Bir torrent üzerinden bir AVI dosyası indiriyorum, ancak anti-virüsüm bir şey tespit ediyor. AVI dosyasının bir virüs içermesi mümkün mü?

Torrent çok olumlu eleştiriler aldığından oldukça garip.

TL; DR

Bir .avidosya bir videodur ve bu nedenle çalıştırılamaz, bu nedenle işletim sistemi dosyayı çalıştıramaz / çalıştıramaz . Böyle olunca edemez olmak kendi başına bir virüs, ama gerçekten olabilir içerirler bir virüs.

Tarih

Geçmişte, sadece çalıştırılabilir (yani “çalıştırılabilir”) dosyalar virüs olurdu. Daha sonra, İnternet solucanlar, insanları çalışan virüslere kandırmak için sosyal mühendisliği kullanmaya başladı. Popüler bir hile, kullanıcının bir medya dosyası olduğunu düşünmesi için onu kandırmak .aviveya çalıştırmak için başka uzantıları içermek üzere bir yürütülebilir dosyayı yeniden adlandırmak .jpgve çalıştırmaktır. Örneğin, bir e-posta istemcisi yalnızca ilk düzinelerce ek karakterini görüntüleyebilir, bu nedenle bir dosyaya yanlış bir uzantı vererek, ardından olduğu gibi boşluk bırakarak "FunnyAnimals.avi              .exe"kullanıcı videoya benzeyen bir şey görür ve onu çalıştırır ve virüs bulaşır.

Bu sadece sosyal mühendislik (kullanıcıyı kandırmak) değil, aynı zamanda erken bir istismar oldu . Hile yapmak için e-posta istemcilerinin dosya adlarının sınırlı gösterimini kullandı.

Teknik

Daha sonra daha gelişmiş istismarlar ortaya çıktı. Kötü amaçlı yazılım yazarları, kaynak kodunu incelemek ve istismar edebilecekleri kötü veri ve hata yönetimi olan bazı bölümleri aramak için bir programı parçalarına ayıklayacaktır. Bu talimatlar genellikle bir tür kullanıcı girişi biçimini alır. Örneğin, bir işletim sistemindeki veya web sitesindeki bir giriş iletişim kutusu hata kontrolü veya veri doğrulama işlemi gerçekleştiremez ve bu nedenle kullanıcının yalnızca uygun verileri girmesini bekler / bekler. Beklemediği verileri girerseniz (ya da çoğu istismar durumunda, çok fazla veri varsa), veriler veriyi tutmak için atanmış belleğin dışına çıkar. Normalde, kullanıcı verileri yalnızca bir değişkende tutulmalıdır, ancak zayıf hata kontrolü ve bellek yönetimi kullanılarak, çalıştırılabilir belleğin bir kısmına koymak mümkündür. Yaygın ve iyi bilinen bir yöntemdeğişkenin içinde tutabildiğinden daha fazla veri koyan arabellek taşması , böylece belleğin diğer bölümlerinin üzerine yazılır. Zekice girdiyi oluşturarak, kodun (talimatların) aşılmasını ve ardından kontrolün bu koda aktarılmasını sağlamak mümkündür. Bu noktada, gökyüzü genellikle kötü amaçlı yazılımın kontrolünü ele geçirdikten sonra neler yapılabileceğinin sınırıdır.

Medya dosyaları aynı. Bir miktar makine kodu içerecekleri ve makine kodunun çalışması sona erecek şekilde medya oynatıcıdan yararlanabilecekleri şekilde yapılabilirler. Örneğin, medya dosyasının meta verilerine çok fazla veri koymak mümkün olabilir, böylece oynatıcı dosyayı açıp okumaya çalıştığında değişkenleri aşar ve bazı kodların çalışmasına neden olur. Gerçek veriler bile programdan yararlanmak için teorik olarak hazırlanabilir.

Medya dosyalarının en kötüsü, kötü niyetli bir oturum açma username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)işleminden farklı olarak, meslekten olmayan kişiler için bile (örneğin , bir medya dosyası oluşturulabilir, böylece aslında düzgün olmayan, meşru bir medya da içerecek şekilde bozulmaz ve tamamen meşru görünür) Enfeksiyonun etkileri ortaya çıkıncaya kadar tamamen tespit edilmez, Steganografi (kelimenin tam anlamıyla “örtülü yazma”) genellikle diğer verilerdeki verileri gizlemek için kullanılır, ancak bu aslında kötü amaçlı yazılımın meşru medyaya benzeyen bir şeyde saklanmasından dolayı aynı şeydir.

