@ user3183 VideoLAN wewnętrznie używa własnych kodeków. Nic nie powstrzymuje jednego z jego kodeków przed błędem, który może wykorzystać złośliwy twórca wirusów.
GAThrawn
7
W razie wątpliwości zatrzymaj pobieranie.
27
@soandos, to niekoniecznie prawda. Plik może być zaprojektowany tak, aby wykorzystywał klienta torrenta, gdy go haszy, aby sprawdzić, czy jest dobry; Można go również zaprojektować tak, aby wykorzystywał system operacyjny podczas odczytywania pliku w celu utworzenia miniatury lub wyodrębnienia metadanych.
Synetech,
2
@IMB, który plik jest oznaczony antywirusem? Czy pozytywne recenzje pochodzą od prawdziwych ludzi, czy oczywiście są generowane / kopiowane i wklejane?
.aviPlik jest film, a zatem nie jest wykonywalny, więc system operacyjny może / nie będzie uruchomić plik. Jako taki nie może być wirusem samym w sobie, ale rzeczywiście może zawierać wirusa.
Historia
W przeszłości tylko pliki wykonywalne (tzn. „Uruchamialne”) byłyby wirusami. Później robaki internetowe zaczęły wykorzystywać socjotechnikę, aby oszukać ludzi w celu uruchomienia wirusów. Popularną sztuczką byłoby zmienić nazwę pliku wykonywalnego, aby uwzględnić inne rozszerzenia, takie jak .avilub .jpg, aby nakłonić użytkownika do myślenia, że jest to plik multimedialny i uruchomić go. Na przykład klient poczty e-mail może wyświetlać tylko kilkanaście pierwszych znaków załączników, więc nadając plikowi fałszywe rozszerzenie, a następnie wypełniając go spacjami, tak jak w "FunnyAnimals.avi .exe", użytkownik widzi coś, co wygląda jak wideo, uruchamia go i zostaje zainfekowany.
Było to nie tylko socjotechnika (oszukiwanie użytkownika), ale także wczesny exploit . Wykorzystał ograniczone wyświetlanie nazw plików klientów poczty e-mail, aby wykorzystać swoją sztuczkę.
Techniczny
Później pojawiły się bardziej zaawansowane exploity. Twórcy szkodliwego oprogramowania dezasemblują program w celu zbadania jego kodu źródłowego i szukają niektórych części, które miały słabą obsługę danych i błędów, które mogłyby wykorzystać. Instrukcje te często przyjmują formę danych wejściowych od użytkownika. Na przykład okno dialogowe logowania w systemie operacyjnym lub witrynie internetowej może nie sprawdzać błędów ani sprawdzać poprawności danych, a tym samym zakładać / oczekiwać, że użytkownik wprowadzi tylko odpowiednie dane. Jeśli następnie wprowadzisz dane, których się nie spodziewa (lub w przypadku większości exploitów, za dużo danych), dane wejściowe znajdą się poza pamięcią, która została przypisana do przechowywania danych. Zwykle dane użytkownika powinny być zawarte tylko w zmiennej, ale wykorzystując słabe sprawdzanie błędów i zarządzanie pamięcią, można umieścić je w części pamięci, którą można wykonać. Powszechną i dobrze znaną metodą jestprzepełnienie bufora, które umieszcza więcej danych w zmiennej niż może pomieścić, zastępując w ten sposób inne części pamięci. Dzięki sprytnemu spreparowaniu danych wejściowych możliwe jest przekroczenie kodu (instrukcji), a następnie przekazanie kontroli do tego kodu. W tym momencie niebo jest zwykle ograniczeniem tego, co można zrobić, gdy złośliwe oprogramowanie przejmie kontrolę.
Pliki multimedialne są takie same. Można je wykonać tak, aby zawierały odrobinę kodu maszynowego i wykorzystywały odtwarzacz multimedialny, aby kod maszynowy działał. Na przykład może być możliwe umieszczenie zbyt dużej ilości danych w metadanych pliku multimedialnego, aby odtwarzacz próbował otworzyć plik i odczytać go, przepełniając zmienne i powodując uruchomienie kodu. Nawet rzeczywiste dane można teoretycznie spreparować w celu wykorzystania programu.
Gorzej z plikami multimedialnymi jest to, że w przeciwieństwie do loginu, które jest wyraźnie złe, nawet dla osób świeckich (np. username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)Plik multimedialny można utworzyć tak, aby zawierał właściwe, legalne media, które nie są nawet uszkodzone, a więc wyglądają całkowicie legalnie i pozostaje całkowicie niewykryty, dopóki nie wystąpią skutki infekcji. Steganografia (dosłownie „pisanie w ukryciu”) jest zwykle używana do ukrywania danych w innych danych, ale jest to w zasadzie to samo, ponieważ złośliwe oprogramowanie byłoby ukryte w czymś, co wygląda jak legalne media.
Tak więc, pliki multimedialne (i w tym przypadku każdy plik) mogą zawierać wirusa poprzez wykorzystanie luk w zabezpieczeniach programu, który otwiera / przegląda plik. Problem polega na tym, że często nie trzeba nawet otwierać ani przeglądać pliku, który ma zostać zainfekowany. Można wyświetlić podgląd większości typów plików lub odczytać ich metadane bez celowego ich otwierania. Na przykład, po prostu wybranie pliku multimedialnego w Eksploratorze Windows automatycznie odczyta meta-dane (wymiary, długość itp.) Z pliku. Może to być potencjalnie wektor ataku, jeśli twórca złośliwego oprogramowania znajdzie lukę w funkcji podglądu / metadanych Eksploratora i utworzy plik multimedialny, który go wykorzystuje.
