Chrome запускает скачанный .exe без предупреждения

748
nl-x

Я был обманут в загрузке .exeфайла в браузере Google Chrome, ожидая простой текстовый файл. Я щелкнул по ссылке, которая начала загрузку, и один раз щелкнул по загрузке в левом нижнем углу моего браузера, где Chrome обычно показывает загруженные файлы.

В этих случаях я ожидаю, что Chrome и / или Windows выдадут мне предупреждение о том, что загруженные исполняемые файлы не запускаются с ненадежных сайтов, но я их не получил. Chrome просто запустил исполняемый файл, показывая мне какой-то инсталлятор для какого-то менеджера загрузок. Конечно, я убил процесс, как только увидел, что запустил исполняемый файл. Но я не знаю, достаточно ли этой возможности для исполняемого файла, чтобы нанести ущерб.

Сканирование virustotal на исполняемый файл показывает много хитов:

AVG Generic.7E5 AVware InstallCore (fs) AhnLab-V3 PUP/Win32.InstallCore Avira (no cloud) PUA/InstallCore.Gen4 Bkav W32.HfsAdware.FEB6 ESET-NOD32 a variant of Win32/InstallCore.ACZ potentially unwanted GData Win32.Adware.InstallCore.GF Ikarus PUA.InstallCore K7AntiVirus Adware ( 004d2b271 ) K7GW Adware ( 004d2b271 ) Malwarebytes PUP.Optional.BundleInstaller NANO-Antivirus Trojan.Win32.InstallCore.ebwcin Qihoo-360 HEUR/QVM06.1.0000.Malware.Gen Sophos Install Core Click run software (PUA) Symantec SMG.Heur!gen VBA32 Malware-Cryptor.InstallCore.gen VIPRE InstallCore (fs) Yandex PUA.InstallCore! 

Мои вопросы:

  • Как могло случиться, что Google Chrome просто запустил файл без предупреждения?
  • Этот файл (.exe) был установщиком программного обеспечения, и после запуска я убил его с помощью диспетчера задач. Может ли это технически нанести вред моему компьютеру, даже если я не установил продукт, который предлагал установщик?
  • Или, может быть, Chrome и / или Windows распознали файл как установщик и поэтому просто позволили мне запустить его, предполагая, что я всегда могу отказаться от установки в дальнейшем? Установщик был подписан PromptSpeedy (Fried Cookie Ltd), GlobalSign CodeSigning CA - SHA256 - G2 и GlobalSign.
  • Если нет, какие шаги я должен предпринять, чтобы предотвратить дальнейшее повреждение, уже запустив этот файл один раз?

Более подробную информацию о файле можно увидеть здесь: https://www.virustotal.com/nl/file/cdd371ffcef65b9a3fa3856ad5d4f3935319715c35bedf6cce06ae3ae9d5a4e5/analysis/1462894859/

1
То, что происходит, когда вы загружаете файл, настраивается вами, браузер делает только то, для чего он настроен. Если вы указываете, что не хотите, чтобы в будущем вас спрашивали, что делать, когда файл имеет конкретное расширение, это то, что он будет делать. Ramhound 8 лет назад 1
Возможный дубликат [Как я могу удалить вредоносные шпионские, вредоносные, рекламные программы, вирусы, трояны или руткиты с моего компьютера?] (Http://superuser.com/questions/100360/how-can-i-remove-malicious-spyware- Malware-рекламные-вирусы-трояны или руткиты) Ramhound 8 лет назад 2
@Ramhound: Я не помню, чтобы когда-нибудь настраивал Chrome так, чтобы он спокойно принимал исполняемые файлы. Вы знаете, где я могу увидеть эту конфигурацию в Chrome? nl-x 8 лет назад 0
Чтобы прояснить ситуацию: на данный момент у меня НЕТ признаков того, что я заражен. Я просто хочу знать, как это произошло, и знать, есть ли способы узнать, заражен ли я. У меня нет новой стартовой страницы по умолчанию в любом браузере, нет необъяснимых новых фонов, нет странных процессов в диспетчере задач или что-то еще. Мой вопрос НЕ о том, как удалить вредоносные вещи. nl-x 8 лет назад 0
У вас было два вопроса в вашем вопросе, которые в противном случае указывают на то, что вы не ищете способы удаления вредоносных программ. [Загрузить файл в Chrome] (https://support.google.com/chrome/answer/95759?co=GENIE.Platform%3DDesktop&hl=en) Ramhound 8 лет назад 1
@Ramhound Ссылка, которую вы только что дали «Загрузить файл в Chrome», гласит, что мне нужно подтвердить, когда я загружаю .exe. Но в моем случае я просто скачал его без подтверждения. Я даже могу воспроизвести это. nl-x 8 лет назад 0
Всегда есть новые способы заставить браузеры делать то, что они не должны делать, очевидно, это то, что произошло, недостаток 0 дней в Chrome. Moab 8 лет назад 0

2 ответа на вопрос

1
Yorik

"could this technically have harmed my PC?"

YES, it was an executable which was loaded into memory and running under your user account with your permissions, possibly even elevated as an installer.

Whether it did or not, who knows? But it was delivered under shady circumstances (file name redirection; leveraging the "hide extensions default"), and is flagged as an adware installer.

Probably it was simply asking for permission to infect your computer with needless adware: a kind of gentleman's agreement to rip you off.

Единственным преимуществом является тот факт, что приложение было подписано центром сертификации, что означает, что оно было более вероятным [adware] (http://www.herdprotect.com/signer-promptspeedy-new-media-holdings-ltd-1121d4810373f832db018c098b3670151a03. aspx) потом гадость. Ramhound 8 лет назад 0
@Ramhound: пожалуйста, уточните. Это именно тот ответ, который я искал. Что означает сертификация CA в этом вопросе? CA, например, проверяет, не сбрасывает ли установщик полезную нагрузку, даже не устанавливая ничего? Или это делает проверку фона на заявителя? nl-x 8 лет назад 0
@ nl-x - CA означает Центр сертификации. Там нет ничего, чтобы уточнить, с моей точки зрения. Ramhound 8 лет назад 0
@ Ага, хорошо, это я уже знал. Я просто не знаю, как далеко заходит проверка СА. Спасибо, в любом случае nl-x 8 лет назад 0
Когда приложение подписано центром сертификации, происходит несколько вещей. Microsoft и Google (где Firefox использует функции Google) безопасный просмотр с меньшей вероятностью помечают файл. Кроме того, более поздние версии Windows также проверяют «достоверность» файла и доверяют файлам, подписанным ЦС, для большей надежности. Все это не меняет того факта, что следующая версия Cryptowall не может быть подписана центром сертификации. Сертификат, подписанный ЦС, означает, что реальное лицо запросило и оплатило сертификат, что означает, что вероятность совершения злонамеренных действий меньше. Ramhound 8 лет назад 0
1
Aron Einhorn

Setting for this prompt is found in "Start Menu" > "Internet Options" > "Security" > (Internet) > "Custom level..." > "Launching applications and unsafe files" > choose one of the following options;

  • Disable
  • Enable
  • Prompt (recommended)

UAC settings also plays a role in preventing files from running.

Похожие вопросы