I file AVI possono contenere un virus?


99

Sto scaricando un file AVI tramite un torrent, ma il mio antivirus rileva qualcosa. È possibile che il file AVI contenga un virus?

È abbastanza strano dal momento che il torrent ha molte recensioni positive.


2
@ user3183 VideoLAN utilizza internamente i propri codec. Non c'è nulla che impedisca a uno dei suoi codec di avere un errore che un virus dannoso potrebbe sfruttare.
GAThrawn

7
In caso di dubbio, interrompere il download.

27
@soandos, non è necessariamente vero. Il file può essere progettato per sfruttare il client torrent quando lo esegue l'hashing per verificarne il corretto funzionamento; può anche essere progettato per sfruttare il sistema operativo quando legge il file per produrre una miniatura o estrarre metadati.
Synetech,

2
@IMB, quale file contrassegna l'antivirus? Le recensioni positive provengono da persone reali o sono ovviamente generate / incollate?
Synetech,

Risposte:


193

TL; DR

Un .avifile è un video e quindi non è eseguibile, quindi il sistema operativo non può / non eseguirà il file. Come tale, non può essere un virus a sé stante, ma può effettivamente contenere un virus.

Storia

In passato, solo i file eseguibili (ovvero "eseguibili") sarebbero virus. Successivamente, i worm su Internet hanno iniziato a utilizzare il social engineering per indurre le persone a eseguire virus. Un trucco popolare sarebbe rinominare un eseguibile per includere altre estensioni come .avio .jpgper indurre l'utente a pensare che sia un file multimediale ed eseguirlo. Ad esempio, un client di posta elettronica può visualizzare solo la prima dozzina di caratteri di allegati, quindi assegnando a un file una falsa estensione, quindi riempendolo di spazi come in "FunnyAnimals.avi              .exe", l'utente vede ciò che sembra un video, lo esegue e viene infettato.

Questo non era solo social-engineering (inganno l'utente), ma anche un exploit iniziale . Ha sfruttato la visualizzazione limitata di nomi di file dei client di posta elettronica per farcela.

Tecnico

Più tardi arrivarono exploit più avanzati. Gli autori di malware avrebbero smontato un programma per esaminare il suo codice sorgente e cercare alcune parti che avevano una scarsa gestione dei dati e degli errori che potevano sfruttare. Queste istruzioni spesso assumono la forma di una sorta di input dell'utente. Ad esempio, una finestra di dialogo di accesso su un sistema operativo o un sito Web potrebbe non eseguire il controllo degli errori o la convalida dei dati e quindi assumere / aspettarsi che l'utente inserisca solo i dati appropriati. Se poi inserisci i dati che non prevede (o nel caso della maggior parte degli exploit, troppi dati), l'input finirà fuori dalla memoria che è stata assegnata per contenere i dati. Normalmente, i dati utente dovrebbero essere contenuti solo in una variabile, ma sfruttando il controllo degli errori e la gestione della memoria, è possibile inserirli in una parte della memoria che può essere eseguita. Un metodo comune e ben noto è ilbuffer-overflow che inserisce nella variabile più dati di quanti ne possa contenere, sovrascrivendo così altre parti della memoria. Creando abilmente l'input, è possibile causare il superamento del codice (istruzioni) e quindi trasferire il controllo a quel codice. A quel punto, il cielo è di solito il limite su cosa si può fare una volta che il malware ha il controllo.

I file multimediali sono gli stessi. Possono essere creati in modo da contenere un po 'di codice macchina e sfruttare il lettore multimediale in modo che il codice macchina finisca per essere eseguito. Ad esempio, potrebbe essere possibile inserire troppi dati nei metadati del file multimediale in modo tale che quando il lettore tenta di aprire il file e leggerlo, trabocca le variabili e provoca l'esecuzione di codice. Anche i dati reali potrebbero teoricamente essere realizzati per sfruttare il programma.

