@ user3183 VideoLAN verwendet intern eigene Codecs. Es gibt nichts, was einen eigenen Codec davon abhält, einen Fehler zu finden, den ein böswilliger Virenschreiber ausnutzen könnte.
GAThrawn
7
Beenden Sie im Zweifelsfall den Download.
27
@soandos, das stimmt nicht unbedingt. Die Datei kann so entworfen werden, dass sie den Torrent-Client ausnutzt, wenn er hasht, um zu überprüfen, ob er gut ist. Es kann auch so konzipiert werden, dass das Betriebssystem beim Lesen der Datei zum Erstellen einer Miniaturansicht oder zum Extrahieren von Metadaten ausgenutzt wird.
Synetech
2
@IMB, welche Datei ist vom Virenschutz betroffen ? Sind die positiven Bewertungen von realen Personen oder werden sie offensichtlich generiert / kopiert?
Eine .aviDatei ist ein Video und daher nicht ausführbar. Daher kann / wird das Betriebssystem die Datei nicht ausführen . Als solches kann es nicht sein , ein Virus in seinem eigenen Recht, aber es kann in der Tat enthält einen Virus.
Geschichte
In der Vergangenheit waren nur ausführbare (dh "ausführbare") Dateien Viren. Später setzten Internet-Würmer Social-Engineering ein, um Menschen dazu zu bringen, Viren auszuführen. Ein beliebter Trick wäre, eine ausführbare Datei umzubenennen, um andere Erweiterungen aufzunehmen, wie z. B. .avioder .jpgum den Benutzer zu täuschen, es sei eine Mediendatei, und sie auszuführen. Beispielsweise zeigt ein E-Mail-Client möglicherweise nur etwa ein Dutzend Zeichen von Anhängen an. Wenn Sie einer Datei eine falsche Erweiterung geben und sie dann mit Leerzeichen wie in auffüllen "FunnyAnimals.avi .exe", sieht der Benutzer, was wie ein Video aussieht, und führt es aus und infiziert sich.
Dies war nicht nur Social-Engineering (Trick des Benutzers), sondern auch ein früher Exploit . Es nutzte die eingeschränkte Anzeige von Dateinamen von E-Mail-Clients, um seinen Trick zu verwirklichen.
Technisch
Später kamen fortgeschrittenere Exploits hinzu. Malware-Schreiber würden ein Programm zerlegen, um seinen Quellcode zu untersuchen und nach bestimmten Teilen zu suchen, die eine schlechte Daten- und Fehlerbehandlung aufwiesen, die sie ausnutzen könnten. Diese Anweisungen haben häufig die Form einer Benutzereingabe. Beispielsweise führt ein Anmeldedialogfeld auf einem Betriebssystem oder einer Website möglicherweise keine Fehlerüberprüfung oder Datenüberprüfung durch und geht daher davon aus, dass der Benutzer nur die entsprechenden Daten eingibt. Wenn Sie dann Daten eingeben, die nicht erwartet werden (oder bei den meisten Exploits zu viele Daten), wird die Eingabe außerhalb des Speichers abgelegt, der zum Speichern der Daten zugewiesen wurde. Normalerweise sollten die Benutzerdaten nur in einer Variablen enthalten sein, aber durch Ausnutzen einer schlechten Fehlerprüfung und Speicherverwaltung ist es möglich, sie in einem Teil des Speichers abzulegen, der ausgeführt werden kann. Eine übliche und bekannte Methode ist diePufferüberlauf, bei dem mehr Daten in die Variable geschrieben werden, als sie aufnehmen kann, wodurch andere Teile des Speichers überschrieben werden. Durch geschicktes Erstellen der Eingabe ist es möglich, dass Code (Anweisungen) übersteuert wird, und die Steuerung auf diesen Code zu übertragen. An diesem Punkt ist der Himmel normalerweise die Grenze dessen, was getan werden kann, wenn die Malware die Kontrolle hat.
Mediendateien sind die gleichen. Sie können so erstellt werden, dass sie ein bisschen Maschinencode enthalten und den Media-Player ausnutzen, sodass der Maschinencode ausgeführt wird. Es ist beispielsweise möglich, zu viele Daten in die Metadaten der Mediendatei einzufügen, sodass der Player beim Versuch, die Datei zu öffnen und zu lesen, die Variablen überläuft und die Ausführung von Code verursacht. Selbst die tatsächlichen Daten könnten theoretisch so erstellt werden, dass sie das Programm ausnutzen.
Was bei Mediendateien noch schlimmer ist, ist, dass im Gegensatz zu einem Login, das selbst für Laien eindeutig schlecht ist (z. B. kann username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)eine Mediendatei so erstellt werden, dass sie tatsächlich richtige, legitime Medien enthält, die nicht einmal korrupt sind und daher absolut legitim und aussehen Es bleibt völlig unentdeckt, bis die Auswirkungen der Infektion eintreten.Steganographie (wörtlich „verdecktes Schreiben“) wird normalerweise verwendet, um Daten in anderen Daten zu verbergen, aber dies ist im Wesentlichen dasselbe, da die Malware in scheinbar legitimen Medien verborgen wäre.
Also ja, Mediendateien (und im Übrigen jede Datei) können einen Virus enthalten, indem sie Schwachstellen in dem Programm ausnutzen, das die Datei öffnet / anzeigt . Das Problem ist, dass Sie die zu infizierende Datei häufig nicht öffnen oder anzeigen müssen. Die meisten Dateitypen können in der Vorschau angezeigt oder ihre Metadaten gelesen werden, ohne sie absichtlich zu öffnen. Wenn Sie beispielsweise einfach eine Mediendatei im Windows Explorer auswählen, werden die Metadaten (Abmessungen, Länge usw.) automatisch aus der Datei gelesen. Dies könnte möglicherweise ein Angriffsvektor sein, wenn ein Malware-Schreiber eine Schwachstelle in der Vorschau- / Metadatenfunktion des Explorers entdeckt und eine Mediendatei erstellt, die diese ausnutzt.
