@ user3183 VideoLAN использует свои собственные кодеки внутри. Ничто не мешает одному из его собственных кодеков иметь ошибку, которую может использовать злоумышленник.
GAThrawn
7
Если есть сомнения, остановите загрузку.
27
@ Soandos, это не обязательно так. Файл может быть разработан для использования торрент-клиента, когда он хэширует его, чтобы проверить, что он хорош; он также может быть разработан для использования операционной системы, когда он читает файл для создания эскиза или извлечения метаданных.
Synetech
2
@IMB, какой файл помечен антивирусом? Это положительные отзывы от реальных людей или они явно сгенерированы / скопированы?
.aviФайл видео, и , следовательно , не является исполняемым, так что операционная система может / не будет работать файл. Как таковой, он не может быть вирусом сам по себе, но он действительно может содержать вирус.
история
В прошлом вирусами были только исполняемые (то есть «запускаемые») файлы. Позже интернет-черви начали использовать социальную инженерию, чтобы обманом заставить людей запускать вирусы. Популярным приемом было бы переименовать исполняемый файл, включив в него другие расширения, например .aviили .jpg, чтобы заставить пользователя думать, что это медиафайл, и запускать его. Например, почтовый клиент может отображать только первые дюжину символов вложений, поэтому, присвоив файлу ложное расширение, а затем добавив в него пробелы, как в "FunnyAnimals.avi .exe", пользователь видит то, что выглядит как видео, запускает его и заражается.
Это была не только социальная инженерия (обман пользователя), но и ранний подвиг . Он использовал ограниченное отображение имен файлов почтовых клиентов, чтобы осуществить свой трюк.
технический
Позже появились более продвинутые эксплойты. Авторы вредоносных программ разбирали бы программу, чтобы изучить ее исходный код и найти определенные части, которые имели плохую обработку данных и ошибок, которые они могли бы использовать. Эти инструкции часто принимают форму какого-либо пользовательского ввода. Например, диалоговое окно входа в систему на ОС или веб-сайте может не выполнять проверку ошибок или проверку данных и, таким образом, предполагает / ожидает, что пользователь введет только соответствующие данные. Если затем вы вводите данные, которых он не ожидает (или, в случае большинства эксплойтов, слишком много данных), то этот ввод окажется вне памяти, которая была назначена для хранения данных. Обычно пользовательские данные должны содержаться только в переменной, но, используя плохую проверку ошибок и управление памятью, можно поместить их в часть памяти, которая может быть выполнена. Распространенным и хорошо известным методом являетсяпереполнение буфера, которое помещает в переменную больше данных, чем она может содержать, перезаписывая, таким образом, другие части памяти. Умело создавая входные данные, можно вызвать переполнение кода (инструкций) и затем передать управление этому коду. На этом этапе небо обычно является пределом того, что может быть сделано после того, как вредоносная программа получит контроль.
Медиа-файлы одинаковы. Их можно сделать так, чтобы они содержали немного машинного кода и использовали медиаплеер, чтобы машинный код в конечном итоге работал. Например, может быть возможно поместить слишком много данных в метаданные медиа-файла, чтобы при попытке проигрывателя открыть файл и прочитать его, он переполнил переменные и вызвал выполнение некоторого кода. Даже фактические данные могут быть теоретически созданы для использования программы.
Что еще хуже с медиа-файлами, так это то, что в отличие от входа в систему, который явно плох, даже для непрофессионалов (например, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)медиа-файл может быть создан таким образом, чтобы он на самом деле содержал правильные, легитимные медиа, которые даже не повреждены и поэтому выглядят абсолютно легитимными и остается незамеченным до тех пор, пока не возникнет эффект заражения. Стеганография (буквально «скрытая запись») обычно используется для сокрытия данных в других данных, но это по сути то же самое, поскольку вредоносное ПО будет скрыто в том, что выглядит как законный носитель.
Так что да, медиа-файлы (и, в любом случае , любой файл) могут содержать вирус, используя уязвимости в программе, которая открывает / просматривает файл. Проблема в том, что вам часто даже не нужно открывать или просматривать зараженный файл. Большинство типов файлов можно предварительно просмотреть или прочитать их метаданные, не открывая их преднамеренно. Например, простой выбор мультимедийного файла в проводнике Windows автоматически считывает метаданные (размеры, длину и т. Д.) Из файла. Это может быть потенциальным вектором атаки, если автор вредоносного ПО обнаружит уязвимость в функции предварительного просмотра / метаданных Explorer и создаст медиа-файл, который его использует.
