我最近建议某人通过在某处发布 .zip 来共享(发布)一堆文件,但我意识到这对收件人来说可能是恶意的。这种怀疑可能来自 Windows 95 或 98 时代,其中 zip 文件经常与病毒相关联(甚至在 2005 年左右使用 Gmail,我记得将文件从 .zip 命名为 .piz 以便我可以使用电子邮件来存储它。 .)
zip 文件是如何被用作攻击媒介的?
其中哪一个在历史上(在过去 20 年左右)是 .zip 被视为危险的原因?即使发送压缩的恶意可执行文件也比以前更加困难,因为像 Mac OS 这样的操作系统让用户执行任意下载的文件变得“烦人”。
我仍然收到很多使用 Zip 档案作为有效负载的电子邮件病毒。最初,病毒作者会使用 Zip 存档来逃避仅查找可执行文件的防病毒软件的检测。防病毒作者适应并开始识别 Zip 档案并扫描其内容。
一些病毒作者尝试了一些事情,例如在 Zip 档案中嵌套 Zip 档案,指望人类用户继续点击,而防病毒软件不会那么彻底。一些已经开始使用Zip炸弹。像往常一样,恶意软件和反恶意软件开发人员正在进行一场永无止境的捉迷藏游戏。
真正的杀手是当病毒作者开始发送加密的 Zip 档案时,在随附的电子邮件中将解密密码写成简单的文本(或图片或其他机制)。这依赖于人类用户试图打开 Zip,然后“出于安全原因”尽职地输入电子邮件中提供的密码。有些人真的会这样做!这有效地防止了防病毒软件扫描 Zip 内容,因此一些防病毒软件只是简单地将所有 Zip 文件声明为最终邪恶并在看到它们时将其射杀。
SecureList 2015 年第三季度垃圾邮件和网络钓鱼报告称,zip 仍然存在并且运行良好。
该文本通知收件人附件包含电子客票。事实上,ZIP 存档包含 Trojan.Win32.Xtrat 木马和 DDoS 机器人 Nitol(用于组织 DDoS 攻击的模块)。
...
7 月,欺诈者试图通过代表酒店发送虚假通知来欺骗用户。该消息感谢收件人留在他们的酒店,并要求他们查看随附的账单。附加的存档实际上包含 Trojan-Downloader.Win32.Upatre.dhwi,然后通过单击链接下载并运行 Trojan-Banker.Win32.Dyre(查看为 98. ***. **. 39/cv17.rar)写在下载器的正文中。
...
电子邮件中的文本很容易被视为来自客户的合法请求;但是,ZIP 附件包含下载 Backdoor.Win32.Androm 的 Trojan-Downloader.JS.Agent.hhi。