Чи можуть файли AVI містити вірус?


99

Я завантажую файл AVI через торрент, але мій антивірус щось виявляє. Чи можливо, що файл AVI містить вірус?

Це досить дивно, оскільки торрент має багато позитивних відгуків.


2
@ user3183 VideoLAN використовує власні кодеки внутрішньо. Ніщо не заважає одному із власних кодеків помилитися з тим, що зловмисник може скористатися.
GAThrawn

7
Коли ви сумніваєтесь, зупиніть завантаження.

27
@soandos, це не обов'язково так. Файл може бути розроблений для використання торрент-клієнта, коли він хеширує його, щоб перевірити, чи добре він; він також може бути розроблений для використання операційної системи, коли він читає файл для створення мініатюри або вилучення метаданих.
Synetech

2
@IMB, який файл позначає антивірус? Чи є позитивні відгуки реальних людей чи вони очевидно створені / скопійовані?
Synetech

Відповіді:


193

TL; DR

.aviФайл відео, і , отже , не є виконуваним, так що операційна система може / НЕ буде працювати файл. Таким чином, він сам по собі не може бути вірусом, але він дійсно може містити вірус.

Історія

Раніше вірусами були лише виконувані файли (тобто "запущені") файли. Пізніше Інтернет-черв’яки почали використовувати соціальну інженерію, щоб обманювати людей на запущені віруси. Популярним трюком було б перейменувати виконуваний файл, щоб включити інші розширення, як-от .aviабо .jpgдля того, щоб обдурити користувача думати, що це медіа-файл, та запустити його. Наприклад, клієнт електронної пошти може відображати лише перші десятки або близько символів вкладених файлів, тому, надаючи файлу помилкове розширення, потім додаючи його пробілами, як у "FunnyAnimals.avi              .exe", користувач бачить, як виглядає відео, і запускає його та заражається.

Це було не лише соціальною інженерією (хитрістю користувача), а й ранньою експлуатацією . Він використовував обмежене відображення імен файлів клієнтів електронної пошти, щоб усунути її хитрість.

Технічні

Пізніше з'явилися більш просунуті подвиги. Автори шкідливих програм розібрали б програму, щоб вивчити її вихідний код і шукати певні частини, які мали б погану обробку даних та помилок, які вони могли б використовувати. Ці інструкції часто мають форму якогось введення користувача. Наприклад, діалогове вікно входу на ОС або веб-сайт може не проводити перевірку помилок або перевірку даних, і, таким чином, припускати / очікувати, що користувач введе лише відповідні дані. Якщо ви введете дані, яких він не очікує (або у випадку більшості подвигів, занадто багато даних), вхід опиниться поза пам'яттю, призначеної для зберігання даних. Зазвичай дані користувача повинні міститись лише у змінній, але, використовуючи погану перевірку помилок та управління пам’яттю, можна помістити їх у частину пам'яті, яку можна виконати. Поширеним і відомим методом єпереповнення буфера, що містить більше даних у змінній, ніж вона вміщає, тим самим перезаписуючи інші частини пам'яті. Уміло склавши вхід, можна викликати перевищення коду (інструкцій), а потім передати управління на цей код. У цей момент небо зазвичай є межею щодо того, що можна зробити, коли зловмисне програмне забезпечення контролює.

Мультимедійні файли однакові. Вони можуть бути зроблені так, щоб вони містили трохи машинного коду та використовували медіаплеєр, щоб машинний код закінчувався. Наприклад, можливо металеві дані медіа-файлу помістити занадто багато даних, щоб програвач намагався відкрити файл і прочитати його, переповнюючи змінні та викликаючи запуск деякого коду. Навіть фактичні дані теоретично можуть бути створені для використання програми.