Na szczęście exploity są kruche. Zwykle wpływają tylko na jeden odtwarzacz multimedialny lub inny, w przeciwieństwie do wszystkich odtwarzaczy, i nawet wtedy nie gwarantuje się, że będą działać dla różnych wersji tego samego programu (dlatego systemy operacyjne aktualizują luki w łatach). Z tego powodu twórcy szkodliwego oprogramowania zwykle kłopotają się spędzaniem czasu na krakowaniu systemów / programów w szerokim użyciu lub o wysokiej wartości (np. Windows, systemy bankowe itp.) Jest to szczególnie prawdziwe, ponieważ hackowanie zyskało na popularności jako biznes z przestępcami stara się zdobyć pieniądze i nie jest już tylko domeną kujonów próbujących zdobyć chwałę.
Podanie
Jeśli plik wideo zostanie zainfekowany, najprawdopodobniej zainfekuje Cię tylko wtedy, gdy zdarzy się, że użyjesz odtwarzacza (odtwarzaczy multimedialnych), który został specjalnie zaprojektowany do wykorzystania. Jeśli nie, może się zawiesić, nie otworzyć, grać z korupcją, a nawet grać dobrze (co jest najgorszym scenariuszem, ponieważ wtedy zostaje oznaczony jako w porządku i rozprzestrzenia się na inne osoby, które mogą zostać zainfekowane).
Programy antywirusowe zwykle wykorzystują sygnatury i / lub heurystykę do wykrywania złośliwego oprogramowania. Podpisy szukają wzorców bajtów w plikach, które zwykle odpowiadają instrukcjom w znanych wirusach. Problem polega na tym, że z powodu wirusów polimorficznych, które mogą się zmieniać za każdym razem, gdy się rozmnażają, sygnatury stają się mniej skuteczne. Heurystyka obserwuje wzorce zachowań, takie jak edycja określonych plików lub odczytywanie określonych danych. Zazwyczaj mają one zastosowanie tylko wtedy, gdy złośliwe oprogramowanie jest już uruchomione, ponieważ analiza statyczna (badanie kodu bez uruchamiania) może być niezwykle złożona dzięki technikom zaciemniania i uchylania się od złośliwego oprogramowania.
W obu przypadkach programy przeciwdziałające złośliwemu oprogramowaniu mogą zgłaszać fałszywe alarmy.
Wniosek
Oczywiście najważniejszym krokiem w bezpieczeństwie komputerowym jest uzyskanie plików z zaufanych źródeł. Jeśli używasz torrenta z zaufanego miejsca, prawdopodobnie powinno być w porządku. Jeśli nie, możesz pomyśleć o tym dwa razy (zwłaszcza, że istnieją grupy antypirackie, które celowo wypuszczają torrenty zawierające podróbki, a nawet złośliwe oprogramowanie).
Dobry przegląd. W przeszłości istniało kilka znanych exploitów, w których ładunek dostarczano jako plik obrazu GIF. Kluczowymi słowami do uzyskania dalszych informacji są: „przepełnienie bufora wykorzystuje dowolne wykonanie kodu”
horatio
3
@horatio, nie słyszałem o exploicie GIF (chyba że masz na myśli lukę GDI), ale wiem, że exploit WMF był ogromną wiadomością.
Synetech,
@GarrettFogerlie, dzięki. Najwyraźniej jest to moja najlepsza jak dotąd. Dziwne jest to, że przysięgam, że wcześniej napisałem prawie identyczny. o.O
Synetech,
3
+1 Bravo za bardzo dokładny, zwięzły i łatwy do zrozumienia przegląd złośliwego oprogramowania.
Phil
3
Ponadto, aby chronić się przed takimi lukami, zawsze uruchamiaj najnowszą wersję oprogramowania, ponieważ niektóre osoby próbują naprawić te błędy.
sjbotha
29
Nie powiem, że to niemożliwe, ale byłoby trudne. Twórca wirusów musiałby stworzyć AVI, aby uruchomić błąd w odtwarzaczu multimediów, a następnie w jakiś sposób wykorzystać go do uruchomienia kodu w systemie operacyjnym - nie wiedząc, jakiego odtwarzacza multimediów lub systemu operacyjnego używasz. Jeśli będziesz aktualizować swoje oprogramowanie i / lub uruchomisz coś innego niż Windows Media Player lub iTunes (jako największe platformy będą to najlepsze cele), powinieneś być całkiem bezpieczny.
Istnieje jednak powiązane ryzyko, które jest bardzo realne. Filmy w Internecie używają obecnie różnych kodeków, a opinia publiczna nie rozumie, czym jest kodek - wiedzą tylko, że „muszę coś pobrać, aby odtworzyć film”. To jest prawdziwy wektor ataku. Jeśli pobierzesz coś i powiesz „aby to zobaczyć, potrzebujesz kodeka z [jakiejś strony]”, wtedy jesteśmy pewni, że wiesz, co robisz, ponieważ możesz się zarazić.
Rozszerzenie pliku avi nie gwarantuje, że plik jest plikiem wideo. Możesz dostać dowolnego wirusa .exe i zmienić jego nazwę na .avi (powoduje to pobranie wirusa, co stanowi połowę ścieżki do zainfekowania twojego komputera). Jeśli na twoim komputerze jest jakiś otwarty exploit, który pozwala na uruchomienie wirusa, będzie to miało wpływ na Ciebie.
