Это была первоначальная цель.

К сожалению, пользователям нравится нажимать на вещи внутри обычных папок, потому что они могут их видеть. Когда они это делают, система использует встроенную библиотеку для извлечения zip-файлов, чтобы извлечь файл во временный каталог и затем выполнить его. Системный антивирус должен затем перехватить это действие и заблокировать попытку использовать файл с вирусом, будь то EXE-файл, плохой макрос в таблице Excel или что-то еще.

Единственная другая реальная проблема, о которой я могу подумать, это когда пользователь нажимает на zip-файл, чтобы он отображался как папка, в собственной zip-библиотеке Windows потенциально могут быть уязвимости, так как я предполагаю, что у них не так много желание сделать его "лучше" по сравнению с разработкой других аспектов Windows. Естественно, они исправляют эксплойты по мере их обнаружения, но это может привести к недоверию администраторов к встроенным функциям zip-папок.

0

Zip-файлы существовали задолго до Windows. В те времена Zip-файл стал популярным способом передачи программ (приложений, исполняемых файлов).

Чтобы кому-то было еще проще установить свою новую программу, Zip-файлы были улучшены, чтобы они могли автоматически запускать выполнение, обычно для выполнения установки, когда они были просто открыты.

Сегодня та же самая функция Zip-файлов, которая могла бы легко и просто установить новую версию Super Pong на ваш ПК, теперь может легко и просто установить нежелательное вредоносное ПО (вирус и т.д.).

Я всегда предлагал бы быть настолько же осторожным, чтобы открыть вложение Zip-файла, как и открыть исполняемый файл (.exe, .com, .bat).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .