Я скачиваю файл AVI через торрент, но мой антивирус что-то обнаруживает. Возможно ли, что файл AVI содержит вирус?
Это довольно странно, так как у торрента есть много положительных отзывов.
15 ответов
191
TL; DR
Файл .avi представляет собой видео и поэтому не является исполняемым, поэтому операционная система может / не будет запускать файл. Как таковой, он не может быть вирусом сам по себе, но он действительно может содержать вирус.
история
В прошлом вирусами были только исполняемые (то есть «запускаемые») файлы. Позже интернет-черви начали использовать социальную инженерию, чтобы обманом заставить людей запускать вирусы. Популярным приемом было бы переименовать исполняемый файл, включив в него другие расширения, такие как .avi или .jpg , чтобы заставить пользователя думать, что это медиафайл, и запускать его. Например, почтовый клиент может отображать только первые дюжину символов вложений, поэтому, присвоив файлу ложное расширение, а затем добавив в него пробелы, как в "FunnyAnimals.avi .exe" , пользователь увидит то, что выглядит как видео и запускает его и заражается.
Это была не только социальная инженерия (обман пользователя), но и ранний подвиг. Он использовал ограниченное отображение имен файлов почтовых клиентов, чтобы осуществить свой трюк.
технический
Позже появились более продвинутые эксплойты. Авторы вредоносных программ разбирали бы программу, чтобы изучить ее исходный код и найти определенные части, которые имели плохую обработку данных и ошибок, которые они могли бы использовать. Эти инструкции часто принимают форму какого-либо пользовательского ввода. Например, диалоговое окно входа в систему на ОС или на веб-сайте может не выполнять проверку ошибок или проверку данных и, следовательно, предполагает / ожидает, что пользователь введет только соответствующие данные. Если затем вы вводите данные, которых он не ожидает (или, в случае большинства эксплойтов, слишком много данных), то ввод окажется за пределами памяти, которая была назначена для хранения данных. Обычно пользовательские данные должны содержаться только в переменной, но, используя плохую проверку ошибок и управление памятью, можно поместить их в часть памяти, которая может быть выполнена. Распространенным и хорошо известным методом является переполнение буфера, которое помещает в переменную больше данных, чем она может содержать, перезаписывая, таким образом, другие части памяти. Умело создавая входные данные, можно вызвать переполнение кода (инструкций) и затем передать управление этому коду. На этом этапе небо обычно является пределом того, что может быть сделано после того, как вредоносная программа получит контроль.
Медиа-файлы одинаковы. Их можно сделать так, чтобы они содержали немного машинного кода и использовали медиаплеер, чтобы машинный код в конечном итоге работал. Например, может быть возможно поместить слишком много данных в метаданные файла мультимедиа, чтобы при попытке проигрывателя открыть файл и прочитать его, он переполнил переменные и вызвал выполнение некоторого кода. Даже фактические данные могут быть теоретически обработаны для использования программы.
Что хуже с медиа-файлами, так это то, что в отличие от имени входа, которое явно плохо, даже непрофессионалам (например, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^) , файл мультимедиа можно создать так, чтобы он на самом деле содержал правильные, легитимные носители, которые даже не повреждены и поэтому выглядят абсолютно легитимными и остаются совершенно необнаруженными до заражения эффекты имеют место. Стеганография (буквально «покрытая запись») обычно используется для сокрытия данных в других данных, но это, по сути, одно и то же, поскольку вредоносное ПО будет скрыто в том, что выглядит как законный носитель.
Так что да, медиа-файлы (и, в любом случае , любой файл) могут содержать вирус, используя уязвимости в программе, которая открывает / просматривает файл. Проблема в том, что вам часто даже не нужно открывать или просматривать зараженный файл. Большинство типов файлов можно предварительно просмотреть или прочитать их метаданные, не открывая их преднамеренно. Например, простой выбор мультимедийного файла в проводнике Windows автоматически считывает метаданные (размеры, длину и т.д.) Из файла. Это может быть потенциальным вектором атаки, если автор вредоносного ПО обнаружит уязвимость в функции предварительного просмотра / метаданных Explorer и создаст медиа-файл, который ее использует.
К счастью, подвиги хрупки. Они обычно влияют только на один медиаплеер или другой, в отличие от всех плееров, и даже в этом случае они не гарантированно работают для разных версий одной и той же программы (поэтому операционные системы выпускают обновления для исправлений уязвимостей). Из-за этого авторы вредоносных программ обычно лишь тратят время на взлом систем / программ, которые широко используются или имеют большую ценность (например, Windows, банковские системы и т.д.). Это особенно верно, поскольку хакерский бизнес приобрел популярность как бизнес с преступниками, пытающимися получить деньги, и больше не является областью ботаников, пытающихся получить славу.
заявка
Если ваше видео файл заражен, то он, вероятно , только заразить вас , если вы решили использовать медиа - плеер (ы) , что он разработан специально для использования. Если нет, то он может аварийно завершить работу, не открыться, не сыграть с коррупцией или даже просто отлично сыграть (что является наихудшим сценарием, поскольку затем помечается как «все в порядке» и передается другим лицам, которые могут заразиться).
