Os arquivos AVI podem conter um vírus?


99

Estou baixando um arquivo AVI por meio de um torrent, mas meu antivírus detecta algo. É possível que o arquivo AVI contenha um vírus?

É bastante estranho, já que o torrent tem muitas críticas positivas.


2
@ user3183 O VideoLAN utiliza os seus próprios codecs internamente. Não há nada que impeça que um de seus próprios codecs tenha um erro que um criador de vírus malicioso poderia explorar.
precisa saber é o seguinte

7
Em caso de dúvida, pare o download.

27
@soandos, isso não é necessariamente verdade. O arquivo pode ser projetado para explorar o cliente de torrent quando o faz o hash para verificar se ele é bom; também pode ser projetado para explorar o sistema operacional quando ele lê o arquivo para produzir uma miniatura ou extrair metadados.
Synetech

2
@IMB, qual arquivo o antivírus está sinalizando? As críticas são positivas de pessoas reais ou são obviamente geradas / coladas?
Synetech

Respostas:


193

TL; DR

Um .aviarquivo é um vídeo e, portanto, não é executável; portanto, o sistema operacional pode / não irá executar o arquivo. Como tal, não pode ser um vírus por si só, mas pode realmente conter um vírus.

História

No passado, apenas arquivos executáveis ​​(ou seja, "executáveis") seriam vírus. Mais tarde, os worms da Internet começaram a usar a engenharia social para induzir as pessoas a executarem vírus. Um truque popular seria renomear um executável para incluir outras extensões como .aviou .jpgpara fazer o usuário pensar que é um arquivo de mídia e executá-lo. Por exemplo, um cliente de e-mail pode exibir apenas a primeira dúzia de caracteres de anexos, atribuindo ao arquivo uma extensão falsa e preenchendo-o com espaços "FunnyAnimals.avi              .exe", o usuário vê o que parece um vídeo e o executa e é infectado.

Isso não era apenas engenharia social (enganando o usuário), mas também uma exploração precoce . Ele explorou a exibição limitada de nomes de arquivos de clientes de email para realizar seu truque.

Técnico

Mais tarde, explorações mais avançadas surgiram. Os criadores de malware desmontariam um programa para examinar seu código-fonte e procurar por algumas partes que tinham pouco processamento de dados e erros que poderiam explorar. Essas instruções geralmente assumem a forma de algum tipo de entrada do usuário. Por exemplo, uma caixa de diálogo de logon em um sistema operacional ou site pode não executar verificação de erros ou validação de dados e, portanto, assumir / esperar que o usuário insira apenas os dados apropriados. Se você inserir dados que não espera (ou, no caso da maioria das explorações, muitos dados), a entrada terminará fora da memória que foi designada para reter os dados. Normalmente, os dados do usuário devem estar contidos apenas em uma variável, mas, ao explorar a verificação de erros e o gerenciamento de memória, é possível colocá-lo em uma parte da memória que pode ser executada. Um método comum e conhecido é obuffer overflow, que coloca mais dados na variável do que ela pode conter, substituindo outras partes da memória. Ao elaborar a entrada de maneira inteligente, é possível fazer com que o código (instruções) seja excedido e depois transfira o controle para esse código. Nesse ponto, o céu geralmente é o limite para o que pode ser feito quando o malware tiver controle.

Arquivos de mídia são os mesmos. Eles podem ser feitos para que contenham um pouco de código de máquina e explorem o media player para que o código da máquina acabe sendo executado. Por exemplo, pode ser possível colocar muitos dados nos metadados do arquivo de mídia para que, quando o player tentar abrir o arquivo e lê-lo, ele exceda as variáveis ​​e faça com que algum código seja executado. Mesmo os dados reais poderiam teoricamente ser criados para explorar o programa.