Glücklicherweise sind Exploits fragil. Sie wirken sich normalerweise nur auf den einen oder anderen Mediaplayer aus, im Gegensatz zu allen anderen Playern, und es ist nicht garantiert, dass sie für verschiedene Versionen desselben Programms funktionieren (aus diesem Grund geben Betriebssysteme Updates für Patch-Schwachstellen heraus). Aus diesem Grund haben Malware-Autoren in der Regel nur die Mühe, ihre Zeit mit dem Knacken von Systemen / Programmen zu verbringen, die häufig verwendet werden oder von hohem Wert sind (z. B. Windows, Banksysteme usw.). Dies gilt insbesondere, da das Hacken als Geschäft mit Kriminellen an Beliebtheit gewonnen hat Der Versuch, an Geld zu kommen, ist nicht länger nur eine Domäne von Nerds, die versuchen, Ruhm zu erlangen.
Anwendung
Wenn Sie Ihre Video - Datei wird infiziert, dann wird es wahrscheinlich , dass Sie nur infizieren , wenn Sie den Media - Player (n) passieren verwenden , dass es speziell zur Nutzung ausgelegt ist. Wenn nicht, kann es abstürzen, sich nicht öffnen lassen, mit Korruption spielen oder sogar gut spielen (was das schlimmste Szenario ist, da es dann als in Ordnung gekennzeichnet und auf andere Personen übertragen wird, die sich möglicherweise infizieren).
Anti-Malware-Programme verwenden normalerweise Signaturen und / oder Heuristiken, um Malware zu erkennen. Signaturen suchen nach Bytemustern in den Dateien, die normalerweise Anweisungen bei bekannten Viren entsprechen. Das Problem ist, dass aufgrund polymorpher Viren, die sich bei jeder Vermehrung ändern können, Signaturen an Wirksamkeit verlieren. Heuristiken beobachten Verhaltensmuster wie das Bearbeiten bestimmter Dateien oder das Lesen bestimmter Daten. Diese gelten normalerweise nur, wenn die Malware bereits ausgeführt wird, da die statische Analyse (Prüfung des Codes ohne Ausführung) aufgrund von Techniken zur Verschleierung und Umgehung von Malware äußerst komplex sein kann.
In beiden Fällen können und können Anti-Malware-Programme Fehlalarme melden.
Fazit
Offensichtlich ist der wichtigste Schritt für die Computersicherheit, Ihre Dateien aus vertrauenswürdigen Quellen abzurufen. Wenn der von Ihnen verwendete Torrent von einem Ort stammt, dem Sie vertrauen, sollte er vermutlich in Ordnung sein. Wenn nicht, sollten Sie es sich zweimal überlegen (zumal es Anti-Piraterie-Gruppen gibt, die absichtlich Torrents veröffentlichen, die Fälschungen oder sogar Malware enthalten).
Guter Überblick. In der Vergangenheit gab es einige bekannte Exploits, bei denen die Nutzdaten als GIF-Image-Datei bereitgestellt wurden. Die Schlüsselwörter für weitere Informationen sind: "Buffer Overflow Exploit Arbitrary Code Execution"
Horatio
3
@horatio, ich hatte noch nichts von einem GIF-Exploit gehört (es sei denn, Sie beziehen sich auf die GDI-Sicherheitslücke), aber ich weiß, dass der WMF-Exploit eine große Neuigkeit war.
Synetech,
@ GarrettFogerlie, danke. Anscheinend ist es noch mein Bestes. Das Seltsame ist, dass ich schwöre, ich habe schon einmal ein fast identisches geschrieben. o.O
Synetech
3
+1 Bravo für eine sehr gründliche, prägnante und leicht verständliche Übersicht über Malware.
Phil
3
Zum Schutz vor solchen Schwachstellen wird immer die neueste Version der Software verwendet, da einige Leute versuchen, diese Fehler zu beheben.
Sjbotha
29
Ich werde nicht sagen, dass es unmöglich ist, aber es wäre schwierig. Der Virenschreiber müsste die AVI-Datei erstellen, um einen Fehler in Ihrem Media Player auszulösen, und diesen dann irgendwie ausnutzen, um Code auf Ihrem Betriebssystem auszuführen - ohne zu wissen, welchen Media Player oder welches Betriebssystem Sie ausführen. Wenn Sie Ihre Software auf dem neuesten Stand halten und / oder etwas anderes als Windows Media Player oder iTunes ausführen (als die größten Plattformen sind dies die besten Ziele), sollten Sie ziemlich sicher sein.
Es gibt jedoch ein damit verbundenes Risiko, das sehr real ist. Heutzutage verwenden Filme im Internet eine Vielzahl von Codecs, und die breite Öffentlichkeit versteht nicht, was ein Codec ist - sie wissen nur, dass "es etwas ist, das ich manchmal herunterladen muss, damit der Film abgespielt wird". Dies ist ein echter Angriffsvektor. Wenn Sie etwas herunterladen und die Meldung erhalten, dass Sie den Codec von [einer Website] benötigen, um dies anzuzeigen, wissen Sie mit Sicherheit, was Sie tun, da Sie sich selbst infizieren könnten.
Eine AVI-Dateierweiterung ist keine Garantie dafür, dass es sich bei der Datei um eine Videodatei handelt. Sie könnten jeden .exe-Virus bekommen und ihn in .avi umbenennen (dadurch können Sie den Virus herunterladen, was die Hälfte des Pfades ist, um Ihren Computer zu infizieren). Wenn auf Ihrem Computer ein Exploit geöffnet ist, der die Ausführung des Virus ermöglicht, sind Sie davon betroffen.
Wenn Sie der Meinung sind, dass es sich um eine Malware handelt, beenden Sie den Download und löschen Sie sie. Führen Sie sie niemals vor einem Antivirenscan aus.