Jeśli uważasz, że jest to złośliwe oprogramowanie, po prostu zatrzymaj pobieranie i usuń je, nigdy nie uruchamiaj go przed skanowaniem antywirusowym.
-1 Nie jest to sposób, w jaki .avi prawdopodobnie Cię zainfekuje - nawet jeśli byłby .exe przemianowany na .avi, nie uruchomiłby się jako plik wykonywalny po otwarciu, chyba że byłeś na tyle głupi, aby wcześniej zmienić jego nazwę na .exe .
BlueRaja - Danny Pflughoeft
3
Przenoszenie wirusów na maszynę użytkownika nie jest najtrudniejszą częścią, jest to całkowicie trywialna część. Możesz po prostu zmienić nazwę pliku .exe na .jpg i dołączyć go do strony internetowej. Zostanie on przeniesiony, gdy użytkownik odwiedzi twoją stronę. Najtrudniejszą częścią infekcji jest wykonanie pierwszego kodu.
MatsT,
2
@BlueRaja: W rzeczywistości widziałem infekcję na komputerze kolegi z plikiem .avi i sam ją odtworzyłem na maszynie wirtualnej. Pobrała zip, który zawierał kilka plików, jeden z rozszerzeniem AVI, a drugi skrypt wsadowy. Otwarcie AVI nie działało, więc próbowała otworzyć skrypt. Skrypt miał kod do uruchomienia „AVI” z wiersza poleceń jako plik wykonywalny i możesz zgadnąć, co się potem stało (wirus zaszyfrował wszystkie dane w swoim katalogu użytkownika po zmianie hasła, a następnie zażądał 25 USD za karę za głupie zachowanie ).
Hippo
3
@Hippo to raczej kiepski przykład, ponieważ faktyczny wirus - w tym przypadku skrypty - dostarczony z AVI, nie ma znaczenia dla faktu, że AVI nie może samodzielnie zainfekować twojego komputera, biorąc pod uwagę, że większość komputerów i preferowane cele to połączony z Internetem skrypt może po prostu pobrać wirusa z sieci i ponownie, jeśli możesz zmusić kogoś do uruchomienia „skryptu”, to dlaczego nie umieścić wirusa tam? -
omeid
2
ale każdy inny plik lub rozszerzenie będzie miało taki sam wpływ, jeśli w ogóle.
omeid
12
Tak to mozliwe. Pliki AVI, jak każdy plik, można specjalnie spreparować, aby wykorzystać znane błędy w oprogramowaniu zarządzającym tymi plikami.
Oprogramowanie antywirusowe wykrywa znane wzorce w plikach, takie jak kod wykonywalny w plikach binarnych lub określone konstrukcje JavaScript na stronach HTML , które prawdopodobnie są wirusami.
Plik AVI(Audio Video Interleave) ma zawierać przeplecione dane audio i wideo. Zwykle nie powinien zawierać kodu wykonywalnego.
O ile atakujący nie zostanie ustalony wyjątkowo, jest mało prawdopodobne, aby AVIplik z danymi audio-wideo faktycznie zawierał wirusa
JEDNAK ...
AVIPlik potrzebuje dekodera zrobić coś pożytecznego. Na przykład możesz już używać programu Windows Media Player do odtwarzania AVIplików, aby zobaczyć ich zawartość
Jeśli dekoder lub parser plików zawierają błędy, które atakujący może wykorzystać, sprytnie utworzą AVIplik, który:
przy próbie otwarcia tych plików (na przykład dwukrotne kliknięcie, aby rozpocząć odtwarzanie wideo) za pomocą swojego błędnego parsera AVI lub dekodera, te ukryte błędy zostaną uruchomione
W rezultacie może to pozwolić atakującemu wykonać wybrany kod na twoim komputerze, potencjalnie powodując zainfekowanie twojego komputera.
Oto raport podatności, który odpowiada dokładnie na to, o co pytasz.
Jedyną prawdziwą odpowiedzią na pytanie jest „Oto raport podatności” w tej odpowiedzi. Wszyscy inni tylko spekulują.
Alex
Cześć @Alex, myślę, że masz rację. Moim zamiarem było przekazanie OP trochę tła. Zgadzam się, że raport podatności sam odpowiada na pytanie.
gsbabil
Może nie było wystarczająco jasne - po prostu chciałem powiedzieć, że z powodu raportu, odpowiedź jest taki, który rzeczywiście odpowiada oryginalne pytanie. +1.
Alex
8
Jest to możliwe, ale bardzo mało prawdopodobne. Bardziej prawdopodobne jest, że spróbujesz wyświetlić WMV i automatycznie załadować adres URL lub poprosić o pobranie licencji, która z kolei wyskakuje z okna przeglądarki, które może wykorzystać twój komputer, jeśli nie zostanie w pełni załatany.
Najbardziej popularne spośród wirusów „AVI”, które słyszałem, to something.avi.exepliki pobrane na maszynę z systemem Windows
skonfigurowaną do ukrywania rozszerzeń plików w Eksploratorze.
Użytkownik zwykle zapomina o tym później i zakłada, że plik to AVI.
W połączeniu z oczekiwaniem na powiązanego gracza podwójne kliknięcie faktycznie uruchamia plik EXE.
Po tym zostały dziwnie transkodowane pliki AVI, które wymagają pobrania nowej,codec aby je zobaczyć.
Tak zwany codecjest zazwyczaj prawdziwym „wirusem” tutaj.
Słyszałem także o exploitach przepełnienia bufora AVI, ale przydałoby się kilka dobrych referencji.