Найгірше для медіафайлів є те, що на відміну від логіну, який явно поганий, навіть для непрофесійних осіб (наприклад, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)медіа-файл можна зробити таким чином, щоб він насправді містив належні, законні медіа, які навіть не є пошкодженими і виглядають цілком законними та залишається абсолютно не виявленим, поки не відбудуться наслідки зараження. Стеганографія (буквально "прикрита писемність") зазвичай використовується для приховування даних в інших даних, але це, по суті, те саме, оскільки зловмисне програмне забезпечення було б приховано у тому, що виглядає як законні засоби масової інформації.

Так, так, медіа-файли (а з цього приводу будь-який файл) можуть містити вірус, використовуючи вразливості програми, яка відкриває / переглядає файл. Проблема полягає в тому, що вам часто навіть не потрібно відкривати або переглядати файл, який буде заражений. Більшість типів файлів можуть бути переглянуті або їх метадані прочитані, не відкриваючи їх навмисно. Наприклад, просто вибравши медіа-файл у Windows Explorer, автоматично зчитуються метадані (розміри, довжина тощо) з файлу. Це потенційно може бути вектором нападу, якщо випадково, коли зловмисне програмне забезпечення виявило вразливість у функції попереднього перегляду / метаданих Explorer і створить медіа-файл, який його використовує.

На щастя, подвиги неміцні. Зазвичай вони впливають лише на один або інший медіаплеєр, на відміну від усіх програвачів, і навіть тоді їм не гарантується робота в різних версіях однієї програми (саме тому операційні системи випускають оновлення для вразливих версій). Через це письменники зловмисного програмного забезпечення, як правило, намагаються витрачати свій час на розгортку систем / програм із широким використанням або з високою цінністю (наприклад, Windows, банківські системи тощо). Це особливо актуально, оскільки хакерство набуло популярності як бізнес зі злочинцями намагаються отримати гроші, і це вже не лише область дуренів, які намагаються здобути славу.

Застосування

Якщо ваше відео файл буде заражений, то він, ймовірно , тільки заразити вас , якщо ви вирішили використовувати медіа - плеєр (и) , що він розроблений спеціально для використання. Якщо ні, то це може вийти з ладу, не вдасться відкритись, зіграти з корупцією або навіть грати просто чудово (що є найгіршим сценарієм, оскільки потім позначається як нормально і поширюється на інших, хто може заразитися).

Програми проти зловмисного програмного забезпечення зазвичай використовують підписи та / або евристику для виявлення шкідливих програм. Підписи шукають шаблони байтів у файлах, які зазвичай відповідають інструкціям у відомих вірусах. Проблема полягає в тому, що через поліморфні віруси, які можуть змінюватися щоразу, коли вони розмножуються, підписи стають менш ефективними. Евристика дотримується моделей поведінки, таких як редагування конкретних файлів або читання конкретних даних. Зазвичай вони застосовуються лише після запуску зловмисного програмного забезпечення, оскільки статичний аналіз (вивчення коду без його запуску) може бути надзвичайно складним завдяки методам обфускування та ухилення від зловмисного програмного забезпечення.

В обох випадках анти-шкідливі програми можуть повідомляти про помилкові позитиви.

Висновок

Очевидно, що найважливішим кроком у безпеці обчислень є отримання файлів із надійних джерел. Якщо торрент, який ви використовуєте, знаходиться звідкись, де ви довіряєте, то, мабуть, це повинно бути добре. Якщо ні, то, можливо, вам захочеться подумати над цим (тим більше, що існують групи проти піратства, які навмисно випускають торренти, що містять підробки або навіть зловмисне програмне забезпечення).