Bu yüzden evet, medya dosyaları (ve bu konuda herhangi bir dosya için) , dosyayı açan / görüntüleyen programdaki güvenlik açıklarından yararlanarak virüs içerebilir . Sorun, virüs bulaşacak dosyayı sık sık açmanıza veya görüntülemenize gerek kalmamasıdır. Çoğu dosya türü bilerek açılmadan önizlenebilir veya meta veriler okunabilir. Örneğin, Windows Gezgini'nde bir medya dosyasının seçilmesi dosyadan meta-verileri (boyutlar, uzunluk vb.) Otomatik olarak okuyacaktır. Bu, kötü niyetli bir yazarın Explorer'in önizleme / meta-veri işlevinde bir güvenlik açığı bulması ve onu kullanan bir medya dosyası hazırlaması durumunda ortaya çıkması muhtemel bir saldırı vektörü olabilir.

Neyse ki, sömürüler kırılgan. Genellikle yalnızca bir medya oynatıcısını veya diğer tüm oyuncuların aksine bir başkasını etkiler ve o zaman bile, aynı programın farklı sürümlerinde çalışacakları garanti edilmez (bu nedenle işletim sistemleri güvenlik açıklarını düzeltmek için güncellemeler yayınlar). Bu nedenle, kötü amaçlı yazılım yazarları genellikle zamanlarını yalnızca geniş kullanımda veya yüksek değerli (örneğin, Windows, banka sistemleri, vb.) Çatlama sistemlerine / programlarına ayırmak için uğraşırlar. para kazanmaya çalışmak ve artık zafer kazanmaya çalışan ineklerin sadece etki alanı değil.

Uygulama

Video dosyası varsa edilir enfekte bunu özel olarak yararlanmak için tasarlandığını medya oynatıcı (ler) kullanmak olur, o zaman muhtemelen sadece etkileyecek. Aksi takdirde çökebilir, açılmayabilir, yolsuzlukla oynayabilir, hatta sadece iyi oynayabilir (bu en kötü senaryodur, çünkü o zaman tamam olarak işaretlenir ve virüs bulaşabilecek diğerlerine yayılır).

Kötü amaçlı yazılımdan koruma programları, kötü amaçlı yazılımları tespit etmek için genellikle imzalar ve / veya sezgisel tarama kullanır. İmzalar, genellikle iyi bilinen virüslerdeki talimatlara karşılık gelen dosyalardaki bayt modellerini arar. Sorun, her çoğaldıklarında değişebilen polimorfik virüsler nedeniyle imzaların daha az etkili hale gelmesidir. Sezgisel tarama, belirli dosyaları düzenleme veya belirli verileri okuma gibi davranış kalıplarını gözlemler. Bunlar genellikle yalnızca kötü amaçlı yazılım zaten çalışıyorsa uygulanır, çünkü kötü amaçlı yazılım gizliliği ve kaçınma teknikleri sayesinde statik analiz (kodu çalıştırmadan incelenmesi) oldukça karmaşık olabilir.

Her iki durumda da, kötü amaçlı yazılımdan koruma programları yanlış pozitif raporlar yapabilir ve yapabilir.

Sonuç

Açıkçası, bilgisayar güvenliğinde en önemli adım, dosyalarınızı güvenilir kaynaklardan almaktır. Kullanmakta olduğunuz torrent güvendiğiniz bir yerden geliyorsa, o zaman muhtemelen tamam olması gerekir. Olmazsa, o zaman bunun hakkında iki kez düşünmek isteyebilirsiniz, (özellikle bilerek sahte veya kötü amaçlı yazılım içeren torrentleri serbest bırakan korsanlık önleme grupları olduğu için ).

İmkansız olduğunu söylemeyeceğim, ama zor olurdu. Virüs yazarı, medya oynatıcınızdaki bir hatayı tetiklemek için AVI'yi oluşturmalı ve ardından bir şekilde hangi medya oynatıcıyı veya işletim sistemi çalıştırdığınızı bilmeden işletim sisteminizde kod çalıştırmak için faydalanmalıdır. Yazılımınızı güncel tutarsanız ve / veya Windows Media Player veya iTunes'dan başka bir şey çalıştırırsanız (en büyük platformlar olarak, en iyi hedefler olacaktır), oldukça güvende olmalısınız.

Ancak, gerçek olan ilgili bir risk var. Bugünlerde internetteki filmler çeşitli kodlayıcı kullanıyor ve genel halk bir kod çözücünün ne olduğunu anlamıyor - tek bildikleri "filmin oynatılması için bazen indirmem gereken bir şey". Bu gerçek bir saldırı vektörü. Bir şey indirirseniz ve "bunu görebilmeniz için, [bazı web sitesinden] codec bileşenine ihtiyacınız vardır" söylenirse, o zaman ne yaptığınızı bildiğinizden eminiz, çünkü kendinize bulaştırabilirsiniz.

