Chrome führt die heruntergeladene EXE-Datei ohne Warnung aus

796
nl-x

Ich wurde dazu verleitet, eine .exeDatei im Google Chrome-Browser herunterzuladen und eine einfache Textdatei zu erwarten. Ich habe auf den Link geklickt, der den Download gestartet hat, und ich habe einmal unten links in meinem Browser auf den Download geklickt, wo Chrome normalerweise die heruntergeladenen Dateien anzeigt.

In diesen Fällen erwarte ich von Chrome und / oder Windows eine Warnung, dass heruntergeladene ausführbare Dateien von nicht vertrauenswürdigen Sites nicht ausgeführt werden. Ich habe jedoch keine erhalten. Chrome führte einfach die ausführbare Datei aus, die mir eine Art Installationsprogramm für eine Art Download-Manager zeigte. Natürlich habe ich den Prozess abgebrochen, sobald ich die ausführbare Datei ausgeführt habe. Ich weiß jedoch nicht, ob diese Gelegenheit, die die ausführbare Datei hatte, ausreicht, um Schaden zu verursachen.

Ein Scan von virustotal in der ausführbaren Datei zeigt viele Treffer: 

AVG Generic.7E5 AVware InstallCore (fs) AhnLab-V3 PUP/Win32.InstallCore Avira (no cloud) PUA/InstallCore.Gen4 Bkav W32.HfsAdware.FEB6 ESET-NOD32 a variant of Win32/InstallCore.ACZ potentially unwanted GData Win32.Adware.InstallCore.GF Ikarus PUA.InstallCore K7AntiVirus Adware ( 004d2b271 ) K7GW Adware ( 004d2b271 ) Malwarebytes PUP.Optional.BundleInstaller NANO-Antivirus Trojan.Win32.InstallCore.ebwcin Qihoo-360 HEUR/QVM06.1.0000.Malware.Gen Sophos Install Core Click run software (PUA) Symantec SMG.Heur!gen VBA32 Malware-Cryptor.InstallCore.gen VIPRE InstallCore (fs) Yandex PUA.InstallCore!

Meine Fragen:

  • Wie kann es sein, dass Google Chrome die Datei ohne Vorwarnung ausgeführt hat?
  • Diese Datei (.exe) war ein Software-Installationsprogramm, und nachdem ich es ausgeführt hatte, brach ich es mit dem Task-Manager ab. Könnte dies meinem PC technisch bereits geschadet haben, obwohl ich das vom Installer angebotene Produkt nicht installiert habe?
  • Oder könnte es sein, dass Chrome und / oder Windows die Datei als Installationsprogramm erkannt haben und ich sie daher einfach ausführen lassen sollte, vorausgesetzt, ich kann die Installation später immer ablehnen? Das Installationsprogramm wurde von PromptSpeedy (Fried Cookie Ltd), GlobalSign CodeSigning CA - SHA256 - G2 und GlobalSign signiert.
  • Wenn nicht, welche Schritte sollte ich unternehmen, um weitere Schäden zu vermeiden, nachdem diese Datei bereits einmal ausgeführt wurde?

Weitere Details zur Datei finden Sie hier: https://www.virustotal.com/nl/file/cdd371ffcef65b9a3fa3856ad5d4f3935319715c35bedf6cce06ae3ae9d5a4e5/analysis/1462894859/