Ciò che è peggio con i file multimediali è che a differenza di un accesso che è chiaramente negativo, anche per i laici (ad esempio username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^), un file multimediale può essere creato in modo che contenga effettivamente supporti legittimi, legittimi che non sono nemmeno corrotti e quindi sembrano completamente legittimi e rimane completamente inosservato fino a quando non si verificano gli effetti dell'infezione.La steganografia (letteralmente "scrittura coperta") viene solitamente utilizzata per nascondere i dati in altri dati, ma questa è essenzialmente la stessa cosa poiché il malware sarebbe nascosto in quelli che sembrano supporti legittimi.

Quindi sì, i file multimediali (e, in tal caso, qualsiasi file) possono contenere un virus sfruttando le vulnerabilità nel programma che apre / visualizza il file. Il problema è che spesso non è nemmeno necessario aprire o visualizzare il file da infettare. È possibile visualizzare in anteprima la maggior parte dei tipi di file o leggere i loro metadati senza aprirli di proposito. Ad esempio, semplicemente selezionando un file multimediale in Esplora risorse verranno automaticamente letti i metadati (dimensioni, lunghezza, ecc.) Dal file. Questo potrebbe potenzialmente essere un vettore di attacco se uno scrittore di malware rilevasse una vulnerabilità nella funzione di anteprima / metadati di Explorer e creasse un file multimediale che lo sfrutta.

Fortunatamente, gli exploit sono fragili. Di solito interessano solo un lettore multimediale o un altro rispetto a tutti i lettori e anche in questo caso, non sono garantiti per funzionare con versioni diverse dello stesso programma (ecco perché i sistemi operativi rilasciano aggiornamenti per correggere le vulnerabilità). Per questo motivo, gli autori di malware di solito si preoccupano solo di spendere il loro tempo a craccare sistemi / programmi di largo uso o di alto valore (ad esempio, Windows, sistemi bancari, ecc.) Ciò è particolarmente vero da quando l'hacking ha guadagnato popolarità come azienda con criminali cercando di ottenere soldi e non è più solo il dominio dei nerd che cercano di ottenere gloria.

Applicazione

Se il tuo file video è infetto, probabilmente ti infetterà solo se ti capita di usare i lettori multimediali che è specificamente progettato per sfruttare. In caso contrario, potrebbe bloccarsi, non aprirsi, giocare con la corruzione o persino giocare bene (che è lo scenario peggiore perché viene segnalato come ok e si diffonde ad altri che potrebbero essere infettati).

I programmi antimalware di solito utilizzano firme e / o euristiche per rilevare malware. Le firme cercano schemi di byte nei file che di solito corrispondono alle istruzioni di virus noti. Il problema è che a causa dei virus polimorfici che possono cambiare ogni volta che si riproducono, le firme diventano meno efficaci. L'euristica osserva schemi di comportamento come la modifica di file specifici o la lettura di dati specifici. Questi di solito si applicano solo quando il malware è già in esecuzione perché l'analisi statica (esaminando il codice senza eseguirlo) può essere estremamente complessa grazie alle tecniche di offuscamento e evasione del malware.

In entrambi i casi, i programmi antimalware possono e fanno segnalare falsi positivi.

Conclusione

Ovviamente il passo più importante nella sicurezza informatica è ottenere i tuoi file da fonti attendibili. Se il torrent che stai utilizzando proviene da un luogo in cui ti fidi, allora presumibilmente dovrebbe essere a posto. Altrimenti, potresti voler pensarci due volte (soprattutto perché ci sono gruppi antipirateria che rilasciano deliberatamente torrent contenenti falsi o persino malware).


