Jestem pobraniem AVI plik przez potok, ale mój antywirus wykryje coś. Czy to możliwe, że plik AVI zawiera wirusa?

To dość dziwne, ponieważ torrent ma wiele pozytywnych recenzji.

TL; DR

.aviPlik jest film, a zatem nie jest wykonywalny, więc system operacyjny może / nie będzie uruchomić plik. Jako taki nie może być wirusem samym w sobie, ale rzeczywiście może zawierać wirusa.

Historia

W przeszłości tylko pliki wykonywalne (tzn. „Uruchamialne”) byłyby wirusami. Później robaki internetowe zaczęły wykorzystywać socjotechnikę, aby oszukać ludzi w celu uruchomienia wirusów. Popularną sztuczką byłoby zmienić nazwę pliku wykonywalnego, aby uwzględnić inne rozszerzenia, takie jak .avilub .jpg, aby nakłonić użytkownika do myślenia, że ​​jest to plik multimedialny i uruchomić go. Na przykład klient poczty e-mail może wyświetlać tylko kilkanaście pierwszych znaków załączników, więc nadając plikowi fałszywe rozszerzenie, a następnie wypełniając go spacjami, tak jak w "FunnyAnimals.avi              .exe", użytkownik widzi coś, co wygląda jak wideo, uruchamia go i zostaje zainfekowany.

Było to nie tylko socjotechnika (oszukiwanie użytkownika), ale także wczesny exploit . Wykorzystał ograniczone wyświetlanie nazw plików klientów poczty e-mail, aby wykorzystać swoją sztuczkę.

Techniczny

Później pojawiły się bardziej zaawansowane exploity. Twórcy szkodliwego oprogramowania dezasemblują program w celu zbadania jego kodu źródłowego i szukają niektórych części, które miały słabą obsługę danych i błędów, które mogłyby wykorzystać. Instrukcje te często przyjmują formę danych wejściowych od użytkownika. Na przykład okno dialogowe logowania w systemie operacyjnym lub witrynie internetowej może nie sprawdzać błędów ani sprawdzać poprawności danych, a tym samym zakładać / oczekiwać, że użytkownik wprowadzi tylko odpowiednie dane. Jeśli następnie wprowadzisz dane, których się nie spodziewa (lub w przypadku większości exploitów, za dużo danych), dane wejściowe znajdą się poza pamięcią, która została przypisana do przechowywania danych. Zwykle dane użytkownika powinny być zawarte tylko w zmiennej, ale wykorzystując słabe sprawdzanie błędów i zarządzanie pamięcią, można umieścić je w części pamięci, którą można wykonać. Powszechną i dobrze znaną metodą jestprzepełnienie bufora, które umieszcza więcej danych w zmiennej niż może pomieścić, zastępując w ten sposób inne części pamięci. Dzięki sprytnemu spreparowaniu danych wejściowych możliwe jest przekroczenie kodu (instrukcji), a następnie przekazanie kontroli do tego kodu. W tym momencie niebo jest zwykle ograniczeniem tego, co można zrobić, gdy złośliwe oprogramowanie przejmie kontrolę.

Pliki multimedialne są takie same. Można je wykonać tak, aby zawierały odrobinę kodu maszynowego i wykorzystywały odtwarzacz multimedialny, aby kod maszynowy działał. Na przykład może być możliwe umieszczenie zbyt dużej ilości danych w metadanych pliku multimedialnego, aby odtwarzacz próbował otworzyć plik i odczytać go, przepełniając zmienne i powodując uruchomienie kodu. Nawet rzeczywiste dane można teoretycznie spreparować w celu wykorzystania programu.

Gorzej z plikami multimedialnymi jest to, że w przeciwieństwie do loginu, które jest wyraźnie złe, nawet dla osób świeckich (np. username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)Plik multimedialny można utworzyć tak, aby zawierał właściwe, legalne media, które nie są nawet uszkodzone, a więc wyglądają całkowicie legalnie i pozostaje całkowicie niewykryty, dopóki nie wystąpią skutki infekcji. Steganografia (dosłownie „pisanie w ukryciu”) jest zwykle używana do ukrywania danych w innych danych, ale jest to w zasadzie to samo, ponieważ złośliwe oprogramowanie byłoby ukryte w czymś, co wygląda jak legalne media.

Tak więc, pliki multimedialne (i w tym przypadku każdy plik) mogą zawierać wirusa poprzez wykorzystanie luk w zabezpieczeniach programu, który otwiera / przegląda plik. Problem polega na tym, że często nie trzeba nawet otwierać ani przeglądać pliku, który ma zostać zainfekowany. Można wyświetlić podgląd większości typów plików lub odczytać ich metadane bez celowego ich otwierania. Na przykład, po prostu wybranie pliku multimedialnego w Eksploratorze Windows automatycznie odczyta meta-dane (wymiary, długość itp.) Z pliku. Może to być potencjalnie wektor ataku, jeśli twórca złośliwego oprogramowania znajdzie lukę w funkcji podglądu / metadanych Eksploratora i utworzy plik multimedialny, który go wykorzystuje.

