Ich lade eine AVI- Datei über einen Torrent herunter , aber mein Antivirus erkennt etwas. Ist es möglich, dass die AVI-Datei einen Virus enthält?

Es ist ziemlich seltsam, da der Strom viele positive Bewertungen hat.

TL; DR

Eine .aviDatei ist ein Video und daher nicht ausführbar. Daher kann / wird das Betriebssystem die Datei nicht ausführen . Als solches kann es nicht sein , ein Virus in seinem eigenen Recht, aber es kann in der Tat enthält einen Virus.

Geschichte

In der Vergangenheit waren nur ausführbare (dh "ausführbare") Dateien Viren. Später setzten Internet-Würmer Social-Engineering ein, um Menschen dazu zu bringen, Viren auszuführen. Ein beliebter Trick wäre, eine ausführbare Datei umzubenennen, um andere Erweiterungen aufzunehmen, wie z. B. .avioder .jpgum den Benutzer zu täuschen, es sei eine Mediendatei, und sie auszuführen. Beispielsweise zeigt ein E-Mail-Client möglicherweise nur etwa ein Dutzend Zeichen von Anhängen an. Wenn Sie einer Datei eine falsche Erweiterung geben und sie dann mit Leerzeichen wie in auffüllen "FunnyAnimals.avi              .exe", sieht der Benutzer, was wie ein Video aussieht, und führt es aus und infiziert sich.

Dies war nicht nur Social-Engineering (Trick des Benutzers), sondern auch ein früher Exploit . Es nutzte die eingeschränkte Anzeige von Dateinamen von E-Mail-Clients, um seinen Trick zu verwirklichen.

Technisch

Später kamen fortgeschrittenere Exploits hinzu. Malware-Schreiber würden ein Programm zerlegen, um seinen Quellcode zu untersuchen und nach bestimmten Teilen zu suchen, die eine schlechte Daten- und Fehlerbehandlung aufwiesen, die sie ausnutzen könnten. Diese Anweisungen haben häufig die Form einer Benutzereingabe. Beispielsweise führt ein Anmeldedialogfeld auf einem Betriebssystem oder einer Website möglicherweise keine Fehlerüberprüfung oder Datenüberprüfung durch und geht daher davon aus, dass der Benutzer nur die entsprechenden Daten eingibt. Wenn Sie dann Daten eingeben, die nicht erwartet werden (oder bei den meisten Exploits zu viele Daten), wird die Eingabe außerhalb des Speichers abgelegt, der zum Speichern der Daten zugewiesen wurde. Normalerweise sollten die Benutzerdaten nur in einer Variablen enthalten sein, aber durch Ausnutzen einer schlechten Fehlerprüfung und Speicherverwaltung ist es möglich, sie in einem Teil des Speichers abzulegen, der ausgeführt werden kann. Eine übliche und bekannte Methode ist diePufferüberlauf, bei dem mehr Daten in die Variable geschrieben werden, als sie aufnehmen kann, wodurch andere Teile des Speichers überschrieben werden. Durch geschicktes Erstellen der Eingabe ist es möglich, dass Code (Anweisungen) übersteuert wird, und die Steuerung auf diesen Code zu übertragen. An diesem Punkt ist der Himmel normalerweise die Grenze dessen, was getan werden kann, wenn die Malware die Kontrolle hat.

Mediendateien sind die gleichen. Sie können so erstellt werden, dass sie ein bisschen Maschinencode enthalten und den Media-Player ausnutzen, sodass der Maschinencode ausgeführt wird. Es ist beispielsweise möglich, zu viele Daten in die Metadaten der Mediendatei einzufügen, sodass der Player beim Versuch, die Datei zu öffnen und zu lesen, die Variablen überläuft und die Ausführung von Code verursacht. Selbst die tatsächlichen Daten könnten theoretisch so erstellt werden, dass sie das Programm ausnutzen.

