Tôi đang tải xuống tệp AVI qua torrent, nhưng phần mềm chống vi-rút của tôi phát hiện điều gì đó. Có thể tập tin AVI chứa virus?

Nó khá kỳ lạ vì torrent có nhiều đánh giá tích cực.

TL; DR

Một .avitệp là một video và do đó không thể thực thi được, vì vậy hệ điều hành có thể / sẽ không chạy tệp. Như vậy, nó không thể là virus theo cách riêng của nó, nhưng nó thực sự có thể chứa virus.

Lịch sử

Trước đây, chỉ có các tệp thực thi (tức là, runnable ') là virus. Sau đó, giun Internet bắt đầu sử dụng kỹ thuật xã hội để lừa mọi người chạy virus. Một mẹo phổ biến sẽ là đổi tên một tệp thực thi để bao gồm các phần mở rộng khác như .avihoặc .jpgđể lừa người dùng nghĩ rằng đó là một tệp phương tiện và chạy nó. Ví dụ: ứng dụng email chỉ có thể hiển thị hàng chục ký tự đầu tiên của tệp đính kèm, do đó, bằng cách cung cấp cho tệp một phần mở rộng sai, sau đó đệm nó với khoảng trắng như trong "FunnyAnimals.avi              .exe", người dùng sẽ thấy những gì trông giống như video và chạy nó và bị nhiễm.

Đây không chỉ là kỹ thuật xã hội (đánh lừa người dùng), mà còn là một khai thác sớm . Nó khai thác hiển thị giới hạn tên tệp của ứng dụng email để thực hiện thủ thuật.

Kỹ thuật

Sau đó, khai thác tiên tiến hơn đã xuất hiện. Các nhà văn phần mềm độc hại sẽ phân tách một chương trình để kiểm tra mã nguồn của nó và tìm kiếm các phần nhất định có dữ liệu kém và xử lý lỗi mà họ có thể khai thác. Các hướng dẫn này thường ở dạng một số loại đầu vào của người dùng. Ví dụ: hộp thoại đăng nhập trên HĐH hoặc trang web có thể không thực hiện kiểm tra lỗi hoặc xác thực dữ liệu và do đó, giả sử / mong muốn người dùng chỉ nhập dữ liệu phù hợp. Nếu sau đó bạn nhập dữ liệu mà nó không mong đợi (hoặc trong trường hợp khai thác nhiều nhất, quá nhiều dữ liệu), thì đầu vào sẽ kết thúc bên ngoài bộ nhớ được chỉ định để giữ dữ liệu. Thông thường, dữ liệu người dùng chỉ nên được chứa trong một biến, nhưng bằng cách khai thác kiểm tra lỗi và quản lý bộ nhớ kém, có thể đưa nó vào một phần của bộ nhớ có thể được thực thi. Một phương pháp phổ biến và được nhiều người biết đến làtràn bộ đệm đặt nhiều dữ liệu vào biến hơn mức có thể giữ, do đó ghi đè lên các phần khác của bộ nhớ. Bằng cách khéo léo tạo ra đầu vào, có thể khiến mã (hướng dẫn) bị tràn ngập và sau đó chuyển điều khiển sang mã đó. Tại thời điểm đó, bầu trời thường là giới hạn đối với những gì có thể được thực hiện khi phần mềm độc hại có quyền kiểm soát.

Các tập tin phương tiện là như nhau. Chúng có thể được tạo để chúng chứa một chút mã máy và khai thác trình phát đa phương tiện để mã máy kết thúc chạy. Ví dụ: có thể đưa quá nhiều dữ liệu vào siêu dữ liệu của tệp phương tiện để khi trình phát cố gắng mở tệp và đọc nó, nó sẽ tràn ra các biến và khiến một số mã chạy. Ngay cả dữ liệu thực tế về mặt lý thuyết cũng có thể được chế tạo để khai thác chương trình.

