Может ли запуститься вирус запакованный в rar архив с паролем после распаковки?

Question

[arseniylebedev]

Если просто распаковать запароленный rar архив с exe'шником вирусом, может ли он запуститься в процессе распаковки? Или только если после распаковки запустить сам exe.

Answer 1

[d'Ivan]

RAR архив (не SFX) представляет собой неисполняемый формат данных. А файлы .EXE сами по себе не вызываются. Есть что-то, что побуждает их исполняться. Этим "что-то" является программа-распаковщик, пытающаяся извлечь данные из архива, считывая с него данные.
Ведь просто лежащие на диске файлы .exe с вирусами сами по себе не несут вреда до тех пор, пока пока что-нибудь не вызовет их.
С другой стороны, специально формированные архивы могут использовать недочёты в программах-распаковщиках и эксплуатировать их уязвимости.
Итого, если в читающей архив программе нет уязвимостей, то всё безопасно даже если вирус внутри архива до тех пор пока его не запустит какой-то процесс.

Если я не прав, буду рад получить новые сведения.

Comments

[sim3x]

Итого, если в читающей архив программе нет уязвимосте

также не должно бы проблем в программах, которые делают превью картинок, експлорерах и тд

[d'Ivan]

sim3x, они ведь тоже читают контент файлов, значит это касается и их тоже.

[sim3x]

Роман Мирр, не всем очевидно, что 0дей в коде, который показывает иконку, может привести к компроментации системы

[d-stream]

Давно, помнится, в rar формате присутствовали некие пост-архивационные процессы - типа благое дело в виде распаковать и что-то выполнить. Если вдруг такое осталось и распаковщик отработает - то ситуация вполне вероятна.
Второй вариант - похитрее: имя файла, которое файловая система может воспринять как "специальное". Например что будет при распаковке архива, где находится файл с именем com1...

Еще вариант - файл с именем rar.exe (unrar.exe) и многопоточная распаковка многотомного архива - как бы попытка распаковки последующих сегментов не спровоцировала вызов rar.exe arch.r02 из текущей директории...

Естественно примеры из детских, известных и скорее всего "прикрытых", но это как бы иллюстрация, что вариант нештатного действия не исключен...

[sim3x]

d-stream, штатного, только изспользованного со злым умыслом

[d'Ivan]

d-stream, sim3x, именно поэтому и написано

С другой стороны, специально формированные архивы могут использовать недочёты в программах-распаковщиках и эксплуатировать их уязвимости.

и

А файлы .EXE сами по себе не вызываются. Есть что-то, что побуждает их исполняться. Этим "что-то" является программа-распаковщик, пытающаяся извлечь данные из архива, считывая с него данные.

[sim3x]

Роман Мирр,
Я не критикую вашу формулировку ответа - я уточняю и обращаю внимание на детали, которые рядовые пользователи часто не замечают

[nik53356]

Если скачал по глупости запаренный архив с трейнером, и хотел отправить экзешник в вирус тотал и потянул из архива, винда мне сразу сказала что вирус, я вроде удалил, запустил сканирование, нь потом оказалось ято в папке темп лежит этот самый экзешник. Я его отправил в тотал, мне 30 антивирусов сказали что там троян.
Вопрос, во время всего жтого мог ди инсталлироваться вредоносный код

[d'Ivan]

nik53356,
сомневаюсь. Только если при разархивации экзешника файл был почему-то был исполнен. Не думаю, в архиваторах работает такая логика при разархивации экзешника, не логично.
Вопрос ещё в том, как сама винда обрабатывает наличие файлов экзешников во временной директории и нет ли каких-то процессов, связанных с исполнением таковых.
Итого, шансы на это весьма маловероятны, но исключить их возможность нельзя.

Answer 2

[Александр]

Чисто теоретически - да может - архивный файл может сам по себе быть вирусом, который проникает через уязвимость в программе архиватора.
Но на практике вероятность меньше 1 процента, так что можете извлекать.