Я завантажую файл AVI через торрент, але мій антивірус щось виявляє. Чи можливо, що файл AVI містить вірус?

Це досить дивно, оскільки торрент має багато позитивних відгуків.

TL; DR

.aviФайл відео, і , отже , не є виконуваним, так що операційна система може / НЕ буде працювати файл. Таким чином, він сам по собі не може бути вірусом, але він дійсно може містити вірус.

Історія

Раніше вірусами були лише виконувані файли (тобто "запущені") файли. Пізніше Інтернет-черв’яки почали використовувати соціальну інженерію, щоб обманювати людей на запущені віруси. Популярним трюком було б перейменувати виконуваний файл, щоб включити інші розширення, як-от .aviабо .jpgдля того, щоб обдурити користувача думати, що це медіа-файл, та запустити його. Наприклад, клієнт електронної пошти може відображати лише перші десятки або близько символів вкладених файлів, тому, надаючи файлу помилкове розширення, потім додаючи його пробілами, як у "FunnyAnimals.avi              .exe", користувач бачить, як виглядає відео, і запускає його та заражається.

Це було не лише соціальною інженерією (хитрістю користувача), а й ранньою експлуатацією . Він використовував обмежене відображення імен файлів клієнтів електронної пошти, щоб усунути її хитрість.

Технічні

Пізніше з'явилися більш просунуті подвиги. Автори шкідливих програм розібрали б програму, щоб вивчити її вихідний код і шукати певні частини, які мали б погану обробку даних та помилок, які вони могли б використовувати. Ці інструкції часто мають форму якогось введення користувача. Наприклад, діалогове вікно входу на ОС або веб-сайт може не проводити перевірку помилок або перевірку даних, і, таким чином, припускати / очікувати, що користувач введе лише відповідні дані. Якщо ви введете дані, яких він не очікує (або у випадку більшості подвигів, занадто багато даних), вхід опиниться поза пам'яттю, призначеної для зберігання даних. Зазвичай дані користувача повинні міститись лише у змінній, але, використовуючи погану перевірку помилок та управління пам’яттю, можна помістити їх у частину пам'яті, яку можна виконати. Поширеним і відомим методом єпереповнення буфера, що містить більше даних у змінній, ніж вона вміщає, тим самим перезаписуючи інші частини пам'яті. Уміло склавши вхід, можна викликати перевищення коду (інструкцій), а потім передати управління на цей код. У цей момент небо зазвичай є межею щодо того, що можна зробити, коли зловмисне програмне забезпечення контролює.

Мультимедійні файли однакові. Вони можуть бути зроблені так, щоб вони містили трохи машинного коду та використовували медіаплеєр, щоб машинний код закінчувався. Наприклад, можливо металеві дані медіа-файлу помістити занадто багато даних, щоб програвач намагався відкрити файл і прочитати його, переповнюючи змінні та викликаючи запуск деякого коду. Навіть фактичні дані теоретично можуть бути створені для використання програми.

Найгірше для медіафайлів є те, що на відміну від логіну, який явно поганий, навіть для непрофесійних осіб (наприклад, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)медіа-файл можна зробити таким чином, щоб він насправді містив належні, законні медіа, які навіть не є пошкодженими і виглядають цілком законними та залишається абсолютно не виявленим, поки не відбудуться наслідки зараження. Стеганографія (буквально "прикрита писемність") зазвичай використовується для приховування даних в інших даних, але це, по суті, те саме, оскільки зловмисне програмне забезпечення було б приховано у тому, що виглядає як законні засоби масової інформації.

Так, так, медіа-файли (а з цього приводу будь-який файл) можуть містити вірус, використовуючи вразливості програми, яка відкриває / переглядає файл. Проблема полягає в тому, що вам часто навіть не потрібно відкривати або переглядати файл, який буде заражений. Більшість типів файлів можуть бути переглянуті або їх метадані прочитані, не відкриваючи їх навмисно. Наприклад, просто вибравши медіа-файл у Windows Explorer, автоматично зчитуються метадані (розміри, довжина тощо) з файлу. Це потенційно може бути вектором нападу, якщо випадково, коли зловмисне програмне забезпечення виявило вразливість у функції попереднього перегляду / метаданих Explorer і створить медіа-файл, який його використовує.