Bir avi dosya uzantısı, dosyanın bir video dosyası olduğunu garanti etmez. Herhangi bir .exe virüsü bulabilir ve .avi olarak yeniden adlandırabilirsiniz (bu, bilgisayarınıza virüs bulaştırma yolunun yarısı olan virüsü indirmenizi sağlar). Makinenizde virüsün çalışmasına izin veren herhangi bir istismar varsa, bundan etkileneceksiniz.

Bunun kötü amaçlı bir yazılım olduğunu düşünüyorsanız, indirmeyi ve silmeyi durdurun, virüsten koruma taramasından önce çalıştırmayın.

Evet mümkün. AVI dosyaları, her dosya gibi, bu dosyaları yöneten yazılımdaki bilinen hatalardan yararlanmak için özel olarak hazırlanabilir.

Virüsten koruma yazılımı, ikili dosyalardaki yürütülebilir kod veya HTML sayfalarındaki muhtemelen JavaScript olan belirli JavaScript yapıları gibi, dosyalarda bilinen kalıpları algılar .

Hızlı cevap: EVET .

Biraz daha uzun cevap:

• Bir dosya, farklı veri türleri için bir konteynerdir.
• Bir AVI(Audio Video Interleave) dosyası, interleaved ses ve video verilerini içermek içindir. Normalde, herhangi bir çalıştırılabilir kod içermemelidir.
• Saldırganın alışılmadık bir şekilde belirlenmediği sürece, AVIses-video verisine sahip bir dosyanın gerçekten virüs içerme olasılığı çok düşük

ANCAK ...

• Bir AVIdosyanın işe yarar bir şey yapması için bir kod çözücüye ihtiyacı vardır. Örneğin, AVIiçeriğini görmek için dosyaları oynatmak için Windows Media Player'ı kullanıyor olabilirsiniz.
• Kod çözücü veya dosya ayrıştırıcı, saldırganın yararlanabileceği hatalara sahipse, akıllıca şöyle bir AVIdosya oluşturur:
  • bu dosyaları açma girişiminizde (örneğin, videoyu oynatmaya başlamak için çift tıklarsanız) buggy AVI ayrıştırıcınız veya kod çözücünüzle
  • Sonuç olarak, saldırganın seçtiği kodu bilgisayarınızda çalıştırmasına ve muhtemelen bilgisayarınıza virüs bulaşmasına neden olabilir.
  • İşte tam olarak ne sorduğunuzu cevaplayan bir güvenlik açığı raporu.

Bu mümkün, evet ama çok düşük bir ihtimal. Bir WMV'yi denemeye ve görüntülemeye ve URL'yi otomatik olarak yüklemesine ya da tam olarak yüklenmemişse makinenizden faydalanabilecek bir tarayıcı penceresi açan bir lisans indirmenizi isteme olasılığınız daha yüksektir.

'AVI' virüslerinden en popüler olanı , gezginde dosya uzantılarını gizlemek üzere yapılandırılmış
something.avi.exebir Windows makinesinde indirilmiş dosyalardı .

Kullanıcı genellikle daha sonra olanları unutur ve dosyanın AVI olduğunu varsayar.
İlişkili bir oyuncu beklentisiyle birleştiğinde, çift tıklama aslında EXE'i başlatıyor.

Bundan sonra, garip bir şekilde dönüştürülmüş AVI dosyaları, onları görmeniz için yeni bir dosya indirmenizi gerektiriyor codec.
Sözde codecgenellikle burada gerçek 'virüs'.

AVI arabellek taşması kullanımlarını da duydum, ancak birkaç iyi referans yararlı olacaktır.

Sonuç olarak: suçlu genellikle AVI dosyasının kendisinden ziyade aşağıdakilerden biridir

• codecAVI işlemek için sisteminizde yüklü
• Kullanılan oyuncu
• AVI dosyasını almak için kullanılan dosya paylaşım aracı

Kısa bir malware önleme okuma: P2P veya Dosya Paylaşımı

.avi(veya bunun .mkviçin) kaplar ve çok çeşitli ses / video akışları, altyazılar, dvd benzeri menü navigasyonları gibi çeşitli ortamların dahil edilmesini destekliyorlar ve destekleniyorlar. Synetech'in cevabında açıklanan senaryolar

Yine de, genellikle dışarıda bırakılmış bir açı vardır. Kullanılabilir çeşitli kodlayıcılar ve bunları konteyner dosyalarına dahil etme konusunda herhangi bir kısıtlama olmadığı göz önüne alındığında, bir kullanıcıdan gerekli kodlayıcıyı kurmasını istemek için ortak protokoller vardır ve medya oynatıcılarının otomatik olarak kodlayıcı araması ve kurulumunu denemek üzere yapılandırılmasına yardımcı olmaz. Sonunda kodekler çalıştırılabilir (eksi tabanlı olanlardan eksi küçük bir dizi) ve kötü amaçlı kodlar içerebilir.