3
Хороший огляд. У минулому були відомі подвиги, коли корисне навантаження доставлялося як файл зображення GIF. Ключові слова для отримання додаткової інформації: "Переповнення буфера експлуатувати довільне виконання коду"
horatio

3
@horatio, я не чув про подвиг GIF (якщо ви не маєте на увазі вразливість GDI), але я знаю, що експлуатація WMF була величезною новиною.
Synetech

@GarrettFogerlie, дякую Мабуть, це все найкраще. Що дивно, це те, що я клянусь, що писав майже ідентичний раніше. o.O
Synetech

3
+1 Bravo за дуже ретельний, короткий і простий для розуміння огляд шкідливих програм.
Філ

3
Крім того, для захисту від таких уразливостей завжди працює остання версія програмного забезпечення, оскільки деякі люди намагаються виправити ці помилки.
sjbotha

29

Я не скажу, що це неможливо, але це буде важко. Автору вірусів доведеться створити AVI, щоб викликати помилку у вашому медіаплеєрі, а потім якось використати це для запуску коду на вашій операційній системі - не знаючи, який медіаплеєр чи ОС ви працюєте. Якщо ви постійно оновлюєте своє програмне забезпечення та / або використовуєте щось інше, ніж Windows Media Player або iTunes (як найбільші платформи, вони стануть найкращими цілями), ви повинні бути в безпеці.

Однак існує пов'язаний з цим ризик, який є дуже реальним. Фільми в Інтернеті в наші дні використовують різноманітні кодеки, і широка громадськість не розуміє, що таке кодек - все, що вони знають, це "це те, що мені іноді доводиться завантажувати, щоб фільм грав". Це справжній вектор атаки. Якщо ви скачаєте щось і вам сказано "щоб переглянути це, вам потрібен кодек з [якогось веб-сайту]", то ми дуже впевнені, що ви знаєте, що ви робите, тому що можете заразити себе.


12

Розширення файлу avi не є гарантією того, що файл - це відеофайл. Ви можете отримати будь-який .exe вірус і перейменувати його на .avi (це змушує завантажувати вірус, що становить половину шляху до зараження комп'ютера). Якщо на вашій машині відкритий якийсь експлуатуючий запуск, який дозволяє вірусу запускатись, то на вас це постраждає.

Якщо ви вважаєте, що це зловмисне програмне забезпечення, просто припиніть завантаження та видаліть його, ніколи не виконуйте його до сканування антивірусом.


17
-1 Це не так, як .avi, ймовірно, заразить вас - навіть якби .exe було перейменовано на .avi, воно не виконується як виконуваний файл, коли ви його відкрили, якщо тільки ви не були досить дурні, щоб перейменувати його на .exe заздалегідь. .
BlueRaja - Danny Pflughoeft

3
Трансфер вірусів на машині користувача - не найважча частина, це абсолютно тривіальна частина. Ви можете просто перейменувати .exe в .jpg і включити його у веб-сторінку, і це буде перенесено, коли користувач відвідує вашу сторінку. Найважча частина зараження - це виконання першого коду.
MatsT

2
@BlueRaja: Я фактично бачив зараження комп'ютера колеги з файлом .avi і відтворював його сам на VM. Вона завантажила zip, який містив пару файлів, один з розширенням AVI, а другий пакетний сценарій. Відкрити AVI не вийшло, тому вона спробувала відкрити сценарій. Сценарій мав код для запуску "AVI" з командного рядка як виконуваного файлу, і ви можете здогадатися, що сталося далі (вірус зашифрував усі дані в її каталозі користувачів після зміни пароля, а потім вимагав $ 25 в якості штрафу за нерозумне діяння ).
Бегемот

3
@Hippo, це доволі поганий приклад, оскільки власне вірус - сценарії в цьому випадку - прийшов із AVI, не має значення для того, що AVI не може самостійно заразити ваш комп’ютер, враховуючи, що більшість комп'ютерів та бажаних цілей є при підключенні до Інтернету сценарій може просто завантажити вірус з Інтернету і знову, якщо ви можете змусити когось запустити "скрипт", то чому б не поставити вірус там на перше місце? -
Омеїд

2
але будь-який інший файл чи розширення матиме такий же вплив, якщо такий є.
омеїд

12

Так, можливо. Файли AVI, як і кожен файл, можуть бути спеціально створені, щоб скористатися відомими помилками в програмному забезпеченні, яке керує цими файлами.

Антивірусне програмне забезпечення виявляє шаблони знань у файлах, наприклад виконуваний код у двійкових файлах, або конкретні конструкції JavaScript на сторінках HTML , які, можливо, є вірусом.