1
Was passiert, wenn Sie eine Datei herunterladen, wird von Ihnen, dem Browser, nur für das konfiguriert, für das er konfiguriert wurde. Wenn Sie angeben, dass Sie in Zukunft nicht gefragt werden sollen, was zu tun ist, wenn eine Datei eine bestimmte Erweiterung hat, dann ist das genau das, was sie tun wird. Ramhound vor 8 Jahren 1
Mögliches Duplikat von [Wie kann ich schädliche Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?] (Http://superuser.com/questions/100360/how-can-i-remove-malicious-spyware- Malware-Adware-Viren-Trojaner-oder-Rootkit) Ramhound vor 8 Jahren 2
@ Ramhound: Ich kann mich nicht daran erinnern, Chrome jemals so konfiguriert zu haben, dass er ausführbare ausführbare Dateien akzeptiert. Wissen Sie, wo ich diese Konfiguration in Chrome sehen kann? nl-x vor 8 Jahren 0
Um es klar zu sagen: Ich habe ab jetzt KEINEN Hinweis darauf, dass ich infiziert bin. Ich möchte nur wissen, wie das passiert ist und ob es Möglichkeiten gibt, zu sehen, ob ich infiziert bin. Ich habe in keinem Browser eine neue Standardstartseite, keine unerklärlichen neuen Hintergründe, keine seltsamen Prozesse im Task-Manager oder irgendetwas. Meine Frage bezieht sich NICHT auf das Entfernen von schädlichem Material. nl-x vor 8 Jahren 0
Sie hatten in Ihrer Frage zwei Fragen, die andernfalls darauf hindeuten, dass Sie nicht nach Möglichkeiten zum Entfernen von Malware suchen. [Eine Datei in Chrome herunterladen] (https://support.google.com/chrome/answer/95759?co=GENIE.Platform%3DDesktop&hl=de) Ramhound vor 8 Jahren 1
@Ramhound Der Link, den Sie soeben gegeben haben: "Eine Datei in Chrome herunterladen", gibt an, dass ich beim Herunterladen einer EXE-Datei bestätigen muss. In meinem Fall habe ich es einfach ohne Bestätigung heruntergeladen. Ich kann das sogar reproduzieren. nl-x vor 8 Jahren 0
Es gibt immer neue Wege, Browser dazu zu bringen, Dinge zu tun, die sie nicht tun sollen. Offensichtlich ist dies passiert, ein 0-Tage-Fehler in Chrom. Moab vor 8 Jahren 0

2 Antworten auf die Frage

1
Yorik

"could this technically have harmed my PC?"

YES, it was an executable which was loaded into memory and running under your user account with your permissions, possibly even elevated as an installer.

Whether it did or not, who knows? But it was delivered under shady circumstances (file name redirection; leveraging the "hide extensions default"), and is flagged as an adware installer.

Probably it was simply asking for permission to infect your computer with needless adware: a kind of gentleman's agreement to rip you off.

Die einzige Rettung ist die Tatsache, dass die Anwendung von einer Zertifizierungsstelle signiert wurde, was bedeutet, dass es eher [adware] (http://www.herdprotect.com/signer-promptspeedy-new-media-holdings-ltd-1121d4810373f832db018c098b3670151a03 war. aspx) dann Malware. Ramhound vor 8 Jahren 0
@Ramhound: bitte ausarbeiten. Das ist genau die Antwort, nach der ich gesucht habe. Wofür steht eine CA-Zertifizierung in dieser Angelegenheit? Überprüft CA zum Beispiel, ob ein Installer eine Nutzlast nicht fallen lässt, ohne etwas installiert zu haben? Oder führt es eine Hintergrundprüfung des Antragstellers durch? nl-x vor 8 Jahren 0
@ nl-x - CA steht für Certificate Authority. Aus meiner Sicht gibt es nichts zu erläutern. Ramhound vor 8 Jahren 0
@ Ramhound ah, ok, das wusste ich schon. Ich weiß nur nicht, wie weit ein CA-Check geht. Danke trotzdem nl-x vor 8 Jahren 0
Wenn eine Anwendung von einer Zertifizierungsstelle signiert wird, geschieht Folgendes. Microsoft und Google (bei denen Firefox die Google-Funktionen verwendet) können beim sicheren Durchsuchen die Datei weniger markiert werden. Darüber hinaus überprüfen neuere Versionen von Windows auch die "Vertrauenswürdigkeit" einer Datei und vertrauen Dateien, die von einer Zertifizierungsstelle signiert sind, auf deren Vertrauenswürdigkeit. All dies ändert nichts an der Tatsache, dass die nächste Version von Cryptowall nicht von einer Zertifizierungsstelle signiert werden konnte. Ein von einer Zertifizierungsstelle signiertes Zertifikat bedeutet, dass eine reale Person das Zertifikat angefordert und dafür bezahlt hat. Dies bedeutet, dass weniger schädliche Aktionen stattfinden. Ramhound vor 8 Jahren 0
1
Aron Einhorn

Setting for this prompt is found in "Start Menu" > "Internet Options" > "Security" > (Internet) > "Custom level..." > "Launching applications and unsafe files" > choose one of the following options;

  • Disable
  • Enable
  • Prompt (recommended)

UAC settings also plays a role in preventing files from running.

Verwandte Probleme