Я скачиваю файл AVI через торрент, но мой антивирус что-то обнаруживает. Возможно ли, что файл AVI содержит вирус?

Это довольно странно, так как у торрента есть много положительных отзывов.

TL; DR

.aviФайл видео, и , следовательно , не является исполняемым, так что операционная система может / не будет работать файл. Как таковой, он не может быть вирусом сам по себе, но он действительно может содержать вирус.

история

В прошлом вирусами были только исполняемые (то есть «запускаемые») файлы. Позже интернет-черви начали использовать социальную инженерию, чтобы обманом заставить людей запускать вирусы. Популярным приемом было бы переименовать исполняемый файл, включив в него другие расширения, например .aviили .jpg, чтобы заставить пользователя думать, что это медиафайл, и запускать его. Например, почтовый клиент может отображать только первые дюжину символов вложений, поэтому, присвоив файлу ложное расширение, а затем добавив в него пробелы, как в "FunnyAnimals.avi              .exe", пользователь видит то, что выглядит как видео, запускает его и заражается.

Это была не только социальная инженерия (обман пользователя), но и ранний подвиг . Он использовал ограниченное отображение имен файлов почтовых клиентов, чтобы осуществить свой трюк.

технический

Позже появились более продвинутые эксплойты. Авторы вредоносных программ разбирали бы программу, чтобы изучить ее исходный код и найти определенные части, которые имели плохую обработку данных и ошибок, которые они могли бы использовать. Эти инструкции часто принимают форму какого-либо пользовательского ввода. Например, диалоговое окно входа в систему на ОС или веб-сайте может не выполнять проверку ошибок или проверку данных и, таким образом, предполагает / ожидает, что пользователь введет только соответствующие данные. Если затем вы вводите данные, которых он не ожидает (или, в случае большинства эксплойтов, слишком много данных), то этот ввод окажется вне памяти, которая была назначена для хранения данных. Обычно пользовательские данные должны содержаться только в переменной, но, используя плохую проверку ошибок и управление памятью, можно поместить их в часть памяти, которая может быть выполнена. Распространенным и хорошо известным методом являетсяпереполнение буфера, которое помещает в переменную больше данных, чем она может содержать, перезаписывая, таким образом, другие части памяти. Умело создавая входные данные, можно вызвать переполнение кода (инструкций) и затем передать управление этому коду. На этом этапе небо обычно является пределом того, что может быть сделано после того, как вредоносная программа получит контроль.

Медиа-файлы одинаковы. Их можно сделать так, чтобы они содержали немного машинного кода и использовали медиаплеер, чтобы машинный код в конечном итоге работал. Например, может быть возможно поместить слишком много данных в метаданные медиа-файла, чтобы при попытке проигрывателя открыть файл и прочитать его, он переполнил переменные и вызвал выполнение некоторого кода. Даже фактические данные могут быть теоретически созданы для использования программы.

Что еще хуже с медиа-файлами, так это то, что в отличие от входа в систему, который явно плох, даже для непрофессионалов (например, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)медиа-файл может быть создан таким образом, чтобы он на самом деле содержал правильные, легитимные медиа, которые даже не повреждены и поэтому выглядят абсолютно легитимными и остается незамеченным до тех пор, пока не возникнет эффект заражения. Стеганография (буквально «скрытая запись») обычно используется для сокрытия данных в других данных, но это по сути то же самое, поскольку вредоносное ПО будет скрыто в том, что выглядит как законный носитель.

Так что да, медиа-файлы (и, в любом случае , любой файл) могут содержать вирус, используя уязвимости в программе, которая открывает / просматривает файл. Проблема в том, что вам часто даже не нужно открывать или просматривать зараженный файл. Большинство типов файлов можно предварительно просмотреть или прочитать их метаданные, не открывая их преднамеренно. Например, простой выбор мультимедийного файла в проводнике Windows автоматически считывает метаданные (размеры, длину и т. Д.) Из файла. Это может быть потенциальным вектором атаки, если автор вредоносного ПО обнаружит уязвимость в функции предварительного просмотра / метаданных Explorer и создаст медиа-файл, который его использует.

К счастью, подвиги хрупки. Они обычно влияют только на один медиаплеер или другой, в отличие от всех плееров, и даже в этом случае они не гарантированно работают для разных версий одной и той же программы (поэтому операционные системы выпускают обновления для исправлений уязвимостей). Из-за этого авторы вредоносных программ, как правило, пытаются потратить время на взлом систем / программ, которые широко используются или имеют большую ценность (например, Windows, банковские системы и т. Д.). Это особенно верно, поскольку хакерская деятельность приобрела популярность как бизнес с преступниками. пытаясь получить деньги и больше не является областью ботаников, пытающихся получить славу.

заявка

Если ваше видео файл будет заражен, то он, вероятно , только заразить вас , если вы решили использовать медиа - плеер (ы) , что он разработан специально для использования. Если нет, то он может аварийно завершить работу, не открыться, не сыграть с коррупцией или даже просто отлично сыграть (что является наихудшим сценарием, потому что затем помечается как «все в порядке» и распространяется другим лицам, которые могут заразиться).