Moja podstawowa sprawa: winowajcą jest zwykle jeden z poniższych, a nie sam plik AVI
codecZainstalowane w systemie do obsługi AVI
Używany odtwarzacz
Narzędzie do udostępniania plików używane do uzyskania pliku AVI
.avi(lub .mkvjeśli chodzi o tę kwestię) to kontenery i obsługują włączenie różnych mediów - wielu strumieni audio / wideo, napisów, nawigacji menu przypominającej dvd itp. Nic nie stoi na przeszkodzie, aby uwzględnić złośliwą zawartość wykonywalną, ale nie zostanie uruchomiona, chyba że w scenariusze Synetech opisane w jego odpowiedzi
Mimo to pominięto jeden często eksplorowany kąt. Biorąc pod uwagę różnorodność dostępnych kodeków i brak ograniczeń w zakresie ich umieszczania w plikach kontenerów, istnieją wspólne protokoły zachęcające użytkownika do zainstalowania niezbędnego kodeka i nie pomaga to, że odtwarzacze multimedialne mogą być skonfigurowane do automatycznego wyszukiwania i instalacji kodeków. Ostatecznie kodeki są wykonywalne (pomijając niewielką tablicę tych opartych na wtyczkach) i mogą zawierać złośliwy kod.
Mój Avast Antivirus właśnie poinformował mnie, że w jednym z moich pobranych plików AVI z filmów jest trojan. Kiedy próbowałem go poddać kwarantannie, powiedziałem, że plik jest zbyt duży i nie można go przenieść, więc musiałem go usunąć.
Wirus jest wywoływany WMA.wimad [susp]i jest najwyraźniej wirusem o średnim zagrożeniu, który robi coś w rodzaju przejęcia przeglądarki. Nie do końca psuje system, ale dowodzi, że możesz dostać wirusy z plików AVI.
Jeśli pobieranie nie jest jeszcze ukończone, poczekaj, aż zakończy się, zanim zdecydujesz, co zrobić. Gdy pobieranie jest tylko częściowo ukończone, brakujące części pliku są w zasadzie szumem i dość podatne na wytwarzanie fałszywych alarmów, gdy są sprawdzane pod kątem złośliwego oprogramowania.
Jak szczegółowo wyjaśnił @Synetech, możliwe jest rozprzestrzenianie złośliwego oprogramowania za pomocą plików wideo, być może jeszcze przed zakończeniem pobierania. Ale to możliwe , nie oznacza, że jest prawdopodobne . Z mojego osobistego doświadczenia wynika, że prawdopodobieństwo fałszywego pozytywu podczas ciągłego pobierania jest znacznie wyższe.
> Szanse na wynik fałszywie dodatni podczas trwającego pobierania są znacznie wyższe. Nie wiem o „dużo”, ale z pewnością jest to możliwe, ponieważ niekompletny plik może mieć wiele wartości zerowych, które mogą się przydać obok normalnie nieszkodliwych bajtów, które mogą wyglądać jak zły kod maszynowy (na przynajmniej dopóki wartości zerowe nie zostaną nadpisane rzeczywistymi danymi).
Synetech,
2
Z drugiej strony obrazy podglądu w Eksploratorze Windows są generowane przez wybrany odtwarzacz wideo. Jeśli ten odtwarzacz wykorzystuje ten wirus, istnieje możliwość złapania wirusa przez otwarcie folderu pliku w Eksploratorze! W takim przypadku chcesz złapać wirusa przed zakończeniem pobierania pliku. W przeszłości występowały takie wirusy.
BlueRaja - Danny Pflughoeft
@ Synetech: Nie mam danych na ten temat, ale znam co najmniej 20 osób, które otrzymały fałszywy alarm z powodu niepełnego pobrania torrenta. Chociaż czytam, że to możliwe, nie znam nikogo, kto zainfekowałby jego komputer rzeczywistym plikiem wideo.
Dennis
1
@BlueRaja, tak, o tym ostrzegałem powyżej. Jednak w przypadku większości popularnych plików multimedialnych to Windows / WMP generuje podgląd, a nie program innej firmy (większość nowicjuszy nie ma zainstalowanego FFDShow; przynajmniej nie, jeśli nie zainstalują wszystkich tych paskudnych, zapomnianych przez Boga mega pakiety kodeków).
Synetech,
1
@BlueRaja, nie mogę znaleźć żadnych informacji na ten temat. Czy możesz znaleźć źródło tego. Używam tylko przenośnego, więc nigdy nie widziałem VLC generujących miniatury. Ponadto można by pomyśleć, że wygeneruje miniatury dla każdego rodzaju wideo, które może odtwarzać i jest z nim powiązane, w tym FLV, MKV itp., Ale nie robi tego, dlatego programy takie jak Icaros. W rzeczywistości wydaje się, że istnieją plany wdrożenia modułu obsługi podglądu VLC, ale zostało to opóźnione.
Synetech,
2
Spędzając czas pomagając użytkownikom w rozwiązywaniu problemów ze złośliwym oprogramowaniem, mogę potwierdzić, że zwykły mechanizm wykorzystywania wykorzystywany przez oszustów jest bardziej społeczny niż techniczny.
Plik ma po prostu nazwę * .avi.exe, a domyślne ustawienie w systemie Windows nie ujawnia typowych rozszerzeń plików. Plik wykonywalny ma po prostu przypisaną ikonę pliku AVI. Jest to podobne do taktyk wykorzystywanych do dystrybucji wirusów * .doc.exe, w których plik ma ikonę winword.
Zauważyłem również podejrzane taktyki, takie jak długie nazwy plików używane w dystrybucji p2p, więc klient wyświetla tylko częściowe nazwy na liście plików.