Teknik olarak, dosyayı indirmekten değil. Ancak dosya açıldığında, oynatıcıya ve kodeğin uygulanmasına bağlı olarak adil bir oyundur.

Avast Antivirus, indirdiğim film AVI'lerden birine gömülü bir trojan olduğunu söyledi. Karantinaya almaya çalıştığımda, dosyanın çok büyük ve taşınamadığını söyledi, ben de silmek zorunda kaldım.

Virüs denir WMA.wimad [susp]ve görünüşe bakılırsa, bir tür tarayıcı hırsızlığı olayını yapan orta düzeyde bir tehdit virüsüdür. Tam olarak sistem kırma değil, ancak AVI dosyalarından virüs bulabileceğinizin kanıtı.

İndirme işlemi tamamlanmadıysa, ne yapacağınıza karar vermeden önce tamamlanmasını bekleyin. İndirme işlemi yalnızca kısmen tamamlandığında, dosyanın eksik kısımları esasen gürültülüdür ve kötü amaçlı yazılımlara karşı denetlendiğinde yanlış pozitifler üretmeye meyillidir.

@Synetech'in ayrıntılı olarak açıkladığı gibi, muhtemelen indirme işlemi tamamlanmadan önce kötü amaçlı yazılımları video dosyaları aracılığıyla yaymak mümkündür. Ama olduğunu mümkün öyle olduğu anlamına gelmez olasılıkla . Kişisel deneyimlerime göre, devam eden bir indirme sırasında yanlış pozitif olma ihtimali çok daha yüksek.

Kullanıcıların kötü amaçlı yazılım sorunlarını çözmesine yardımcı olmak için zaman harcadıktan sonra, dolandırıcıların kullandığı olağan sömürü mekanizmasının teknikten daha sosyal olduğunu kanıtlayabilirim.

Dosya basitçe * .avi.exe olarak adlandırılır ve pencerelerdeki varsayılan ayar genel dosya uzantılarını göstermez. Yürütülebilir dosya sadece bir AVI dosya simgesine atanır. Bu, dosyanın winword simgesinin bulunduğu * .doc.exe virüslerini dağıtmak için kullanılan taktiklere benzer .

P2p dağıtımında uzun dosya adları gibi tehlikeli taktikler de gözlemledim, bu nedenle istemci dosya listesinde sadece kısmi isimler gösteriyor.

Ayakkabılı dosyaları kullanma

Dosyayı kullanmanız gerekiyorsa, her zaman giden internet bağlantılarını durdurmak için yapılandırılmış bir sanal alan kullanın. Windows güvenlik duvarı, varsayılan olarak giden bağlantılara izin verecek şekilde kötü yapılandırılmıştır. Sömürü, herhangi bir eylemde olduğu gibi her zaman motivasyona sahip olan bir eylemdir. Genellikle, tarayıcı şifrelerini veya çerezlerini sifonlamak, içeriği saldırganın sahip olduğu harici bir kaynağa (FTP gibi) lisanslamak ve aktarmak için yapılır. Bu nedenle, sandboxie gibi bir araç kullanıyorsanız, giden internet bağlantılarını devre dışı bırakın. Sanal makine kullanıyorsanız, hassas bilgi içermediğinden emin olun ve güvenlik duvarı kuralı kullanarak her zaman giden İnternet erişimini engelleyin.

Ne yaptığınızı bilmiyorsanız dosyayı kullanmayın. Güvende olun ve almaya değmez risk almayın.

Kısa cevap, evet. Uzun bir cevap temel öğreticiyi izler. Tropical PC Solutions: Bir virüs nasıl gizlenir! ve kendin için yap.

AVI dosyalarına virüs bulaşmaz. AVI yerine bir torrentden film indirdiğinizde, film bir RAR paketindeyse veya bir EXE dosyasıysa, kesinlikle içinde virüs olma ihtimali vardır.

Bazıları filmi izlemek için bazı web sitelerinden ek bir kodlayıcı indirmenizi ister. Bunlar şüpheli olanlar. Ama eğer AVI ise, kesinlikle video oynatıcınızda oynatmayı deneyebilirsiniz. Hiçbir şey olmayacak.

AVI dosyalarında video dosyaları varsa virüs bulamaz. Tarayıcınızı indirirken indirmeyi kendi biçiminde tutar, bu nedenle antivirüs onu virüs olarak algılar. AVI dosyasını indirirken, dosya indirildikten sonra bir video oynatıcıda çalıştırıldığından emin olun, geçersiz bir dosyaysa oynatılmayacak ve daha sonra virüs olacağını tahmin etmenin fiyatı yoktur.

Eğer virüsün hafif bir şansı varsa, çift tıklayıp doğrudan çalıştırmayı denerseniz ortaya çıkar. Önlem alın ve virüsten koruma yazılımına ihtiyacınız yok.