Sto scaricando un file AVI tramite un torrent, ma il mio antivirus rileva qualcosa. È possibile che il file AVI contenga un virus?

È abbastanza strano dal momento che il torrent ha molte recensioni positive.

TL; DR

Un .avifile è un video e quindi non è eseguibile, quindi il sistema operativo non può / non eseguirà il file. Come tale, non può essere un virus a sé stante, ma può effettivamente contenere un virus.

Storia

In passato, solo i file eseguibili (ovvero "eseguibili") sarebbero virus. Successivamente, i worm su Internet hanno iniziato a utilizzare il social engineering per indurre le persone a eseguire virus. Un trucco popolare sarebbe rinominare un eseguibile per includere altre estensioni come .avio .jpgper indurre l'utente a pensare che sia un file multimediale ed eseguirlo. Ad esempio, un client di posta elettronica può visualizzare solo la prima dozzina di caratteri di allegati, quindi assegnando a un file una falsa estensione, quindi riempendolo di spazi come in "FunnyAnimals.avi              .exe", l'utente vede ciò che sembra un video, lo esegue e viene infettato.

Questo non era solo social-engineering (inganno l'utente), ma anche un exploit iniziale . Ha sfruttato la visualizzazione limitata di nomi di file dei client di posta elettronica per farcela.

Tecnico

Più tardi arrivarono exploit più avanzati. Gli autori di malware avrebbero smontato un programma per esaminare il suo codice sorgente e cercare alcune parti che avevano una scarsa gestione dei dati e degli errori che potevano sfruttare. Queste istruzioni spesso assumono la forma di una sorta di input dell'utente. Ad esempio, una finestra di dialogo di accesso su un sistema operativo o un sito Web potrebbe non eseguire il controllo degli errori o la convalida dei dati e quindi assumere / aspettarsi che l'utente inserisca solo i dati appropriati. Se poi inserisci i dati che non prevede (o nel caso della maggior parte degli exploit, troppi dati), l'input finirà fuori dalla memoria che è stata assegnata per contenere i dati. Normalmente, i dati utente dovrebbero essere contenuti solo in una variabile, ma sfruttando il controllo degli errori e la gestione della memoria, è possibile inserirli in una parte della memoria che può essere eseguita. Un metodo comune e ben noto è ilbuffer-overflow che inserisce nella variabile più dati di quanti ne possa contenere, sovrascrivendo così altre parti della memoria. Creando abilmente l'input, è possibile causare il superamento del codice (istruzioni) e quindi trasferire il controllo a quel codice. A quel punto, il cielo è di solito il limite su cosa si può fare una volta che il malware ha il controllo.

I file multimediali sono gli stessi. Possono essere creati in modo da contenere un po 'di codice macchina e sfruttare il lettore multimediale in modo che il codice macchina finisca per essere eseguito. Ad esempio, potrebbe essere possibile inserire troppi dati nei metadati del file multimediale in modo tale che quando il lettore tenta di aprire il file e leggerlo, trabocca le variabili e provoca l'esecuzione di codice. Anche i dati reali potrebbero teoricamente essere realizzati per sfruttare il programma.

Ciò che è peggio con i file multimediali è che a differenza di un accesso che è chiaramente negativo, anche per i laici (ad esempio username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^), un file multimediale può essere creato in modo che contenga effettivamente supporti legittimi, legittimi che non sono nemmeno corrotti e quindi sembrano completamente legittimi e rimane completamente inosservato fino a quando non si verificano gli effetti dell'infezione.La steganografia (letteralmente "scrittura coperta") viene solitamente utilizzata per nascondere i dati in altri dati, ma questa è essenzialmente la stessa cosa poiché il malware sarebbe nascosto in quelli che sembrano supporti legittimi.