9

Швидка відповідь: ТАК .

Трохи довша відповідь:

  • Файл - це контейнер для різних типів даних.
  • AVIФайл (Audio Video Interleave) призначений , щоб утримувати чергуються дані аудіо і відео. Зазвичай він не повинен містити виконуваного коду.
  • Якщо зловмисник не визначається незвично, навряд чи AVIфайл з аудіо-відео даними міститиме вірус

ЯКЩО ...

  • AVIФайл потрібен декодер , щоб зробити що - небудь корисне. Наприклад, ви вже можете використовувати програвач Windows Media Player для відтворення AVIфайлів для перегляду їх вмісту
  • Якщо в декодері або в аналізаторі файлів є помилки, які зловмисник може використовувати, вони спритно створюють AVIфайл таким чином:
    • під час вашої спроби відкрити ці файли (наприклад, якщо ви двічі клацніть, щоб почати відтворення відео) за допомогою помийного AVI-аналізатора чи декодера, ці приховані помилки запускаються
    • Як результат, це може дозволити зловмиснику виконувати на своєму комп’ютері код, який він обрав, потенційно залишаючи ваш комп'ютер зараженим.
    • Ось звіт про вразливість, який відповідає саме тому, що ви запитуєте.

Єдина реальна відповідь на питання - "Ось звіт про вразливість" у цій відповіді. Всі інші просто спекулюють.
Алекс

Привіт @ Алекс, я думаю, ти маєш рацію. Мій намір полягав у тому, щоб надати ОП деяку інформацію. Я погоджуюся, що звіт про вразливість відповідає самому собі на питання.
gsbabil

Можливо, я був недостатньо чіткий - просто хотів сказати, що завдяки доповіді, ваша відповідь є такою, яка справді відповідає на початкове запитання. +1.
Алекс

8

Це можливо, так, але дуже малоймовірно. Ви з більшою ймовірністю спробуєте переглянути WMV і надіслати його автозавантаженням URL-адреси або попросити завантажити ліцензію, що, в свою чергу, спливає вікно браузера, яке могло б використовувати вашу машину, якщо вона не повністю виправлена.


7

Найпопулярнішими серед вірусів "AVI", про які я чув, були
something.avi.exeфайли, завантажені на машину Windows
, налаштовану на приховання розширень файлів у Провіднику.

Користувач, як правило, забуває, що пізніший факт і припускає, що файл є AVI.
У поєднанні з їх очікуванням асоційованого гравця, подвійне клацання насправді запускає EXE.


Після цього дивно перекодовані AVI-файли, які потребують завантаження нового, codec щоб побачити їх.
Так званий, codecяк правило, справжній "вірус" тут.


Я також чув про подвиги переповнення буфера AVI, але кілька корисних посилань були б корисні.

Мій підсумок: винуватець, як правило, є одним із наступних, а не самим файлом AVI

  • codecВстановлено на вашій системі для обробки AVI
  • Гравець, який використовується
  • Засіб обміну файлами, який використовується для отримання файлу AVI

Коротке зчитування попередження зловмисного програмного забезпечення: P2P або Обмін файлами


6

.avi(або .mkvз цього приводу) є контейнерами та підтримують включення різноманітних носіїв інформації - безліч аудіо / відео потоків, субтитрів, DVD-навігації по меню тощо. Ніщо не перешкоджає включенню зловмисного виконуваного вмісту, але він не запускається, якщо не Синетех описав у своїй відповіді

І все-таки залишається один кут, що часто експлуатується. Враховуючи різноманітні доступні кодеки та відсутні обмеження щодо їх включення до файлів контейнерів, існують загальні протоколи, що дозволяють користувачеві встановити необхідний кодек, і це не допомагає мультимедійним плеєрам бути налаштованими на автоматичну спробу пошуку та встановлення кодека. У кінцевому рахунку кодеки виконуються (мінус невеликий масив тих, що базуються на плагінах) і можуть містити шкідливий код.