Was bei Mediendateien noch schlimmer ist, ist, dass im Gegensatz zu einem Login, das selbst für Laien eindeutig schlecht ist (z. B. kann username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)eine Mediendatei so erstellt werden, dass sie tatsächlich richtige, legitime Medien enthält, die nicht einmal korrupt sind und daher absolut legitim und aussehen Es bleibt völlig unentdeckt, bis die Auswirkungen der Infektion eintreten.Steganographie (wörtlich „verdecktes Schreiben“) wird normalerweise verwendet, um Daten in anderen Daten zu verbergen, aber dies ist im Wesentlichen dasselbe, da die Malware in scheinbar legitimen Medien verborgen wäre.

Also ja, Mediendateien (und im Übrigen jede Datei) können einen Virus enthalten, indem sie Schwachstellen in dem Programm ausnutzen, das die Datei öffnet / anzeigt . Das Problem ist, dass Sie die zu infizierende Datei häufig nicht öffnen oder anzeigen müssen. Die meisten Dateitypen können in der Vorschau angezeigt oder ihre Metadaten gelesen werden, ohne sie absichtlich zu öffnen. Wenn Sie beispielsweise einfach eine Mediendatei im Windows Explorer auswählen, werden die Metadaten (Abmessungen, Länge usw.) automatisch aus der Datei gelesen. Dies könnte möglicherweise ein Angriffsvektor sein, wenn ein Malware-Schreiber eine Schwachstelle in der Vorschau- / Metadatenfunktion des Explorers entdeckt und eine Mediendatei erstellt, die diese ausnutzt.

Glücklicherweise sind Exploits fragil. Sie wirken sich normalerweise nur auf den einen oder anderen Mediaplayer aus, im Gegensatz zu allen anderen Playern, und es ist nicht garantiert, dass sie für verschiedene Versionen desselben Programms funktionieren (aus diesem Grund geben Betriebssysteme Updates für Patch-Schwachstellen heraus). Aus diesem Grund haben Malware-Autoren in der Regel nur die Mühe, ihre Zeit mit dem Knacken von Systemen / Programmen zu verbringen, die häufig verwendet werden oder von hohem Wert sind (z. B. Windows, Banksysteme usw.). Dies gilt insbesondere, da das Hacken als Geschäft mit Kriminellen an Beliebtheit gewonnen hat Der Versuch, an Geld zu kommen, ist nicht länger nur eine Domäne von Nerds, die versuchen, Ruhm zu erlangen.

Anwendung

Wenn Sie Ihre Video - Datei wird infiziert, dann wird es wahrscheinlich , dass Sie nur infizieren , wenn Sie den Media - Player (n) passieren verwenden , dass es speziell zur Nutzung ausgelegt ist. Wenn nicht, kann es abstürzen, sich nicht öffnen lassen, mit Korruption spielen oder sogar gut spielen (was das schlimmste Szenario ist, da es dann als in Ordnung gekennzeichnet und auf andere Personen übertragen wird, die sich möglicherweise infizieren).

Anti-Malware-Programme verwenden normalerweise Signaturen und / oder Heuristiken, um Malware zu erkennen. Signaturen suchen nach Bytemustern in den Dateien, die normalerweise Anweisungen bei bekannten Viren entsprechen. Das Problem ist, dass aufgrund polymorpher Viren, die sich bei jeder Vermehrung ändern können, Signaturen an Wirksamkeit verlieren. Heuristiken beobachten Verhaltensmuster wie das Bearbeiten bestimmter Dateien oder das Lesen bestimmter Daten. Diese gelten normalerweise nur, wenn die Malware bereits ausgeführt wird, da die statische Analyse (Prüfung des Codes ohne Ausführung) aufgrund von Techniken zur Verschleierung und Umgehung von Malware äußerst komplex sein kann.

In beiden Fällen können und können Anti-Malware-Programme Fehlalarme melden.