Quindi sì, i file multimediali (e, in tal caso, qualsiasi file) possono contenere un virus sfruttando le vulnerabilità nel programma che apre / visualizza il file. Il problema è che spesso non è nemmeno necessario aprire o visualizzare il file da infettare. È possibile visualizzare in anteprima la maggior parte dei tipi di file o leggere i loro metadati senza aprirli di proposito. Ad esempio, semplicemente selezionando un file multimediale in Esplora risorse verranno automaticamente letti i metadati (dimensioni, lunghezza, ecc.) Dal file. Questo potrebbe potenzialmente essere un vettore di attacco se uno scrittore di malware rilevasse una vulnerabilità nella funzione di anteprima / metadati di Explorer e creasse un file multimediale che lo sfrutta.

Fortunatamente, gli exploit sono fragili. Di solito interessano solo un lettore multimediale o un altro rispetto a tutti i lettori e anche in questo caso, non sono garantiti per funzionare con versioni diverse dello stesso programma (ecco perché i sistemi operativi rilasciano aggiornamenti per correggere le vulnerabilità). Per questo motivo, gli autori di malware di solito si preoccupano solo di spendere il loro tempo a craccare sistemi / programmi di largo uso o di alto valore (ad esempio, Windows, sistemi bancari, ecc.) Ciò è particolarmente vero da quando l'hacking ha guadagnato popolarità come azienda con criminali cercando di ottenere soldi e non è più solo il dominio dei nerd che cercano di ottenere gloria.

Applicazione

Se il tuo file video è infetto, probabilmente ti infetterà solo se ti capita di usare i lettori multimediali che è specificamente progettato per sfruttare. In caso contrario, potrebbe bloccarsi, non aprirsi, giocare con la corruzione o persino giocare bene (che è lo scenario peggiore perché viene segnalato come ok e si diffonde ad altri che potrebbero essere infettati).

I programmi antimalware di solito utilizzano firme e / o euristiche per rilevare malware. Le firme cercano schemi di byte nei file che di solito corrispondono alle istruzioni di virus noti. Il problema è che a causa dei virus polimorfici che possono cambiare ogni volta che si riproducono, le firme diventano meno efficaci. L'euristica osserva schemi di comportamento come la modifica di file specifici o la lettura di dati specifici. Questi di solito si applicano solo quando il malware è già in esecuzione perché l'analisi statica (esaminando il codice senza eseguirlo) può essere estremamente complessa grazie alle tecniche di offuscamento e evasione del malware.

In entrambi i casi, i programmi antimalware possono e fanno segnalare falsi positivi.

Conclusione

Ovviamente il passo più importante nella sicurezza informatica è ottenere i tuoi file da fonti attendibili. Se il torrent che stai utilizzando proviene da un luogo in cui ti fidi, allora presumibilmente dovrebbe essere a posto. Altrimenti, potresti voler pensarci due volte (soprattutto perché ci sono gruppi antipirateria che rilasciano deliberatamente torrent contenenti falsi o persino malware).

Non dirò che è impossibile, ma sarebbe difficile. Lo scrittore di virus dovrebbe creare l'AVI per attivare un bug nel tuo lettore multimediale e quindi in qualche modo sfruttarlo per eseguire il codice sul tuo sistema operativo, senza sapere quale lettore multimediale o sistema operativo stai utilizzando. Se mantieni aggiornato il tuo software e / o se esegui qualcosa di diverso da Windows Media Player o iTunes (come le più grandi piattaforme, saranno i migliori obiettivi), dovresti essere abbastanza sicuro.

Tuttavia, esiste un rischio correlato molto reale. I film su Internet in questi giorni usano una varietà di codec e il pubblico non capisce cosa sia un codec - tutto quello che sanno è "è qualcosa che a volte devo scaricare per poter riprodurre il film". Questo è un vero vettore di attacco. Se scarichi qualcosa e ti viene detto "per visualizzarlo, hai bisogno del codec da [alcuni siti Web]", quindi siamo sicuri che sai cosa stai facendo perché potresti infettarti.