Điều tồi tệ hơn với các tệp phương tiện là không giống như thông tin đăng nhập rõ ràng là xấu, ngay cả đối với người không (ví dụ: username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)tệp phương tiện có thể được tạo để nó thực sự chứa phương tiện hợp pháp, hợp pháp thậm chí không bị hỏng và trông hoàn toàn hợp pháp và đi hoàn toàn không bị phát hiện cho đến khi ảnh hưởng của nhiễm trùng xảy ra. Steganography (nghĩa là “viết phủ”) thường được sử dụng để che giấu dữ liệu trong các dữ liệu khác, nhưng điều này thực chất là điều tương tự kể từ khi phần mềm độc hại sẽ được ẩn trong những gì trông giống như phương tiện truyền thông hợp pháp.

Vì vậy, có, các tệp phương tiện (và đối với vấn đề đó, bất kỳ tệp nào ) có thể chứa vi-rút bằng cách khai thác các lỗ hổng trong chương trình mở / xem tệp. Vấn đề là bạn thường không cần phải mở hoặc xem tệp bị nhiễm. Hầu hết các loại tệp có thể được xem trước hoặc đọc dữ liệu meta của chúng mà không cố ý mở chúng. Ví dụ: chỉ cần chọn tệp phương tiện trong Windows Explorer sẽ tự động đọc siêu dữ liệu (kích thước, chiều dài, v.v.) từ tệp. Đây có khả năng có thể là một vectơ tấn công nếu một người viết phần mềm độc hại tình cờ tìm thấy lỗ hổng trong chức năng xem trước / dữ liệu meta của Explorer và tạo ra một tệp phương tiện khai thác nó.

May mắn thay, khai thác là mong manh. Chúng thường chỉ ảnh hưởng đến một trình phát đa phương tiện khác với tất cả các trình phát và thậm chí sau đó, chúng không được bảo đảm để hoạt động cho các phiên bản khác nhau của cùng một chương trình (đó là lý do tại sao hệ điều hành phát hành bản cập nhật để vá lỗ hổng). Bởi vì điều này, người viết phần mềm độc hại thường chỉ dành thời gian để bẻ khóa các hệ thống / chương trình được sử dụng rộng rãi hoặc có giá trị cao (ví dụ: Windows, hệ thống ngân hàng, v.v.) Điều này đặc biệt đúng vì hack đã trở nên phổ biến như một doanh nghiệp với tội phạm cố gắng để có được tiền và không còn chỉ là lãnh địa của những người mọt sách cố gắng để có được vinh quang.

Ứng dụng

Nếu tập tin video của bạn đang bị nhiễm, sau đó nó sẽ có khả năng chỉ lây nhiễm nếu bạn tình cờ sử dụng media player (s) mà nó được thiết kế đặc biệt để khai thác. Nếu không, nó có thể bị sập, không mở được, chơi với tham nhũng hoặc thậm chí chơi tốt (đó là trường hợp xấu nhất vì sau đó được gắn cờ là ổn và lây sang những người khác có thể bị nhiễm bệnh).

Các chương trình chống phần mềm độc hại thường sử dụng chữ ký và / hoặc chẩn đoán để phát hiện phần mềm độc hại. Chữ ký tìm kiếm các mẫu byte trong các tệp thường tương ứng với các hướng dẫn trong các virus nổi tiếng. Vấn đề là do các virus đa hình có thể thay đổi mỗi lần chúng sinh sản, chữ ký trở nên kém hiệu quả. Heuristic quan sát các mẫu hành vi như chỉnh sửa các tệp cụ thể hoặc đọc dữ liệu cụ thể. Chúng thường chỉ áp dụng khi phần mềm độc hại đã chạy vì phân tích tĩnh (kiểm tra mã mà không chạy) có thể cực kỳ phức tạp nhờ các kỹ thuật che giấu và trốn tránh phần mềm độc hại.

Trong cả hai trường hợp, các chương trình chống phần mềm độc hại có thể và làm, báo cáo các kết quả dương tính giả.