К счастью, подвиги хрупки. Они обычно влияют только на один медиаплеер или другой, в отличие от всех плееров, и даже в этом случае они не гарантированно работают для разных версий одной и той же программы (поэтому операционные системы выпускают обновления для исправлений уязвимостей). Из-за этого авторы вредоносных программ, как правило, пытаются потратить время на взлом систем / программ, которые широко используются или имеют большую ценность (например, Windows, банковские системы и т. Д.). Это особенно верно, поскольку хакерская деятельность приобрела популярность как бизнес с преступниками. пытаясь получить деньги и больше не является областью ботаников, пытающихся получить славу.
заявка
Если ваше видео файл будет заражен, то он, вероятно , только заразить вас , если вы решили использовать медиа - плеер (ы) , что он разработан специально для использования. Если нет, то он может аварийно завершить работу, не открыться, не сыграть с коррупцией или даже просто отлично сыграть (что является наихудшим сценарием, потому что затем помечается как «все в порядке» и распространяется другим лицам, которые могут заразиться).
Антивирусные программы обычно используют сигнатуры и / или эвристику для обнаружения вредоносных программ. Сигнатуры ищут шаблоны байтов в файлах, которые обычно соответствуют инструкциям для известных вирусов. Проблема в том, что из-за полиморфных вирусов, которые могут изменяться при каждом размножении, сигнатуры становятся менее эффективными. Эвристика наблюдает такие паттерны поведения, как редактирование определенных файлов или чтение определенных данных. Обычно они применяются только после того, как вредоносное ПО уже запущено, потому что статический анализ (проверка кода без его запуска) может быть чрезвычайно сложным благодаря методам запутывания и уклонения от вредоносного ПО.
В обоих случаях антивирусные программы могут и сообщать о ложных срабатываниях.
Заключение
Очевидно, что самый важный шаг в компьютерной безопасности - это получить ваши файлы из надежных источников. Если используемый вами торрент откуда-то, которому вы доверяете, то, вероятно, все должно быть в порядке. Если нет, то вы можете подумать об этом дважды (особенно если учесть, что существуют группы по борьбе с пиратством, которые преднамеренно выпускают торренты, содержащие фальшивые или даже вредоносные программы).
Хороший обзор. В прошлом было несколько известных эксплойтов, когда полезная нагрузка доставлялась в виде файла изображения GIF. Ключевые слова для получения дополнительной информации: «Переполнение буфера, эксплойт произвольного выполнения кода»
Горацио
3
@horatio, я не слышал об эксплойте GIF (если вы не имеете в виду уязвимость GDI), но я знаю, что эксплойт WMF был огромной новостью.
Synetech
@GarrettFogerlie, спасибо. По-видимому, это мой лучший еще. Странно то, что я клянусь, я написал почти идентичный ранее. o.O
Synetech
3
+1 Bravo за очень тщательный, лаконичный и понятный обзор вредоносных программ.
Фил
3
Кроме того, для защиты от таких уязвимостей всегда используйте последнюю версию программного обеспечения, потому что некоторые люди пытаются исправить эти ошибки.
sjbotha
29
Я не скажу, что это невозможно, но это будет сложно. Автор вирусов должен был бы создать AVI, чтобы вызвать ошибку в вашем медиаплеере, и затем каким-то образом использовать ее для запуска кода в вашей операционной системе - не зная, какой медиаплеер или ОС вы используете. Если вы постоянно обновляете свое программное обеспечение и / или запускаете что-то, кроме Windows Media Player или iTunes (в качестве крупнейших платформ они будут лучшими целями), вы должны быть в полной безопасности.
Тем не менее, есть связанный риск, который очень реален. В фильмах в Интернете в настоящее время используются различные кодеки, и широкая публика не понимает, что такое кодек - все, что они знают, это «что-то, что мне иногда приходится загружать, чтобы фильм воспроизводился». Это настоящий вектор атаки. Если вы что-то скачиваете и вам говорят «для просмотра, вам нужен кодек с [какого-то веб-сайта]», то мы очень уверены, что вы знаете, что делаете, потому что можете заразить себя.
Расширение avi не является гарантией того, что файл является видеофайлом. Вы можете получить любой вирус .exe и переименовать его в .avi (это заставит вас скачать вирус, что составляет половину пути заражения вашего компьютера). Если на вашем компьютере открыты какие-либо эксплойты, позволяющие запустить вирус, это может повлиять на вас.
Если вы считаете, что это вредоносное ПО, просто прекратите загрузку и удалите его, никогда не запускайте его до антивирусной проверки.