хороший пункт про кодеки!
марабутт

5

Технічно не від завантаження файлу. Але як тільки файл відкриється, це чесна гра залежно від гравця та реалізації кодека.


5

Мій антивірус Avast просто повідомив мені, що в одному з завантажених AVI-файлів фільму був троянин. Коли я спробував зробити його на карантині, він сказав, що файл занадто великий і його неможливо перемістити, тому мені довелося його видалити.

Вірус називається WMA.wimad [susp]і, очевидно, вірусом середньої загрози, який робить щось із викрадення браузера. Не зовсім зламання системи, але це доводить, що ви можете отримати віруси з AVI-файлів.


3

Якщо завантаження ще не завершено, зачекайте, перш ніж воно завершиться, перш ніж вирішити, що робити. Коли завантаження лише частково завершено, відсутні частини файлу по суті є шумовими і досить схильні видавати помилкові позитиви при перевірці на наявність шкідливих програм.

Як детально пояснив @Synetech, можливе поширення зловмисного програмного забезпечення через відеофайли, можливо, перш ніж завантаження закінчиться. Але те, що це можливо , не означає, що це ймовірно . З мого особистого досвіду шанси на помилковий позитив під час тривалого завантаження значно вищі.


> Шанси на помилковий позитив під час поточного завантаження набагато вище. Я не знаю про "багато", але це, безумовно, можливо, оскільки в неповному файлі може бути безліч нулів, які можуть трапитися поряд з трохи нормально нешкідливими байтами, які в кінцевому підсумку виглядають як поганий машинний код (на принаймні, поки нулі не будуть перезаписані фактичними даними).
Synetech

2
З іншого боку, попередні зображення в Провіднику Windows генеруються вашим відеопрогравачем на вибір. Якщо цей гравець використовує вірус, є можливість зловити вірус, просто відкривши папку файлу в провіднику! У цьому випадку ви хочете заразитися вірусом, перш ніж закінчити завантаження файлу. У минулому були віруси, які поширювались так.
BlueRaja - Danny Pflughoeft

@Synetech: У мене немає даних про це, але я знаю щонайменше 20 людей, які отримали помилкову тривогу від неповного завантаження торрента. Поки я читав, що це можливо, я не знаю нікого, хто заразив його комп’ютером фактичним відеофайлом.
Денніс

1
@BlueRaja, так, саме про це я попередив вище. Однак для більшості поширених медіа-файлів саме Windows / WMP генерує попередній перегляд, а не сторонні програми (у більшості новачків не встановлено FFDShow; принаймні, якщо вони не встановлять усі ці неприємні, богозабуті пакети мега-кодеків).
Synetech

1
@BlueRaja, я не можу знайти інформацію про це. Чи можете ви знайти для цього джерело. Я використовую лише портативний, тому я ніколи не бачив, щоб VLC генерував ескізи. Крім того, можна подумати, що вона створюватиме мініатюри для кожного типу відео, яке може відтворюватись і пов'язане з ним, включаючи FLV, MKV тощо, але це не так, отже, такі програми, як Icaros. Насправді, схоже, є плани впровадити обробник попереднього перегляду VLC, але це було відкладено.
Synetech

2

Провівши час, допомагаючи користувачам вирішувати проблеми зловмисного програмного забезпечення, я можу засвідчити, що звичайний механізм експлуатації, який використовують шахраї, є більш соціальним, ніж технічним.

Файл просто названий * .avi.exe, а налаштування за замовчуванням у Windows не виявляє поширених розширень файлів. Виконавчому файлу просто присвоєний значок файлу AVI. Це схоже на тактику, яка використовується для розповсюдження вірусів * .doc.exe, де у файлі є значок winword.

Я також спостерігав тактику хитрості, як-то довгі імена файлів, які використовуються при розподілі p2p, тому клієнт відображає лише часткові імена у списку файлів.