Антивирусные программы обычно используют сигнатуры и / или эвристику для обнаружения вредоносных программ. Сигнатуры ищут шаблоны байтов в файлах, которые обычно соответствуют инструкциям для известных вирусов. Проблема в том, что из-за полиморфных вирусов, которые могут изменяться при каждом размножении, сигнатуры становятся менее эффективными. Эвристика наблюдает такие паттерны поведения, как редактирование определенных файлов или чтение определенных данных. Обычно они применяются только после того, как вредоносное ПО уже запущено, потому что статический анализ (проверка кода без его запуска) может быть чрезвычайно сложным благодаря методам запутывания и уклонения от вредоносного ПО.

В обоих случаях антивирусные программы могут и сообщать о ложных срабатываниях.

Заключение

Очевидно, что самый важный шаг в компьютерной безопасности - это получить ваши файлы из надежных источников. Если используемый вами торрент откуда-то, которому вы доверяете, то, вероятно, все должно быть в порядке. Если нет, то вы можете подумать об этом дважды (особенно если учесть, что существуют группы по борьбе с пиратством, которые преднамеренно выпускают торренты, содержащие фальшивые или даже вредоносные программы).

Я не скажу, что это невозможно, но это будет сложно. Автор вирусов должен был бы создать AVI, чтобы вызвать ошибку в вашем медиаплеере, и затем каким-то образом использовать ее для запуска кода в вашей операционной системе - не зная, какой медиаплеер или ОС вы используете. Если вы постоянно обновляете свое программное обеспечение и / или запускаете что-то, кроме Windows Media Player или iTunes (в качестве крупнейших платформ они будут лучшими целями), вы должны быть в полной безопасности.

Тем не менее, есть связанный риск, который очень реален. В фильмах в Интернете в настоящее время используются различные кодеки, и широкая публика не понимает, что такое кодек - все, что они знают, это «что-то, что мне иногда приходится загружать, чтобы фильм воспроизводился». Это настоящий вектор атаки. Если вы что-то скачиваете и вам говорят «для просмотра, вам нужен кодек с [какого-то веб-сайта]», то мы очень уверены, что вы знаете, что делаете, потому что можете заразить себя.

Расширение avi не является гарантией того, что файл является видеофайлом. Вы можете получить любой вирус .exe и переименовать его в .avi (это заставит вас скачать вирус, что составляет половину пути заражения вашего компьютера). Если на вашем компьютере открыты какие-либо эксплойты, позволяющие запустить вирус, это может повлиять на вас.

Если вы считаете, что это вредоносное ПО, просто прекратите загрузку и удалите его, никогда не запускайте его до антивирусной проверки.

Да, это возможно. Файлы AVI, как и любой файл, могут быть специально созданы для использования известных ошибок в программном обеспечении, управляющем этими файлами.

Антивирусное программное обеспечение обнаруживает в файлах известные шаблоны, такие как исполняемый код в двоичных файлах или конкретные конструкции JavaScript на страницах HTML , которые, возможно, являются вирусными.

Быстрый ответ: ДА .

Чуть дольше отвечу:

• Файл - это контейнер для разных типов данных.
• Файл AVI(Audio Video Interleave) должен содержать чередующиеся аудио и видео данные. Обычно он не должен содержать исполняемый код.
• Если злоумышленник не определен необычно, маловероятно, что AVIфайл с аудио-видео данными на самом деле будет содержать вирус

ТЕМ НЕ МЕНИЕ ...

• AVIФайл нужен декодер , чтобы сделать что - нибудь полезное. Например, вы уже можете использовать Windows Media Player для воспроизведения AVIфайлов, чтобы увидеть их содержимое
• Если у декодера или анализатора файлов есть ошибки, которые злоумышленник может использовать, они умело создадут AVIфайл, такой что:
  • при попытке открыть эти файлы (например, если дважды щелкнуть, чтобы начать воспроизведение видео) с помощью глючного AVI-парсера или декодера, эти скрытые ошибки будут
  • В результате он может позволить злоумышленнику выполнить выбранный код на вашем компьютере, что может привести к заражению вашего компьютера.
  • Вот отчет об уязвимостях, который точно отвечает вашим запросам.

Это возможно, да, но очень маловероятно. Вы с большей вероятностью попытаетесь просмотреть WMV и автоматически загрузить URL-адрес или попросить вас загрузить лицензию, которая, в свою очередь, откроет окно браузера, которое может использовать ваш компьютер, если он не полностью исправлен.

Самыми популярными из вирусов AVI, о которых я слышал, были
something.avi.exeфайлы, загруженные на компьютер с Windows
, настроенный для скрытия расширений файлов в проводнике.

Пользователь обычно забывает об этом позже и предполагает, что файл является AVI.
В сочетании с ожиданиями ассоциированного игрока, двойной щелчок запускает EXE.

После этого это были странно перекодированные файлы AVI, которые требуют, чтобы вы загрузили новый, codec чтобы увидеть их.
Так называемый, codecкак правило, настоящий «вирус» здесь.