3
Buona panoramica. Ci sono stati alcuni exploit ben noti in passato in cui il payload è stato consegnato come file immagine GIF. Le parole chiave per ulteriori informazioni sono: "buffer overflow sfruttano l'esecuzione di codice arbitrario"
horatio

3
@horatio, non avevo sentito parlare di un exploit GIF (a meno che non ti riferissi alla vulnerabilità GDI), ma so che l' exploit WMF è stata una grande notizia.
Synetech,

@GarrettFogerlie, grazie. Apparentemente è ancora il mio meglio. La cosa strana è che giuro di averne già scritto uno quasi identico. o.O
Synetech,

3
+1 Bravo per una panoramica molto completa, concisa e di facile comprensione del malware.
Phil

3
Inoltre, per proteggersi da vulnerabilità come queste, eseguire sempre la versione più recente del software perché alcune persone tentano di correggere questi bug.
sjbotha,

29

Non dirò che è impossibile, ma sarebbe difficile. Lo scrittore di virus dovrebbe creare l'AVI per attivare un bug nel tuo lettore multimediale e quindi in qualche modo sfruttarlo per eseguire il codice sul tuo sistema operativo, senza sapere quale lettore multimediale o sistema operativo stai utilizzando. Se mantieni aggiornato il tuo software e / o se esegui qualcosa di diverso da Windows Media Player o iTunes (come le più grandi piattaforme, saranno i migliori obiettivi), dovresti essere abbastanza sicuro.

Tuttavia, esiste un rischio correlato molto reale. I film su Internet in questi giorni usano una varietà di codec e il pubblico non capisce cosa sia un codec - tutto quello che sanno è "è qualcosa che a volte devo scaricare per poter riprodurre il film". Questo è un vero vettore di attacco. Se scarichi qualcosa e ti viene detto "per visualizzarlo, hai bisogno del codec da [alcuni siti Web]", quindi siamo sicuri che sai cosa stai facendo perché potresti infettarti.


12

Un'estensione del file avi non è una garanzia che il file sia un file video. Potresti ottenere qualsiasi virus .exe e rinominarlo in .avi (questo ti fa scaricare il virus, qual è la metà del percorso per infettare il tuo computer). Se ci sono exploit aperti sul tuo computer che consentono al virus di essere eseguito, ne risentiresti.

Se pensi che sia un malware, basta interrompere il download ed eliminarlo, non eseguirlo mai prima di una scansione antivirus.


17
-1 Questo non è il modo in cui un .avi probabilmente ti infetterebbe - anche se fosse un .exe rinominato in .avi, non verrà eseguito come eseguibile quando lo apri, a meno che tu non sia abbastanza stupido da rinominarlo in .exe in anticipo .
BlueRaja - Danny Pflughoeft il

3
Il trasferimento di virus sulla macchina di un utente non è la parte più difficile, è una parte completamente banale. Puoi semplicemente rinominare .exe in .jpg e includerlo in una pagina Web e verrà trasferito quando l'utente visita la tua pagina. La parte più difficile dell'infezione sta eseguendo la prima esecuzione del codice.
MatsT,

2
@BlueRaja: ho visto effettivamente accadere un'infezione al computer di un collega con un file .avi e l'ho riprodotta da sola su una VM. Aveva scaricato un file zip che conteneva un paio di file, uno con estensione AVI e l'altro uno script batch. L'apertura dell'AVI non ha funzionato, quindi ha provato ad aprire lo script. Lo script aveva il codice per eseguire "AVI" dalla riga di comando come eseguibile, e puoi indovinare cosa è successo dopo (il virus ha crittografato tutti i dati nella sua directory utente dopo aver cambiato la password, e poi ha richiesto $ 25 come penalità per essere stupido ).
Ippopotamo,

3
@Hippo che è piuttosto un cattivo esempio, perché il virus reale - gli script in questo caso - fornito con un AVI è irrilevante per il fatto che l'AVI non può da solo infettare il tuo computer, considerando che la maggior parte dei computer e le destinazioni preferite sono collegato a Internet lo script potrebbe semplicemente scaricare il virus dal web e, di nuovo, se riesci a convincere qualcuno a eseguire uno "script", allora perché non mettere il virus lì in primo luogo? -
omeid

2
ma qualsiasi altro file o estensione avrebbe lo stesso impatto se presente.
omeid,

12

Sì, è possibile. I file AVI, come ogni file, possono essere appositamente realizzati per sfruttare i bug noti nel software che gestiscono tali file.