Używanie tandetnych plików
Jeśli potrzebujesz użyć pliku, zawsze używaj piaskownicy skonfigurowanej do zatrzymywania wychodzących połączeń internetowych. Zapora systemu Windows jest źle skonfigurowana, aby domyślnie zezwalać na połączenia wychodzące. Eksploatacja to akcja, która jak każda akcja zawsze ma motywację. Zwykle odbywa się to w celu wychwytywania haseł przeglądarki lub plików cookie, licencjonowania i przesyłania zawartości do zewnętrznego zasobu (takiego jak FTP) należącego do atakującego. Dlatego jeśli korzystasz z narzędzia takiego jak piaskownica, wyłącz wychodzące połączenia internetowe. Jeśli korzystasz z maszyny wirtualnej, upewnij się, że nie zawiera ona poufnych informacji i zawsze blokuj wychodzący dostęp do Internetu za pomocą reguły zapory.
Jeśli nie wiesz, co robisz, nie używaj pliku. Bądź bezpieczny i nie podejmuj ryzyka, które nie jest warte podjęcia.
Zauważ, że ta strona nie implementuje exploita w celu zainfekowania systemu, ukrywa tylko niektóre dane w pliku obrazu przy użyciu steganografii (w tym przypadku jest to złośliwe oprogramowanie, ale równie dobrze może być czymkolwiek). Kod tak naprawdę nie działa, jest po prostu ukryty. Osiąga cel, jakim jest uzyskanie kodu w systemie docelowym, ale wtedy potrzebowałaby innej metody uruchomienia.
Synetech,
-2
Pliki AVI nie zostaną zainfekowane wirusem. Gdy pobierasz filmy z torrenta, zamiast AVI, jeśli film znajduje się w pakiecie RAR lub jest w postaci pliku EXE, to na pewno istnieje w nim ryzyko wirusa.
Niektóre z nich proszą o pobranie dodatkowego kodeka z niektórych stron internetowych, aby obejrzeć film. To są podejrzane. Ale jeśli jest to AVI, z pewnością możesz spróbować odtworzyć go w odtwarzaczu wideo. Nic się nie stanie.
czy zwykłe usunięcie pliku z pliku może wywołać wirusa?
user3183,
@ user3183, prawdopodobnie. Plik może zostać zaprojektowany w celu wykorzystania luki w WinRAR / 7-zip / etc.
Synetech,
@ Synetech: prawdopodobieństwo tego jest takie samo, jak prawdopodobieństwo wykorzystania luki w odtwarzaczu multimedialnym, co jest znacznie mniej prawdopodobne niż exploit .avi.exe.
Lie Ryan,
1
@LieRyan, dokładnie. Istnieje wystarczająco wiele różnych programów archiwizujących i ich wersji, że docelowa powierzchnia jest (zbyt) duża. W przypadku glory-houndów może być to warte wysiłku, ale dla hakerów biznesowych lepiej jest celować w system operacyjny.
Synetech,
-3
Pliki AVI nie mogą zawierać wirusa, jeśli są plikami wideo. Podczas pobierania przeglądarka utrzymuje pobieranie we własnym formacie, dlatego program antywirusowy wykrywa go jako wirusa. Podczas pobierania pliku AVI upewnij się, że po pobraniu plik jest uruchamiany w odtwarzaczu wideo, jeśli jest to niepoprawny plik, to nie będzie on odtwarzany i nie będzie żadnych opłat za zgadywanie, że będzie to wtedy wirus.
Jeśli spróbujesz dwukrotnie kliknąć i uruchomić go bezpośrednio, jeśli istnieje niewielka szansa na wirusa, to wyjdzie. Zachowaj ostrożność, a nie potrzebujesz oprogramowania antywirusowego.
tak samo jest z plikami torrentowymi zbyt konkretnie pliki torrentowe są celem dla tych firm antywirusowych
Sreejit
1
większość klientów torrent nie utrzymuje pobranego pliku w innym formacie podczas pobierania (chociaż może używać innej nazwy pliku / rozszerzenia).
Synetech,
tak, mówię też, że przepraszam, że tego nie uwzględnię, a program antywirusowy widzi rozszerzenia do sprawdzania wirusów
Sreejit,
och dobrze Programy przeciwdziałające złośliwemu oprogramowaniu można również ustawić tak, aby skanowały niezależnie od rozszerzenia, ale zwykle spowalnia system. :-(
Odpowiedzi:
TL; DR
.avi
Plik jest film, a zatem nie jest wykonywalny, więc system operacyjny może / nie będzie uruchomić plik. Jako taki nie może być wirusem samym w sobie, ale rzeczywiście może zawierać wirusa.Historia
W przeszłości tylko pliki wykonywalne (tzn. „Uruchamialne”) byłyby wirusami. Później robaki internetowe zaczęły wykorzystywać socjotechnikę, aby oszukać ludzi w celu uruchomienia wirusów. Popularną sztuczką byłoby zmienić nazwę pliku wykonywalnego, aby uwzględnić inne rozszerzenia, takie jak
.avi
lub.jpg
, aby nakłonić użytkownika do myślenia, że jest to plik multimedialny i uruchomić go. Na przykład klient poczty e-mail może wyświetlać tylko kilkanaście pierwszych znaków załączników, więc nadając plikowi fałszywe rozszerzenie, a następnie wypełniając go spacjami, tak jak w"FunnyAnimals.avi .exe"
, użytkownik widzi coś, co wygląda jak wideo, uruchamia go i zostaje zainfekowany.Było to nie tylko socjotechnika (oszukiwanie użytkownika), ale także wczesny exploit . Wykorzystał ograniczone wyświetlanie nazw plików klientów poczty e-mail, aby wykorzystać swoją sztuczkę.