-1 Dies ist nicht die Art und Weise, wie eine .avi-Datei Sie wahrscheinlich infizieren würde - selbst wenn sie in .avi umbenannt würde, würde sie beim Öffnen nicht als ausführbare Datei ausgeführt, es sei denn, Sie wären dumm genug, sie zuvor in .exe umzubenennen .
BlueRaja - Danny Pflughoeft
3
Das Übertragen von Viren auf den Computer eines Benutzers ist nicht der schwierigste, sondern ein ganz trivialer Teil. Sie können die .exe-Datei einfach in .jpg-Datei umbenennen und in eine Webseite einfügen. Sie wird übertragen, wenn der Benutzer Ihre Seite besucht. Der schwierigste Teil der Infektion besteht darin, den ersten Code auszuführen.
MatsT
2
@BlueRaja: Ich habe tatsächlich eine Infektion auf dem Computer eines Kollegen mit einer .avi-Datei gesehen und diese selbst auf einer VM reproduziert. Sie hatte eine Zip-Datei heruntergeladen, die einige Dateien enthielt, eine mit einer AVI-Erweiterung und die andere mit einem Batch-Skript. Das Öffnen der AVI funktionierte nicht, also versuchte sie das Skript zu öffnen. Das Skript hatte Code, um die "AVI" von der Kommandozeile aus als ausführbare Datei auszuführen, und Sie können sich vorstellen, was als nächstes passierte (der Virus verschlüsselte alle Daten in ihrem Benutzerverzeichnis, nachdem er das Passwort geändert hatte, und forderte dann 25 Dollar als Strafe für dummes Handeln ).
Hippo
3
@Hippo das ist eher ein schlechtes Beispiel, weil der eigentliche Virus - die Skripte in diesem Fall - mit einem AVI-Virus kam, ist irrelevant für die Tatsache, dass AVI nicht von sich aus Ihren Computer infizieren kann, wenn man bedenkt, dass die meisten Computer und bevorzugten Ziele sind Wenn das Skript mit dem Internet verbunden ist, kann es den Virus einfach aus dem Internet herunterladen. Wenn Sie jemanden dazu bringen können, ein "Skript" auszuführen, warum sollte der Virus dann nicht zuerst dort abgelegt werden? -
omeid
2
Jede andere Datei oder Erweiterung hätte jedoch die gleichen Auswirkungen, falls vorhanden.
omeid
12
Ja, es ist möglich. AVI-Dateien können wie jede andere Datei speziell so erstellt werden, dass bekannte Fehler in der Software, die diese Dateien verwaltet, ausgenutzt werden.
Antivirensoftware erkennt bekannte Muster in den Dateien, z. B. ausführbaren Code in Binärdateien oder bestimmte JavaScript- Konstruktionen in HTML- Seiten, bei denen es sich möglicherweise um Viren handelt.
Eine Datei ist ein Container für verschiedene Datentypen.
Eine AVI(Audio Video Interleave) -Datei soll verschachtelte Audio- und Videodaten enthalten. Normalerweise sollte es keinen ausführbaren Code enthalten.
Sofern der Angreifer nicht ungewöhnlich bestimmt ist, ist es ziemlich unwahrscheinlich, dass eine AVIDatei mit Audio-Video-Daten tatsächlich einen Virus enthält
JEDOCH ...
Eine AVIDatei benötigt einen Decoder, um etwas Nützliches zu tun. Möglicherweise verwenden Sie bereits Windows Media Player, um AVIDateien abzuspielen und deren Inhalt anzuzeigen
Wenn der Decoder oder der Datei-Parser Fehler enthält, die der Angreifer ausnutzen kann, erstellt er geschickt eine AVIDatei , die Folgendes bewirkt :
Wenn Sie versuchen, diese Dateien mit Ihrem fehlerhaften AVI-Parser oder -Decoder zu öffnen (zum Beispiel, wenn Sie doppelklicken, um das Video abzuspielen), werden diese versteckten Fehler ausgelöst
Dies kann dazu führen, dass der Angreifer Code seiner Wahl auf Ihrem Computer ausführt und möglicherweise Ihren Computer infiziert.
Hier ist ein Schwachstellenbericht, der genau Ihre Fragen beantwortet.
Die einzig wahre Antwort auf die Frage lautet "Hier ist ein Schwachstellenbericht" in dieser Antwort. Alle anderen spekulieren nur.
Alex
Hi @Alex, ich denke du hast recht. Ich wollte dem OP Hintergrundinformationen geben. Ich bin damit einverstanden, dass der Schwachstellenbericht die Frage für sich beantwortet.
Gsbabil
Vielleicht war ich nicht klar genug - wollte nur sagen, dass Ihre Antwort aufgrund des Berichts die ist, die die ursprüngliche Frage wirklich beantwortet . +1.
Alex
8
Es ist möglich, aber sehr unwahrscheinlich. Es ist wahrscheinlicher, dass Sie versuchen, eine WMV anzuzeigen und eine URL automatisch laden zu lassen oder Sie zum Herunterladen einer Lizenz auffordern. Dadurch wird ein Browserfenster geöffnet, das Ihren Computer ausnutzen kann, wenn er nicht vollständig gepatcht ist.
Die beliebtesten von den ‚AVI‘ Viren Ich habe haben gehört, something.avi.exeheruntergeladenen Dateien auf einem Windows - Rechner ,
die so konfiguriert ist , verstecken die Dateierweiterungen im Explorer.
Der Benutzer vergisst dies normalerweise und geht davon aus, dass es sich bei der Datei um AVI handelt.
In Verbindung mit der Erwartung eines assoziierten Spielers startet ein Doppelklick die EXE-Datei.
Danach wurden seltsamerweise AVI-Dateien transkodiert, bei denen Sie eine neue herunterladen müssen codec, um sie anzuzeigen.
Das sogenannte codecist in der Regel das wahre "Virus" hier.
Ich habe auch von AVI-Buffer-Overflow-Exploits gehört, aber ein paar gute Referenzen wären hilfreich.