-1 Это не то, как .avi, скорее всего, заразит вас - даже если бы это был .exe, переименованный в .avi, он не работал бы как исполняемый файл, когда вы открывали его, если вы не были настолько глупы, чтобы заранее переименовать его в .exe ,
BlueRaja - Дэнни Пфлугхофт
3
Перенос вирусов на компьютер пользователя - не самая сложная часть, это совершенно тривиальная часть. Вы можете просто переименовать .exe в .jpg и включить его в веб-страницу, и он будет перенесен, когда пользователь заходит на вашу страницу. Самая сложная часть заражения - выполнение первого кода.
Матс
2
@BlueRaja: Я действительно видел заражение компьютера коллеги с помощью файла .avi и сам воспроизводил его на виртуальной машине. Она загрузила zip-файл, содержащий пару файлов, один с расширением AVI, а другой - пакетный скрипт. Открытие AVI не сработало, поэтому она попыталась открыть сценарий. В скрипте был код для запуска «AVI» из командной строки в качестве исполняемого файла, и вы можете догадаться, что произошло дальше (вирус зашифровал все данные в своем пользовательском каталоге после смены пароля, а затем потребовал $ 25 в качестве штрафа за глупость. ).
Бегемот
3
@Hippo, это довольно плохой пример, потому что сам вирус - сценарии в данном случае - поставляется с AVI, не имеет отношения к тому факту, что AVI не может сам по себе заразить ваш компьютер, учитывая, что большинство компьютеров и предпочитаемых целей являются При подключении к Интернету сценарий может просто загрузить вирус из Интернета, и снова, если вы можете заставить кого-то запустить «сценарий», то почему бы не поместить туда вирус? -
Омеид
2
но любой другой файл или расширение будет иметь такое же влияние, если таковые имеются.
omeid
12
Да, это возможно. Файлы AVI, как и любой файл, могут быть специально созданы для использования известных ошибок в программном обеспечении, управляющем этими файлами.
Антивирусное программное обеспечение обнаруживает в файлах известные шаблоны, такие как исполняемый код в двоичных файлах или конкретные конструкции JavaScript на страницах HTML , которые, возможно, являются вирусными.
Файл AVI(Audio Video Interleave) должен содержать чередующиеся аудио и видео данные. Обычно он не должен содержать исполняемый код.
Если злоумышленник не определен необычно, маловероятно, что AVIфайл с аудио-видео данными на самом деле будет содержать вирус
ТЕМ НЕ МЕНИЕ ...
AVIФайл нужен декодер , чтобы сделать что - нибудь полезное. Например, вы уже можете использовать Windows Media Player для воспроизведения AVIфайлов, чтобы увидеть их содержимое
Если у декодера или анализатора файлов есть ошибки, которые злоумышленник может использовать, они умело создадут AVIфайл, такой что:
при попытке открыть эти файлы (например, если дважды щелкнуть, чтобы начать воспроизведение видео) с помощью глючного AVI-парсера или декодера, эти скрытые ошибки будут
В результате он может позволить злоумышленнику выполнить выбранный код на вашем компьютере, что может привести к заражению вашего компьютера.
Вот отчет об уязвимостях, который точно отвечает вашим запросам.
Единственный реальный ответ на этот вопрос - «Вот отчет об уязвимости» в этом ответе. Все остальные просто спекулируют.
Алекс
Привет @ Алекс, я думаю, ты прав. Мое намерение состояло в том, чтобы дать ОП некоторый фон. Я согласен, что отчет об уязвимости отвечает на этот вопрос сам по себе.
gsbabil
Может быть , я не был достаточно ясен - просто хотел сказать , что из - за доклад, ваш ответ один , который действительно отвечает на первоначальный вопрос. +1.
Алекс
8
Это возможно, да, но очень маловероятно. Вы с большей вероятностью попытаетесь просмотреть WMV и автоматически загрузить URL-адрес или попросить вас загрузить лицензию, которая, в свою очередь, откроет окно браузера, которое может использовать ваш компьютер, если он не полностью исправлен.
Самыми популярными из вирусов AVI, о которых я слышал, были something.avi.exeфайлы, загруженные на компьютер с Windows
, настроенный для скрытия расширений файлов в проводнике.
Пользователь обычно забывает об этом позже и предполагает, что файл является AVI.
В сочетании с ожиданиями ассоциированного игрока, двойной щелчок запускает EXE.
После этого это были странно перекодированные файлы AVI, которые требуют, чтобы вы загрузили новый,codec чтобы увидеть их.
Так называемый, codecкак правило, настоящий «вирус» здесь.