Il software antivirus rileva modelli conosciuti nei file, come codice eseguibile in file binari o specifiche costruzioni JavaScript nelle pagine HTML , che possono essere virus.


9

Risposta rapida: .

Risposta leggermente più lunga:

  • Un file è un contenitore per diversi tipi di dati.
  • Un file AVI(Audio Video Interleave) contiene dati audio e video interlacciati. Normalmente, non dovrebbe contenere alcun codice eseguibile.
  • A meno che l'attaccante non sia determinato in modo insolito, è abbastanza improbabile che un AVIfile con dati audio-video contenga effettivamente un virus

PERÒ ...

  • Un AVIfile ha bisogno di un decodificatore per fare qualcosa di utile. Ad esempio, potresti già utilizzare Windows Media Player per riprodurre AVIfile per visualizzarne il contenuto
  • Se il decodificatore o il parser di file hanno dei bug che l'attaccante può sfruttare, produrranno abilmente un AVIfile in modo che:
    • nel tentativo di aprire quei file (ad esempio se si fa doppio clic per avviare la riproduzione del video) con il proprio parser o decoder AVI difettoso, verranno attivati ​​quei bug nascosti
    • Di conseguenza, può consentire all'attaccante di eseguire il codice di sua scelta sul computer dell'utente, lasciando potenzialmente il computer infetto.
    • Ecco un rapporto sulla vulnerabilità che risponde esattamente a ciò che stai chiedendo.

L'unica vera risposta alla domanda è "Ecco un rapporto di vulnerabilità" in questa risposta. Tutti gli altri solo speculando.
Alex,

Ciao @Alex, immagino tu abbia ragione. La mia intenzione era di dare al PO un po 'di background. Accetto che il rapporto sulla vulnerabilità risponda alla domanda da solo.
gsbabil,

Forse non sono stato abbastanza chiaro - solo voluto dire che, a causa del rapporto, la risposta è la quella che in realtà risponde alla domanda iniziale. +1.
Alex

8

È possibile, sì, ma molto improbabile. È più probabile che tu provi a visualizzare un WMV e lo faccia caricare automaticamente un URL o ti chieda di scaricare una licenza, che a sua volta fa apparire una finestra del browser che potrebbe sfruttare il tuo computer se non è completamente patchato.


7

I virus "AVI" più popolari tra quelli che ho sentito sono stati, i
something.avi.exefile scaricati su un computer Windows
configurato per nascondere le estensioni dei file in Explorer.

L'utente in genere dimentica quel fatto successivo e presume che il file sia AVI.
Accoppiato alle aspettative di un giocatore associato, un doppio clic avvia effettivamente il file EXE.


Successivamente, è stato stranamente transcodificato file AVI che richiedono di scaricare un nuovo codec per vederli.
Il cosiddetto codecè di solito il vero "virus" qui.


Ho anche sentito parlare di exploit di buffer overflow AVI, ma alcuni buoni riferimenti sarebbero utili.

La mia linea di fondo: il colpevole è di solito uno dei seguenti anziché il file AVI stesso

  • L' codecinstallato sul tuo sistema per gestire l'AVI
  • Il giocatore in uso
  • Lo strumento di condivisione file utilizzato per ottenere il file AVI

Una breve lettura di prevenzione malware: P2P o Condivisione file


6

.avi(o del .mkvresto) sono contenitori e supportano l'inclusione di una varietà di media: più flussi audio / video, sottotitoli, navigazione nei menu simile a un DVD ecc. scenari descritti da Synetech nella sua risposta

Tuttavia, c'è un angolo comunemente esplorato lasciato fuori. Data una varietà di codec disponibili e nessuna limitazione per includerli nei file container, esistono protocolli comuni per richiedere a un utente l'installazione del codec necessario e non aiuta i lettori multimediali a essere configurati per tentare automaticamente la ricerca e l'installazione del codec. Alla fine i codec sono eseguibili (meno un piccolo array di quelli basati su plug-in) e potrebbero contenere codice dannoso.


buon punto sui codec!
marabutt,

5

Tecnicamente, non dal download del file. Ma una volta aperto il file, il gioco è corretto a seconda del giocatore e dell'implementazione del codec.