На щастя, подвиги неміцні. Зазвичай вони впливають лише на один або інший медіаплеєр, на відміну від усіх програвачів, і навіть тоді їм не гарантується робота в різних версіях однієї програми (саме тому операційні системи випускають оновлення для вразливих версій). Через це письменники зловмисного програмного забезпечення, як правило, намагаються витрачати свій час на розгортку систем / програм із широким використанням або з високою цінністю (наприклад, Windows, банківські системи тощо). Це особливо актуально, оскільки хакерство набуло популярності як бізнес зі злочинцями намагаються отримати гроші, і це вже не лише область дуренів, які намагаються здобути славу.

Застосування

Якщо ваше відео файл буде заражений, то він, ймовірно , тільки заразити вас , якщо ви вирішили використовувати медіа - плеєр (и) , що він розроблений спеціально для використання. Якщо ні, то це може вийти з ладу, не вдасться відкритись, зіграти з корупцією або навіть грати просто чудово (що є найгіршим сценарієм, оскільки потім позначається як нормально і поширюється на інших, хто може заразитися).

Програми проти зловмисного програмного забезпечення зазвичай використовують підписи та / або евристику для виявлення шкідливих програм. Підписи шукають шаблони байтів у файлах, які зазвичай відповідають інструкціям у відомих вірусах. Проблема полягає в тому, що через поліморфні віруси, які можуть змінюватися щоразу, коли вони розмножуються, підписи стають менш ефективними. Евристика дотримується моделей поведінки, таких як редагування конкретних файлів або читання конкретних даних. Зазвичай вони застосовуються лише після запуску зловмисного програмного забезпечення, оскільки статичний аналіз (вивчення коду без його запуску) може бути надзвичайно складним завдяки методам обфускування та ухилення від зловмисного програмного забезпечення.

В обох випадках анти-шкідливі програми можуть повідомляти про помилкові позитиви.

Висновок

Очевидно, що найважливішим кроком у безпеці обчислень є отримання файлів із надійних джерел. Якщо торрент, який ви використовуєте, знаходиться звідкись, де ви довіряєте, то, мабуть, це повинно бути добре. Якщо ні, то, можливо, вам захочеться подумати над цим (тим більше, що існують групи проти піратства, які навмисно випускають торренти, що містять підробки або навіть зловмисне програмне забезпечення).

Я не скажу, що це неможливо, але це буде важко. Автору вірусів доведеться створити AVI, щоб викликати помилку у вашому медіаплеєрі, а потім якось використати це для запуску коду на вашій операційній системі - не знаючи, який медіаплеєр чи ОС ви працюєте. Якщо ви постійно оновлюєте своє програмне забезпечення та / або використовуєте щось інше, ніж Windows Media Player або iTunes (як найбільші платформи, вони стануть найкращими цілями), ви повинні бути в безпеці.

Однак існує пов'язаний з цим ризик, який є дуже реальним. Фільми в Інтернеті в наші дні використовують різноманітні кодеки, і широка громадськість не розуміє, що таке кодек - все, що вони знають, це "це те, що мені іноді доводиться завантажувати, щоб фільм грав". Це справжній вектор атаки. Якщо ви скачаєте щось і вам сказано "щоб переглянути це, вам потрібен кодек з [якогось веб-сайту]", то ми дуже впевнені, що ви знаєте, що ви робите, тому що можете заразити себе.

Розширення файлу avi не є гарантією того, що файл - це відеофайл. Ви можете отримати будь-який .exe вірус і перейменувати його на .avi (це змушує завантажувати вірус, що становить половину шляху до зараження комп'ютера). Якщо на вашій машині відкритий якийсь експлуатуючий запуск, який дозволяє вірусу запускатись, то на вас це постраждає.