Я также слышал об эксплойтах переполнения буфера в AVI, но было бы полезно несколько хороших ссылок.
Мой итог: виновник, как правило, один из следующих, а не сам файл AVI
codecУстановлен на вашей системе для обработки AVI
Используемый игрок
Инструмент для обмена файлами, используемый для получения файла AVI
.avi(или, если .mkvна то пошло), являются контейнерами и поддерживают включение разнообразных медиа - нескольких аудио / видео потоков, субтитров, навигации по меню в стиле DVD и т. д. Ничто не мешает включить вредоносный исполняемый контент, но он не будет запущен, если только в Сценарии Synetech описаны в его ответе
Тем не менее, остается один широко используемый угол. Учитывая наличие множества доступных кодеков и отсутствие ограничений на их включение в контейнерные файлы, существуют общие протоколы, предлагающие пользователю установить необходимый кодек, и это не помогает тому, что медиаплееры могут быть настроены на автоматическую попытку поиска и установки кодеков. В конечном итоге кодеки являются исполняемыми (за исключением небольшого массива из них на основе плагинов) и могут содержать вредоносный код.
Мой Avast Antivirus только что сообщил мне, что в один из загруженных мной AVI-файлов был встроен троян. Когда я пытался поместить его в карантин, он сказал, что файл слишком большой и его нельзя переместить, поэтому мне пришлось вместо этого удалить его.
Вирус называется WMA.wimad [susp]и, по-видимому, представляет собой вирус средней угрозы, который делает что-то вроде взлома браузера. Не совсем взлом системы, но это доказывает, что вы можете получить вирусы из файлов AVI.
Если загрузка еще не завершена, дождитесь ее завершения, прежде чем решить, что делать. Когда загрузка только частично завершена, отсутствующие части файла по существу являются помехами и весьма склонны к ложным срабатываниям при проверке на наличие вредоносных программ.
Как подробно объяснил @Synetech, можно распространять вредоносное ПО через видеофайлы, возможно, даже до окончания загрузки. Но то, что это возможно , не означает, что это вероятно . Исходя из моего личного опыта, вероятность ложного срабатывания во время продолжающейся загрузки намного выше.
> Вероятность ложного срабатывания во время продолжающейся загрузки намного выше. Я не знаю , о «много», но это, конечно , возможно , так как неполный файл может иметь много нулей , которые могут просто случиться , чтобы быть рядом с небольшим количеством обычно безобидные байтов , которые в конечном итоге происходит , чтобы выглядеть как плохой машинный код (в по крайней мере, пока нули не будут перезаписаны фактическими данными).
Synetech
2
С другой стороны, изображения для предварительного просмотра в Windows Explorer генерируются выбранным вами видеоплеером. Если этот проигрыватель используется вирусом, есть возможность поймать вирус, просто открыв папку файла в проводнике! В этом случае вы хотите поймать вирус, прежде чем закончить загрузку файла. В прошлом были вирусы, которые распространялись подобным образом.
BlueRaja - Дэнни Пфлугхофт
@Synetech: У меня нет данных об этом, но я знаю, по крайней мере, 20 человек, которые получили ложную тревогу из-за неполной загрузки торрента. Пока я читал, что это возможно, я не знаю никого, кто заразил его компьютер реальным видеофайлом.
Деннис
1
@BlueRaja, да, об этом я и предупредил выше. Однако для большинства распространенных медиа-файлов предварительный просмотр генерируется Windows / WMP, а не сторонней программой (большинство новичков не имеют установленного FFDShow; по крайней мере, если они не устанавливают все эти отвратительные, «забытые»). мега кодеки).
Synetech
1
@BlueRaja, я не могу найти информацию об этом. Можете ли вы найти источник для этого. Я использую только портативный, поэтому я никогда не видел, чтобы VLC генерировал миниатюры. Кроме того, можно подумать, что он будет генерировать миниатюры для каждого типа видео, которое он может воспроизводить и с которым связан, включая FLV, MKV и т. Д., Но это не так, следовательно, такие программы, как Icaros. Фактически, кажется, что есть планы реализовать обработчик предварительного просмотра VLC, но это было отложено.
Synetech
2
Потратив время на помощь пользователям в решении проблем с вредоносными программами, я могу засвидетельствовать, что обычный механизм эксплуатации, используемый мошенниками, скорее социальный, чем технический.
Файл просто называется * .avi.exe, и настройка по умолчанию в Windows не показывает общие расширения файлов. Исполняемому файлу просто присваивается значок файла AVI. Это похоже на тактику, используемую для распространения вирусов * .doc.exe, где файл имеет значок winword.