Techniczny
Później pojawiły się bardziej zaawansowane exploity. Twórcy szkodliwego oprogramowania dezasemblują program w celu zbadania jego kodu źródłowego i szukają niektórych części, które miały słabą obsługę danych i błędów, które mogłyby wykorzystać. Instrukcje te często przyjmują formę danych wejściowych od użytkownika. Na przykład okno dialogowe logowania w systemie operacyjnym lub witrynie internetowej może nie sprawdzać błędów ani sprawdzać poprawności danych, a tym samym zakładać / oczekiwać, że użytkownik wprowadzi tylko odpowiednie dane. Jeśli następnie wprowadzisz dane, których się nie spodziewa (lub w przypadku większości exploitów, za dużo danych), dane wejściowe znajdą się poza pamięcią, która została przypisana do przechowywania danych. Zwykle dane użytkownika powinny być zawarte tylko w zmiennej, ale wykorzystując słabe sprawdzanie błędów i zarządzanie pamięcią, można umieścić je w części pamięci, którą można wykonać. Powszechną i dobrze znaną metodą jestprzepełnienie bufora, które umieszcza więcej danych w zmiennej niż może pomieścić, zastępując w ten sposób inne części pamięci. Dzięki sprytnemu spreparowaniu danych wejściowych możliwe jest przekroczenie kodu (instrukcji), a następnie przekazanie kontroli do tego kodu. W tym momencie niebo jest zwykle ograniczeniem tego, co można zrobić, gdy złośliwe oprogramowanie przejmie kontrolę.
Pliki multimedialne są takie same. Można je wykonać tak, aby zawierały odrobinę kodu maszynowego i wykorzystywały odtwarzacz multimedialny, aby kod maszynowy działał. Na przykład może być możliwe umieszczenie zbyt dużej ilości danych w metadanych pliku multimedialnego, aby odtwarzacz próbował otworzyć plik i odczytać go, przepełniając zmienne i powodując uruchomienie kodu. Nawet rzeczywiste dane można teoretycznie spreparować w celu wykorzystania programu.
Gorzej z plikami multimedialnymi jest to, że w przeciwieństwie do loginu, które jest wyraźnie złe, nawet dla osób świeckich (np.
username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)
Plik multimedialny można utworzyć tak, aby zawierał właściwe, legalne media, które nie są nawet uszkodzone, a więc wyglądają całkowicie legalnie i pozostaje całkowicie niewykryty, dopóki nie wystąpią skutki infekcji. Steganografia (dosłownie „pisanie w ukryciu”) jest zwykle używana do ukrywania danych w innych danych, ale jest to w zasadzie to samo, ponieważ złośliwe oprogramowanie byłoby ukryte w czymś, co wygląda jak legalne media.Tak więc, pliki multimedialne (i w tym przypadku każdy plik) mogą zawierać wirusa poprzez wykorzystanie luk w zabezpieczeniach programu, który otwiera / przegląda plik. Problem polega na tym, że często nie trzeba nawet otwierać ani przeglądać pliku, który ma zostać zainfekowany. Można wyświetlić podgląd większości typów plików lub odczytać ich metadane bez celowego ich otwierania. Na przykład, po prostu wybranie pliku multimedialnego w Eksploratorze Windows automatycznie odczyta meta-dane (wymiary, długość itp.) Z pliku. Może to być potencjalnie wektor ataku, jeśli twórca złośliwego oprogramowania znajdzie lukę w funkcji podglądu / metadanych Eksploratora i utworzy plik multimedialny, który go wykorzystuje.
Na szczęście exploity są kruche. Zwykle wpływają tylko na jeden odtwarzacz multimedialny lub inny, w przeciwieństwie do wszystkich odtwarzaczy, i nawet wtedy nie gwarantuje się, że będą działać dla różnych wersji tego samego programu (dlatego systemy operacyjne aktualizują luki w łatach). Z tego powodu twórcy szkodliwego oprogramowania zwykle kłopotają się spędzaniem czasu na krakowaniu systemów / programów w szerokim użyciu lub o wysokiej wartości (np. Windows, systemy bankowe itp.) Jest to szczególnie prawdziwe, ponieważ hackowanie zyskało na popularności jako biznes z przestępcami stara się zdobyć pieniądze i nie jest już tylko domeną kujonów próbujących zdobyć chwałę.
Podanie
Jeśli plik wideo zostanie zainfekowany, najprawdopodobniej zainfekuje Cię tylko wtedy, gdy zdarzy się, że użyjesz odtwarzacza (odtwarzaczy multimedialnych), który został specjalnie zaprojektowany do wykorzystania. Jeśli nie, może się zawiesić, nie otworzyć, grać z korupcją, a nawet grać dobrze (co jest najgorszym scenariuszem, ponieważ wtedy zostaje oznaczony jako w porządku i rozprzestrzenia się na inne osoby, które mogą zostać zainfekowane).
Programy antywirusowe zwykle wykorzystują sygnatury i / lub heurystykę do wykrywania złośliwego oprogramowania. Podpisy szukają wzorców bajtów w plikach, które zwykle odpowiadają instrukcjom w znanych wirusach. Problem polega na tym, że z powodu wirusów polimorficznych, które mogą się zmieniać za każdym razem, gdy się rozmnażają, sygnatury stają się mniej skuteczne. Heurystyka obserwuje wzorce zachowań, takie jak edycja określonych plików lub odczytywanie określonych danych. Zazwyczaj mają one zastosowanie tylko wtedy, gdy złośliwe oprogramowanie jest już uruchomione, ponieważ analiza statyczna (badanie kodu bez uruchamiania) może być niezwykle złożona dzięki technikom zaciemniania i uchylania się od złośliwego oprogramowania.