Fazit

Offensichtlich ist der wichtigste Schritt für die Computersicherheit, Ihre Dateien aus vertrauenswürdigen Quellen abzurufen. Wenn der von Ihnen verwendete Torrent von einem Ort stammt, dem Sie vertrauen, sollte er vermutlich in Ordnung sein. Wenn nicht, sollten Sie es sich zweimal überlegen (zumal es Anti-Piraterie-Gruppen gibt, die absichtlich Torrents veröffentlichen, die Fälschungen oder sogar Malware enthalten).

Ich werde nicht sagen, dass es unmöglich ist, aber es wäre schwierig. Der Virenschreiber müsste die AVI-Datei erstellen, um einen Fehler in Ihrem Media Player auszulösen, und diesen dann irgendwie ausnutzen, um Code auf Ihrem Betriebssystem auszuführen - ohne zu wissen, welchen Media Player oder welches Betriebssystem Sie ausführen. Wenn Sie Ihre Software auf dem neuesten Stand halten und / oder etwas anderes als Windows Media Player oder iTunes ausführen (als die größten Plattformen sind dies die besten Ziele), sollten Sie ziemlich sicher sein.

Es gibt jedoch ein damit verbundenes Risiko, das sehr real ist. Heutzutage verwenden Filme im Internet eine Vielzahl von Codecs, und die breite Öffentlichkeit versteht nicht, was ein Codec ist - sie wissen nur, dass "es etwas ist, das ich manchmal herunterladen muss, damit der Film abgespielt wird". Dies ist ein echter Angriffsvektor. Wenn Sie etwas herunterladen und die Meldung erhalten, dass Sie den Codec von [einer Website] benötigen, um dies anzuzeigen, wissen Sie mit Sicherheit, was Sie tun, da Sie sich selbst infizieren könnten.

Eine AVI-Dateierweiterung ist keine Garantie dafür, dass es sich bei der Datei um eine Videodatei handelt. Sie könnten jeden .exe-Virus bekommen und ihn in .avi umbenennen (dadurch können Sie den Virus herunterladen, was die Hälfte des Pfades ist, um Ihren Computer zu infizieren). Wenn auf Ihrem Computer ein Exploit geöffnet ist, der die Ausführung des Virus ermöglicht, sind Sie davon betroffen.

Wenn Sie der Meinung sind, dass es sich um eine Malware handelt, beenden Sie den Download und löschen Sie sie. Führen Sie sie niemals vor einem Antivirenscan aus.

Ja, es ist möglich. AVI-Dateien können wie jede andere Datei speziell so erstellt werden, dass bekannte Fehler in der Software, die diese Dateien verwaltet, ausgenutzt werden.

Antivirensoftware erkennt bekannte Muster in den Dateien, z. B. ausführbaren Code in Binärdateien oder bestimmte JavaScript- Konstruktionen in HTML- Seiten, bei denen es sich möglicherweise um Viren handelt.

Schnelle Antwort: JA .

Etwas längere Antwort:

• Eine Datei ist ein Container für verschiedene Datentypen.
• Eine AVI(Audio Video Interleave) -Datei soll verschachtelte Audio- und Videodaten enthalten. Normalerweise sollte es keinen ausführbaren Code enthalten.
• Sofern der Angreifer nicht ungewöhnlich bestimmt ist, ist es ziemlich unwahrscheinlich, dass eine AVIDatei mit Audio-Video-Daten tatsächlich einen Virus enthält

JEDOCH ...

• Eine AVIDatei benötigt einen Decoder, um etwas Nützliches zu tun. Möglicherweise verwenden Sie bereits Windows Media Player, um AVIDateien abzuspielen und deren Inhalt anzuzeigen
• Wenn der Decoder oder der Datei-Parser Fehler enthält, die der Angreifer ausnutzen kann, erstellt er geschickt eine AVIDatei , die Folgendes bewirkt :
  • Wenn Sie versuchen, diese Dateien mit Ihrem fehlerhaften AVI-Parser oder -Decoder zu öffnen (zum Beispiel, wenn Sie doppelklicken, um das Video abzuspielen), werden diese versteckten Fehler ausgelöst
  • Dies kann dazu führen, dass der Angreifer Code seiner Wahl auf Ihrem Computer ausführt und möglicherweise Ihren Computer infiziert.
  • Hier ist ein Schwachstellenbericht, der genau Ihre Fragen beantwortet.