Я также наблюдал хитрую тактику, такую как длинные имена файлов, используемые в распространении p2p, поэтому клиент отображает только частичные имена в списке файлов.
Использование дрянных файлов
Если вам нужно использовать файл, всегда используйте песочницу, которая настроена на остановку исходящих интернет-соединений. Брандмауэр Windows плохо настроен для разрешения исходящих соединений по умолчанию. Эксплуатация - это действие, которое, как и любое действие, всегда имеет мотивацию. Обычно это выполняется для перебора паролей браузера или файлов cookie, лицензирования и передачи содержимого на внешний ресурс (например, FTP), принадлежащий злоумышленнику. Следовательно, если вы используете такой инструмент, как песочница, отключите исходящие интернет-соединения. Если вы используете виртуальную машину, убедитесь, что она не содержит конфиденциальной информации, и всегда блокируйте исходящий доступ в Интернет, используя правило брандмауэра.
Если вы не знаете, что делаете, не используйте файл. Будьте в безопасности и не принимайте на себя риски, которые не стоит брать на себя.
Обратите внимание, что эта страница на самом деле не реализует эксплойт для заражения системы, она только скрывает некоторые данные в файле изображения с помощью стеганографии (в данном случае это вредоносное ПО, но оно может быть чем угодно). Код на самом деле не запускается, он просто скрыт. Это действительно выполняет задачу получения кода в целевой системе, но тогда потребуется другой способ запуска.
Synetech
-2
AVI файлы не будут заражены вирусом. Когда вы загружаете фильмы с торрента, а не с AVI, если фильм находится в пакете RAR или в виде файла EXE, то наверняка в нем есть вероятность вируса.
Некоторые из них просят вас загрузить дополнительный кодек с какого-либо веб-сайта для просмотра фильма. Это подозрительные. Но если это AVI, то вы можете попробовать его воспроизвести в своем видеоплеере. Ничего не случится.
может просто разархивировать файл и дать вам вирус?
user3183
@ user3183, возможно. Файл может быть спроектирован для использования уязвимости в WinRAR / 7-zip / etc.
Synetech
@Synetech: вероятность этого точно такая же, как и вероятность использования уязвимости в вашем медиаплеере, что гораздо менее вероятно, чем эксплойт .avi.exe.
Ли Райан
1
@LieRyan, точно. Существует достаточно разных архивных программ и версий, чтобы целевая поверхность была (слишком) большой. Для славных гончих это может стоить усилий, но для бизнес-хакеров лучше ориентироваться на ОС.
Synetech
-3
AVI-файлы не могут содержать вирусы, если они являются видео-файлами. При загрузке ваш браузер сохраняет загрузку в своем собственном формате, поэтому антивирус обнаруживает его как вирус. При загрузке файла AVI убедитесь, что после загрузки файл запускается в видеоплеере, если он является недопустимым файлом, он не будет воспроизводиться, и тогда нет цены, позволяющей предположить, что это будет вирус.
Если вы попытаетесь дважды щелкнуть и запустить его напрямую, если есть небольшая вероятность вируса, он появится. Примите меры предосторожности, и вам не нужно антивирусное программное обеспечение.
да, то же самое относится и к торрент-файлам, слишком конкретно торрент-файлы являются целью для этих антивирусных компаний
Sreejit
1
большинство торрент-клиентов не сохраняют загруженный файл в другом формате во время загрузки (хотя они могут использовать другое имя файла / расширение).
Synetech
да, я также говорю о расширениях, извините, что не включил это, и антивирус видит расширения для проверки на вирусы
Sreejit
Ох, ну ладно. Антивирусные программы также можно настроить на сканирование независимо от расширения, но это приводит к замедлению работы системы. :-(
Ответы:
TL; DR
.avi
Файл видео, и , следовательно , не является исполняемым, так что операционная система может / не будет работать файл. Как таковой, он не может быть вирусом сам по себе, но он действительно может содержать вирус.история
В прошлом вирусами были только исполняемые (то есть «запускаемые») файлы. Позже интернет-черви начали использовать социальную инженерию, чтобы обманом заставить людей запускать вирусы. Популярным приемом было бы переименовать исполняемый файл, включив в него другие расширения, например
.avi
или.jpg
, чтобы заставить пользователя думать, что это медиафайл, и запускать его. Например, почтовый клиент может отображать только первые дюжину символов вложений, поэтому, присвоив файлу ложное расширение, а затем добавив в него пробелы, как в"FunnyAnimals.avi .exe"
, пользователь видит то, что выглядит как видео, запускает его и заражается.Это была не только социальная инженерия (обман пользователя), но и ранний подвиг . Он использовал ограниченное отображение имен файлов почтовых клиентов, чтобы осуществить свой трюк.