Антивирусные программы обычно используют сигнатуры и / или эвристику для обнаружения вредоносных программ. Сигнатуры ищут шаблоны байтов в файлах, которые обычно соответствуют инструкциям для известных вирусов. Проблема в том, что из-за полиморфных вирусов, которые могут изменяться при каждом размножении, сигнатуры становятся менее эффективными. Эвристика наблюдает за поведенческими паттернами, такими как редактирование определенных файлов или чтение определенных данных. Обычно они применяются только после того, как вредоносное ПО уже запущено, потому что статический анализ (проверка кода без его запуска) может быть чрезвычайно сложным благодаря методам запутывания и уклонения от вредоносного ПО.
В обоих случаях антивирусные программы могут и сообщать о ложных срабатываниях.
Заключение
Очевидно, что самый важный шаг в компьютерной безопасности - это получить ваши файлы из надежных источников. Если используемый вами торрент откуда-то, которому вы доверяете, то, вероятно, все должно быть в порядке. Если нет, то вы можете подумать об этом дважды (особенно если учесть, что существуют группы по борьбе с пиратством, которые намеренно выпускают торренты, содержащие фальшивые или даже вредоносные программы).
28
Я не скажу, что это невозможно, но это будет сложно. Автор вирусов должен будет создать AVI, чтобы вызвать ошибку в вашем медиаплеере, а затем каким-то образом использовать ее для запуска кода в вашей операционной системе - не зная, какой медиаплеер или ОС вы используете. Если вы обновляете свое программное обеспечение и / или запускаете что-то, кроме Windows Media Player или iTunes (в качестве крупнейших платформ они будут лучшими целями), вы должны быть в полной безопасности.
Тем не менее, есть связанный риск, который очень реален. В фильмах в настоящее время в Интернете используются различные кодеки, и широкая публика не понимает, что такое кодек - все, что они знают, это «что-то, что мне иногда приходится загружать, чтобы фильм воспроизводился». Это настоящий вектор атаки. Если вы что-то скачиваете и вам говорят «для просмотра, вам нужен кодек с [какого-то веб-сайта]», то мы очень уверены, что вы знаете, что делаете, потому что можете заразить себя.
12
Да, это возможно. Файлы AVI, как и любой файл, могут быть специально созданы для использования известных ошибок в программном обеспечении, управляющем этими файлами.
Антивирусное программное обеспечение обнаруживает в файлах известные шаблоны, такие как исполняемый код в двоичных файлах или конкретные конструкции JavaScript на страницах HTML , которые, возможно, являются вирусными.
12
Расширение avi не является гарантией того, что файл является видеофайлом. Вы можете получить любой вирус .exe и переименовать его в .avi(это заставит вас скачать вирус, что составляет половину пути заражения вашего компьютера). Если на вашем компьютере открыты какие-либо эксплойты, позволяющие запустить вирус, это может повлиять на вас.
Если вы считаете, что это вредоносная программа, просто прекратите загрузку и удалите ее, никогда не запускайте ее до начала антивирусной проверки.
9
Быстрый ответ: ДА.
Чуть дольше отвечу:
- Файл - это контейнер для разных типов данных.
AVI(Audio Video Interleave) файл должен содержать чередующиеся аудио и видео данные. Обычно он не должен содержать исполняемый код.- Если злоумышленник не определен необычно, маловероятно, что
AVIфайл с аудио-видео данными на самом деле будет содержать вирус
ТЕМ НЕ МЕНИЕ ...
AVIфайл нуждается в декодере, чтобы сделать что-нибудь полезное. Например, вы уже можете использовать проигрыватель Windows Media для воспроизведения файловAVIи просмотра их содержимого.- Если у декодера или анализатора файлов есть ошибки, которые злоумышленник может использовать, они будут хитро создавать файл
AVIтакой что:- При попытке открыть эти файлы (например, если дважды щелкнуть, чтобы начать воспроизведение видео) с помощью глючного AVI-парсера или декодера, эти скрытые ошибки сработают
- В результате он может позволить злоумышленнику выполнить выбранный им код на вашем компьютере, что может привести к заражению вашего компьютера.
- Вот отчет об уязвимостях, который точно отвечает вашим запросам.
8
Это возможно, да, но очень маловероятно. Скорее всего, вы попытаетесь просмотреть WMV и автоматически загрузить URL-адрес или попросить вас загрузить лицензию, которая, в свою очередь, откроет окно браузера, которое может использовать ваш компьютер, если он не полностью исправлен.
7
Наиболее популярные из вирусов AVI, о которых я слышал,
something.avi.exe файлы , загруженные на машине окна
это настроено, чтобы скрыть расширения файла в проводнике.
Пользователь обычно забывает об этом позже и предполагает, что файл является AVI.
В сочетании с ожиданиями ассоциированного игрока, двойной щелчок запускает EXE.
После этого это были странно перекодированные файлы AVI, которые требуют, чтобы вы загрузили новый codec чтобы увидеть их.
Так называемый codec здесь обычно является настоящим «вирусом».
