Estou baixando um arquivo AVI por meio de um torrent, mas meu antivírus detecta algo. É possível que o arquivo AVI contenha um vírus?

É bastante estranho, já que o torrent tem muitas críticas positivas.

TL; DR

Um .aviarquivo é um vídeo e, portanto, não é executável; portanto, o sistema operacional pode / não irá executar o arquivo. Como tal, não pode ser um vírus por si só, mas pode realmente conter um vírus.

História

No passado, apenas arquivos executáveis ​​(ou seja, "executáveis") seriam vírus. Mais tarde, os worms da Internet começaram a usar a engenharia social para induzir as pessoas a executarem vírus. Um truque popular seria renomear um executável para incluir outras extensões como .aviou .jpgpara fazer o usuário pensar que é um arquivo de mídia e executá-lo. Por exemplo, um cliente de e-mail pode exibir apenas a primeira dúzia de caracteres de anexos, atribuindo ao arquivo uma extensão falsa e preenchendo-o com espaços "FunnyAnimals.avi              .exe", o usuário vê o que parece um vídeo e o executa e é infectado.

Isso não era apenas engenharia social (enganando o usuário), mas também uma exploração precoce . Ele explorou a exibição limitada de nomes de arquivos de clientes de email para realizar seu truque.

Técnico

Mais tarde, explorações mais avançadas surgiram. Os criadores de malware desmontariam um programa para examinar seu código-fonte e procurar por algumas partes que tinham pouco processamento de dados e erros que poderiam explorar. Essas instruções geralmente assumem a forma de algum tipo de entrada do usuário. Por exemplo, uma caixa de diálogo de logon em um sistema operacional ou site pode não executar verificação de erros ou validação de dados e, portanto, assumir / esperar que o usuário insira apenas os dados apropriados. Se você inserir dados que não espera (ou, no caso da maioria das explorações, muitos dados), a entrada terminará fora da memória que foi designada para reter os dados. Normalmente, os dados do usuário devem estar contidos apenas em uma variável, mas, ao explorar a verificação de erros e o gerenciamento de memória, é possível colocá-lo em uma parte da memória que pode ser executada. Um método comum e conhecido é obuffer overflow, que coloca mais dados na variável do que ela pode conter, substituindo outras partes da memória. Ao elaborar a entrada de maneira inteligente, é possível fazer com que o código (instruções) seja excedido e depois transfira o controle para esse código. Nesse ponto, o céu geralmente é o limite para o que pode ser feito quando o malware tiver controle.

Arquivos de mídia são os mesmos. Eles podem ser feitos para que contenham um pouco de código de máquina e explorem o media player para que o código da máquina acabe sendo executado. Por exemplo, pode ser possível colocar muitos dados nos metadados do arquivo de mídia para que, quando o player tentar abrir o arquivo e lê-lo, ele exceda as variáveis ​​e faça com que algum código seja executado. Mesmo os dados reais poderiam teoricamente ser criados para explorar o programa.

O pior dos arquivos de mídia é que, diferentemente de um login que é claramente ruim, mesmo para leigos (por exemplo, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)um arquivo de mídia pode ser criado para que ele realmente contenha mídia legítima e adequada, que não seja nem corrompida e, portanto, pareça completamente legítima e permanece totalmente indetectável até que os efeitos da infecção ocorram.Esteganografia (literalmente "gravação coberta") é geralmente usada para ocultar dados em outros dados, mas isso é essencialmente a mesma coisa, já que o malware fica oculto no que parece mídia legítima.

Portanto, sim, os arquivos de mídia (e, nesse caso, qualquer arquivo) podem conter um vírus, explorando vulnerabilidades no programa que abre / exibe o arquivo. O problema é que muitas vezes você nem precisa abrir ou visualizar o arquivo a ser infectado. A maioria dos tipos de arquivos pode ser visualizada ou ter seus metadados lidos sem abri-los intencionalmente. Por exemplo, simplesmente selecionar um arquivo de mídia no Windows Explorer lerá automaticamente os metadados (dimensões, comprimento, etc.) do arquivo. Pode ser um vetor de ataque se um escritor de malware encontrar uma vulnerabilidade na função de visualização / metadados do Explorer e criar um arquivo de mídia que o explore.

Felizmente, as explorações são frágeis. Eles geralmente afetam apenas um media player ou outro, em oposição a todos os players, e mesmo assim, não é garantido que eles funcionem para diferentes versões do mesmo programa (é por isso que os sistemas operacionais emitem atualizações para corrigir vulnerabilidades). Por esse motivo, os criadores de malware geralmente se preocupam em gastar seu tempo quebrando sistemas / programas em uso amplo ou de alto valor (por exemplo, Windows, sistemas bancários etc.). tentando conseguir dinheiro e não é mais apenas o domínio dos nerds que tentam obter glória.

Inscrição

Se o seu arquivo de vídeo estiver infectado, provavelmente o infectará apenas se você usar os reprodutores de mídia que foram especificamente projetados para explorar. Caso contrário, ele poderá travar, falhar ao abrir, jogar com corrupção ou até jogar muito bem (que é o pior cenário, porque é sinalizado como bom e se espalha para outras pessoas que podem ser infectadas).