технический
Позже появились более продвинутые эксплойты. Авторы вредоносных программ разбирали бы программу, чтобы изучить ее исходный код и найти определенные части, которые имели плохую обработку данных и ошибок, которые они могли бы использовать. Эти инструкции часто принимают форму какого-либо пользовательского ввода. Например, диалоговое окно входа в систему на ОС или веб-сайте может не выполнять проверку ошибок или проверку данных и, таким образом, предполагает / ожидает, что пользователь введет только соответствующие данные. Если затем вы вводите данные, которых он не ожидает (или, в случае большинства эксплойтов, слишком много данных), то этот ввод окажется вне памяти, которая была назначена для хранения данных. Обычно пользовательские данные должны содержаться только в переменной, но, используя плохую проверку ошибок и управление памятью, можно поместить их в часть памяти, которая может быть выполнена. Распространенным и хорошо известным методом являетсяпереполнение буфера, которое помещает в переменную больше данных, чем она может содержать, перезаписывая, таким образом, другие части памяти. Умело создавая входные данные, можно вызвать переполнение кода (инструкций) и затем передать управление этому коду. На этом этапе небо обычно является пределом того, что может быть сделано после того, как вредоносная программа получит контроль.
Медиа-файлы одинаковы. Их можно сделать так, чтобы они содержали немного машинного кода и использовали медиаплеер, чтобы машинный код в конечном итоге работал. Например, может быть возможно поместить слишком много данных в метаданные медиа-файла, чтобы при попытке проигрывателя открыть файл и прочитать его, он переполнил переменные и вызвал выполнение некоторого кода. Даже фактические данные могут быть теоретически созданы для использования программы.
Что еще хуже с медиа-файлами, так это то, что в отличие от входа в систему, который явно плох, даже для непрофессионалов (например,
username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)
медиа-файл может быть создан таким образом, чтобы он на самом деле содержал правильные, легитимные медиа, которые даже не повреждены и поэтому выглядят абсолютно легитимными и остается незамеченным до тех пор, пока не возникнет эффект заражения. Стеганография (буквально «скрытая запись») обычно используется для сокрытия данных в других данных, но это по сути то же самое, поскольку вредоносное ПО будет скрыто в том, что выглядит как законный носитель.Так что да, медиа-файлы (и, в любом случае , любой файл) могут содержать вирус, используя уязвимости в программе, которая открывает / просматривает файл. Проблема в том, что вам часто даже не нужно открывать или просматривать зараженный файл. Большинство типов файлов можно предварительно просмотреть или прочитать их метаданные, не открывая их преднамеренно. Например, простой выбор мультимедийного файла в проводнике Windows автоматически считывает метаданные (размеры, длину и т. Д.) Из файла. Это может быть потенциальным вектором атаки, если автор вредоносного ПО обнаружит уязвимость в функции предварительного просмотра / метаданных Explorer и создаст медиа-файл, который его использует.
К счастью, подвиги хрупки. Они обычно влияют только на один медиаплеер или другой, в отличие от всех плееров, и даже в этом случае они не гарантированно работают для разных версий одной и той же программы (поэтому операционные системы выпускают обновления для исправлений уязвимостей). Из-за этого авторы вредоносных программ, как правило, пытаются потратить время на взлом систем / программ, которые широко используются или имеют большую ценность (например, Windows, банковские системы и т. Д.). Это особенно верно, поскольку хакерская деятельность приобрела популярность как бизнес с преступниками. пытаясь получить деньги и больше не является областью ботаников, пытающихся получить славу.
заявка
Если ваше видео файл будет заражен, то он, вероятно , только заразить вас , если вы решили использовать медиа - плеер (ы) , что он разработан специально для использования. Если нет, то он может аварийно завершить работу, не открыться, не сыграть с коррупцией или даже просто отлично сыграть (что является наихудшим сценарием, потому что затем помечается как «все в порядке» и распространяется другим лицам, которые могут заразиться).
Антивирусные программы обычно используют сигнатуры и / или эвристику для обнаружения вредоносных программ. Сигнатуры ищут шаблоны байтов в файлах, которые обычно соответствуют инструкциям для известных вирусов. Проблема в том, что из-за полиморфных вирусов, которые могут изменяться при каждом размножении, сигнатуры становятся менее эффективными. Эвристика наблюдает такие паттерны поведения, как редактирование определенных файлов или чтение определенных данных. Обычно они применяются только после того, как вредоносное ПО уже запущено, потому что статический анализ (проверка кода без его запуска) может быть чрезвычайно сложным благодаря методам запутывания и уклонения от вредоносного ПО.