O pior dos arquivos de mídia é que, diferentemente de um login que é claramente ruim, mesmo para leigos (por exemplo, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)um arquivo de mídia pode ser criado para que ele realmente contenha mídia legítima e adequada, que não seja nem corrompida e, portanto, pareça completamente legítima e permanece totalmente indetectável até que os efeitos da infecção ocorram.Esteganografia (literalmente "gravação coberta") é geralmente usada para ocultar dados em outros dados, mas isso é essencialmente a mesma coisa, já que o malware fica oculto no que parece mídia legítima.

Portanto, sim, os arquivos de mídia (e, nesse caso, qualquer arquivo) podem conter um vírus, explorando vulnerabilidades no programa que abre / exibe o arquivo. O problema é que muitas vezes você nem precisa abrir ou visualizar o arquivo a ser infectado. A maioria dos tipos de arquivos pode ser visualizada ou ter seus metadados lidos sem abri-los intencionalmente. Por exemplo, simplesmente selecionar um arquivo de mídia no Windows Explorer lerá automaticamente os metadados (dimensões, comprimento, etc.) do arquivo. Pode ser um vetor de ataque se um escritor de malware encontrar uma vulnerabilidade na função de visualização / metadados do Explorer e criar um arquivo de mídia que o explore.

Felizmente, as explorações são frágeis. Eles geralmente afetam apenas um media player ou outro, em oposição a todos os players, e mesmo assim, não é garantido que eles funcionem para diferentes versões do mesmo programa (é por isso que os sistemas operacionais emitem atualizações para corrigir vulnerabilidades). Por esse motivo, os criadores de malware geralmente se preocupam em gastar seu tempo quebrando sistemas / programas em uso amplo ou de alto valor (por exemplo, Windows, sistemas bancários etc.). tentando conseguir dinheiro e não é mais apenas o domínio dos nerds que tentam obter glória.

Inscrição

Se o seu arquivo de vídeo estiver infectado, provavelmente o infectará apenas se você usar os reprodutores de mídia que foram especificamente projetados para explorar. Caso contrário, ele poderá travar, falhar ao abrir, jogar com corrupção ou até jogar muito bem (que é o pior cenário, porque é sinalizado como bom e se espalha para outras pessoas que podem ser infectadas).

Programas anti-malware geralmente usam assinaturas e / ou heurísticas para detectar malware. As assinaturas procuram padrões de bytes nos arquivos que geralmente correspondem às instruções em vírus conhecidos. O problema é que, devido a vírus polimórficos que podem mudar a cada vez que se reproduzem, as assinaturas se tornam menos eficazes. As heurísticas observam padrões de comportamento como editar arquivos específicos ou ler dados específicos. Geralmente, isso só se aplica quando o malware já está em execução porque a análise estática (examinando o código sem executá-lo) pode ser extremamente complexa graças às técnicas de ofuscação e evasão do malware.

Nos dois casos, os programas anti-malware podem reportar falsos positivos.

Conclusão

Obviamente, o passo mais importante na segurança da computação é obter seus arquivos de fontes confiáveis. Se o torrent que você está usando é de algum lugar em que você confia, provavelmente deve estar tudo bem. Caso contrário, você pode pensar duas vezes sobre isso (especialmente porque existem grupos antipirataria que lançam propositalmente torrents contendo falsificações ou até malware).


3
Boa visão geral. Houve algumas explorações bem conhecidas no passado em que a carga útil era entregue como um arquivo de imagem GIF. As palavras-chave para obter mais informações são: "buffer overflow explorar execução de código arbitrário"
horatio

3
@horatio, eu não tinha ouvido falar sobre uma exploração GIF (a menos que você esteja se referindo à vulnerabilidade GDI), mas eu sei que a exploração WMF foi uma grande notícia.
Synetech 5/07/12

@GarrettFogerlie, obrigado. Aparentemente, é o meu melhor ainda. O que é estranho é que eu juro que escrevi um quase idêntico antes. o.O
Synetech