5

Il mio Avast Antivirus mi ha appena informato che c'era un trojan incorporato in uno dei miei file AVI scaricati. Quando ho provato a metterlo in quarantena, ha detto che il file è troppo grande e non può essere spostato, quindi ho dovuto eliminarlo.

Il virus si chiama WMA.wimad [susp]ed è apparentemente un virus di media minaccia che fa una sorta di roba di dirottamento del browser. Non esattamente la rottura del sistema, ma dimostra che è possibile ottenere virus dai file AVI.


3

Se il download non è ancora completo, attendi prima che venga completato prima di decidere cosa fare. Quando il download è solo parzialmente completo, le parti mancanti del file sono essenzialmente rumorose e abbastanza inclini a produrre falsi positivi quando viene verificato il malware.

Come spiegato in dettaglio @Synetech, è possibile diffondere malware attraverso file video, possibilmente prima ancora che il download finisca. Ma ciò è possibile non significa che sia probabile . Dalla mia esperienza personale, le probabilità di un falso positivo durante un download in corso sono molto più alte.


> Le probabilità di un falso positivo durante un download in corso sono molto più alte. Io non so cosa "molto", ma è certamente possibile in quanto il file incompleto può avere un sacco di null che potrebbe capita di essere accanto a un po 'di byte normalmente innocui che finiscono accadendo a guardare come codice macchina male (a almeno fino a quando i null vengono sovrascritti con i dati effettivi).
Synetech,

2
D'altra parte, le immagini di anteprima in Windows Explorer sono generate dal tuo lettore video preferito. Se questo lettore è quello che il virus sfrutta, c'è la possibilità di catturare il virus semplicemente aprendo la cartella del file in Explorer! In questo caso, si desidera catturare il virus prima di completare il download del file. Ci sono stati virus che si sono diffusi in questo modo in passato.
BlueRaja - Danny Pflughoeft il

@Synetech: non ho dati a riguardo, ma conosco almeno 20 persone che hanno ricevuto un falso allarme da un download torrent incompleto. Mentre leggo che è possibile, non conosco nessuno che abbia infettato il suo computer da un vero file video.
Dennis,

1
@BlueRaja, sì, questo è ciò di cui ho avvertito soandos sopra. Tuttavia, per i file multimediali più comuni, è Windows / WMP che genera l'anteprima, non un programma di terze parti (la maggior parte dei novizi non ha installato FFDShow; almeno non se non installano tutti quei cattivi, dimenticati da Dio) mega pacchetti di codec).
Synetech,

1
@BlueRaja, non riesco a trovare alcuna informazione al riguardo. Puoi per favore trovare una fonte per quello. Uso solo il portatile, quindi non ho mai visto VLC generare miniature. Inoltre, si potrebbe pensare che genererebbe miniature per ogni tipo di video che può essere riprodotto ed è associato, inclusi FLV, MKV, ecc., Ma non è così, quindi programmi come Icaros. In effetti, sembra che ci siano piani per implementare un gestore di anteprima VLC, ma questo è stato ritardato.
Synetech,

2

Avendo dedicato del tempo ad aiutare gli utenti a risolvere i problemi di malware, posso testimoniare che il normale meccanismo di sfruttamento utilizzato dai truffatori è più social che tecnico.

Il file è semplicemente denominato * .avi.exe e l'impostazione predefinita in Windows non rivela estensioni di file comuni. Al file eseguibile viene semplicemente assegnata un'icona di file AVI. Questo è simile alle tattiche utilizzate per distribuire virus * .doc.exe in cui il file ha l'icona di winword.

Ho anche osservato tattiche ingannevoli come nomi di file lunghi utilizzati nella distribuzione p2p, quindi il client visualizza solo i nomi parziali nell'elenco dei file.

