Grundsätzlich sind erst Programm bei ihrer Ausführung in der Lage, Schaden zu erzeugen. Da es aber mittlerweile, ganz viele interpretierenden Programm-/Anwendungssysteme gibt (z. B. Java, PHP, Javascript, Shell, MS-Office, Outlook usw.), kann auch bereits das Lesen (!= Ausführen) einer (Skript/Makro-)Datei Schaden hervorrufen. Oft wird durch entsprechende Konfigurationen verhindert, dass dabei Betriebssystem relevante Aktivitäten ausgelöst werden. Sehr häufig ist dabei eine 'letzte' Aktion (der berühmte Klick auf den Dateianhang) notwendig, damit es los geht.
Der FTP (oder andere Netzwerkprogramme) sind allerdings auch per Kommandos fernsteuerbar. Wenn ich also einen Rechner angreifen würde, würde ich dies weniger mit einer Datei als eher mit Protokoll-Paketen (die fernsteuernde Informationen enthalten) tun.
Itari