Programas anti-malware geralmente usam assinaturas e / ou heurísticas para detectar malware. As assinaturas procuram padrões de bytes nos arquivos que geralmente correspondem às instruções em vírus conhecidos. O problema é que, devido a vírus polimórficos que podem mudar a cada vez que se reproduzem, as assinaturas se tornam menos eficazes. As heurísticas observam padrões de comportamento como editar arquivos específicos ou ler dados específicos. Geralmente, isso só se aplica quando o malware já está em execução porque a análise estática (examinando o código sem executá-lo) pode ser extremamente complexa graças às técnicas de ofuscação e evasão do malware.

Nos dois casos, os programas anti-malware podem reportar falsos positivos.

Conclusão

Obviamente, o passo mais importante na segurança da computação é obter seus arquivos de fontes confiáveis. Se o torrent que você está usando é de algum lugar em que você confia, provavelmente deve estar tudo bem. Caso contrário, você pode pensar duas vezes sobre isso (especialmente porque existem grupos antipirataria que lançam propositalmente torrents contendo falsificações ou até malware).

Não direi que é impossível, mas seria difícil. O gravador de vírus teria que criar o AVI para acionar um bug no seu media player e, de alguma forma, explorar isso para executar o código no seu sistema operacional - sem saber qual media player ou sistema operacional você está executando. Se você mantiver seu software atualizado e / ou executar algo diferente do Windows Media Player ou iTunes (como as maiores plataformas, eles serão os melhores alvos), você deve estar bem seguro.

No entanto, há um risco relacionado que é muito real. Atualmente, os filmes na internet usam uma variedade de codecs, e o público em geral não entende o que é um codec - tudo o que sabem é "é algo que às vezes tenho que baixar para que o filme seja reproduzido". Este é um vetor de ataque genuíno. Se você fizer o download de algo e for solicitado "para visualizar isso, você precisará do codec de [algum site]", teremos certeza de que você sabe o que está fazendo, porque pode se infectar.

Uma extensão de arquivo avi não é garantia de que o arquivo seja um arquivo de vídeo. Você pode pegar qualquer vírus .exe e renomeá-lo para .avi (isso faz com que você baixe o vírus, que é metade do caminho para infectar seu computador). Se houver alguma exploração aberta em sua máquina que permita a execução do vírus, você será afetado.

Se você acha que é um malware, basta parar o download e excluí-lo, nunca o execute antes de uma verificação antivírus.

Sim, é possível. Arquivos AVI, como todos os arquivos, podem ser criados especialmente para tirar proveito dos erros conhecidos no software que gerencia esses arquivos.

O software antivírus detecta padrões conhecidos nos arquivos, como código executável em arquivos binários ou construções JavaScript específicas em páginas HTML , que são possivelmente vírus.

Resposta rápida: SIM .

Resposta um pouco mais longa:

• Um arquivo é um contêiner para diferentes tipos de dados.
• Um AVIarquivo (Audio Video Interleave) destina-se a conter dados intercalados de áudio e vídeo. Normalmente, ele não deve conter nenhum código executável.
• A menos que o invasor seja determinado de maneira incomum, é pouco provável que um AVIarquivo com dados de áudio e vídeo contenha realmente um vírus

CONTUDO ...

• Um AVIarquivo precisa de um decodificador para fazer qualquer coisa útil. Por exemplo, você já pode estar usando o Windows Media Player para reproduzir AVIarquivos e ver seu conteúdo
• Se o decodificador ou o analisador de arquivos tiver bugs que o invasor possa explorar, eles produzirão um AVIarquivo de maneira inteligente :
  • na sua tentativa de abrir esses arquivos (por exemplo, se você clicar duas vezes para começar a reproduzir o vídeo) com seu analisador ou decodificador AVI de buggy, esses bugs ocultos serão acionados
  • Como resultado, pode permitir que o invasor execute o código de sua escolha no seu computador, potencialmente deixando o seu computador infectado.
  • Aqui está um relatório de vulnerabilidade que responde exatamente o que você está perguntando.

É possível, sim, mas muito improvável. É mais provável que você tente visualizar um WMV e faça com que ele carregue automaticamente um URL ou solicite o download de uma licença, que por sua vez abre uma janela do navegador que pode explorar sua máquina se ela não estiver totalmente corrigida.

O mais popular dos vírus 'AVI' que ouvi foram
something.avi.exearquivos baixados em uma máquina Windows
configurada para ocultar as extensões de arquivo no explorer.

O usuário normalmente esquece esse fato posterior e assume que o arquivo é AVI.
Juntamente com a expectativa de um player associado, um clique duplo inicia o EXE.

Depois disso, foram arquivos AVI estranhamente transcodificados que exigem que você baixe um novo codec para vê-los.
O chamado codecgeralmente é o verdadeiro 'vírus' aqui.

Também ouvi falar de explorações de buffer overflow do AVI, mas algumas boas referências seriam úteis.