Я также слышал об эксплойтах переполнения буфера в AVI, но было бы полезно несколько хороших ссылок.

Мой итог: виновник, как правило, один из следующих, а не сам файл AVI

• codecУстановлен на вашей системе для обработки AVI
• Используемый игрок
• Инструмент для обмена файлами, используемый для получения файла AVI

Краткое чтение для предотвращения вредоносных программ: P2P или обмен файлами

.avi(или, если .mkvна то пошло), являются контейнерами и поддерживают включение разнообразных медиа - нескольких аудио / видео потоков, субтитров, навигации по меню в стиле DVD и т. д. Ничто не мешает включить вредоносный исполняемый контент, но он не будет запущен, если только в Сценарии Synetech описаны в его ответе

Тем не менее, остается один широко используемый угол. Учитывая наличие множества доступных кодеков и отсутствие ограничений на их включение в контейнерные файлы, существуют общие протоколы, предлагающие пользователю установить необходимый кодек, и это не помогает тому, что медиаплееры могут быть настроены на автоматическую попытку поиска и установки кодеков. В конечном итоге кодеки являются исполняемыми (за исключением небольшого массива из них на основе плагинов) и могут содержать вредоносный код.

Технически, не от загрузки файла. Но как только файл открывается, это честная игра в зависимости от игрока и реализации кодека.

Мой Avast Antivirus только что сообщил мне, что в один из загруженных мной AVI-файлов был встроен троян. Когда я пытался поместить его в карантин, он сказал, что файл слишком большой и его нельзя переместить, поэтому мне пришлось вместо этого удалить его.

Вирус называется WMA.wimad [susp]и, по-видимому, представляет собой вирус средней угрозы, который делает что-то вроде взлома браузера. Не совсем взлом системы, но это доказывает, что вы можете получить вирусы из файлов AVI.

Если загрузка еще не завершена, дождитесь ее завершения, прежде чем решить, что делать. Когда загрузка только частично завершена, отсутствующие части файла по существу являются помехами и весьма склонны к ложным срабатываниям при проверке на наличие вредоносных программ.

Как подробно объяснил @Synetech, можно распространять вредоносное ПО через видеофайлы, возможно, даже до окончания загрузки. Но то, что это возможно , не означает, что это вероятно . Исходя из моего личного опыта, вероятность ложного срабатывания во время продолжающейся загрузки намного выше.

Потратив время на помощь пользователям в решении проблем с вредоносными программами, я могу засвидетельствовать, что обычный механизм эксплуатации, используемый мошенниками, скорее социальный, чем технический.

Файл просто называется * .avi.exe, и настройка по умолчанию в Windows не показывает общие расширения файлов. Исполняемому файлу просто присваивается значок файла AVI. Это похоже на тактику, используемую для распространения вирусов * .doc.exe, где файл имеет значок winword.

Я также наблюдал хитрую тактику, такую ​​как длинные имена файлов, используемые в распространении p2p, поэтому клиент отображает только частичные имена в списке файлов.

Использование дрянных файлов

Если вам нужно использовать файл, всегда используйте песочницу, которая настроена на остановку исходящих интернет-соединений. Брандмауэр Windows плохо настроен для разрешения исходящих соединений по умолчанию. Эксплуатация - это действие, которое, как и любое действие, всегда имеет мотивацию. Обычно это выполняется для перебора паролей браузера или файлов cookie, лицензирования и передачи содержимого на внешний ресурс (например, FTP), принадлежащий злоумышленнику. Следовательно, если вы используете такой инструмент, как песочница, отключите исходящие интернет-соединения. Если вы используете виртуальную машину, убедитесь, что она не содержит конфиденциальной информации, и всегда блокируйте исходящий доступ в Интернет, используя правило брандмауэра.

Если вы не знаете, что делаете, не используйте файл. Будьте в безопасности и не принимайте на себя риски, которые не стоит брать на себя.

Короткий ответ, да. Более длинный ответ следует за основным руководством Tropical PC Solutions: Как скрыть вирус! и сделать один для себя.

AVI файлы не будут заражены вирусом. Когда вы загружаете фильмы с торрента, а не с AVI, если фильм находится в пакете RAR или в виде файла EXE, то наверняка в нем есть вероятность вируса.

Некоторые из них просят вас загрузить дополнительный кодек с какого-либо веб-сайта для просмотра фильма. Это подозрительные. Но если это AVI, то вы можете попробовать его воспроизвести в своем видеоплеере. Ничего не случится.

AVI-файлы не могут содержать вирусы, если они являются видео-файлами. При загрузке ваш браузер сохраняет загрузку в своем собственном формате, поэтому антивирус обнаруживает его как вирус. При загрузке файла AVI убедитесь, что после загрузки файл запускается в видеоплеере, если он является недопустимым файлом, он не будет воспроизводиться, и тогда нет цены, позволяющей предположить, что это будет вирус.

Если вы попытаетесь дважды щелкнуть и запустить его напрямую, если есть небольшая вероятность вируса, он появится. Примите меры предосторожности, и вам не нужно антивирусное программное обеспечение.