В обоих случаях антивирусные программы могут и сообщать о ложных срабатываниях.
Заключение
Очевидно, что самый важный шаг в компьютерной безопасности - это получить ваши файлы из надежных источников. Если используемый вами торрент откуда-то, которому вы доверяете, то, вероятно, все должно быть в порядке. Если нет, то вы можете подумать об этом дважды (особенно если учесть, что существуют группы по борьбе с пиратством, которые преднамеренно выпускают торренты, содержащие фальшивые или даже вредоносные программы).
источник
o.O
Я не скажу, что это невозможно, но это будет сложно. Автор вирусов должен был бы создать AVI, чтобы вызвать ошибку в вашем медиаплеере, и затем каким-то образом использовать ее для запуска кода в вашей операционной системе - не зная, какой медиаплеер или ОС вы используете. Если вы постоянно обновляете свое программное обеспечение и / или запускаете что-то, кроме Windows Media Player или iTunes (в качестве крупнейших платформ они будут лучшими целями), вы должны быть в полной безопасности.
Тем не менее, есть связанный риск, который очень реален. В фильмах в Интернете в настоящее время используются различные кодеки, и широкая публика не понимает, что такое кодек - все, что они знают, это «что-то, что мне иногда приходится загружать, чтобы фильм воспроизводился». Это настоящий вектор атаки. Если вы что-то скачиваете и вам говорят «для просмотра, вам нужен кодек с [какого-то веб-сайта]», то мы очень уверены, что вы знаете, что делаете, потому что можете заразить себя.
источник
Расширение avi не является гарантией того, что файл является видеофайлом. Вы можете получить любой вирус .exe и переименовать его в .avi (это заставит вас скачать вирус, что составляет половину пути заражения вашего компьютера). Если на вашем компьютере открыты какие-либо эксплойты, позволяющие запустить вирус, это может повлиять на вас.
Если вы считаете, что это вредоносное ПО, просто прекратите загрузку и удалите его, никогда не запускайте его до антивирусной проверки.
источник
Да, это возможно. Файлы AVI, как и любой файл, могут быть специально созданы для использования известных ошибок в программном обеспечении, управляющем этими файлами.
Антивирусное программное обеспечение обнаруживает в файлах известные шаблоны, такие как исполняемый код в двоичных файлах или конкретные конструкции JavaScript на страницах HTML , которые, возможно, являются вирусными.
источник
Быстрый ответ: ДА .
Чуть дольше отвечу:
AVI
(Audio Video Interleave) должен содержать чередующиеся аудио и видео данные. Обычно он не должен содержать исполняемый код.AVI
файл с аудио-видео данными на самом деле будет содержать вирусТЕМ НЕ МЕНИЕ ...
AVI
Файл нужен декодер , чтобы сделать что - нибудь полезное. Например, вы уже можете использовать Windows Media Player для воспроизведенияAVI
файлов, чтобы увидеть их содержимоеAVI
файл, такой что:источник
Это возможно, да, но очень маловероятно. Вы с большей вероятностью попытаетесь просмотреть WMV и автоматически загрузить URL-адрес или попросить вас загрузить лицензию, которая, в свою очередь, откроет окно браузера, которое может использовать ваш компьютер, если он не полностью исправлен.
источник
Самыми популярными из вирусов AVI, о которых я слышал, были
something.avi.exe
файлы, загруженные на компьютер с Windows, настроенный для скрытия расширений файлов в проводнике.
Пользователь обычно забывает об этом позже и предполагает, что файл является AVI.
В сочетании с ожиданиями ассоциированного игрока, двойной щелчок запускает EXE.
После этого это были странно перекодированные файлы AVI, которые требуют, чтобы вы загрузили новый,
codec
чтобы увидеть их.Так называемый,
codec
как правило, настоящий «вирус» здесь.Я также слышал об эксплойтах переполнения буфера в AVI, но было бы полезно несколько хороших ссылок.