W obu przypadkach programy przeciwdziałające złośliwemu oprogramowaniu mogą zgłaszać fałszywe alarmy.
Wniosek
Oczywiście najważniejszym krokiem w bezpieczeństwie komputerowym jest uzyskanie plików z zaufanych źródeł. Jeśli używasz torrenta z zaufanego miejsca, prawdopodobnie powinno być w porządku. Jeśli nie, możesz pomyśleć o tym dwa razy (zwłaszcza, że istnieją grupy antypirackie, które celowo wypuszczają torrenty zawierające podróbki, a nawet złośliwe oprogramowanie).
źródło
o.O
Nie powiem, że to niemożliwe, ale byłoby trudne. Twórca wirusów musiałby stworzyć AVI, aby uruchomić błąd w odtwarzaczu multimediów, a następnie w jakiś sposób wykorzystać go do uruchomienia kodu w systemie operacyjnym - nie wiedząc, jakiego odtwarzacza multimediów lub systemu operacyjnego używasz. Jeśli będziesz aktualizować swoje oprogramowanie i / lub uruchomisz coś innego niż Windows Media Player lub iTunes (jako największe platformy będą to najlepsze cele), powinieneś być całkiem bezpieczny.
Istnieje jednak powiązane ryzyko, które jest bardzo realne. Filmy w Internecie używają obecnie różnych kodeków, a opinia publiczna nie rozumie, czym jest kodek - wiedzą tylko, że „muszę coś pobrać, aby odtworzyć film”. To jest prawdziwy wektor ataku. Jeśli pobierzesz coś i powiesz „aby to zobaczyć, potrzebujesz kodeka z [jakiejś strony]”, wtedy jesteśmy pewni, że wiesz, co robisz, ponieważ możesz się zarazić.
źródło
Rozszerzenie pliku avi nie gwarantuje, że plik jest plikiem wideo. Możesz dostać dowolnego wirusa .exe i zmienić jego nazwę na .avi (powoduje to pobranie wirusa, co stanowi połowę ścieżki do zainfekowania twojego komputera). Jeśli na twoim komputerze jest jakiś otwarty exploit, który pozwala na uruchomienie wirusa, będzie to miało wpływ na Ciebie.
Jeśli uważasz, że jest to złośliwe oprogramowanie, po prostu zatrzymaj pobieranie i usuń je, nigdy nie uruchamiaj go przed skanowaniem antywirusowym.
źródło
Tak to mozliwe. Pliki AVI, jak każdy plik, można specjalnie spreparować, aby wykorzystać znane błędy w oprogramowaniu zarządzającym tymi plikami.
Oprogramowanie antywirusowe wykrywa znane wzorce w plikach, takie jak kod wykonywalny w plikach binarnych lub określone konstrukcje JavaScript na stronach HTML , które prawdopodobnie są wirusami.
źródło
Szybka odpowiedź: TAK .
Nieco dłuższa odpowiedź:
AVI
(Audio Video Interleave) ma zawierać przeplecione dane audio i wideo. Zwykle nie powinien zawierać kodu wykonywalnego.AVI
plik z danymi audio-wideo faktycznie zawierał wirusaJEDNAK ...
AVI
Plik potrzebuje dekodera zrobić coś pożytecznego. Na przykład możesz już używać programu Windows Media Player do odtwarzaniaAVI
plików, aby zobaczyć ich zawartośćAVI
plik, który:źródło
Jest to możliwe, ale bardzo mało prawdopodobne. Bardziej prawdopodobne jest, że spróbujesz wyświetlić WMV i automatycznie załadować adres URL lub poprosić o pobranie licencji, która z kolei wyskakuje z okna przeglądarki, które może wykorzystać twój komputer, jeśli nie zostanie w pełni załatany.
źródło
Najbardziej popularne spośród wirusów „AVI”, które słyszałem, to
something.avi.exe
pliki pobrane na maszynę z systemem Windowsskonfigurowaną do ukrywania rozszerzeń plików w Eksploratorze.
Użytkownik zwykle zapomina o tym później i zakłada, że plik to AVI.
W połączeniu z oczekiwaniem na powiązanego gracza podwójne kliknięcie faktycznie uruchamia plik EXE.
Po tym zostały dziwnie transkodowane pliki AVI, które wymagają pobrania nowej,
codec
aby je zobaczyć.Tak zwany
codec
jest zazwyczaj prawdziwym „wirusem” tutaj.Słyszałem także o exploitach przepełnienia bufora AVI, ale przydałoby się kilka dobrych referencji.
Moja podstawowa sprawa: winowajcą jest zwykle jeden z poniższych, a nie sam plik AVI
codec
Zainstalowane w systemie do obsługi AVIKrótka lektura zapobiegająca złośliwemu oprogramowaniu: P2P lub udostępnianie plików
źródło
.avi
(lub.mkv
jeśli chodzi o tę kwestię) to kontenery i obsługują włączenie różnych mediów - wielu strumieni audio / wideo, napisów, nawigacji menu przypominającej dvd itp. Nic nie stoi na przeszkodzie, aby uwzględnić złośliwą zawartość wykonywalną, ale nie zostanie uruchomiona, chyba że w scenariusze Synetech opisane w jego odpowiedziMimo to pominięto jeden często eksplorowany kąt. Biorąc pod uwagę różnorodność dostępnych kodeków i brak ograniczeń w zakresie ich umieszczania w plikach kontenerów, istnieją wspólne protokoły zachęcające użytkownika do zainstalowania niezbędnego kodeka i nie pomaga to, że odtwarzacze multimedialne mogą być skonfigurowane do automatycznego wyszukiwania i instalacji kodeków. Ostatecznie kodeki są wykonywalne (pomijając niewielką tablicę tych opartych na wtyczkach) i mogą zawierać złośliwy kod.