Mein Fazit: Täter ist in der Regel eher eine der folgenden als die AVI-Datei selbst
Das ist codecauf deinem System installiert um mit dem AVI AVI im Glossar erklärt umzugehen
.avi(oder im Übrigen .mkv) sind Container, die die Aufnahme einer Vielzahl von Medien unterstützen - mehrere Audio- / Video-Streams, Untertitel, DVD-ähnliche Menüführung usw. Es gibt nichts, was die Aufnahme von böswilligen ausführbaren Inhalten verhindert, aber sie werden nur in ausgeführt Szenarien Synetech beschrieb in seiner Antwort
Trotzdem gibt es einen häufig untersuchten Winkel, der weggelassen wird. Angesichts der Vielzahl der verfügbaren Codecs und der Tatsache, dass sie nicht in Containerdateien eingeschlossen werden dürfen, gibt es gängige Protokolle, mit denen ein Benutzer zur Installation des erforderlichen Codecs aufgefordert wird, und es hilft nicht, wenn Media Player so konfiguriert sind, dass sie automatisch versuchen, den Codec zu suchen und zu installieren. Letztendlich sind Codecs ausführbar (abzüglich einiger Plug-in-basierter Codecs) und können bösartigen Code enthalten.
Technisch nicht vom Download der Datei. Sobald die Datei geöffnet ist, ist es jedoch ein faires Spiel, abhängig vom Player und der Codec-Implementierung.
Mein Avast Antivirus hat mich nur darüber informiert, dass in einer meiner heruntergeladenen Film-AVIs ein Trojaner eingebettet ist. Als ich versuchte, es in Quarantäne zu stellen, wurde festgestellt, dass die Datei zu groß ist und nicht verschoben werden kann. Ich musste sie stattdessen löschen.
Der Virus heißt WMA.wimad [susp]und ist anscheinend ein Virus mit mittlerer Bedrohung, der Browser-Hijack-Aktionen durchführt. Nicht gerade ein Systembruch, aber es beweist, dass Sie Viren von AVI-Dateien bekommen können.
Wenn der Download noch nicht abgeschlossen ist, warten Sie, bis er abgeschlossen ist, bevor Sie entscheiden, was zu tun ist. Wenn der Download nur teilweise abgeschlossen ist, sind die fehlenden Teile der Datei im Wesentlichen rauschbehaftet und können bei der Prüfung auf Malware zu Fehlalarmen führen.
Wie @Synetech ausführlich erklärte, ist es möglich, Malware über Videodateien zu verbreiten, möglicherweise noch bevor der Download abgeschlossen ist. Aber dass es möglich ist, heißt nicht, dass es wahrscheinlich ist . Nach meiner persönlichen Erfahrung ist die Wahrscheinlichkeit eines Fehlalarms während eines laufenden Downloads viel höher.
> Die Wahrscheinlichkeit eines Fehlalarms während eines laufenden Downloads ist viel höher. Ich weiß nicht , über „viel“, aber es ist sicherlich möglich , da die unvollständige Datei eine Menge Nullen aufweisen kann , die könnten nur geschehen sein , neben einem wenig normalerweise harmlos Bytes , die wie schlechter Maschinencode suchen geschehen am Ende (bei zumindest bis die Nullen mit den tatsächlichen Daten überschrieben sind).
Synetech
2
Auf der anderen Seite werden Vorschaubilder in Windows Explorer von dem Video-Player Ihrer Wahl generiert. Wenn dieser Player derjenige ist, den der Virus ausnutzt, besteht die Möglichkeit, den Virus einfach durch Öffnen des Ordners der Datei im Explorer abzufangen ! In diesem Fall möchten Sie den Virus abfangen, bevor Sie den Download der Datei abgeschlossen haben. In der Vergangenheit gab es Viren, die sich auf diese Weise verbreiteten.
BlueRaja - Danny Pflughoeft
@Synetech: Ich habe keine Daten darüber, aber ich kenne mindestens 20 Leute, die durch einen unvollständigen Torrent-Download einen Fehlalarm bekommen haben. Während ich lese, dass es möglich ist, kenne ich niemanden, der seinen Computer mit einer tatsächlichen Videodatei infiziert hat.
Dennis
1
@BlueRaja, yup, davor habe ich soandos gewarnt. Bei den meisten gängigen Mediendateien wird die Vorschau jedoch von Windows / WMP erstellt, nicht von einem Programm eines Drittanbieters (die meisten Neulinge haben FFDShow nicht installiert; zumindest nicht, wenn sie nicht all diese bösen, gottverlassenen Programme installieren) Mega-Codec-Packs).
Synetech,
1
@BlueRaja, dazu kann ich keine Informationen finden. Können Sie bitte eine Quelle dafür finden? Ich benutze nur das tragbare Gerät, daher habe ich noch nie gesehen, dass VLC Thumbnails erstellt. Darüber hinaus würde man meinen, dass es Thumbnails für jede Art von Video erzeugen würde, die abgespielt werden kann und mit denen es verknüpft ist, einschließlich FLV, MKV usw., was jedoch nicht der Fall ist, und daher Programme wie Icaros. Tatsächlich scheint es Pläne zu geben, einen VLC-Vorschau-Handler zu implementieren , aber das hat sich verzögert.
Synetech,
2
Nachdem ich die Benutzer bei der Behebung von Malware-Problemen unterstützt habe, kann ich beweisen, dass der von Betrügern übliche Ausnutzungsmechanismus eher sozial als technisch ist.
Die Datei trägt einfach den Namen * .avi.exe und die Standardeinstellung in Windows zeigt keine gängigen Dateierweiterungen an. Der ausführbaren Datei wird einfach ein AVI-Dateisymbol zugewiesen. Dies ähnelt der Vorgehensweise zum Verteilen von * .doc.exe- Viren, bei denen die Datei das Symbol von winword enthält.
Ich habe auch zweifelhafte Taktiken wie lange Dateinamen beobachtet, die in der P2P-Distribution verwendet werden, sodass der Client nur Teilnamen in der Dateiliste anzeigt.
