Могут ли файлы AVI содержать вирус?

Я скачиваю файл AVI через торрент, но мой антивирус что-то обнаруживает. Возможно ли, что файл AVI содержит вирус?

Это довольно странно, так как у торрента есть много положительных отзывов.

16 ответов

Решение

TL;DR

.avi Файл представляет собой видео и, следовательно, не является исполняемым, поэтому операционная система может / не будет запускать файл. Как таковой, он не может быть вирусом сам по себе, но он действительно может содержать вирус.

история

В прошлом вирусами были только исполняемые (то есть "запускаемые") файлы. Позже интернет-черви начали использовать социальную инженерию, чтобы обманом заставить людей запускать вирусы. Популярным трюком было бы переименовать исполняемый файл, включив в него другие расширения, такие как .avi или же .jpg чтобы заставить пользователя думать, что это медиа-файл и запустить его. Например, почтовый клиент может отображать только первые дюжину символов вложений, поэтому, присвоив файлу ложное расширение, а затем добавив в него пробелы, как в "FunnyAnimals.avi              .exe"Пользователь видит видео и запускает его и заражается.

Это была не только социальная инженерия (обман пользователя), но и ранний подвиг. Он использовал ограниченное отображение имен файлов почтовых клиентов, чтобы осуществить свой трюк.

технический

Позже появились более продвинутые эксплойты. Авторы вредоносных программ разбирали бы программу, чтобы изучить ее исходный код и найти определенные части, которые имели плохую обработку данных и ошибок, которые они могли бы использовать. Эти инструкции часто принимают форму какого-либо пользовательского ввода. Например, диалоговое окно входа в систему на ОС или веб-сайте может не выполнять проверку ошибок или проверку данных и, таким образом, предполагает / ожидает, что пользователь введет только соответствующие данные. Если затем вы вводите данные, которых он не ожидает (или, в случае большинства эксплойтов, слишком много данных), то этот ввод окажется вне памяти, которая была назначена для хранения данных. Обычно пользовательские данные должны содержаться только в переменной, но, используя плохую проверку ошибок и управление памятью, можно поместить их в часть памяти, которая может быть выполнена. Распространенным и хорошо известным методом является переполнение буфера, которое помещает в переменную больше данных, чем она может содержать, перезаписывая, таким образом, другие части памяти. Умело создавая входные данные, можно вызвать переполнение кода (инструкций) и затем передать управление этому коду. На этом этапе небо обычно является пределом того, что может быть сделано после того, как вредоносная программа получит контроль.

Медиа-файлы одинаковы. Их можно сделать так, чтобы они содержали немного машинного кода и использовали медиаплеер, чтобы машинный код в конечном итоге работал. Например, может быть возможно поместить слишком много данных в метаданные медиа-файла, чтобы при попытке проигрывателя открыть файл и прочитать его, он переполнил переменные и вызвал выполнение некоторого кода. Даже фактические данные могут быть теоретически созданы для использования программы.

Что хуже с медиа-файлами, так это то, что в отличие от входа в систему, что явно плохо, даже для непрофессионалов (например, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)Медиа-файл может быть создан таким образом, чтобы он на самом деле содержал правильные, законные носители, которые даже не повреждены и поэтому выглядят абсолютно легитимными и остаются совершенно необнаруженными до тех пор, пока не произойдут последствия заражения. Стеганография (буквально "скрытая запись") обычно используется для сокрытия данных в других данных, но это, по сути, одно и то же, поскольку вредоносное ПО будет скрыто в том, что выглядит как законный носитель.

Так что да, медиа-файлы (и, в любом случае, любой файл) могут содержать вирус, используя уязвимости в программе, котораяоткрывает / просматривает файл. Проблема в том, что вам часто даже не нужно открывать или просматривать зараженный файл. Большинство типов файлов можно предварительно просмотреть или прочитать их метаданные, не открывая их преднамеренно. Например, простой выбор мультимедийного файла в проводнике Windows автоматически считывает метаданные (размеры, длину и т. Д.) Из файла. Это может быть потенциальным вектором атаки, если автор вредоносного ПО обнаружит уязвимость в функции предварительного просмотра / метаданных Explorer и создаст медиа-файл, который его использует.

