Questão Os arquivos AVI podem conter um vírus?


Estou baixando um AVI arquivo através de um torrent, mas o meu anti-vírus detecta alguma coisa. É possível que o arquivo AVI contenha um vírus?

É bastante estranho desde o torrent tem muitos comentários positivos.


97


origem


@ user3183 O VideoLAN usa seus próprios codecs internamente. Não há nada que impeça que um dos seus próprios codecs tenha um erro que um gravador de vírus mal-intencionado possa explorar. - GAThrawn
Em caso de dúvida, pare o download.
@soandos, isso não é necessariamente verdade. O arquivo pode ser projetado para explorar o cliente de torrent quando ele é armazenado para verificar se está bom; Ele também pode ser projetado para explorar o sistema operacional quando ele lê o arquivo para produzir uma miniatura ou extrair metadados. - Synetech
@EU SOU B, qual arquivo é o antivírus sinalizando? Os comentários positivos de pessoas reais ou são obviamente gerados / copiados e colados? - Synetech
Duplicação possível de Você pode obter um vírus de baixar um arquivo .avi?. Leitura relacionada: É possível armazenar dados arbitrários em um arquivo de imagem? - bwDraco


Respostas:


TL; DR

A .avi arquivo é um vídeo e, portanto, não é executável, portanto, o sistema operacional pode / não corre o arquivo. Como tal, não pode estar um vírus por si só, mas pode de fato conter um vírus.

História

No passado, somente arquivos executáveis ​​(ou seja, “executáveis”) seriam vírus. Mais tarde, os worms da Internet começaram a usar a engenharia social para enganar as pessoas e gerar vírus. Um truque popular seria renomear um executável para incluir outras extensões como .avi ou .jpg a fim de induzir o usuário a pensar que é um arquivo de mídia e executá-lo. Por exemplo, um cliente de email pode exibir somente os primeiros doze caracteres de anexos, portanto, dando a um arquivo uma extensão falsa, preenchendo-o com espaços como em "FunnyAnimals.avi              .exe", o usuário vê o que parece um vídeo e o executa e é infectado.

Isso não foi apenas engenharia social (enganando o usuário), mas também explorar. Ele explorou a exibição limitada de nomes de arquivos de clientes de e-mail para realizar seu truque.

Técnico

Mais tarde, surgiram explorações mais avançadas. Os criadores de malware desmontariam um programa para examinar seu código-fonte e procurar certas partes que tivessem uma manipulação deficiente de dados e erros, que poderiam ser exploradas. Essas instruções geralmente assumem a forma de algum tipo de entrada do usuário. Por exemplo, uma caixa de diálogo de logon em um sistema operacional ou site da Web pode não executar a verificação de erros ou a validação de dados e, portanto, pressupõe / espera que o usuário insira apenas os dados apropriados. Se você inserir dados que não espera (ou, no caso da maioria das explorações, muitos dados), a entrada terminará fora da memória que foi designada para conter os dados. Normalmente, os dados do usuário devem estar contidos apenas em uma variável, mas ao explorar a má verificação de erros e o gerenciamento de memória, é possível colocá-los em uma parte da memória que pode ser executada. Um método comum e bem conhecido é o estouro de buffer que coloca mais dados na variável do que pode conter, sobrescrevendo outras partes da memória. Por habilmente elaborar a entrada, é possível fazer com que o código (instruções) seja invadido e, em seguida, transferir o controle para esse código. Nesse ponto, o céu geralmente é o limite para o que pode ser feito depois que o malware tiver controle.

Os arquivos de mídia são os mesmos. Eles podem ser feitos de forma que contenham um código de máquina e explorem o reprodutor de mídia para que o código da máquina seja executado. Por exemplo, pode ser possível colocar muitos dados nos metadados do arquivo de mídia para que, quando o player tentar abrir o arquivo e o ler, ele sobrecarregue as variáveis ​​e faça com que algum código seja executado. Mesmo os dados reais poderiam teoricamente ser criados para explorar o programa.

O que é pior com arquivos de mídia é que, ao contrário de um login que é claramente ruim, mesmo para pessoas estabelecidas (por exemplo, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^), um arquivo de mídia pode ser feito para que ele realmente contenha mídia apropriada e legítima que nem sequer é corrupta e, portanto, parece completamente legítima e passa despercebida até que os efeitos da infecção ocorram. Esteganografia (literalmente “escrita encoberta”) é geralmente usada para esconder dados em outros dados, mas isso é basicamente a mesma coisa, já que o malware estaria escondido no que parece ser uma mídia legítima.

Então, sim, arquivos de mídia (e para esse assunto, qualquer Arquivo) posso conter um vírus, explorando vulnerabilidades no programa que abre / vistas o arquivo. O problema é que muitas vezes você nem precisa abrir ou visualizar o arquivo a ser infectado. A maioria dos tipos de arquivos pode ser visualizada ou ter seus metadados lidos sem propositalmente abri-los. Por exemplo, simplesmente selecionar um arquivo de mídia no Windows Explorer lerá automaticamente os metadados (dimensões, tamanho, etc.) do arquivo. Isso poderia ser um vetor de ataque se um criador de malware encontrasse uma vulnerabilidade na função de visualização / meta-dados do Explorer e criasse um arquivo de mídia que a explorasse.