Shoddy-Dateien verwenden
Wenn Sie die Datei verwenden müssen, verwenden Sie immer eine Sandbox, die so konfiguriert ist, dass ausgehende Internetverbindungen gestoppt werden. Die Windows-Firewall ist nicht ordnungsgemäß konfiguriert, um ausgehende Verbindungen standardmäßig zuzulassen. Ausbeutung ist eine Handlung, die wie jede Handlung immer eine Motivation hat. In der Regel werden Browserkennwörter oder Cookies gelöscht, der Inhalt lizenziert und an eine externe Ressource (z. B. FTP) übertragen, die einem Angreifer gehört. Deaktivieren Sie daher ausgehende Internetverbindungen, wenn Sie ein Tool wie Sandboxie verwenden. Wenn Sie eine virtuelle Maschine verwenden, stellen Sie sicher, dass diese keine vertraulichen Informationen enthält, und blockieren Sie den ausgehenden Internetzugang immer mithilfe einer Firewall-Regel.
Wenn Sie nicht wissen, was Sie tun, verwenden Sie die Datei nicht. Seien Sie sicher und gehen Sie keine Risiken ein, die es nicht wert sind, eingegangen zu werden.
Beachten Sie, dass diese Seite keinen Exploit zur Infektion eines Systems implementiert, sondern nur einige Daten in einer Bilddatei mithilfe der Steganografie verbirgt (in diesem Fall handelt es sich um Malware, es kann sich aber auch um alles andere handeln). Der Code läuft nicht wirklich, er ist einfach versteckt. Das Ziel, den Code auf das Zielsystem zu bekommen, wird erreicht, aber dann müsste eine andere Methode ausgeführt werden.
Synetech
-2
AVI-Dateien werden nicht mit Viren infiziert. Wenn Sie anstelle von AVI-Filmen Filme von einem Torrent herunterladen, der sich in einem RAR- Paket oder als EXE-Datei befindet, besteht mit Sicherheit die Möglichkeit eines Virus.
Einige von ihnen bitten Sie, einen zusätzlichen Codec von einer Website herunterzuladen, um den Film anzusehen. Das sind die Verdächtigen. Aber wenn es AVI ist, können Sie es mit Sicherheit in Ihrem Videoplayer ausprobieren. Nichts wird passieren.
Könnte Ihnen das bloße Aufheben des Zugriffs auf die Datei einen Virus bescheren?
User3183
@ user3183, möglicherweise. Die Datei kann so konzipiert sein, dass sie eine Sicherheitsanfälligkeit in WinRAR / 7-zip / etc ausnutzt.
Synetech
@Synetech: Die Wahrscheinlichkeit, dass dies der Fall ist, entspricht der Wahrscheinlichkeit, dass eine Sicherheitsanfälligkeit in Ihrem Media Player ausgenutzt wird, was viel weniger wahrscheinlich ist als ein .avi.exe-Exploit.
Lie Ryan
1
@LieRyan, genau. Es gibt genügend verschiedene Archivierungsprogramme und Versionen derselben, die eine (zu) große Zielfläche haben. Für Ruhm und Ehre ist es vielleicht die Mühe wert, aber für Business-Hacker ist es besser, auf das Betriebssystem zu zielen.
Synetech
-3
AVI-Dateien können keinen Virus enthalten, wenn es sich um Videodateien handelt. Während des Herunterladens behält Ihr Browser das Download-Format bei, weshalb das Antivirus es als Virus erkennt. Stellen Sie beim Herunterladen der AVI-Datei sicher, dass die Datei nach dem Herunterladen in einem Videoplayer ausgeführt wird. Wenn es sich um eine ungültige Datei handelt, wird sie nicht abgespielt, und Sie können nicht davon ausgehen, dass es sich dann um einen Virus handelt.
Wenn Sie versuchen, einen Doppelklick auszuführen und es direkt auszuführen, wenn die Wahrscheinlichkeit eines Virus gering ist, wird es herauskommen. Treffen Sie Vorsichtsmaßnahmen, und Sie benötigen keine Antivirensoftware.
Sie verwenden keinen Browser. Es ist ein Torrent-Client.
Synetech
yup dasselbe gilt für Torrent-Dateien zu speziell Torrent-Dateien sind ein Ziel für diese Antivirus-Unternehmen
Sreejit
1
Die meisten Torrent-Clients behalten die heruntergeladene Datei während des Downloads nicht in einem anderen Format bei (obwohl sie möglicherweise einen anderen Dateinamen / eine andere Erweiterung verwenden).
Synetech
Ja, ich sage auch, Erweiterungen tut mir leid, das nicht zu berücksichtigen, und das Antivirus sieht die Erweiterungen für die Überprüfung von Viren
Sreejit
Oh ok. Anti-Malware-Programme können auch so eingestellt werden, dass sie unabhängig von der Erweiterung scannen. Dies verlangsamt jedoch das System. :-(
Antworten:
TL; DR
Eine
.avi
Datei ist ein Video und daher nicht ausführbar. Daher kann / wird das Betriebssystem die Datei nicht ausführen . Als solches kann es nicht sein , ein Virus in seinem eigenen Recht, aber es kann in der Tat enthält einen Virus.Geschichte
In der Vergangenheit waren nur ausführbare (dh "ausführbare") Dateien Viren. Später setzten Internet-Würmer Social-Engineering ein, um Menschen dazu zu bringen, Viren auszuführen. Ein beliebter Trick wäre, eine ausführbare Datei umzubenennen, um andere Erweiterungen aufzunehmen, wie z. B.