К счастью, подвиги хрупки. Они обычно влияют только на один медиаплеер или другой, в отличие от всех плееров, и даже в этом случае они не гарантированно работают для разных версий одной и той же программы (поэтому операционные системы выпускают обновления для исправлений уязвимостей). Из-за этого авторы вредоносных программ, как правило, лишь удосуживаются тратить время на взлом систем / программ, которые широко используются или имеют большую ценность (например, Windows, банковские системы и т. Д.). Это особенно верно, поскольку хакерская деятельность приобрела популярность как бизнес с преступниками. пытаясь получить деньги и больше не является областью ботаников, пытающихся получить славу.

заявка

Если ваш видеофайл заражен, то он, скорее всего, заразит вас только в том случае, если вы воспользуетесь медиаплеером (-ами), специально предназначенными для его использования. Если нет, то он может аварийно завершить работу, не открыться, играть с повреждением или даже просто нормально играть (это наихудший сценарий, потому что затем помечается как "все в порядке" и распространяется другим лицам, которые могут заразиться).

Антивирусные программы обычно используют сигнатуры и / или эвристику для обнаружения вредоносных программ. Сигнатуры ищут шаблоны байтов в файлах, которые обычно соответствуют инструкциям для известных вирусов. Проблема в том, что из-за полиморфных вирусов, которые могут изменяться при каждом размножении, сигнатуры становятся менее эффективными. Эвристика наблюдает такие паттерны поведения, как редактирование определенных файлов или чтение определенных данных. Обычно они применяются только после того, как вредоносное ПО уже запущено, потому что статический анализ (проверка кода без его запуска) может быть чрезвычайно сложным благодаря методам запутывания и уклонения от вредоносного ПО.

В обоих случаях антивирусные программы могут и сообщать о ложных срабатываниях.

Заключение

Очевидно, что самый важный шаг в компьютерной безопасности - это получить ваши файлы из надежных источников. Если используемый вами торрент откуда-то, которому вы доверяете, то, вероятно, все должно быть в порядке. Если нет, то вы можете подумать об этом дважды (особенно если учесть, что существуют группы по борьбе с пиратством, которые преднамеренно выпускают торренты, содержащие фальшивые или даже вредоносные программы).

Я не скажу, что это невозможно, но это будет сложно. Автор вирусов должен был бы создать AVI, чтобы вызвать ошибку в вашем медиаплеере, и затем каким-то образом использовать ее для запуска кода в вашей операционной системе - не зная, какой медиаплеер или ОС вы используете. Если вы постоянно обновляете свое программное обеспечение и / или запускаете что-то, кроме Windows Media Player или iTunes (в качестве крупнейших платформ они будут лучшими целями), вы должны быть в полной безопасности.

Тем не менее, есть связанный риск, который очень реален. В фильмах в Интернете в настоящее время используются различные кодеки, и широкая публика не понимает, что такое кодек - все, что они знают, это "что-то, что мне иногда приходится загружать, чтобы фильм воспроизводился". Это настоящий вектор атаки. Если вы что-то скачиваете и вам говорят "для просмотра, вам нужен кодек с [какого-то веб-сайта]", то мы очень уверены, что вы знаете, что делаете, потому что можете заразить себя.

Да, это возможно. Файлы AVI, как и любой файл, могут быть специально созданы для использования известных ошибок в программном обеспечении, управляющем этими файлами.

Антивирусное программное обеспечение обнаруживает в файлах известные шаблоны, такие как исполняемый код в двоичных файлах или конкретные конструкции JavaScript на страницах HTML, которые, возможно, являются вирусными.

Расширение avi не является гарантией того, что файл является видеофайлом. Вы можете получить любой вирус.exe и переименовать его в.avi (это заставит вас скачать вирус, что составляет половину пути заражения вашего компьютера). Если на вашем компьютере открыты какие-либо эксплойты, позволяющие запустить вирус, это может повлиять на вас.

Если вы считаете, что это вредоносное ПО, просто прекратите загрузку и удалите его, никогда не запускайте его до антивирусной проверки.

Быстрый ответ: ДА.