Якщо ви вважаєте, що це зловмисне програмне забезпечення, просто припиніть завантаження та видаліть його, ніколи не виконуйте його до сканування антивірусом.

Так, можливо. Файли AVI, як і кожен файл, можуть бути спеціально створені, щоб скористатися відомими помилками в програмному забезпеченні, яке керує цими файлами.

Антивірусне програмне забезпечення виявляє шаблони знань у файлах, наприклад виконуваний код у двійкових файлах, або конкретні конструкції JavaScript на сторінках HTML , які, можливо, є вірусом.

Швидка відповідь: ТАК .

Трохи довша відповідь:

• Файл - це контейнер для різних типів даних.
• AVIФайл (Audio Video Interleave) призначений , щоб утримувати чергуються дані аудіо і відео. Зазвичай він не повинен містити виконуваного коду.
• Якщо зловмисник не визначається незвично, навряд чи AVIфайл з аудіо-відео даними міститиме вірус

ЯКЩО ...

• AVIФайл потрібен декодер , щоб зробити що - небудь корисне. Наприклад, ви вже можете використовувати програвач Windows Media Player для відтворення AVIфайлів для перегляду їх вмісту
• Якщо в декодері або в аналізаторі файлів є помилки, які зловмисник може використовувати, вони спритно створюють AVIфайл таким чином:
  • під час вашої спроби відкрити ці файли (наприклад, якщо ви двічі клацніть, щоб почати відтворення відео) за допомогою помийного AVI-аналізатора чи декодера, ці приховані помилки запускаються
  • Як результат, це може дозволити зловмиснику виконувати на своєму комп’ютері код, який він обрав, потенційно залишаючи ваш комп'ютер зараженим.
  • Ось звіт про вразливість, який відповідає саме тому, що ви запитуєте.

Це можливо, так, але дуже малоймовірно. Ви з більшою ймовірністю спробуєте переглянути WMV і надіслати його автозавантаженням URL-адреси або попросити завантажити ліцензію, що, в свою чергу, спливає вікно браузера, яке могло б використовувати вашу машину, якщо вона не повністю виправлена.

Найпопулярнішими серед вірусів "AVI", про які я чув, були
something.avi.exeфайли, завантажені на машину Windows
, налаштовану на приховання розширень файлів у Провіднику.

Користувач, як правило, забуває, що пізніший факт і припускає, що файл є AVI.
У поєднанні з їх очікуванням асоційованого гравця, подвійне клацання насправді запускає EXE.

Після цього дивно перекодовані AVI-файли, які потребують завантаження нового, codec щоб побачити їх.
Так званий, codecяк правило, справжній "вірус" тут.

Я також чув про подвиги переповнення буфера AVI, але кілька корисних посилань були б корисні.

Мій підсумок: винуватець, як правило, є одним із наступних, а не самим файлом AVI

• codecВстановлено на вашій системі для обробки AVI
• Гравець, який використовується
• Засіб обміну файлами, який використовується для отримання файлу AVI

Коротке зчитування попередження зловмисного програмного забезпечення: P2P або Обмін файлами

.avi(або .mkvз цього приводу) є контейнерами та підтримують включення різноманітних носіїв інформації - безліч аудіо / відео потоків, субтитрів, DVD-навігації по меню тощо. Ніщо не перешкоджає включенню зловмисного виконуваного вмісту, але він не запускається, якщо не Синетех описав у своїй відповіді

І все-таки залишається один кут, що часто експлуатується. Враховуючи різноманітні доступні кодеки та відсутні обмеження щодо їх включення до файлів контейнерів, існують загальні протоколи, що дозволяють користувачеві встановити необхідний кодек, і це не допомагає мультимедійним плеєрам бути налаштованими на автоматичну спробу пошуку та встановлення кодека. У кінцевому рахунку кодеки виконуються (мінус невеликий масив тих, що базуються на плагінах) і можуть містити шкідливий код.

Технічно не від завантаження файлу. Але як тільки файл відкриється, це чесна гра залежно від гравця та реалізації кодека.