Felizmente, as façanhas são frágeis. Eles geralmente afetam apenas um player de mídia ou outro, ao contrário de todos os players, e mesmo assim, não é garantido que eles funcionem para versões diferentes do mesmo programa (é por isso que os sistemas operacionais emitem atualizações para corrigir vulnerabilidades). Por causa disso, os criadores de malware geralmente só se preocupam em gastar seu tempo rachando sistemas / programas em uso amplo ou de alto valor (por exemplo, Windows, sistemas bancários, etc.) Isto é particularmente verdadeiro, pois o hacking ganhou popularidade como um negócio com criminosos. tentando conseguir dinheiro e não é mais apenas o domínio de nerds tentando obter glória.

Aplicação

Se o seu arquivo de vídeo é infectado, então ele provavelmente só infectará você se você usar o (s) reprodutor (es) de mídia que ele especificamente foi projetado para explorar. Se não, então ele pode travar, falhar em abrir, brincar com corrupção ou até mesmo jogar muito bem (o que é o pior cenário possível, porque então fica sinalizado como ok e se espalha para outras pessoas que podem ser infectadas).

Programas antimalware geralmente usam assinaturas e / ou heurísticas para detectar malware. As assinaturas procuram padrões de bytes nos arquivos que geralmente correspondem a instruções em vírus conhecidos. O problema é que, devido aos vírus polimórficos que podem mudar cada vez que se reproduzem, as assinaturas se tornam menos eficazes. Heurísticas observam padrões de comportamento, como editar arquivos específicos ou ler dados específicos. Eles geralmente só se aplicam quando o malware já está em execução, porque a análise estática (examinando o código sem executá-lo) pode ser extremamente complexa graças às técnicas de ofuscação e evasão de malware.

Em ambos os casos, os programas anti-malware podem e relatam falsos positivos.

Conclusão

Obviamente, o passo mais importante na segurança da computação é obter seus arquivos de fontes confiáveis. Se a torrente que você está usando for de algum lugar em que você confia, então presumivelmente deve estar tudo bem. Se não, então você pode querer pensar duas vezes sobre isso (especialmente porque existem grupos antipirataria que propositadamente Libere torrents contendo falsificações ou mesmo malware).


190



Boa visão geral Houve algumas explorações bem conhecidas no passado em que a carga foi entregue como um arquivo de imagem GIF. As palavras-chave para obter mais informações são: "execução de código arbitrário de exploração de estouro de buffer" - horatio
@horatio, eu não tinha ouvido falar sobre uma exploração GIF (a menos que você esteja se referindo à vulnerabilidade GDI), mas eu conheço o Exploração do WMF foi uma grande notícia. - Synetech
@ GarrettFogerlie, obrigado. Aparentemente, é o meu melhor ainda. O que é estranho é que eu juro que escrevi um quase idêntico antes. o.O - Synetech
+1 Bravo para uma visão geral completa, sucinta e fácil de entender do malware. - Phil
Além disso, para proteger contra vulnerabilidades como essas, sempre execute a versão mais recente do software, pois algumas pessoas tentam corrigir esses erros. - sjbotha


Não vou dizer que é impossível, mas seria difícil. O criador de vírus teria que criar o AVI para disparar um bug em seu reprodutor de mídia e, de alguma forma, explorá-lo para executar código em seu sistema operacional - sem saber que media player ou sistema operacional você está executando. Se você mantiver seu software atualizado e / ou executar algo diferente do Windows Media Player ou do iTunes (como as maiores plataformas, eles serão os melhores alvos), você deve estar bastante seguro.

No entanto, existe um risco relacionado que é muito real. Os filmes na internet hoje em dia usam uma variedade de codecs, e o público em geral não entende o que é um codec - tudo o que eles sabem é que "às vezes é preciso fazer o download para que o filme seja reproduzido". Este é um vetor de ataque genuíno. Se você baixar algo e receber a mensagem "para ver isso, você precisa do codec de [alguns sites]", então temos certeza de que você sabe o que está fazendo porque pode infectar a si mesmo.


28





Uma extensão de arquivo avi não é uma garantia de que o arquivo é um arquivo de vídeo. Você pode obter qualquer vírus .exe e renomeá-lo para .avi (isso faz com que você baixe o vírus, o que é a metade do caminho para infectar seu computador). Se houver algum exploit aberto em sua máquina que permita a execução do vírus, você será afetado.

Se você acha que é um malware, basta parar o download e excluí-lo. nunca execute antes de uma verificação antivírus.