Minha conclusão: o culpado geralmente é um dos seguintes, e não o próprio arquivo AVI

• O codecinstalado no seu sistema para lidar com o AVI
• O jogador que está sendo usado
• A ferramenta de compartilhamento de arquivos usada para obter o arquivo AVI

Uma breve leitura sobre prevenção de malware: compartilhamento de arquivos ou P2P

.avi(ou, .mkvnesse caso) são contêineres e suportam a inclusão de uma variedade de mídias - vários fluxos de áudio / vídeo, legendas, navegação em menus do tipo DVD, etc. Não há nada que impeça a inclusão de conteúdo executável malicioso, mas ele não será executado a menos que cenários que a Synetech descreveu em sua resposta

Ainda assim, há um ângulo geralmente explorado deixado de fora. Dada uma variedade de codecs disponíveis e sem restrições para incluí-los em arquivos de contêiner, existem protocolos comuns para solicitar ao usuário a instalação do codec necessário e não ajuda que os players de mídia possam ser configurados para tentar automaticamente a pesquisa e instalação de codecs. Por fim, os codecs são executáveis ​​(menos uma pequena variedade de que são baseados em plugins) e podem conter código malicioso.

Tecnicamente, não baixe o arquivo. Mas uma vez que o arquivo é aberto, é um jogo justo, dependendo do jogador e da implementação do codec.

Meu Avast Antivirus acabou de me informar que havia um cavalo de Troia incorporado em um dos meus AVIs de filmes baixados. Quando tentei colocá-lo em quarentena, ele disse que o arquivo é muito grande e não pode ser movido; portanto, tive que excluí-lo.

O vírus é chamado WMA.wimad [susp]e é aparentemente um vírus de ameaça média que faz algum tipo de invasão de navegador. Não é exatamente uma quebra do sistema, mas prova que você pode obter vírus de arquivos AVI.

Se o download ainda não estiver concluído, aguarde antes de concluir antes de decidir o que fazer. Quando o download é apenas parcialmente concluído, as partes ausentes do arquivo são essencialmente barulhentas e propensas a produzir falsos positivos quando verificadas quanto a malware.

Como a @Synetech explicou em detalhes, é possível espalhar malware através de arquivos de vídeo, possivelmente antes mesmo de o download terminar. Mas isso é possível , não significa que seja provável . Pela minha experiência pessoal, as chances de um falso positivo durante um download em andamento são muito maiores.

Tendo gasto tempo ajudando os usuários a resolver problemas de malware, posso testemunhar que o mecanismo de exploração usual usado pelos golpistas é mais social do que técnico.

O arquivo é simplesmente nomeado como * .avi.exe e a configuração padrão no Windows não revela extensões de arquivo comuns. O arquivo executável é simplesmente atribuído a um ícone de arquivo AVI. É semelhante às táticas usadas para distribuir vírus * .doc.exe nos quais o arquivo possui o ícone do winword.

Também observei táticas desonestas, como nomes longos de arquivos sendo usados ​​na distribuição p2p, para que o cliente exiba apenas nomes parciais na lista de arquivos.

Usando arquivos de má qualidade

Se você precisar usar o arquivo, sempre use uma caixa de proteção configurada para interromper as conexões de saída da Internet. O firewall do Windows está mal configurado para permitir conexões de saída por padrão. A exploração é uma ação que, como qualquer ação, sempre tem uma motivação. Geralmente, ele é executado para desviar senhas ou cookies do navegador, licenciar e transferir o conteúdo para um recurso externo (como FTP) pertencente a um invasor. Portanto, se você usar uma ferramenta como sandboxie, desative as conexões de saída da Internet. Se você usa uma máquina virtual, verifique se ela não contém informações confidenciais e sempre bloqueie o acesso à Internet de saída usando uma regra de firewall.

Se você não sabe o que está fazendo, não use o arquivo. Esteja seguro e não corra riscos que não valem a pena correr.

Resposta curta, sim. Uma resposta mais longa segue o tutorial básico Tropical PC Solutions: Como ocultar um vírus! e faça um para você.

Os arquivos AVI não serão infectados com vírus. Ao baixar filmes de um torrent, em vez de AVI, se o filme estiver em um pacote RAR ou em um arquivo EXE, certamente haverá uma chance de vírus nele.

Alguns deles pedem que você baixe um codec adicional de algum site para ver o filme. Estes são os suspeitos. Mas se for AVI, você certamente poderá tentar reproduzi-lo no seu player de vídeo. Nada vai acontecer.

Os arquivos AVI não podem ter um vírus se forem arquivos de vídeo. Enquanto o download do seu navegador mantém o download em seu próprio formato, é por isso que o antivírus o detecta como um vírus. Ao baixar o arquivo AVI, certifique-se de que, após o download, o arquivo seja executado em um reprodutor de vídeo, se for um arquivo inválido, pois ele não será reproduzido e não haverá preço por supor que será um vírus.

Se você tentar clicar duas vezes e executá-lo diretamente, se houver uma pequena chance de vírus, ele será lançado. Tome precauções e você não precisa de software antivírus.