3
Marque o +1 no Bravo para obter uma visão geral completa, sucinta e fácil de entender sobre malware.
Phil

3
Além disso, para proteger contra vulnerabilidades como essas, sempre execute a versão mais recente do software, porque algumas pessoas tentam corrigir esses erros.
sjbotha

29

Não direi que é impossível, mas seria difícil. O gravador de vírus teria que criar o AVI para acionar um bug no seu media player e, de alguma forma, explorar isso para executar o código no seu sistema operacional - sem saber qual media player ou sistema operacional você está executando. Se você mantiver seu software atualizado e / ou executar algo diferente do Windows Media Player ou iTunes (como as maiores plataformas, eles serão os melhores alvos), você deve estar bem seguro.

No entanto, há um risco relacionado que é muito real. Atualmente, os filmes na internet usam uma variedade de codecs, e o público em geral não entende o que é um codec - tudo o que sabem é "é algo que às vezes tenho que baixar para que o filme seja reproduzido". Este é um vetor de ataque genuíno. Se você fizer o download de algo e for solicitado "para visualizar isso, você precisará do codec de [algum site]", teremos certeza de que você sabe o que está fazendo, porque pode se infectar.


12

Uma extensão de arquivo avi não é garantia de que o arquivo seja um arquivo de vídeo. Você pode pegar qualquer vírus .exe e renomeá-lo para .avi (isso faz com que você baixe o vírus, que é metade do caminho para infectar seu computador). Se houver alguma exploração aberta em sua máquina que permita a execução do vírus, você será afetado.

Se você acha que é um malware, basta parar o download e excluí-lo, nunca o execute antes de uma verificação antivírus.


17
-1 Não é assim que um .avi provavelmente o infectaria - mesmo que fosse um .exe renomeado para .avi, não seria executado como executável quando você o abrisse, a menos que você fosse estúpido o suficiente para renomeá-lo para .exe de antemão. .
BlueRaja - Danny Pflughoeft

3
Transferir vírus para a máquina do usuário não é a parte mais difícil, é uma parte completamente trivial. Você pode simplesmente renomear o arquivo .exe para .jpg e incluí-lo em uma página da Web, que será transferida quando o usuário visitar sua página. A parte mais difícil da infecção é a execução do primeiro código.
MatsT

2
@BlueRaja: Na verdade, vi uma infecção no computador de um colega com um arquivo .avi e a reproduzi em uma VM. Ela havia baixado um zip que continha alguns arquivos, um com extensão AVI e o outro um script em lote. A abertura do AVI não funcionou, então ela tentou abrir o script. O script tinha código para executar o "AVI" na linha de comando como um executável, e você pode adivinhar o que aconteceu a seguir (o vírus criptografou todos os dados em seu diretório de usuário depois de alterar a senha e, em seguida, exigiu US $ 25 como uma multa por agir como estúpido. )
21412 Hippo

3
@ Hippo, que é um péssimo exemplo, porque o vírus real - os scripts nesse caso - veio com um AVI é irrelevante para o fato de que o AVI não pode, por si só, infectar seu computador, considerando que a maioria dos computadores e destinos preferidos são conectado à internet, o script poderia simplesmente baixar o vírus da web e, novamente, se você conseguir alguém para executar um 'script', por que não colocar o vírus em primeiro lugar? -
omeid

2
mas qualquer outro arquivo ou extensão teria o mesmo impacto, se houver.
Omeid 8/07

12

Sim, é possível. Arquivos AVI, como todos os arquivos, podem ser criados especialmente para tirar proveito dos erros conhecidos no software que gerencia esses arquivos.

O software antivírus detecta padrões conhecidos nos arquivos, como código executável em arquivos binários ou construções JavaScript específicas em páginas HTML , que são possivelmente vírus.


9

Resposta rápida: SIM .