Чуть дольше отвечу:

  • Файл - это контейнер для разных типов данных.
  • AVI Файл (Audio Video Interleave) должен содержать чередующиеся аудио и видео данные. Обычно он не должен содержать исполняемый код.
  • Если злоумышленник не определен необычно, маловероятно, что AVI файл с аудио-видео данными на самом деле будет содержать вирус

ТЕМ НЕ МЕНИЕ...

  • AVI Файл нуждается в декодере, чтобы сделать что-нибудь полезное. Например, вы уже можете использовать Windows Media Player для воспроизведения AVI файлы, чтобы увидеть их содержание
  • Если у декодера или анализатора файлов есть ошибки, которые злоумышленник может использовать, они будут хитро создавать AVI файл такой, что:
    • при попытке открыть эти файлы (например, если дважды щелкнуть, чтобы начать воспроизведение видео) с помощью глючного AVI-парсера или декодера, эти скрытые ошибки будут
    • В результате он может позволить злоумышленнику выполнить выбранный код на вашем компьютере, что может привести к заражению вашего компьютера.
    • Вот отчет об уязвимостях, который точно отвечает вашим запросам.

Это возможно, да, но очень маловероятно. Вы с большей вероятностью попытаетесь просмотреть WMV и автоматически загрузить URL-адрес или попросить вас загрузить лицензию, которая, в свою очередь, откроет окно браузера, которое может использовать ваш компьютер, если он не полностью исправлен.

Самые популярные из вирусов AVI, о которых я слышал,
something.avi.exe файлы, загруженные на машине с Windows
это настроено, чтобы скрыть расширения файла в проводнике.

Пользователь обычно забывает об этом позже и предполагает, что файл является AVI.
В сочетании с ожиданиями ассоциированного игрока, двойной щелчок запускает EXE.


После этого были странно перекодированы файлы AVI, которые требуют от вас загрузки нового codec чтобы увидеть их.
Так называемый codec обычно это настоящий "вирус" здесь.


Я также слышал об эксплойтах переполнения буфера в AVI, но было бы полезно несколько хороших ссылок.

Мой итог: виновник, как правило, один из следующих, а не сам файл AVI

  • codec установлен в вашей системе для обработки AVI
  • Используемый игрок
  • Инструмент для обмена файлами, используемый для получения файла AVI

Краткое чтение для предотвращения вредоносных программ: P2P или обмен файлами

.avi (или же .mkv в этом отношении) являются контейнерами и поддерживают включение разнообразных медиа - нескольких аудио / видео потоков, субтитров, DVD-подобной навигации по меню и т. д. Ничто не мешает включить вредоносный исполняемый контент, но он не будет запущен, если только в сценариях Synetech описано в его ответе

Тем не менее, остается один широко используемый угол. Учитывая наличие множества доступных кодеков и отсутствие ограничений на их включение в контейнерные файлы, существуют общие протоколы, предлагающие пользователю установить необходимый кодек, и это не помогает тому, что медиаплееры могут быть настроены на автоматическую попытку поиска и установки кодеков. В конечном итоге кодеки являются исполняемыми (за исключением небольшого массива из них на основе плагинов) и могут содержать вредоносный код.

Мой Avast Antivirus только что сообщил мне, что в один из загруженных мной AVI-файлов был встроен троян. Когда я пытался поместить его в карантин, он сказал, что файл слишком большой и его нельзя переместить, поэтому мне пришлось вместо этого удалить его.

Вирус называется WMA.wimad [susp] и, очевидно, вирус средней угрозы, который делает что-то вроде взлома браузера. Не совсем взлом системы, но это доказывает, что вы можете получить вирусы из файлов AVI.

Технически, не от загрузки файла. Но как только файл открывается, это честная игра в зависимости от игрока и реализации кодека.

Если загрузка еще не завершена, дождитесь ее завершения, прежде чем решить, что делать. Когда загрузка только частично завершена, отсутствующие части файла по существу являются помехами и весьма склонны к ложным срабатываниям при проверке на наличие вредоносных программ.

Как подробно объяснил @Synetech, можно распространять вредоносное ПО через видеофайлы, возможно, даже до окончания загрузки. Но то, что это возможно, не означает, что это вероятно. Исходя из моего личного опыта, вероятность ложного срабатывания во время продолжающейся загрузки намного выше.

Короткий ответ, да. Более длинный ответ следует за основным руководством Tropical PC Solutions: Как скрыть вирус! и сделать один для себя.