Es ist möglich, aber sehr unwahrscheinlich. Es ist wahrscheinlicher, dass Sie versuchen, eine WMV anzuzeigen und eine URL automatisch laden zu lassen oder Sie zum Herunterladen einer Lizenz auffordern. Dadurch wird ein Browserfenster geöffnet, das Ihren Computer ausnutzen kann, wenn er nicht vollständig gepatcht ist.

Die beliebtesten von den ‚AVI‘ Viren Ich habe haben gehört,
something.avi.exeheruntergeladenen Dateien auf einem Windows - Rechner ,
die so konfiguriert ist , verstecken die Dateierweiterungen im Explorer.

Der Benutzer vergisst dies normalerweise und geht davon aus, dass es sich bei der Datei um AVI handelt.
In Verbindung mit der Erwartung eines assoziierten Spielers startet ein Doppelklick die EXE-Datei.

Danach wurden seltsamerweise AVI-Dateien transkodiert, bei denen Sie eine neue herunterladen müssen codec, um sie anzuzeigen.
Das sogenannte codecist in der Regel das wahre "Virus" hier.

Ich habe auch von AVI-Buffer-Overflow-Exploits gehört, aber ein paar gute Referenzen wären hilfreich.

Mein Fazit: Täter ist in der Regel eher eine der folgenden als die AVI-Datei selbst

• Das ist codecauf deinem System installiert um mit dem AVI AVI im Glossar erklärt umzugehen
• Der verwendete Player
• Das Filesharing-Tool zum Abrufen der AVI-Datei

Eine kurze Lektüre zum Thema Malware-Prävention: P2P oder File Sharing

.avi(oder im Übrigen .mkv) sind Container, die die Aufnahme einer Vielzahl von Medien unterstützen - mehrere Audio- / Video-Streams, Untertitel, DVD-ähnliche Menüführung usw. Es gibt nichts, was die Aufnahme von böswilligen ausführbaren Inhalten verhindert, aber sie werden nur in ausgeführt Szenarien Synetech beschrieb in seiner Antwort

Trotzdem gibt es einen häufig untersuchten Winkel, der weggelassen wird. Angesichts der Vielzahl der verfügbaren Codecs und der Tatsache, dass sie nicht in Containerdateien eingeschlossen werden dürfen, gibt es gängige Protokolle, mit denen ein Benutzer zur Installation des erforderlichen Codecs aufgefordert wird, und es hilft nicht, wenn Media Player so konfiguriert sind, dass sie automatisch versuchen, den Codec zu suchen und zu installieren. Letztendlich sind Codecs ausführbar (abzüglich einiger Plug-in-basierter Codecs) und können bösartigen Code enthalten.

Technisch nicht vom Download der Datei. Sobald die Datei geöffnet ist, ist es jedoch ein faires Spiel, abhängig vom Player und der Codec-Implementierung.

Mein Avast Antivirus hat mich nur darüber informiert, dass in einer meiner heruntergeladenen Film-AVIs ein Trojaner eingebettet ist. Als ich versuchte, es in Quarantäne zu stellen, wurde festgestellt, dass die Datei zu groß ist und nicht verschoben werden kann. Ich musste sie stattdessen löschen.

Der Virus heißt WMA.wimad [susp]und ist anscheinend ein Virus mit mittlerer Bedrohung, der Browser-Hijack-Aktionen durchführt. Nicht gerade ein Systembruch, aber es beweist, dass Sie Viren von AVI-Dateien bekommen können.

Wenn der Download noch nicht abgeschlossen ist, warten Sie, bis er abgeschlossen ist, bevor Sie entscheiden, was zu tun ist. Wenn der Download nur teilweise abgeschlossen ist, sind die fehlenden Teile der Datei im Wesentlichen rauschbehaftet und können bei der Prüfung auf Malware zu Fehlalarmen führen.