12



-1 Isto não é como um .avi provavelmente infectaria você - mesmo que fosse um .exe renomeado para .avi, ele não seria executado como um executável quando você o abrisse, a menos que você fosse estúpido o suficiente para renomeá-lo para .exe antecipadamente . - BlueRaja - Danny Pflughoeft
Transferir vírus para a máquina de um usuário não é a parte mais difícil, é uma parte completamente trivial. Você pode apenas renomear o arquivo .exe para .jpg e incluí-lo em uma página da Web e ele será transferido quando o usuário visitar sua página. A parte mais difícil da infecção é fazer a primeira execução de código. - MatsT
@BlueRaja: Eu realmente vi uma infecção acontecer no computador de um colega com um arquivo .avi e o reproduzi em uma VM. Ela havia baixado um zip que continha alguns arquivos, um com uma extensão AVI e outro com um script em lote. Abrir o AVI não funcionou, então ela tentou abrir o script. O script tinha código para executar o "AVI" da linha de comando como um executável, e você pode adivinhar o que aconteceu em seguida (o vírus criptografou todos os dados em seu diretório de usuários depois de alterar a senha e exigiu US $ 25 como penalidade por agir de forma estúpida). ). - Hippo
@Hippo que é bastante um mau exemplo, porque o vírus real - os scripts, neste caso - veio com um AVI é irrelevante para o fato de que AVI não pode por conta própria infectar seu computador, considerando que a maioria dos computadores e destinos preferidos são conectado à internet, o script pode simplesmente baixar o vírus da web e, novamente, se você conseguir que alguém execute um 'script', por que não colocar o vírus lá? - - omeid
mas qualquer outro arquivo ou extensão teria o mesmo impacto, se houver. - omeid


Sim, é possível. Os arquivos AVI, como todos os arquivos, podem ser especialmente criados para aproveitar os bugs conhecidos no software que gerencia esses arquivos.

O software antivírus detecta padrões conhecidos nos arquivos, como código executável em arquivos binários ou JavaScript construções em HTML páginas, que possivelmente são vírus.


12





Resposta rápida: SIM.

Resposta ligeiramente mais longa:

  • Um arquivo é um contêiner para diferentes tipos de dados.
  • A AVI O ficheiro (Audio Video Interleave) destina-se a conter dados de áudio e vídeo intercalados. Normalmente, não deve conter nenhum código executável.
  • A menos que o invasor seja determinado de forma incomum, é bastante improvável que AVI arquivo com dados de áudio-vídeo na verdade conteria um vírus

CONTUDO ...

  • A AVI arquivo precisa de um decodificador para fazer qualquer coisa útil. Por exemplo, você já pode estar usando o Windows Media Player para jogar AVI arquivos para ver seu conteúdo
  • Se o decodificador ou o analisador de arquivos tiver bugs que o invasor possa explorar, eles produzirão um AVI arquivo de tal forma que:
    • na sua tentativa de abrir esses arquivos (por exemplo, se você clicar duas vezes para começar a reproduzir o vídeo) com o seu analisador de erros ou decodificador, esses bugs ocultos irão disparar
    • Como resultado, ele pode permitir que o invasor execute o código de sua escolha em seu computador, potencialmente deixando seu computador infectado.
    • Aqui um relatório de vulnerabilidade que responde exatamente o que você está pedindo.

9



A única resposta real para a pergunta é "Aqui está um relatório de vulnerabilidade" nesta resposta. Todos os outros apenas especulando. - Alex
Oi @Alex, eu acho que você está certo. Minha intenção era dar ao OP algum conhecimento. Concordo que o relatório de vulnerabilidade responde à pergunta por si mesmo. - gsbabil
Talvez eu não tenha sido claro o suficiente - só queria dizer que por causa do relatório, sua resposta é a um que realmente respostas a pergunta original. +1. - Alex


É possível, sim, mas muito improvável. É mais provável que você tente visualizar um WMV e faça um carregamento automático de um URL ou solicite o download de uma licença, que, por sua vez, exibe uma janela do navegador que pode explorar sua máquina se ela não for totalmente corrigida.


8





Os mais populares dos vírus 'AVI' que ouvi foram,
something.avi.exe arquivos baixados em uma máquina Windows
que está configurado para ocultar as extensões de arquivo no explorador.

O usuário geralmente esquece esse fato mais tarde e assume que o arquivo é AVI.
Juntamente com a expectativa de um player associado, um clique duplo inicia o EXE.


Depois disso, ele foi estranhamente transcodificado arquivos AVI que exigem que você baixe um Novo  codec vê-los.
O assim chamado codec é geralmente o verdadeiro "vírus" aqui.


Eu também ouvi falar de explorações de estouro de buffer AVI, mas algumas boas referências seriam úteis.

Minha linha de fundo: culpado é geralmente um dos seguintes, em vez do próprio arquivo AVI

  • o codec instalado no seu sistema para lidar com o AVI
  • O jogador que está sendo usado
  • A ferramenta de compartilhamento de arquivos usada para obter o arquivo AVI

Uma breve leitura de prevenção de malware: P2P ou compartilhamento de arquivos


7