Мій антивірус Avast просто повідомив мені, що в одному з завантажених AVI-файлів фільму був троянин. Коли я спробував зробити його на карантині, він сказав, що файл занадто великий і його неможливо перемістити, тому мені довелося його видалити.

Вірус називається WMA.wimad [susp]і, очевидно, вірусом середньої загрози, який робить щось із викрадення браузера. Не зовсім зламання системи, але це доводить, що ви можете отримати віруси з AVI-файлів.

Якщо завантаження ще не завершено, зачекайте, перш ніж воно завершиться, перш ніж вирішити, що робити. Коли завантаження лише частково завершено, відсутні частини файлу по суті є шумовими і досить схильні видавати помилкові позитиви при перевірці на наявність шкідливих програм.

Як детально пояснив @Synetech, можливе поширення зловмисного програмного забезпечення через відеофайли, можливо, перш ніж завантаження закінчиться. Але те, що це можливо , не означає, що це ймовірно . З мого особистого досвіду шанси на помилковий позитив під час тривалого завантаження значно вищі.

Провівши час, допомагаючи користувачам вирішувати проблеми зловмисного програмного забезпечення, я можу засвідчити, що звичайний механізм експлуатації, який використовують шахраї, є більш соціальним, ніж технічним.

Файл просто названий * .avi.exe, а налаштування за замовчуванням у Windows не виявляє поширених розширень файлів. Виконавчому файлу просто присвоєний значок файлу AVI. Це схоже на тактику, яка використовується для розповсюдження вірусів * .doc.exe, де у файлі є значок winword.

Я також спостерігав тактику хитрості, як-то довгі імена файлів, які використовуються при розподілі p2p, тому клієнт відображає лише часткові імена у списку файлів.

Використання кумедних файлів

Якщо вам потрібно використовувати файл, завжди використовуйте пісочницю, налаштовану для припинення вихідних з’єднань з Інтернетом. Брандмауер Windows погано налаштований, щоб дозволити вихідні з'єднання за замовчуванням. Експлуатація - це дія, яка, як і будь-яка дія, завжди має мотивацію. Зазвичай він виконується для завантаження паролів або файлів cookie браузера, ліцензування та передачі вмісту на зовнішній ресурс (наприклад, FTP), що належить зловмиснику. Отже, якщо ви використовуєте такий інструмент, як sandboxie, відключіть вихідні інтернет-з'єднання. Якщо ви використовуєте віртуальну машину, переконайтеся, що вона не містить конфіденційної інформації, і завжди блокуйте вихідний доступ до Інтернету за допомогою правила брандмауера.

Якщо ви не знаєте, що робите, не використовуйте файл. Будьте в безпеці і не ризикуйте, які не варто ризикувати.

Коротка відповідь, так. Більш детальна відповідь випливає з основного підручника Tropical PC Solutions: Як приховати вірус! і зробіть собі це.

AVI-файли не будуть заражені вірусом. Якщо ви завантажуєте фільми з торрента, а не з AVI, якщо фільм є в пакеті RAR або він є як EXE-файл, то, безумовно, є в ньому вірус.

Деякі з них просять завантажити додатковий кодек з якогось веб-сайту для перегляду фільму. Це підозрювані. Але якщо це AVI, то ви, безумовно, можете спробувати відтворити його у своєму відеоплеєрі. Нічого не станеться.

AVI-файли не можуть мати вірус, якщо вони є відеофайлами. Під час завантаження браузера зберігає завантаження у власному форматі, тому антивірус виявляє його як вірус. Завантажуючи файл AVI, переконайтеся, що після завантаження файл запускається у відеоплеєр, якщо він є недійсним файлом, він не відтворюватиметься і ціни на здогадки про те, що він буде вірус, не будуть.

Якщо ви спробуєте подвійним клацанням і запустити його безпосередньо, якщо є невеликий шанс появи вірусу, він вийде. Будьте обережні, і вам не потрібно антивірусне програмне забезпечення.