Usando file scadenti

Se è necessario utilizzare il file, utilizzare sempre un sandbox configurato per interrompere le connessioni Internet in uscita. Il firewall di Windows non è configurato correttamente per consentire le connessioni in uscita per impostazione predefinita. Lo sfruttamento è un'azione, che come ogni azione ha sempre una motivazione. Di solito, viene eseguito per sifonare password o cookie del browser, concedere in licenza e trasferire i contenuti su una risorsa esterna (come FTP) di proprietà di un utente malintenzionato. Pertanto, se si utilizza uno strumento come sandboxie, disabilitare le connessioni Internet in uscita. Se si utilizza una macchina virtuale, assicurarsi che non contenga informazioni riservate e bloccare sempre l'accesso a Internet in uscita utilizzando una regola firewall.

Se non sai cosa stai facendo, non utilizzare il file. Sii sicuro e non correre rischi che non vale la pena correre.


2

Risposta breve, si. Una risposta più lunga segue il tutorial di base Tropical PC Solutions: come nascondere un virus! e creane uno per te stesso.


1
Nota che quella pagina non implementa effettivamente un exploit per infettare un sistema, nasconde solo alcuni dati in un file di immagine usando la steganografia (in questo caso si tratta di malware, ma potrebbe anche essere qualsiasi cosa). Il codice non viene effettivamente eseguito, è semplicemente nascosto. Raggiunge l'obiettivo di ottenere il codice sul sistema di destinazione, ma avrebbe bisogno di qualche altro metodo per essere eseguito.
Synetech,

-2

I file AVI non saranno infettati da virus. Quando scarichi film da un torrent, invece di AVI, se il film è in un pacchetto RAR o è come un file EXE, sicuramente c'è una possibilità di virus in esso.

Alcuni di loro ti chiedono di scaricare un codec aggiuntivo da alcuni siti Web per visualizzare il film. Questi sono quelli sospetti. Ma se si tratta di AVI, allora puoi sicuramente provare a riprodurlo nel tuo lettore video. Non succederà nulla.


potrebbe semplicemente annullare la rarità del file per darti un virus?
user3183

@ user3183, possibilmente. Il file può essere progettato per sfruttare una vulnerabilità in WinRAR / 7-zip / etc.
Synetech,

@Synetech: la probabilità che ciò sia uguale alla probabilità di sfruttare una vulnerabilità nel tuo lettore multimediale, vale a dire molto meno probabile di un exploit .avi.exe.
Lie Ryan,

1
@LieRyan, esattamente. Esistono abbastanza diversi programmi di archivio e versioni dello stesso che la superficie di destinazione è (troppo) grande. Per i segugi della gloria, può valere la pena, ma per gli hacker aziendali è meglio prendere di mira il sistema operativo.
Synetech,

-3

I file AVI non possono avere un virus se sono file video. Durante il download del browser mantiene il download nel proprio formato, motivo per cui l'antivirus lo rileva come virus. Quando si scarica il file AVI, assicurarsi che dopo aver scaricato il file venga eseguito in un lettore video se si tratta di un file non valido, quindi non verrà riprodotto e quindi nessun prezzo per indovinare sarà un virus.

Se provi a fare doppio clic ed eseguilo direttamente se c'è una leggera possibilità di virus, verrà fuori. Prendi precauzioni e non hai bisogno di software antivirus.


2
Non stanno usando un browser; è un client torrent.
Synetech,

lo stesso vale anche per i file torrent, in particolare i file torrent sono un obiettivo per queste aziende antivirus
Sreejit

1
la maggior parte dei client torrent non mantiene il file scaricato in un formato diverso durante il download (sebbene possano usare un nome file / un'estensione diversi).
Synetech,

sì, sto anche dicendo che le estensioni dispiace non includerlo e l'antivirus vede le estensioni per il controllo dei virus
Sreejit,

Oh ok. I programmi anti-malware possono anche essere impostati per scansionare indipendentemente dall'estensione, ma ciò tende a rallentare il sistema. :-(
Synetech,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.