Використання кумедних файлів

Якщо вам потрібно використовувати файл, завжди використовуйте пісочницю, налаштовану для припинення вихідних з’єднань з Інтернетом. Брандмауер Windows погано налаштований, щоб дозволити вихідні з'єднання за замовчуванням. Експлуатація - це дія, яка, як і будь-яка дія, завжди має мотивацію. Зазвичай він виконується для завантаження паролів або файлів cookie браузера, ліцензування та передачі вмісту на зовнішній ресурс (наприклад, FTP), що належить зловмиснику. Отже, якщо ви використовуєте такий інструмент, як sandboxie, відключіть вихідні інтернет-з'єднання. Якщо ви використовуєте віртуальну машину, переконайтеся, що вона не містить конфіденційної інформації, і завжди блокуйте вихідний доступ до Інтернету за допомогою правила брандмауера.

Якщо ви не знаєте, що робите, не використовуйте файл. Будьте в безпеці і не ризикуйте, які не варто ризикувати.


2

Коротка відповідь, так. Більш детальна відповідь випливає з основного підручника Tropical PC Solutions: Як приховати вірус! і зробіть собі це.


1
Зауважте, що ця сторінка насправді не реалізує подвиг для зараження системи, вона лише приховує деякі дані у файлі зображень за допомогою стеганографії (у цьому випадку це зловмисне програмне забезпечення, але воно може бути як завгодно). Код насправді не працює, він просто прихований. Це дійсно досягає мети отримати код у цільовій системі, але тоді йому знадобиться якийсь інший метод запуску.
Synetech

-2

AVI-файли не будуть заражені вірусом. Якщо ви завантажуєте фільми з торрента, а не з AVI, якщо фільм є в пакеті RAR або він є як EXE-файл, то, безумовно, є в ньому вірус.

Деякі з них просять завантажити додатковий кодек з якогось веб-сайту для перегляду фільму. Це підозрювані. Але якщо це AVI, то ви, безумовно, можете спробувати відтворити його у своєму відеоплеєрі. Нічого не станеться.


міг би просто нереєструвати файл, який дасть вам вірус?
користувач3183

@ user3183, можливо. Файл може бути розроблений для використання вразливості в WinRAR / 7-zip / тощо.
Synetech

@Synetech: ймовірність того, що це так само, як ймовірність використання вразливості у вашому медіаплеєрі, що, скажемо, набагато менше, ніж експлуатація .avi.exe.
Лежать Раян

1
@LieRyan, точно. Існує достатньо різних програм для архівів і тих же версій, що цільова поверхня (занадто) велика. Для любителів слави, можливо, варто докласти зусиль, але для бізнес-хакерів краще орієнтуватися на ОС.
Synetech

-3

AVI-файли не можуть мати вірус, якщо вони є відеофайлами. Під час завантаження браузера зберігає завантаження у власному форматі, тому антивірус виявляє його як вірус. Завантажуючи файл AVI, переконайтеся, що після завантаження файл запускається у відеоплеєр, якщо він є недійсним файлом, він не відтворюватиметься і ціни на здогадки про те, що він буде вірус, не будуть.

Якщо ви спробуєте подвійним клацанням і запустити його безпосередньо, якщо є невеликий шанс появи вірусу, він вийде. Будьте обережні, і вам не потрібно антивірусне програмне забезпечення.


2
Вони не використовують браузер; це торент-клієнт.
Synetech

так само з торрент-файлами, занадто конкретно торрент-файли є ціллю для цих антивірусних компаній
Sreejit

1
Більшість клієнтів-торентів не зберігають завантажений файл у іншому форматі під час завантаження (хоча вони можуть використовувати інше ім’я / розширення).
Synetech

так, я також кажу, що вибачте, вибачте, що не включаю це, і антивірус бачить розширення для перевірки вірусів
Sreejit

о, гаразд. Програми проти зловмисного програмного забезпечення також можуть встановлюватися для сканування незалежно від розширення, але це, як правило, сповільнює роботу системи. :-(
Synetech
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.