.avi
oder.jpg
um den Benutzer zu täuschen, es sei eine Mediendatei, und sie auszuführen. Beispielsweise zeigt ein E-Mail-Client möglicherweise nur etwa ein Dutzend Zeichen von Anhängen an. Wenn Sie einer Datei eine falsche Erweiterung geben und sie dann mit Leerzeichen wie in auffüllen"FunnyAnimals.avi .exe"
, sieht der Benutzer, was wie ein Video aussieht, und führt es aus und infiziert sich.Dies war nicht nur Social-Engineering (Trick des Benutzers), sondern auch ein früher Exploit . Es nutzte die eingeschränkte Anzeige von Dateinamen von E-Mail-Clients, um seinen Trick zu verwirklichen.
Technisch
Später kamen fortgeschrittenere Exploits hinzu. Malware-Schreiber würden ein Programm zerlegen, um seinen Quellcode zu untersuchen und nach bestimmten Teilen zu suchen, die eine schlechte Daten- und Fehlerbehandlung aufwiesen, die sie ausnutzen könnten. Diese Anweisungen haben häufig die Form einer Benutzereingabe. Beispielsweise führt ein Anmeldedialogfeld auf einem Betriebssystem oder einer Website möglicherweise keine Fehlerüberprüfung oder Datenüberprüfung durch und geht daher davon aus, dass der Benutzer nur die entsprechenden Daten eingibt. Wenn Sie dann Daten eingeben, die nicht erwartet werden (oder bei den meisten Exploits zu viele Daten), wird die Eingabe außerhalb des Speichers abgelegt, der zum Speichern der Daten zugewiesen wurde. Normalerweise sollten die Benutzerdaten nur in einer Variablen enthalten sein, aber durch Ausnutzen einer schlechten Fehlerprüfung und Speicherverwaltung ist es möglich, sie in einem Teil des Speichers abzulegen, der ausgeführt werden kann. Eine übliche und bekannte Methode ist diePufferüberlauf, bei dem mehr Daten in die Variable geschrieben werden, als sie aufnehmen kann, wodurch andere Teile des Speichers überschrieben werden. Durch geschicktes Erstellen der Eingabe ist es möglich, dass Code (Anweisungen) übersteuert wird, und die Steuerung auf diesen Code zu übertragen. An diesem Punkt ist der Himmel normalerweise die Grenze dessen, was getan werden kann, wenn die Malware die Kontrolle hat.
Mediendateien sind die gleichen. Sie können so erstellt werden, dass sie ein bisschen Maschinencode enthalten und den Media-Player ausnutzen, sodass der Maschinencode ausgeführt wird. Es ist beispielsweise möglich, zu viele Daten in die Metadaten der Mediendatei einzufügen, sodass der Player beim Versuch, die Datei zu öffnen und zu lesen, die Variablen überläuft und die Ausführung von Code verursacht. Selbst die tatsächlichen Daten könnten theoretisch so erstellt werden, dass sie das Programm ausnutzen.
Was bei Mediendateien noch schlimmer ist, ist, dass im Gegensatz zu einem Login, das selbst für Laien eindeutig schlecht ist (z. B. kann
username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)
eine Mediendatei so erstellt werden, dass sie tatsächlich richtige, legitime Medien enthält, die nicht einmal korrupt sind und daher absolut legitim und aussehen Es bleibt völlig unentdeckt, bis die Auswirkungen der Infektion eintreten.Steganographie (wörtlich „verdecktes Schreiben“) wird normalerweise verwendet, um Daten in anderen Daten zu verbergen, aber dies ist im Wesentlichen dasselbe, da die Malware in scheinbar legitimen Medien verborgen wäre.Also ja, Mediendateien (und im Übrigen jede Datei) können einen Virus enthalten, indem sie Schwachstellen in dem Programm ausnutzen, das die Datei öffnet / anzeigt . Das Problem ist, dass Sie die zu infizierende Datei häufig nicht öffnen oder anzeigen müssen. Die meisten Dateitypen können in der Vorschau angezeigt oder ihre Metadaten gelesen werden, ohne sie absichtlich zu öffnen. Wenn Sie beispielsweise einfach eine Mediendatei im Windows Explorer auswählen, werden die Metadaten (Abmessungen, Länge usw.) automatisch aus der Datei gelesen. Dies könnte möglicherweise ein Angriffsvektor sein, wenn ein Malware-Schreiber eine Schwachstelle in der Vorschau- / Metadatenfunktion des Explorers entdeckt und eine Mediendatei erstellt, die diese ausnutzt.
Glücklicherweise sind Exploits fragil. Sie wirken sich normalerweise nur auf den einen oder anderen Mediaplayer aus, im Gegensatz zu allen anderen Playern, und es ist nicht garantiert, dass sie für verschiedene Versionen desselben Programms funktionieren (aus diesem Grund geben Betriebssysteme Updates für Patch-Schwachstellen heraus). Aus diesem Grund haben Malware-Autoren in der Regel nur die Mühe, ihre Zeit mit dem Knacken von Systemen / Programmen zu verbringen, die häufig verwendet werden oder von hohem Wert sind (z. B. Windows, Banksysteme usw.). Dies gilt insbesondere, da das Hacken als Geschäft mit Kriminellen an Beliebtheit gewonnen hat Der Versuch, an Geld zu kommen, ist nicht länger nur eine Domäne von Nerds, die versuchen, Ruhm zu erlangen.
Anwendung
Wenn Sie Ihre Video - Datei wird infiziert, dann wird es wahrscheinlich , dass Sie nur infizieren , wenn Sie den Media - Player (n) passieren verwenden , dass es speziell zur Nutzung ausgelegt ist. Wenn nicht, kann es abstürzen, sich nicht öffnen lassen, mit Korruption spielen oder sogar gut spielen (was das schlimmste Szenario ist, da es dann als in Ordnung gekennzeichnet und auf andere Personen übertragen wird, die sich möglicherweise infizieren).