Na szczęście exploity są kruche. Zwykle wpływają tylko na jeden odtwarzacz multimedialny lub inny, w przeciwieństwie do wszystkich odtwarzaczy, i nawet wtedy nie gwarantuje się, że będą działać dla różnych wersji tego samego programu (dlatego systemy operacyjne aktualizują luki w łatach). Z tego powodu twórcy szkodliwego oprogramowania zwykle kłopotają się spędzaniem czasu na krakowaniu systemów / programów w szerokim użyciu lub o wysokiej wartości (np. Windows, systemy bankowe itp.) Jest to szczególnie prawdziwe, ponieważ hackowanie zyskało na popularności jako biznes z przestępcami stara się zdobyć pieniądze i nie jest już tylko domeną kujonów próbujących zdobyć chwałę.

Podanie

Jeśli plik wideo zostanie zainfekowany, najprawdopodobniej zainfekuje Cię tylko wtedy, gdy zdarzy się, że użyjesz odtwarzacza (odtwarzaczy multimedialnych), który został specjalnie zaprojektowany do wykorzystania. Jeśli nie, może się zawiesić, nie otworzyć, grać z korupcją, a nawet grać dobrze (co jest najgorszym scenariuszem, ponieważ wtedy zostaje oznaczony jako w porządku i rozprzestrzenia się na inne osoby, które mogą zostać zainfekowane).

Programy antywirusowe zwykle wykorzystują sygnatury i / lub heurystykę do wykrywania złośliwego oprogramowania. Podpisy szukają wzorców bajtów w plikach, które zwykle odpowiadają instrukcjom w znanych wirusach. Problem polega na tym, że z powodu wirusów polimorficznych, które mogą się zmieniać za każdym razem, gdy się rozmnażają, sygnatury stają się mniej skuteczne. Heurystyka obserwuje wzorce zachowań, takie jak edycja określonych plików lub odczytywanie określonych danych. Zazwyczaj mają one zastosowanie tylko wtedy, gdy złośliwe oprogramowanie jest już uruchomione, ponieważ analiza statyczna (badanie kodu bez uruchamiania) może być niezwykle złożona dzięki technikom zaciemniania i uchylania się od złośliwego oprogramowania.

W obu przypadkach programy przeciwdziałające złośliwemu oprogramowaniu mogą zgłaszać fałszywe alarmy.

Wniosek

Oczywiście najważniejszym krokiem w bezpieczeństwie komputerowym jest uzyskanie plików z zaufanych źródeł. Jeśli używasz torrenta z zaufanego miejsca, prawdopodobnie powinno być w porządku. Jeśli nie, możesz pomyśleć o tym dwa razy (zwłaszcza, że ​​istnieją grupy antypirackie, które celowo wypuszczają torrenty zawierające podróbki, a nawet złośliwe oprogramowanie).

Nie powiem, że to niemożliwe, ale byłoby trudne. Twórca wirusów musiałby stworzyć AVI, aby uruchomić błąd w odtwarzaczu multimediów, a następnie w jakiś sposób wykorzystać go do uruchomienia kodu w systemie operacyjnym - nie wiedząc, jakiego odtwarzacza multimediów lub systemu operacyjnego używasz. Jeśli będziesz aktualizować swoje oprogramowanie i / lub uruchomisz coś innego niż Windows Media Player lub iTunes (jako największe platformy będą to najlepsze cele), powinieneś być całkiem bezpieczny.

Istnieje jednak powiązane ryzyko, które jest bardzo realne. Filmy w Internecie używają obecnie różnych kodeków, a opinia publiczna nie rozumie, czym jest kodek - wiedzą tylko, że „muszę coś pobrać, aby odtworzyć film”. To jest prawdziwy wektor ataku. Jeśli pobierzesz coś i powiesz „aby to zobaczyć, potrzebujesz kodeka z [jakiejś strony]”, wtedy jesteśmy pewni, że wiesz, co robisz, ponieważ możesz się zarazić.

Rozszerzenie pliku avi nie gwarantuje, że plik jest plikiem wideo. Możesz dostać dowolnego wirusa .exe i zmienić jego nazwę na .avi (powoduje to pobranie wirusa, co stanowi połowę ścieżki do zainfekowania twojego komputera). Jeśli na twoim komputerze jest jakiś otwarty exploit, który pozwala na uruchomienie wirusa, będzie to miało wpływ na Ciebie.