źródło
Technicznie nie z pobierania pliku. Ale po otwarciu pliku jest to uczciwa gra, w zależności od odtwarzacza i implementacji kodeka.
źródło
Mój Avast Antivirus właśnie poinformował mnie, że w jednym z moich pobranych plików AVI z filmów jest trojan. Kiedy próbowałem go poddać kwarantannie, powiedziałem, że plik jest zbyt duży i nie można go przenieść, więc musiałem go usunąć.
Wirus jest wywoływany
WMA.wimad [susp]
i jest najwyraźniej wirusem o średnim zagrożeniu, który robi coś w rodzaju przejęcia przeglądarki. Nie do końca psuje system, ale dowodzi, że możesz dostać wirusy z plików AVI.źródło
Jeśli pobieranie nie jest jeszcze ukończone, poczekaj, aż zakończy się, zanim zdecydujesz, co zrobić. Gdy pobieranie jest tylko częściowo ukończone, brakujące części pliku są w zasadzie szumem i dość podatne na wytwarzanie fałszywych alarmów, gdy są sprawdzane pod kątem złośliwego oprogramowania.
Jak szczegółowo wyjaśnił @Synetech, możliwe jest rozprzestrzenianie złośliwego oprogramowania za pomocą plików wideo, być może jeszcze przed zakończeniem pobierania. Ale to możliwe , nie oznacza, że jest prawdopodobne . Z mojego osobistego doświadczenia wynika, że prawdopodobieństwo fałszywego pozytywu podczas ciągłego pobierania jest znacznie wyższe.
źródło
Spędzając czas pomagając użytkownikom w rozwiązywaniu problemów ze złośliwym oprogramowaniem, mogę potwierdzić, że zwykły mechanizm wykorzystywania wykorzystywany przez oszustów jest bardziej społeczny niż techniczny.
Plik ma po prostu nazwę * .avi.exe, a domyślne ustawienie w systemie Windows nie ujawnia typowych rozszerzeń plików. Plik wykonywalny ma po prostu przypisaną ikonę pliku AVI. Jest to podobne do taktyk wykorzystywanych do dystrybucji wirusów * .doc.exe, w których plik ma ikonę winword.
Zauważyłem również podejrzane taktyki, takie jak długie nazwy plików używane w dystrybucji p2p, więc klient wyświetla tylko częściowe nazwy na liście plików.
Używanie tandetnych plików
Jeśli potrzebujesz użyć pliku, zawsze używaj piaskownicy skonfigurowanej do zatrzymywania wychodzących połączeń internetowych. Zapora systemu Windows jest źle skonfigurowana, aby domyślnie zezwalać na połączenia wychodzące. Eksploatacja to akcja, która jak każda akcja zawsze ma motywację. Zwykle odbywa się to w celu wychwytywania haseł przeglądarki lub plików cookie, licencjonowania i przesyłania zawartości do zewnętrznego zasobu (takiego jak FTP) należącego do atakującego. Dlatego jeśli korzystasz z narzędzia takiego jak piaskownica, wyłącz wychodzące połączenia internetowe. Jeśli korzystasz z maszyny wirtualnej, upewnij się, że nie zawiera ona poufnych informacji i zawsze blokuj wychodzący dostęp do Internetu za pomocą reguły zapory.
Jeśli nie wiesz, co robisz, nie używaj pliku. Bądź bezpieczny i nie podejmuj ryzyka, które nie jest warte podjęcia.
źródło
Krótka odpowiedź, tak. Dłuższa odpowiedź wynika z podstawowego samouczka Tropical PC Solutions: Jak ukryć wirusa! i stwórz dla siebie.
źródło
Pliki AVI nie zostaną zainfekowane wirusem. Gdy pobierasz filmy z torrenta, zamiast AVI, jeśli film znajduje się w pakiecie RAR lub jest w postaci pliku EXE, to na pewno istnieje w nim ryzyko wirusa.
Niektóre z nich proszą o pobranie dodatkowego kodeka z niektórych stron internetowych, aby obejrzeć film. To są podejrzane. Ale jeśli jest to AVI, z pewnością możesz spróbować odtworzyć go w odtwarzaczu wideo. Nic się nie stanie.
źródło
Pliki AVI nie mogą zawierać wirusa, jeśli są plikami wideo. Podczas pobierania przeglądarka utrzymuje pobieranie we własnym formacie, dlatego program antywirusowy wykrywa go jako wirusa. Podczas pobierania pliku AVI upewnij się, że po pobraniu plik jest uruchamiany w odtwarzaczu wideo, jeśli jest to niepoprawny plik, to nie będzie on odtwarzany i nie będzie żadnych opłat za zgadywanie, że będzie to wtedy wirus.
Jeśli spróbujesz dwukrotnie kliknąć i uruchomić go bezpośrednio, jeśli istnieje niewielka szansa na wirusa, to wyjdzie. Zachowaj ostrożność, a nie potrzebujesz oprogramowania antywirusowego.
źródło
:-(