Anti-Malware-Programme verwenden normalerweise Signaturen und / oder Heuristiken, um Malware zu erkennen. Signaturen suchen nach Bytemustern in den Dateien, die normalerweise Anweisungen bei bekannten Viren entsprechen. Das Problem ist, dass aufgrund polymorpher Viren, die sich bei jeder Vermehrung ändern können, Signaturen an Wirksamkeit verlieren. Heuristiken beobachten Verhaltensmuster wie das Bearbeiten bestimmter Dateien oder das Lesen bestimmter Daten. Diese gelten normalerweise nur, wenn die Malware bereits ausgeführt wird, da die statische Analyse (Prüfung des Codes ohne Ausführung) aufgrund von Techniken zur Verschleierung und Umgehung von Malware äußerst komplex sein kann.
In beiden Fällen können und können Anti-Malware-Programme Fehlalarme melden.
Fazit
Offensichtlich ist der wichtigste Schritt für die Computersicherheit, Ihre Dateien aus vertrauenswürdigen Quellen abzurufen. Wenn der von Ihnen verwendete Torrent von einem Ort stammt, dem Sie vertrauen, sollte er vermutlich in Ordnung sein. Wenn nicht, sollten Sie es sich zweimal überlegen (zumal es Anti-Piraterie-Gruppen gibt, die absichtlich Torrents veröffentlichen, die Fälschungen oder sogar Malware enthalten).
quelle
o.O
Ich werde nicht sagen, dass es unmöglich ist, aber es wäre schwierig. Der Virenschreiber müsste die AVI-Datei erstellen, um einen Fehler in Ihrem Media Player auszulösen, und diesen dann irgendwie ausnutzen, um Code auf Ihrem Betriebssystem auszuführen - ohne zu wissen, welchen Media Player oder welches Betriebssystem Sie ausführen. Wenn Sie Ihre Software auf dem neuesten Stand halten und / oder etwas anderes als Windows Media Player oder iTunes ausführen (als die größten Plattformen sind dies die besten Ziele), sollten Sie ziemlich sicher sein.
Es gibt jedoch ein damit verbundenes Risiko, das sehr real ist. Heutzutage verwenden Filme im Internet eine Vielzahl von Codecs, und die breite Öffentlichkeit versteht nicht, was ein Codec ist - sie wissen nur, dass "es etwas ist, das ich manchmal herunterladen muss, damit der Film abgespielt wird". Dies ist ein echter Angriffsvektor. Wenn Sie etwas herunterladen und die Meldung erhalten, dass Sie den Codec von [einer Website] benötigen, um dies anzuzeigen, wissen Sie mit Sicherheit, was Sie tun, da Sie sich selbst infizieren könnten.
quelle
Eine AVI-Dateierweiterung ist keine Garantie dafür, dass es sich bei der Datei um eine Videodatei handelt. Sie könnten jeden .exe-Virus bekommen und ihn in .avi umbenennen (dadurch können Sie den Virus herunterladen, was die Hälfte des Pfades ist, um Ihren Computer zu infizieren). Wenn auf Ihrem Computer ein Exploit geöffnet ist, der die Ausführung des Virus ermöglicht, sind Sie davon betroffen.
Wenn Sie der Meinung sind, dass es sich um eine Malware handelt, beenden Sie den Download und löschen Sie sie. Führen Sie sie niemals vor einem Antivirenscan aus.
quelle
Ja, es ist möglich. AVI-Dateien können wie jede andere Datei speziell so erstellt werden, dass bekannte Fehler in der Software, die diese Dateien verwaltet, ausgenutzt werden.
Antivirensoftware erkennt bekannte Muster in den Dateien, z. B. ausführbaren Code in Binärdateien oder bestimmte JavaScript- Konstruktionen in HTML- Seiten, bei denen es sich möglicherweise um Viren handelt.
quelle
Schnelle Antwort: JA .
Etwas längere Antwort:
AVI
(Audio Video Interleave) -Datei soll verschachtelte Audio- und Videodaten enthalten. Normalerweise sollte es keinen ausführbaren Code enthalten.AVI
Datei mit Audio-Video-Daten tatsächlich einen Virus enthältJEDOCH ...
AVI
Datei benötigt einen Decoder, um etwas Nützliches zu tun. Möglicherweise verwenden Sie bereits Windows Media Player, umAVI
Dateien abzuspielen und deren Inhalt anzuzeigenAVI
Datei , die Folgendes bewirkt :quelle
Es ist möglich, aber sehr unwahrscheinlich. Es ist wahrscheinlicher, dass Sie versuchen, eine WMV anzuzeigen und eine URL automatisch laden zu lassen oder Sie zum Herunterladen einer Lizenz auffordern. Dadurch wird ein Browserfenster geöffnet, das Ihren Computer ausnutzen kann, wenn er nicht vollständig gepatcht ist.
quelle
Die beliebtesten von den ‚AVI‘ Viren Ich habe haben gehört,
something.avi.exe
heruntergeladenen Dateien auf einem Windows - Rechner ,die so konfiguriert ist , verstecken die Dateierweiterungen im Explorer.
Der Benutzer vergisst dies normalerweise und geht davon aus, dass es sich bei der Datei um AVI handelt.
In Verbindung mit der Erwartung eines assoziierten Spielers startet ein Doppelklick die EXE-Datei.
Danach wurden seltsamerweise AVI-Dateien transkodiert, bei denen Sie eine neue herunterladen müssen
codec
, um sie anzuzeigen.Das sogenannte
codec
ist in der Regel das wahre "Virus" hier.Ich habe auch von AVI-Buffer-Overflow-Exploits gehört, aber ein paar gute Referenzen wären hilfreich.