Я также слышал об эксплойтах переполнения буфера в AVI, но было бы полезно несколько хороших ссылок.
Мой итог: виновник, как правило, один из следующих, а не сам файл AVI
codecустановлен в вашей системе для обработки AVI- Используемый игрок
- Инструмент для обмена файлами, используемый для получения файла AVI
Краткое чтение для предотвращения вредоносных программ: P2P или обмен файлами
6
.avi (или .mkv в этом отношении) являются контейнерами и поддерживают включение различных типов мультимедиа - нескольких аудио / видео потоков, субтитров, навигации по меню в стиле DVD и т. д. Ничто не препятствует включению вредоносного исполняемого контента, но не будет запускаться, если в сценариях Synetech не описан в его ответе
Тем не менее, остается один широко используемый угол. Учитывая наличие множества доступных кодеков и отсутствие ограничений на их включение в контейнерные файлы, существуют общие протоколы, предлагающие пользователю установить необходимый кодек, и это не помогает тому, что медиаплееры могут быть настроены на автоматическую попытку поиска и установки кодеков. В конечном итоге кодеки являются исполняемыми (за исключением небольшого массива из них на основе плагинов) и могут содержать вредоносный код.
5
Технически, не от загрузки файла. Но как только файл открывается, это честная игра в зависимости от игрока и реализации кодека.
5
Мой Avast Antivirus только что сообщил мне, что в один из загруженных мной AVI-файлов был встроен троян. Когда я пытался поместить его в карантин, он сказал, что файл слишком большой и его нельзя переместить, поэтому мне пришлось вместо этого удалить его.
Вирус называется WMA.wimad [susp] и, очевидно, представляет собой вирус средней угрозы, который совершает какие-то взломы браузера. Не совсем взлом системы, но это доказывает, что вы можете получить вирусы из файлов AVI.
3
Если загрузка еще не завершена, дождитесь ее завершения, прежде чем решить, что делать. Когда загрузка только частично завершена, отсутствующие части файла по сути являются помехами и весьма склонны к ложным срабатываниям при проверке на наличие вредоносных программ.
Как подробно объяснил @Synetech, можно распространять вредоносное ПО через видеофайлы, возможно, даже до окончания загрузки. Но то, что это возможно , не означает, что это вероятно. Исходя из моего личного опыта, вероятность ложного срабатывания во время продолжающейся загрузки намного выше.
2
Потратив время, помогая пользователям решать проблемы с вредоносными программами, я могу засвидетельствовать, что обычный механизм эксплуатации, используемый мошенниками, скорее социальный, чем технический.
Файл просто называется * .avi.exe, и настройка по умолчанию в Windows не показывает общие расширения файлов. Исполняемому файлу просто присваивается значок файла AVI. Это похоже на тактику, используемую для распространения вирусов * .doc.exe, где файл имеет значок winword.
Я также наблюдал хитрую тактику, такую как длинные имена файлов, используемые в распространении p2p, поэтому клиент отображает только частичные имена в списке файлов.
Использование дрянных файлов
Если вам нужно использовать файл, всегда используйте песочницу, которая настроена на остановку исходящих интернет-соединений. Брандмауэр Windows плохо настроен для разрешения исходящих соединений по умолчанию. Эксплуатация - это действие, которое, как и любое действие, всегда имеет мотивацию. Обычно это выполняется для перебора паролей или файлов cookie браузера, лицензирования и передачи содержимого на внешний ресурс (например, FTP), принадлежащий злоумышленнику. Следовательно, если вы используете такой инструмент, как песочница, отключите исходящие интернет-соединения. Если вы используете виртуальную машину, убедитесь, что она не содержит конфиденциальной информации, и всегда блокируйте исходящий доступ в Интернет, используя правило брандмауэра.
Если вы не знаете, что делаете, не используйте файл. Будьте в безопасности и не рискуйте, которые не стоят того.
2
Короткий ответ, да. Более длинный ответ следует за основным руководством Tropical PC Solutions: Как скрыть вирус! и сделать один для себя.
-2
Файлы AVI не будут заражены вирусом. Когда вы загружаете фильмы с торрента вместо AVI, если фильм находится в пакете RAR или в виде файла EXE, то наверняка в нем есть вероятность вируса.
Некоторые из них просят вас загрузить дополнительный кодек с какого-либо веб-сайта для просмотра фильма. Это подозрительные. Но если это AVI, то вы можете попробовать его воспроизвести в своем видеоплеере. Ничего не случится.
-3
Файлы AVI не могут содержать вирусы, если они являются видеофайлами. При загрузке ваш браузер сохраняет загрузку в своем собственном формате, поэтому антивирус обнаруживает его как вирус. При загрузке файла AVI убедитесь, что после загрузки файл запускается в проигрывателе видео, если он является недопустимым файлом, он не будет воспроизводиться, и тогда нет цены, позволяющей предположить, что это будет вирус.
Если вы попытаетесь дважды щелкнуть и запустить его напрямую, если есть небольшая вероятность вируса, он появится. Примите меры предосторожности, и вам не нужно антивирусное программное обеспечение.