Jeśli uważasz, że jest to złośliwe oprogramowanie, po prostu zatrzymaj pobieranie i usuń je, nigdy nie uruchamiaj go przed skanowaniem antywirusowym.

Tak to mozliwe. Pliki AVI, jak każdy plik, można specjalnie spreparować, aby wykorzystać znane błędy w oprogramowaniu zarządzającym tymi plikami.

Oprogramowanie antywirusowe wykrywa znane wzorce w plikach, takie jak kod wykonywalny w plikach binarnych lub określone konstrukcje JavaScript na stronach HTML , które prawdopodobnie są wirusami.

Szybka odpowiedź: TAK .

Nieco dłuższa odpowiedź:

• Plik jest kontenerem dla różnych typów danych.
• Plik AVI(Audio Video Interleave) ma zawierać przeplecione dane audio i wideo. Zwykle nie powinien zawierać kodu wykonywalnego.
• O ile atakujący nie zostanie ustalony wyjątkowo, jest mało prawdopodobne, aby AVIplik z danymi audio-wideo faktycznie zawierał wirusa

JEDNAK ...

• AVIPlik potrzebuje dekodera zrobić coś pożytecznego. Na przykład możesz już używać programu Windows Media Player do odtwarzania AVIplików, aby zobaczyć ich zawartość
• Jeśli dekoder lub parser plików zawierają błędy, które atakujący może wykorzystać, sprytnie utworzą AVIplik, który:
  • przy próbie otwarcia tych plików (na przykład dwukrotne kliknięcie, aby rozpocząć odtwarzanie wideo) za pomocą swojego błędnego parsera AVI lub dekodera, te ukryte błędy zostaną uruchomione
  • W rezultacie może to pozwolić atakującemu wykonać wybrany kod na twoim komputerze, potencjalnie powodując zainfekowanie twojego komputera.
  • Oto raport podatności, który odpowiada dokładnie na to, o co pytasz.

Jest to możliwe, ale bardzo mało prawdopodobne. Bardziej prawdopodobne jest, że spróbujesz wyświetlić WMV i automatycznie załadować adres URL lub poprosić o pobranie licencji, która z kolei wyskakuje z okna przeglądarki, które może wykorzystać twój komputer, jeśli nie zostanie w pełni załatany.

Najbardziej popularne spośród wirusów „AVI”, które słyszałem, to
something.avi.exepliki pobrane na maszynę z systemem Windows
skonfigurowaną do ukrywania rozszerzeń plików w Eksploratorze.

Użytkownik zwykle zapomina o tym później i zakłada, że ​​plik to AVI.
W połączeniu z oczekiwaniem na powiązanego gracza podwójne kliknięcie faktycznie uruchamia plik EXE.

Po tym zostały dziwnie transkodowane pliki AVI, które wymagają pobrania nowej, codec aby je zobaczyć.
Tak zwany codecjest zazwyczaj prawdziwym „wirusem” tutaj.

Słyszałem także o exploitach przepełnienia bufora AVI, ale przydałoby się kilka dobrych referencji.

Moja podstawowa sprawa: winowajcą jest zwykle jeden z poniższych, a nie sam plik AVI

• codecZainstalowane w systemie do obsługi AVI
• Używany odtwarzacz
• Narzędzie do udostępniania plików używane do uzyskania pliku AVI

Krótka lektura zapobiegająca złośliwemu oprogramowaniu: P2P lub udostępnianie plików

.avi(lub .mkvjeśli chodzi o tę kwestię) to kontenery i obsługują włączenie różnych mediów - wielu strumieni audio / wideo, napisów, nawigacji menu przypominającej dvd itp. Nic nie stoi na przeszkodzie, aby uwzględnić złośliwą zawartość wykonywalną, ale nie zostanie uruchomiona, chyba że w scenariusze Synetech opisane w jego odpowiedzi

Mimo to pominięto jeden często eksplorowany kąt. Biorąc pod uwagę różnorodność dostępnych kodeków i brak ograniczeń w zakresie ich umieszczania w plikach kontenerów, istnieją wspólne protokoły zachęcające użytkownika do zainstalowania niezbędnego kodeka i nie pomaga to, że odtwarzacze multimedialne mogą być skonfigurowane do automatycznego wyszukiwania i instalacji kodeków. Ostatecznie kodeki są wykonywalne (pomijając niewielką tablicę tych opartych na wtyczkach) i mogą zawierać złośliwy kod.

Technicznie nie z pobierania pliku. Ale po otwarciu pliku jest to uczciwa gra, w zależności od odtwarzacza i implementacji kodeka.