Phần kết luận

Rõ ràng bước quan trọng nhất trong an toàn điện toán là lấy các tệp của bạn từ các nguồn đáng tin cậy. Nếu torrent bạn đang sử dụng là từ nơi bạn tin tưởng, thì có lẽ nó sẽ ổn. Nếu không, sau đó bạn có thể muốn suy nghĩ hai lần về nó, (đặc biệt là vì có các nhóm chống vi phạm bản quyền cố tình phát hành các torrent có chứa hàng giả hoặc thậm chí là phần mềm độc hại).

Tôi sẽ không nói điều đó là không thể, nhưng nó sẽ khó khăn. Người viết virus sẽ phải tạo ra AVI để kích hoạt một lỗi trong trình phát đa phương tiện của bạn và sau đó bằng cách nào đó khai thác mã đó để chạy mã trên hệ điều hành của bạn - mà không cần biết trình phát phương tiện hoặc HĐH nào bạn đang chạy. Nếu bạn luôn cập nhật phần mềm và / hoặc nếu bạn chạy thứ gì đó không phải Windows Media Player hoặc iTunes (là nền tảng lớn nhất, chúng sẽ là mục tiêu tốt nhất), bạn sẽ khá an toàn.

Tuy nhiên, có một rủi ro liên quan là rất thực tế. Phim trên internet ngày nay sử dụng nhiều loại codec và công chúng nói chung không hiểu codec là gì - tất cả những gì họ biết là "đôi khi tôi phải tải xuống để phim sẽ phát". Đây là một vector tấn công chính hãng. Nếu bạn tải xuống một cái gì đó và được thông báo "để xem cái này, bạn cần codec từ [một số trang web]", thì chúng tôi rất chắc chắn bạn biết bạn đang làm gì vì bạn có thể tự lây nhiễm.

Phần mở rộng tệp avi không đảm bảo rằng tệp là tệp video. Bạn có thể lấy bất kỳ vi-rút .exe nào và đổi tên thành .avi (điều này khiến bạn tải xuống vi-rút, một nửa con đường lây nhiễm máy tính của bạn). Nếu có bất kỳ khai thác nào mở trên máy của bạn cho phép vi rút chạy, thì bạn sẽ bị ảnh hưởng.

Nếu bạn nghĩ rằng đó là một phần mềm độc hại, chỉ cần dừng tải xuống và xóa nó, không bao giờ thực hiện nó trước khi quét chống vi-rút.

Vâng, nó là có thể. Các tệp AVI, giống như mọi tệp, có thể được chế tạo đặc biệt để tận dụng các lỗi đã biết trong phần mềm quản lý các tệp đó.

Phần mềm chống vi-rút phát hiện các mẫu biết trong các tệp, như mã thực thi trong tệp nhị phân hoặc các cấu trúc JavaScript cụ thể trong các trang HTML , có thể là vi-rút.

Trả lời nhanh: CÓ .

Câu trả lời dài hơn một chút:

• Một tập tin là một thùng chứa cho các loại dữ liệu khác nhau.
• Một AVItệp (Audio Video Interleave) có nghĩa là chứa dữ liệu âm thanh và video xen kẽ. Thông thường, nó không nên chứa bất kỳ mã thực thi nào.
• Trừ khi kẻ tấn công được xác định bất thường, rất có thể một AVItệp có dữ liệu video âm thanh thực sự có chứa vi-rút

TUY NHIÊN ...

• Một AVItập tin cần một bộ giải mã để làm bất cứ điều gì hữu ích. Ví dụ: bạn đã có thể đang sử dụng Windows Media Player để phát AVItệp để xem nội dung của chúng
• Nếu bộ giải mã hoặc trình phân tích cú pháp tệp có lỗi mà kẻ tấn công có thể khai thác, chúng sẽ khéo léo tạo ra một AVItệp sao cho:
  • khi bạn cố mở các tệp đó (ví dụ: nếu bạn nhấp đúp để bắt đầu phát video) với trình phân tích hoặc bộ giải mã AVI bị lỗi của bạn, những lỗi ẩn đó sẽ kích hoạt
  • Do đó, nó có thể cho phép kẻ tấn công thực thi mã theo lựa chọn của mình trên máy tính của bạn, có khả năng khiến máy tính của bạn bị nhiễm.
  • Đây là một báo cáo lỗ hổng trả lời chính xác những gì bạn đang hỏi.