Мой итог: виновник, как правило, один из следующих, а не сам файл AVI
codec
Установлен на вашей системе для обработки AVIКраткое чтение для предотвращения вредоносных программ: P2P или обмен файлами
источник
.avi
(или, если.mkv
на то пошло), являются контейнерами и поддерживают включение разнообразных медиа - нескольких аудио / видео потоков, субтитров, навигации по меню в стиле DVD и т. д. Ничто не мешает включить вредоносный исполняемый контент, но он не будет запущен, если только в Сценарии Synetech описаны в его ответеТем не менее, остается один широко используемый угол. Учитывая наличие множества доступных кодеков и отсутствие ограничений на их включение в контейнерные файлы, существуют общие протоколы, предлагающие пользователю установить необходимый кодек, и это не помогает тому, что медиаплееры могут быть настроены на автоматическую попытку поиска и установки кодеков. В конечном итоге кодеки являются исполняемыми (за исключением небольшого массива из них на основе плагинов) и могут содержать вредоносный код.
источник
Технически, не от загрузки файла. Но как только файл открывается, это честная игра в зависимости от игрока и реализации кодека.
источник
Мой Avast Antivirus только что сообщил мне, что в один из загруженных мной AVI-файлов был встроен троян. Когда я пытался поместить его в карантин, он сказал, что файл слишком большой и его нельзя переместить, поэтому мне пришлось вместо этого удалить его.
Вирус называется
WMA.wimad [susp]
и, по-видимому, представляет собой вирус средней угрозы, который делает что-то вроде взлома браузера. Не совсем взлом системы, но это доказывает, что вы можете получить вирусы из файлов AVI.источник
Если загрузка еще не завершена, дождитесь ее завершения, прежде чем решить, что делать. Когда загрузка только частично завершена, отсутствующие части файла по существу являются помехами и весьма склонны к ложным срабатываниям при проверке на наличие вредоносных программ.
Как подробно объяснил @Synetech, можно распространять вредоносное ПО через видеофайлы, возможно, даже до окончания загрузки. Но то, что это возможно , не означает, что это вероятно . Исходя из моего личного опыта, вероятность ложного срабатывания во время продолжающейся загрузки намного выше.
источник
Потратив время на помощь пользователям в решении проблем с вредоносными программами, я могу засвидетельствовать, что обычный механизм эксплуатации, используемый мошенниками, скорее социальный, чем технический.
Файл просто называется * .avi.exe, и настройка по умолчанию в Windows не показывает общие расширения файлов. Исполняемому файлу просто присваивается значок файла AVI. Это похоже на тактику, используемую для распространения вирусов * .doc.exe, где файл имеет значок winword.
Я также наблюдал хитрую тактику, такую как длинные имена файлов, используемые в распространении p2p, поэтому клиент отображает только частичные имена в списке файлов.
Использование дрянных файлов
Если вам нужно использовать файл, всегда используйте песочницу, которая настроена на остановку исходящих интернет-соединений. Брандмауэр Windows плохо настроен для разрешения исходящих соединений по умолчанию. Эксплуатация - это действие, которое, как и любое действие, всегда имеет мотивацию. Обычно это выполняется для перебора паролей браузера или файлов cookie, лицензирования и передачи содержимого на внешний ресурс (например, FTP), принадлежащий злоумышленнику. Следовательно, если вы используете такой инструмент, как песочница, отключите исходящие интернет-соединения. Если вы используете виртуальную машину, убедитесь, что она не содержит конфиденциальной информации, и всегда блокируйте исходящий доступ в Интернет, используя правило брандмауэра.
Если вы не знаете, что делаете, не используйте файл. Будьте в безопасности и не принимайте на себя риски, которые не стоит брать на себя.
источник
Короткий ответ, да. Более длинный ответ следует за основным руководством Tropical PC Solutions: Как скрыть вирус! и сделать один для себя.
источник
AVI файлы не будут заражены вирусом. Когда вы загружаете фильмы с торрента, а не с AVI, если фильм находится в пакете RAR или в виде файла EXE, то наверняка в нем есть вероятность вируса.
Некоторые из них просят вас загрузить дополнительный кодек с какого-либо веб-сайта для просмотра фильма. Это подозрительные. Но если это AVI, то вы можете попробовать его воспроизвести в своем видеоплеере. Ничего не случится.
источник
AVI-файлы не могут содержать вирусы, если они являются видео-файлами. При загрузке ваш браузер сохраняет загрузку в своем собственном формате, поэтому антивирус обнаруживает его как вирус. При загрузке файла AVI убедитесь, что после загрузки файл запускается в видеоплеере, если он является недопустимым файлом, он не будет воспроизводиться, и тогда нет цены, позволяющей предположить, что это будет вирус.
Если вы попытаетесь дважды щелкнуть и запустить его напрямую, если есть небольшая вероятность вируса, он появится. Примите меры предосторожности, и вам не нужно антивирусное программное обеспечение.
источник
:-(