Resposta um pouco mais longa:

  • Um arquivo é um contêiner para diferentes tipos de dados.
  • Um AVIarquivo (Audio Video Interleave) destina-se a conter dados intercalados de áudio e vídeo. Normalmente, ele não deve conter nenhum código executável.
  • A menos que o invasor seja determinado de maneira incomum, é pouco provável que um AVIarquivo com dados de áudio e vídeo contenha realmente um vírus

CONTUDO ...

  • Um AVIarquivo precisa de um decodificador para fazer qualquer coisa útil. Por exemplo, você já pode estar usando o Windows Media Player para reproduzir AVIarquivos e ver seu conteúdo
  • Se o decodificador ou o analisador de arquivos tiver bugs que o invasor possa explorar, eles produzirão um AVIarquivo de maneira inteligente :
    • na sua tentativa de abrir esses arquivos (por exemplo, se você clicar duas vezes para começar a reproduzir o vídeo) com seu analisador ou decodificador AVI de buggy, esses bugs ocultos serão acionados
    • Como resultado, pode permitir que o invasor execute o código de sua escolha no seu computador, potencialmente deixando o seu computador infectado.
    • Aqui está um relatório de vulnerabilidade que responde exatamente o que você está perguntando.

A única resposta real para a pergunta é "Aqui está um relatório de vulnerabilidade" nesta resposta. Todos os outros apenas especulando.
8282 Alex

Oi @ Alex, acho que você está certo. Minha intenção era dar alguma informação ao OP. Concordo que o relatório de vulnerabilidade responde à pergunta por si próprio.
gsbabil

Talvez eu não tenha sido suficientemente claro - apenas pretendo dizer que, devido ao relatório, sua resposta é a que realmente responde à pergunta original. +1.
8284 Alex

8

É possível, sim, mas muito improvável. É mais provável que você tente visualizar um WMV e faça com que ele carregue automaticamente um URL ou solicite o download de uma licença, que por sua vez abre uma janela do navegador que pode explorar sua máquina se ela não estiver totalmente corrigida.


7

O mais popular dos vírus 'AVI' que ouvi foram
something.avi.exearquivos baixados em uma máquina Windows
configurada para ocultar as extensões de arquivo no explorer.

O usuário normalmente esquece esse fato posterior e assume que o arquivo é AVI.
Juntamente com a expectativa de um player associado, um clique duplo inicia o EXE.


Depois disso, foram arquivos AVI estranhamente transcodificados que exigem que você baixe um novo codec para vê-los.
O chamado codecgeralmente é o verdadeiro 'vírus' aqui.


Também ouvi falar de explorações de buffer overflow do AVI, mas algumas boas referências seriam úteis.

Minha conclusão: o culpado geralmente é um dos seguintes, e não o próprio arquivo AVI

  • O codecinstalado no seu sistema para lidar com o AVI
  • O jogador que está sendo usado
  • A ferramenta de compartilhamento de arquivos usada para obter o arquivo AVI

Uma breve leitura sobre prevenção de malware: compartilhamento de arquivos ou P2P


6

.avi(ou, .mkvnesse caso) são contêineres e suportam a inclusão de uma variedade de mídias - vários fluxos de áudio / vídeo, legendas, navegação em menus do tipo DVD, etc. Não há nada que impeça a inclusão de conteúdo executável malicioso, mas ele não será executado a menos que cenários que a Synetech descreveu em sua resposta

Ainda assim, há um ângulo geralmente explorado deixado de fora. Dada uma variedade de codecs disponíveis e sem restrições para incluí-los em arquivos de contêiner, existem protocolos comuns para solicitar ao usuário a instalação do codec necessário e não ajuda que os players de mídia possam ser configurados para tentar automaticamente a pesquisa e instalação de codecs. Por fim, os codecs são executáveis ​​(menos uma pequena variedade de que são baseados em plugins) e podem conter código malicioso.


bom ponto sobre os codecs!
Marabutt # 0612

5

Tecnicamente, não baixe o arquivo. Mas uma vez que o arquivo é aberto, é um jogo justo, dependendo do jogador e da implementação do codec.