Mój Avast Antivirus właśnie poinformował mnie, że w jednym z moich pobranych plików AVI z filmów jest trojan. Kiedy próbowałem go poddać kwarantannie, powiedziałem, że plik jest zbyt duży i nie można go przenieść, więc musiałem go usunąć.

Wirus jest wywoływany WMA.wimad [susp]i jest najwyraźniej wirusem o średnim zagrożeniu, który robi coś w rodzaju przejęcia przeglądarki. Nie do końca psuje system, ale dowodzi, że możesz dostać wirusy z plików AVI.

Jeśli pobieranie nie jest jeszcze ukończone, poczekaj, aż zakończy się, zanim zdecydujesz, co zrobić. Gdy pobieranie jest tylko częściowo ukończone, brakujące części pliku są w zasadzie szumem i dość podatne na wytwarzanie fałszywych alarmów, gdy są sprawdzane pod kątem złośliwego oprogramowania.

Jak szczegółowo wyjaśnił @Synetech, możliwe jest rozprzestrzenianie złośliwego oprogramowania za pomocą plików wideo, być może jeszcze przed zakończeniem pobierania. Ale to możliwe , nie oznacza, że ​​jest prawdopodobne . Z mojego osobistego doświadczenia wynika, że ​​prawdopodobieństwo fałszywego pozytywu podczas ciągłego pobierania jest znacznie wyższe.

Spędzając czas pomagając użytkownikom w rozwiązywaniu problemów ze złośliwym oprogramowaniem, mogę potwierdzić, że zwykły mechanizm wykorzystywania wykorzystywany przez oszustów jest bardziej społeczny niż techniczny.

Plik ma po prostu nazwę * .avi.exe, a domyślne ustawienie w systemie Windows nie ujawnia typowych rozszerzeń plików. Plik wykonywalny ma po prostu przypisaną ikonę pliku AVI. Jest to podobne do taktyk wykorzystywanych do dystrybucji wirusów * .doc.exe, w których plik ma ikonę winword.

Zauważyłem również podejrzane taktyki, takie jak długie nazwy plików używane w dystrybucji p2p, więc klient wyświetla tylko częściowe nazwy na liście plików.

Używanie tandetnych plików

Jeśli potrzebujesz użyć pliku, zawsze używaj piaskownicy skonfigurowanej do zatrzymywania wychodzących połączeń internetowych. Zapora systemu Windows jest źle skonfigurowana, aby domyślnie zezwalać na połączenia wychodzące. Eksploatacja to akcja, która jak każda akcja zawsze ma motywację. Zwykle odbywa się to w celu wychwytywania haseł przeglądarki lub plików cookie, licencjonowania i przesyłania zawartości do zewnętrznego zasobu (takiego jak FTP) należącego do atakującego. Dlatego jeśli korzystasz z narzędzia takiego jak piaskownica, wyłącz wychodzące połączenia internetowe. Jeśli korzystasz z maszyny wirtualnej, upewnij się, że nie zawiera ona poufnych informacji i zawsze blokuj wychodzący dostęp do Internetu za pomocą reguły zapory.

Jeśli nie wiesz, co robisz, nie używaj pliku. Bądź bezpieczny i nie podejmuj ryzyka, które nie jest warte podjęcia.

Krótka odpowiedź, tak. Dłuższa odpowiedź wynika z podstawowego samouczka Tropical PC Solutions: Jak ukryć wirusa! i stwórz dla siebie.

Pliki AVI nie zostaną zainfekowane wirusem. Gdy pobierasz filmy z torrenta, zamiast AVI, jeśli film znajduje się w pakiecie RAR lub jest w postaci pliku EXE, to na pewno istnieje w nim ryzyko wirusa.

Niektóre z nich proszą o pobranie dodatkowego kodeka z niektórych stron internetowych, aby obejrzeć film. To są podejrzane. Ale jeśli jest to AVI, z pewnością możesz spróbować odtworzyć go w odtwarzaczu wideo. Nic się nie stanie.

Pliki AVI nie mogą zawierać wirusa, jeśli są plikami wideo. Podczas pobierania przeglądarka utrzymuje pobieranie we własnym formacie, dlatego program antywirusowy wykrywa go jako wirusa. Podczas pobierania pliku AVI upewnij się, że po pobraniu plik jest uruchamiany w odtwarzaczu wideo, jeśli jest to niepoprawny plik, to nie będzie on odtwarzany i nie będzie żadnych opłat za zgadywanie, że będzie to wtedy wirus.

Jeśli spróbujesz dwukrotnie kliknąć i uruchomić go bezpośrednio, jeśli istnieje niewielka szansa na wirusa, to wyjdzie. Zachowaj ostrożność, a nie potrzebujesz oprogramowania antywirusowego.