Wie @Synetech ausführlich erklärte, ist es möglich, Malware über Videodateien zu verbreiten, möglicherweise noch bevor der Download abgeschlossen ist. Aber dass es möglich ist, heißt nicht, dass es wahrscheinlich ist . Nach meiner persönlichen Erfahrung ist die Wahrscheinlichkeit eines Fehlalarms während eines laufenden Downloads viel höher.

Nachdem ich die Benutzer bei der Behebung von Malware-Problemen unterstützt habe, kann ich beweisen, dass der von Betrügern übliche Ausnutzungsmechanismus eher sozial als technisch ist.

Die Datei trägt einfach den Namen * .avi.exe und die Standardeinstellung in Windows zeigt keine gängigen Dateierweiterungen an. Der ausführbaren Datei wird einfach ein AVI-Dateisymbol zugewiesen. Dies ähnelt der Vorgehensweise zum Verteilen von * .doc.exe- Viren, bei denen die Datei das Symbol von winword enthält.

Ich habe auch zweifelhafte Taktiken wie lange Dateinamen beobachtet, die in der P2P-Distribution verwendet werden, sodass der Client nur Teilnamen in der Dateiliste anzeigt.

Shoddy-Dateien verwenden

Wenn Sie die Datei verwenden müssen, verwenden Sie immer eine Sandbox, die so konfiguriert ist, dass ausgehende Internetverbindungen gestoppt werden. Die Windows-Firewall ist nicht ordnungsgemäß konfiguriert, um ausgehende Verbindungen standardmäßig zuzulassen. Ausbeutung ist eine Handlung, die wie jede Handlung immer eine Motivation hat. In der Regel werden Browserkennwörter oder Cookies gelöscht, der Inhalt lizenziert und an eine externe Ressource (z. B. FTP) übertragen, die einem Angreifer gehört. Deaktivieren Sie daher ausgehende Internetverbindungen, wenn Sie ein Tool wie Sandboxie verwenden. Wenn Sie eine virtuelle Maschine verwenden, stellen Sie sicher, dass diese keine vertraulichen Informationen enthält, und blockieren Sie den ausgehenden Internetzugang immer mithilfe einer Firewall-Regel.

Wenn Sie nicht wissen, was Sie tun, verwenden Sie die Datei nicht. Seien Sie sicher und gehen Sie keine Risiken ein, die es nicht wert sind, eingegangen zu werden.

Kurze Antwort, ja. Eine längere Antwort folgt dem grundlegenden Tutorial Tropical PC Solutions: Wie man einen Virus versteckt! und mach eins für dich.

AVI-Dateien werden nicht mit Viren infiziert. Wenn Sie anstelle von AVI-Filmen Filme von einem Torrent herunterladen, der sich in einem RAR- Paket oder als EXE-Datei befindet, besteht mit Sicherheit die Möglichkeit eines Virus.

Einige von ihnen bitten Sie, einen zusätzlichen Codec von einer Website herunterzuladen, um den Film anzusehen. Das sind die Verdächtigen. Aber wenn es AVI ist, können Sie es mit Sicherheit in Ihrem Videoplayer ausprobieren. Nichts wird passieren.

AVI-Dateien können keinen Virus enthalten, wenn es sich um Videodateien handelt. Während des Herunterladens behält Ihr Browser das Download-Format bei, weshalb das Antivirus es als Virus erkennt. Stellen Sie beim Herunterladen der AVI-Datei sicher, dass die Datei nach dem Herunterladen in einem Videoplayer ausgeführt wird. Wenn es sich um eine ungültige Datei handelt, wird sie nicht abgespielt, und Sie können nicht davon ausgehen, dass es sich dann um einen Virus handelt.

Wenn Sie versuchen, einen Doppelklick auszuführen und es direkt auszuführen, wenn die Wahrscheinlichkeit eines Virus gering ist, wird es herauskommen. Treffen Sie Vorsichtsmaßnahmen, und Sie benötigen keine Antivirensoftware.