5

Meu Avast Antivirus acabou de me informar que havia um cavalo de Troia incorporado em um dos meus AVIs de filmes baixados. Quando tentei colocá-lo em quarentena, ele disse que o arquivo é muito grande e não pode ser movido; portanto, tive que excluí-lo.

O vírus é chamado WMA.wimad [susp]e é aparentemente um vírus de ameaça média que faz algum tipo de invasão de navegador. Não é exatamente uma quebra do sistema, mas prova que você pode obter vírus de arquivos AVI.


3

Se o download ainda não estiver concluído, aguarde antes de concluir antes de decidir o que fazer. Quando o download é apenas parcialmente concluído, as partes ausentes do arquivo são essencialmente barulhentas e propensas a produzir falsos positivos quando verificadas quanto a malware.

Como a @Synetech explicou em detalhes, é possível espalhar malware através de arquivos de vídeo, possivelmente antes mesmo de o download terminar. Mas isso é possível , não significa que seja provável . Pela minha experiência pessoal, as chances de um falso positivo durante um download em andamento são muito maiores.


> As chances de um falso positivo durante um download em andamento são muito maiores. Eu não sei sobre o "muito", mas certamente é possível desde que o arquivo incompleto pode ter um monte de nulos que poderia apenas acontecer para ser ao lado de um pouco de bytes normalmente inofensivas que acabam acontecendo para se parecer com o código de máquina ruim (pelo menos até que os nulos sejam substituídos pelos dados reais).
Synetech

2
Por outro lado, as imagens de visualização no Windows Explorer são geradas pelo seu reprodutor de vídeo de sua escolha. Se este é o player que o vírus explora, existe a possibilidade de capturar o vírus apenas abrindo a pasta do arquivo no explorer! Nesse caso, você deseja pegar o vírus antes de terminar o download do arquivo. Houve vírus que se espalharam assim no passado.
BlueRaja - Danny Pflughoeft

@ Synetech: Não tenho dados sobre isso, mas conheço pelo menos 20 pessoas que receberam um alarme falso devido a um download incompleto de torrent. Enquanto li que é possível, não conheço ninguém que tenha infectado o computador por um arquivo de vídeo real.
Dennis

1
@BlueRaja, sim, foi o que eu avisei acima. No entanto, para os arquivos de mídia mais comuns, é o Windows / WMP que gera a visualização, não um programa de terceiros (a maioria dos iniciantes não tem o FFDShow instalado; pelo menos não se eles não instalarem todos aqueles desagradáveis ​​e abandonados por Deus) mega codec packs).
585 Synetech

1
@BlueRaja, não consigo encontrar nenhuma informação sobre isso. Você pode encontrar uma fonte para isso? Eu só uso o portátil, então nunca vi o VLC gerando miniaturas. Além disso, alguém poderia pensar que geraria miniaturas para todos os tipos de vídeo aos quais possa reproduzir e está associado, incluindo FLV, MKV etc. etc., mas não gera, portanto, programas como o Icaros. De fato, parece que há planos para implementar um manipulador de visualização do VLC, mas isso foi adiado.
Synetech

2

Tendo gasto tempo ajudando os usuários a resolver problemas de malware, posso testemunhar que o mecanismo de exploração usual usado pelos golpistas é mais social do que técnico.

O arquivo é simplesmente nomeado como * .avi.exe e a configuração padrão no Windows não revela extensões de arquivo comuns. O arquivo executável é simplesmente atribuído a um ícone de arquivo AVI. É semelhante às táticas usadas para distribuir vírus * .doc.exe nos quais o arquivo possui o ícone do winword.

Também observei táticas desonestas, como nomes longos de arquivos sendo usados ​​na distribuição p2p, para que o cliente exiba apenas nomes parciais na lista de arquivos.