Có thể, có, nhưng rất khó xảy ra. Bạn có nhiều khả năng thử và xem WMV và tự động tải URL hoặc yêu cầu bạn tải xuống giấy phép, từ đó bật lên một cửa sổ trình duyệt có thể khai thác máy của bạn nếu nó không được vá hoàn toàn.

Phổ biến nhất từ ​​các virus 'AVI' mà tôi đã nghe nói là,
something.avi.execác tệp được tải xuống trên máy Windows
được cấu hình để ẩn phần mở rộng tệp trong trình thám hiểm.

Người dùng thường quên rằng thực tế sau này và giả sử tệp là AVI.
Cùng với sự mong đợi của họ về một người chơi được liên kết, một lần bấm đúp thực sự sẽ khởi chạy EXE.

Sau đó, nó đã được chuyển mã các tập tin AVI kỳ lạ đòi hỏi bạn phải tải xuống một cái mới codec để xem chúng.
Cái gọi codeclà thường là 'virus' thực sự ở đây.

Tôi cũng đã nghe nói về khai thác tràn bộ đệm AVI, nhưng một vài tài liệu tham khảo tốt sẽ hữu ích.

Điểm mấu chốt của tôi: thủ phạm thường là một trong những điều sau đây chứ không phải là tệp AVI

• Việc codeccài đặt trên hệ thống của bạn để xử lý AVI
• Người chơi đang được sử dụng
• Công cụ chia sẻ tệp được sử dụng để lấy tệp AVI

Đọc phần mềm chống phần mềm độc hại ngắn: P2P hoặc Chia sẻ tệp

.avi(hoặc .mkvcho vấn đề đó) là các thùng chứa và hỗ trợ bao gồm một phương tiện truyền thông đa phương tiện - nhiều luồng âm thanh / video, phụ đề, điều hướng menu giống như dvd, v.v. kịch bản Synetech mô tả trong câu trả lời của mình

Tuy nhiên, có một góc thường được khám phá ra. Với nhiều loại codec có sẵn và không có hạn chế bao gồm chúng trong các tệp chứa, có các giao thức phổ biến để nhắc người dùng cài đặt codec cần thiết và nó không giúp người chơi phương tiện có thể được cấu hình để tự động tìm kiếm và cài đặt codec. Cuối cùng, codec có thể được thực thi (trừ một mảng nhỏ dựa trên plugin) và có thể chứa mã độc.

Về mặt kỹ thuật, không phải từ tải tập tin. Nhưng một khi tệp được mở, đó là trò chơi công bằng tùy thuộc vào trình phát và cách triển khai codec.

Avast Antivirus của tôi vừa thông báo cho tôi rằng có một trojan được nhúng trong một trong những AVI phim đã tải xuống của tôi. Khi tôi cố gắng cách ly nó, nó nói rằng tệp quá lớn và không thể di chuyển được, vì vậy tôi phải xóa nó đi.

Virus này được gọi WMA.wimad [susp]và rõ ràng là một loại virus đe dọa trung bình thực hiện một số loại công cụ chiếm quyền điều khiển trình duyệt. Không chính xác việc phá vỡ hệ thống, nhưng nó chứng minh rằng bạn có thể bị nhiễm vi-rút từ các tệp AVI.

Nếu quá trình tải xuống chưa hoàn tất, hãy đợi trước khi hoàn thành trước khi bạn quyết định phải làm gì. Khi quá trình tải xuống chỉ hoàn thành một phần, các phần còn thiếu của tệp về cơ bản là nhiễu và khá dễ tạo ra dương tính giả khi kiểm tra phần mềm độc hại.