Mein Fazit: Täter ist in der Regel eher eine der folgenden als die AVI-Datei selbst
codec
auf deinem System installiert um mit dem AVI AVI im Glossar erklärt umzugehenEine kurze Lektüre zum Thema Malware-Prävention: P2P oder File Sharing
quelle
.avi
(oder im Übrigen.mkv
) sind Container, die die Aufnahme einer Vielzahl von Medien unterstützen - mehrere Audio- / Video-Streams, Untertitel, DVD-ähnliche Menüführung usw. Es gibt nichts, was die Aufnahme von böswilligen ausführbaren Inhalten verhindert, aber sie werden nur in ausgeführt Szenarien Synetech beschrieb in seiner AntwortTrotzdem gibt es einen häufig untersuchten Winkel, der weggelassen wird. Angesichts der Vielzahl der verfügbaren Codecs und der Tatsache, dass sie nicht in Containerdateien eingeschlossen werden dürfen, gibt es gängige Protokolle, mit denen ein Benutzer zur Installation des erforderlichen Codecs aufgefordert wird, und es hilft nicht, wenn Media Player so konfiguriert sind, dass sie automatisch versuchen, den Codec zu suchen und zu installieren. Letztendlich sind Codecs ausführbar (abzüglich einiger Plug-in-basierter Codecs) und können bösartigen Code enthalten.
quelle
Technisch nicht vom Download der Datei. Sobald die Datei geöffnet ist, ist es jedoch ein faires Spiel, abhängig vom Player und der Codec-Implementierung.
quelle
Mein Avast Antivirus hat mich nur darüber informiert, dass in einer meiner heruntergeladenen Film-AVIs ein Trojaner eingebettet ist. Als ich versuchte, es in Quarantäne zu stellen, wurde festgestellt, dass die Datei zu groß ist und nicht verschoben werden kann. Ich musste sie stattdessen löschen.
Der Virus heißt
WMA.wimad [susp]
und ist anscheinend ein Virus mit mittlerer Bedrohung, der Browser-Hijack-Aktionen durchführt. Nicht gerade ein Systembruch, aber es beweist, dass Sie Viren von AVI-Dateien bekommen können.quelle
Wenn der Download noch nicht abgeschlossen ist, warten Sie, bis er abgeschlossen ist, bevor Sie entscheiden, was zu tun ist. Wenn der Download nur teilweise abgeschlossen ist, sind die fehlenden Teile der Datei im Wesentlichen rauschbehaftet und können bei der Prüfung auf Malware zu Fehlalarmen führen.
Wie @Synetech ausführlich erklärte, ist es möglich, Malware über Videodateien zu verbreiten, möglicherweise noch bevor der Download abgeschlossen ist. Aber dass es möglich ist, heißt nicht, dass es wahrscheinlich ist . Nach meiner persönlichen Erfahrung ist die Wahrscheinlichkeit eines Fehlalarms während eines laufenden Downloads viel höher.
quelle
Nachdem ich die Benutzer bei der Behebung von Malware-Problemen unterstützt habe, kann ich beweisen, dass der von Betrügern übliche Ausnutzungsmechanismus eher sozial als technisch ist.
Die Datei trägt einfach den Namen * .avi.exe und die Standardeinstellung in Windows zeigt keine gängigen Dateierweiterungen an. Der ausführbaren Datei wird einfach ein AVI-Dateisymbol zugewiesen. Dies ähnelt der Vorgehensweise zum Verteilen von * .doc.exe- Viren, bei denen die Datei das Symbol von winword enthält.
Ich habe auch zweifelhafte Taktiken wie lange Dateinamen beobachtet, die in der P2P-Distribution verwendet werden, sodass der Client nur Teilnamen in der Dateiliste anzeigt.
Shoddy-Dateien verwenden
Wenn Sie die Datei verwenden müssen, verwenden Sie immer eine Sandbox, die so konfiguriert ist, dass ausgehende Internetverbindungen gestoppt werden. Die Windows-Firewall ist nicht ordnungsgemäß konfiguriert, um ausgehende Verbindungen standardmäßig zuzulassen. Ausbeutung ist eine Handlung, die wie jede Handlung immer eine Motivation hat. In der Regel werden Browserkennwörter oder Cookies gelöscht, der Inhalt lizenziert und an eine externe Ressource (z. B. FTP) übertragen, die einem Angreifer gehört. Deaktivieren Sie daher ausgehende Internetverbindungen, wenn Sie ein Tool wie Sandboxie verwenden. Wenn Sie eine virtuelle Maschine verwenden, stellen Sie sicher, dass diese keine vertraulichen Informationen enthält, und blockieren Sie den ausgehenden Internetzugang immer mithilfe einer Firewall-Regel.
Wenn Sie nicht wissen, was Sie tun, verwenden Sie die Datei nicht. Seien Sie sicher und gehen Sie keine Risiken ein, die es nicht wert sind, eingegangen zu werden.
quelle
Kurze Antwort, ja. Eine längere Antwort folgt dem grundlegenden Tutorial Tropical PC Solutions: Wie man einen Virus versteckt! und mach eins für dich.
quelle
AVI-Dateien werden nicht mit Viren infiziert. Wenn Sie anstelle von AVI-Filmen Filme von einem Torrent herunterladen, der sich in einem RAR- Paket oder als EXE-Datei befindet, besteht mit Sicherheit die Möglichkeit eines Virus.
Einige von ihnen bitten Sie, einen zusätzlichen Codec von einer Website herunterzuladen, um den Film anzusehen. Das sind die Verdächtigen. Aber wenn es AVI ist, können Sie es mit Sicherheit in Ihrem Videoplayer ausprobieren. Nichts wird passieren.
quelle
AVI-Dateien können keinen Virus enthalten, wenn es sich um Videodateien handelt. Während des Herunterladens behält Ihr Browser das Download-Format bei, weshalb das Antivirus es als Virus erkennt. Stellen Sie beim Herunterladen der AVI-Datei sicher, dass die Datei nach dem Herunterladen in einem Videoplayer ausgeführt wird. Wenn es sich um eine ungültige Datei handelt, wird sie nicht abgespielt, und Sie können nicht davon ausgehen, dass es sich dann um einen Virus handelt.
Wenn Sie versuchen, einen Doppelklick auszuführen und es direkt auszuführen, wenn die Wahrscheinlichkeit eines Virus gering ist, wird es herauskommen. Treffen Sie Vorsichtsmaßnahmen, und Sie benötigen keine Antivirensoftware.
quelle
:-(