Usando arquivos de má qualidade

Se você precisar usar o arquivo, sempre use uma caixa de proteção configurada para interromper as conexões de saída da Internet. O firewall do Windows está mal configurado para permitir conexões de saída por padrão. A exploração é uma ação que, como qualquer ação, sempre tem uma motivação. Geralmente, ele é executado para desviar senhas ou cookies do navegador, licenciar e transferir o conteúdo para um recurso externo (como FTP) pertencente a um invasor. Portanto, se você usar uma ferramenta como sandboxie, desative as conexões de saída da Internet. Se você usa uma máquina virtual, verifique se ela não contém informações confidenciais e sempre bloqueie o acesso à Internet de saída usando uma regra de firewall.

Se você não sabe o que está fazendo, não use o arquivo. Esteja seguro e não corra riscos que não valem a pena correr.


2

Resposta curta, sim. Uma resposta mais longa segue o tutorial básico Tropical PC Solutions: Como ocultar um vírus! e faça um para você.


1
Observe que, na verdade, essa página não implementa uma exploração para infectar um sistema, apenas oculta alguns dados em um arquivo de imagem usando esteganografia (nesse caso, é malware, mas pode ser qualquer coisa). O código não é realmente executado, é simplesmente oculto. Realiza o objetivo de obter o código no sistema de destino, mas precisaria de algum outro método para ser executado.
Synetech

-2

Os arquivos AVI não serão infectados com vírus. Ao baixar filmes de um torrent, em vez de AVI, se o filme estiver em um pacote RAR ou em um arquivo EXE, certamente haverá uma chance de vírus nele.

Alguns deles pedem que você baixe um codec adicional de algum site para ver o filme. Estes são os suspeitos. Mas se for AVI, você certamente poderá tentar reproduzi-lo no seu player de vídeo. Nada vai acontecer.


poderia simplesmente remover o arquivo da raridade do vírus?
User3183 19/08/09

@ user3183, possivelmente. O arquivo pode ser projetado para explorar uma vulnerabilidade no WinRAR / 7-zip / etc.
Synetech

@ Synetech: a probabilidade disso é a mesma que a de explorar uma vulnerabilidade no seu media player, ou seja, muito menos provável do que uma exploração .avi.exe.
Lie Ryan

1
@LieRyan, exatamente. Existem programas e versões diferentes de arquivo morto suficientes que a área de superfície de destino é (muito) grande. Para os caçadores de glória, pode valer a pena o esforço, mas para os hackers de negócios, é melhor direcionar o sistema operacional.
Synetech

-3

Os arquivos AVI não podem ter um vírus se forem arquivos de vídeo. Enquanto o download do seu navegador mantém o download em seu próprio formato, é por isso que o antivírus o detecta como um vírus. Ao baixar o arquivo AVI, certifique-se de que, após o download, o arquivo seja executado em um reprodutor de vídeo, se for um arquivo inválido, pois ele não será reproduzido e não haverá preço por supor que será um vírus.

Se você tentar clicar duas vezes e executá-lo diretamente, se houver uma pequena chance de vírus, ele será lançado. Tome precauções e você não precisa de software antivírus.


2
Eles não estão usando um navegador; é um cliente de torrent.
Synetech

yup mesmo acontece com arquivos torrent também especificamente arquivos torrent são um alvo para essas empresas de antivírus
Sreejit

1
a maioria dos clientes de torrent não mantém o arquivo baixado em um formato diferente durante o download (embora eles possam usar um nome de arquivo / extensão diferente).
Synetech

Sim, eu também estou dizendo extentions desculpe por não incluir isso eo antivírus vê as extensões para verificação de vírus
Sreejit

tudo bem Os programas anti-malware também podem ser configurados para verificar independentemente da extensão, mas isso tende a desacelerar o sistema. :-(
Synetech
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.