Потратив время на помощь пользователям в решении проблем с вредоносными программами, я могу засвидетельствовать, что обычный механизм эксплуатации, используемый мошенниками, скорее социальный, чем технический.

Файл просто называется *.avi.exe, и настройка по умолчанию в Windows не показывает общие расширения файлов. Исполняемому файлу просто присваивается значок файла AVI. Это похоже на тактику, используемую для распространения вирусов *.doc.exe, где файл имеет значок winword.

Я также наблюдал хитрую тактику, такую ​​как длинные имена файлов, используемые в распространении p2p, поэтому клиент отображает только частичные имена в списке файлов.

Использование дрянных файлов

Если вам нужно использовать файл, всегда используйте песочницу, которая настроена на остановку исходящих интернет-соединений. Брандмауэр Windows плохо настроен для разрешения исходящих соединений по умолчанию. Эксплуатация - это действие, которое, как и любое действие, всегда имеет мотивацию. Обычно это выполняется для перебора паролей браузера или файлов cookie, лицензирования и передачи содержимого на внешний ресурс (например, FTP), принадлежащий злоумышленнику. Следовательно, если вы используете такой инструмент, как песочница, отключите исходящие интернет-соединения. Если вы используете виртуальную машину, убедитесь, что она не содержит конфиденциальной информации, и всегда блокируйте исходящий доступ в Интернет, используя правило брандмауэра.

Если вы не знаете, что делаете, не используйте файл. Будьте в безопасности и не рискуйте, которые не стоят того.

Технический ответ — с цитатами

Большинство проигрывателей фильмов используют. Это библиотека позади. Сюда входят VLC, Google Chrome и многие другие приложения . « Выполнение произвольного кодека» — это класс уязвимости , который позволяет выполнять код, когда он не предназначен. «Вирус» — это другое название полезной нагрузки, которая при запуске реплицируется. Репликация тривиальна с уязвимостью выполнения произвольного кода: эти ошибки довольно серьезны, только при повышении привилегий и удаленном выполнении.

  • Если была обнаружена уязвимость в, позволяющая выполнить произвольный код.
  • И, если ваш медиаплеер использует
  • Тогда видео может доставить вирус.

Обнаружена ли подобная уязвимость? Да. ВходитьCVE-2020-35964это было исправлено в Ffmpeg 4.3.1. Если вы используете медиаплеер, связанный с версией 4.3.0 или ниже, вы потенциально уязвимы. Это тоже не единственный раз, когда это произошло...ffmpegпроект раскрывает уязвимости, обнаруженные на их сайте.Обратите внимание, что некоторые из них хуже, чем случайно выбранные выше, а некоторые незначительны.

тлдр; проигрыватель представляет собой исполняемый файл, который может ссылаться на библиотеку или иметь статически связанную библиотеку. Если в этой библиотеке обнаружена уязвимость, уязвимыми будут более одного проигрывателя. В случаеlibavcodecкоторый широко используется в экосистеме видеоплееров, у вас будет жизнеспособный метод выполнения вашей полезной нагрузки (без необходимости создавать ее для конкретного медиаплеера или даже операционной системы).

AVI файлы не будут заражены вирусом. Когда вы загружаете фильмы с торрента, а не с AVI, если фильм находится в пакете RAR или в виде файла EXE, то наверняка в нем есть вероятность вируса.

Некоторые из них просят вас загрузить дополнительный кодек с какого-либо веб-сайта для просмотра фильма. Это подозрительные. Но если это AVI, то вы можете попробовать его воспроизвести в своем видеоплеере. Ничего не случится.

AVI-файлы не могут содержать вирусы, если они являются видео-файлами. При загрузке ваш браузер сохраняет загрузку в своем собственном формате, поэтому антивирус обнаруживает его как вирус. При загрузке файла AVI убедитесь, что после загрузки файл запускается в видеоплеере, если он является недопустимым файлом, он не будет воспроизводиться, и тогда нет цены, позволяющей предположить, что это будет вирус.

Если вы попытаетесь дважды щелкнуть и запустить его напрямую, если есть небольшая вероятность вируса, он появится. Примите меры предосторожности, и вам не нужно антивирусное программное обеспечение.

Другие вопросы по тегам