Như @Synetech đã giải thích chi tiết, có thể phát tán phần mềm độc hại qua các tệp video, có thể trước khi quá trình tải xuống kết thúc. Nhưng điều đó có thể không có nghĩa là nó có khả năng . Từ kinh nghiệm cá nhân của tôi, tỷ lệ dương tính giả trong quá trình tải xuống liên tục cao hơn nhiều.

Đã dành thời gian hỗ trợ người dùng giải quyết các vấn đề về phần mềm độc hại, tôi có thể làm chứng rằng cơ chế khai thác thông thường được sử dụng bởi những kẻ lừa đảo mang tính xã hội hơn là kỹ thuật.

Tệp được đặt tên đơn giản là * .avi.exe và cài đặt mặc định trong windows không tiết lộ các phần mở rộng tệp phổ biến. Tệp thực thi chỉ được gán một biểu tượng tệp AVI. Điều này tương tự như các chiến thuật được sử dụng để phân phối virus * .doc.exe trong đó tệp có biểu tượng winword.

Tôi cũng đã quan sát các chiến thuật tinh ranh như tên tệp dài được sử dụng trong phân phối p2p, vì vậy máy khách chỉ hiển thị tên một phần trong danh sách tệp.

Sử dụng các tập tin kém chất lượng

Nếu bạn cần sử dụng tệp, luôn luôn sử dụng hộp cát được định cấu hình để dừng kết nối internet đi. Tường lửa Windows được cấu hình xấu để cho phép các kết nối đi theo mặc định. Khai thác là một hành động, giống như bất kỳ hành động nào luôn có một động lực. Thông thường, nó được thực hiện để hút mật khẩu hoặc cookie của trình duyệt, cấp phép và chuyển nội dung sang tài nguyên bên ngoài (như FTP) do kẻ tấn công sở hữu. Do đó, nếu bạn sử dụng một công cụ như sandboxie, hãy tắt các kết nối internet đi. Nếu bạn sử dụng máy ảo, đảm bảo rằng nó không chứa thông tin nhạy cảm và luôn chặn truy cập internet đi bằng quy tắc tường lửa.

Nếu bạn không biết bạn đang làm gì, đừng sử dụng tệp. Hãy an toàn và đừng chấp nhận những rủi ro không đáng để chấp nhận.

Câu trả lời ngắn gọn, vâng. Câu trả lời dài hơn theo hướng dẫn cơ bản Giải pháp PC nhiệt đới: Cách ẩn virus! và làm một cái cho chính mình.

Các tập tin AVI sẽ không bị nhiễm vi-rút. Khi bạn tải phim từ torrent, thay vì AVI, nếu phim ở dạng RAR gói hoặc dưới dạng tệp EXE, thì chắc chắn có khả năng có vi-rút trong đó.

Một số người trong số họ yêu cầu bạn tải xuống một codec bổ sung từ một số trang web để xem phim. Đây là những người nghi ngờ. Nhưng nếu nó là AVI, thì bạn chắc chắn có thể cho tôi thử chơi nó trong trình phát video của bạn. Sẽ không có gì xảy ra.

Tệp AVI không thể có vi-rút nếu chúng là tệp video. Trong khi tải xuống trình duyệt của bạn giữ cho bản tải xuống ở định dạng riêng, đó là lý do tại sao phần mềm chống vi-rút phát hiện nó là vi-rút. Khi tải xuống tệp AVI, đảm bảo sau khi tải xuống tệp sẽ chạy trong trình phát video nếu đó là tệp không hợp lệ thì nó sẽ không phát và không có giá để đoán nó sẽ là vi-rút.

Nếu bạn cố gắng nhấp đúp chuột và chạy nó trực tiếp nếu có một chút khả năng virus thì nó sẽ xuất hiện. Hãy thận trọng và bạn không cần phần mềm chống vi-rút.