Un'estensione del file avi non è una garanzia che il file sia un file video. Potresti ottenere qualsiasi virus .exe e rinominarlo in .avi (questo ti fa scaricare il virus, qual è la metà del percorso per infettare il tuo computer). Se ci sono exploit aperti sul tuo computer che consentono al virus di essere eseguito, ne risentiresti.

Se pensi che sia un malware, basta interrompere il download ed eliminarlo, non eseguirlo mai prima di una scansione antivirus.

Sì, è possibile. I file AVI, come ogni file, possono essere appositamente realizzati per sfruttare i bug noti nel software che gestiscono tali file.

Il software antivirus rileva modelli conosciuti nei file, come codice eseguibile in file binari o specifiche costruzioni JavaScript nelle pagine HTML , che possono essere virus.

Risposta rapida: SÌ .

Risposta leggermente più lunga:

• Un file è un contenitore per diversi tipi di dati.
• Un file AVI(Audio Video Interleave) contiene dati audio e video interlacciati. Normalmente, non dovrebbe contenere alcun codice eseguibile.
• A meno che l'attaccante non sia determinato in modo insolito, è abbastanza improbabile che un AVIfile con dati audio-video contenga effettivamente un virus

PERÒ ...

• Un AVIfile ha bisogno di un decodificatore per fare qualcosa di utile. Ad esempio, potresti già utilizzare Windows Media Player per riprodurre AVIfile per visualizzarne il contenuto
• Se il decodificatore o il parser di file hanno dei bug che l'attaccante può sfruttare, produrranno abilmente un AVIfile in modo che:
  • nel tentativo di aprire quei file (ad esempio se si fa doppio clic per avviare la riproduzione del video) con il proprio parser o decoder AVI difettoso, verranno attivati ​​quei bug nascosti
  • Di conseguenza, può consentire all'attaccante di eseguire il codice di sua scelta sul computer dell'utente, lasciando potenzialmente il computer infetto.
  • Ecco un rapporto sulla vulnerabilità che risponde esattamente a ciò che stai chiedendo.

È possibile, sì, ma molto improbabile. È più probabile che tu provi a visualizzare un WMV e lo faccia caricare automaticamente un URL o ti chieda di scaricare una licenza, che a sua volta fa apparire una finestra del browser che potrebbe sfruttare il tuo computer se non è completamente patchato.

I virus "AVI" più popolari tra quelli che ho sentito sono stati, i
something.avi.exefile scaricati su un computer Windows
configurato per nascondere le estensioni dei file in Explorer.

L'utente in genere dimentica quel fatto successivo e presume che il file sia AVI.
Accoppiato alle aspettative di un giocatore associato, un doppio clic avvia effettivamente il file EXE.

Successivamente, è stato stranamente transcodificato file AVI che richiedono di scaricare un nuovo codec per vederli.
Il cosiddetto codecè di solito il vero "virus" qui.

Ho anche sentito parlare di exploit di buffer overflow AVI, ma alcuni buoni riferimenti sarebbero utili.

La mia linea di fondo: il colpevole è di solito uno dei seguenti anziché il file AVI stesso

• L' codecinstallato sul tuo sistema per gestire l'AVI
• Il giocatore in uso
• Lo strumento di condivisione file utilizzato per ottenere il file AVI

Una breve lettura di prevenzione malware: P2P o Condivisione file

.avi(o del .mkvresto) sono contenitori e supportano l'inclusione di una varietà di media: più flussi audio / video, sottotitoli, navigazione nei menu simile a un DVD ecc. scenari descritti da Synetech nella sua risposta

Tuttavia, c'è un angolo comunemente esplorato lasciato fuori. Data una varietà di codec disponibili e nessuna limitazione per includerli nei file container, esistono protocolli comuni per richiedere a un utente l'installazione del codec necessario e non aiuta i lettori multimediali a essere configurati per tentare automaticamente la ricerca e l'installazione del codec. Alla fine i codec sono eseguibili (meno un piccolo array di quelli basati su plug-in) e potrebbero contenere codice dannoso.

