Quote:
Originariamente inviato da fasteagle
comunque, per conoscenza mia, chiedo se uno script malevole, ovvero un file, potrebbe anche essere inserito in modo "invisibile" all'interno di uno zip/rar, cioè io non riesco a vedere questo file se apro lo zip/rar in cui è contenuto col visualizzatore/browser standard.
aggiungo un'idea, [...]
cosa ne pensate?
|
Se non mi sbaglio, ci sono modi per occultare un
file malevolo in modo che non risulti visibile nella cartella, anche se resta poco probabile che possa attivarsi senza l'interazione dell'utente.
Per quanto riguarda la divisione di cartelle compresse da sottoporre a VT, non è importante il numero delle divisioni, ma quanto le divisioni frammentano i possibili
file malevoli: se una cartella di 100 MB contiene un
malware di circa 1 MB, se anche dividiamo la cartella in 100
file parziali, se quel
malware non viene diviso, la scansione di VT lo rileverà (quando scansionerà il
file parziale che lo contiene). Se invece dividiamo tale
malware in sole due parti, e le scansioniamo separatamente, non è detto che VT si accorga sia un
malware, perché un
malware spezzato in due non è scontato che si presenti come malevolo (e probabilmente "mezzo malware" nemmeno funziona come tale). Nel tuo caso, ad esempio, dividerlo in 10 parti ha probabilmente destrutturato lo
script malevolo al punto da non renderlo più tale e quindi non è stato segnalato.
Chiaramente più il
file malevolo è piccolo e più le dimensioni dei
file compressi parziali sono grandi, più è probabile che non venga diviso e quindi l'analisi di VT basata sulle "firme" (
signature) dei
file malevoli riesca ad individuarlo.
Va anche detto che invece le analisi di VT basate sul comportamento (
behavior) non è da escludere risultino molto meno attendibili se non hanno tutti i
file coinvolti da poter analizzare (salvo non si tratti di una collezione di
file indipendenti fra loro, come una cartella di immagini).