Tecnicamente, non dal download del file. Ma una volta aperto il file, il gioco è corretto a seconda del giocatore e dell'implementazione del codec.

Il mio Avast Antivirus mi ha appena informato che c'era un trojan incorporato in uno dei miei file AVI scaricati. Quando ho provato a metterlo in quarantena, ha detto che il file è troppo grande e non può essere spostato, quindi ho dovuto eliminarlo.

Il virus si chiama WMA.wimad [susp]ed è apparentemente un virus di media minaccia che fa una sorta di roba di dirottamento del browser. Non esattamente la rottura del sistema, ma dimostra che è possibile ottenere virus dai file AVI.

Se il download non è ancora completo, attendi prima che venga completato prima di decidere cosa fare. Quando il download è solo parzialmente completo, le parti mancanti del file sono essenzialmente rumorose e abbastanza inclini a produrre falsi positivi quando viene verificato il malware.

Come spiegato in dettaglio @Synetech, è possibile diffondere malware attraverso file video, possibilmente prima ancora che il download finisca. Ma ciò è possibile non significa che sia probabile . Dalla mia esperienza personale, le probabilità di un falso positivo durante un download in corso sono molto più alte.

Avendo dedicato del tempo ad aiutare gli utenti a risolvere i problemi di malware, posso testimoniare che il normale meccanismo di sfruttamento utilizzato dai truffatori è più social che tecnico.

Il file è semplicemente denominato * .avi.exe e l'impostazione predefinita in Windows non rivela estensioni di file comuni. Al file eseguibile viene semplicemente assegnata un'icona di file AVI. Questo è simile alle tattiche utilizzate per distribuire virus * .doc.exe in cui il file ha l'icona di winword.

Ho anche osservato tattiche ingannevoli come nomi di file lunghi utilizzati nella distribuzione p2p, quindi il client visualizza solo i nomi parziali nell'elenco dei file.

Usando file scadenti

Se è necessario utilizzare il file, utilizzare sempre un sandbox configurato per interrompere le connessioni Internet in uscita. Il firewall di Windows non è configurato correttamente per consentire le connessioni in uscita per impostazione predefinita. Lo sfruttamento è un'azione, che come ogni azione ha sempre una motivazione. Di solito, viene eseguito per sifonare password o cookie del browser, concedere in licenza e trasferire i contenuti su una risorsa esterna (come FTP) di proprietà di un utente malintenzionato. Pertanto, se si utilizza uno strumento come sandboxie, disabilitare le connessioni Internet in uscita. Se si utilizza una macchina virtuale, assicurarsi che non contenga informazioni riservate e bloccare sempre l'accesso a Internet in uscita utilizzando una regola firewall.

Se non sai cosa stai facendo, non utilizzare il file. Sii sicuro e non correre rischi che non vale la pena correre.

Risposta breve, si. Una risposta più lunga segue il tutorial di base Tropical PC Solutions: come nascondere un virus! e creane uno per te stesso.

I file AVI non saranno infettati da virus. Quando scarichi film da un torrent, invece di AVI, se il film è in un pacchetto RAR o è come un file EXE, sicuramente c'è una possibilità di virus in esso.

Alcuni di loro ti chiedono di scaricare un codec aggiuntivo da alcuni siti Web per visualizzare il film. Questi sono quelli sospetti. Ma se si tratta di AVI, allora puoi sicuramente provare a riprodurlo nel tuo lettore video. Non succederà nulla.

I file AVI non possono avere un virus se sono file video. Durante il download del browser mantiene il download nel proprio formato, motivo per cui l'antivirus lo rileva come virus. Quando si scarica il file AVI, assicurarsi che dopo aver scaricato il file venga eseguito in un lettore video se si tratta di un file non valido, quindi non verrà riprodotto e quindi nessun prezzo per indovinare sarà un virus.

Se provi a fare doppio clic ed eseguilo direttamente se c'è una leggera possibilità di virus, verrà fuori. Prendi precauzioni e non hai bisogno di software antivirus.