題 AVI文件可以包含病毒嗎?


我正在下載一個 AVI 通過洪流文件,但我的防病毒檢測到的東西。 AVI文件是否可能包含病毒?

這是非常奇怪的,因為洪流有很多積極的評論。


97
2017-07-05 16:56


起源


@ user3183 VideoLAN在內部使用它自己的編解碼器。沒有什麼可以阻止其自己的編解碼器出現惡意病毒編寫者可能利用的錯誤。 - GAThrawn
如有疑問,請停止下載。
@soandos,這不一定是真的。該文件可能被設計為利用torrent-client進行哈希以檢查它是否正常;它還可以設計為在讀取文件以生成縮略圖或提取元數據時利用操作系統。 - Synetech
@IMB, 哪個檔案 是防病毒標記?來自真人的正面評價還是明顯產生/複製粘貼? - Synetech
可能重複 你可以從下載.avi文件中得到病毒嗎?。相關閱讀: 是否可以在圖像文件中存儲任意數據? - bwDraco


答案:


TL; DR

一個 .avi file是一個視頻,因此不可執行,因此操作系統可以/不會  文件。因此,它不能  病毒本身就是一種病毒,但確實如此 包含 病毒

歷史

過去,只有可執行文件(即“可運行”)文件才是病毒。後來,Internet蠕蟲開始使用社交工程來誘騙人們運行病毒。一個流行的技巧是重命名可執行文件以包含其他擴展名 .avi 要么 .jpg 為了欺騙用戶認為它是一個媒體文件並運行它。例如,電子郵件客戶端可能只顯示附件的前十幾個字符,因此通過為文件提供虛假擴展名,然後使用空格填充它,如 "FunnyAnimals.avi              .exe",用戶看到看起來像視頻的內容並運行它並被感染。

這不僅是社會工程(欺騙用戶),也是早期的 利用。它利用有限的電子郵件客戶端文件名顯示來實現其技巧。

技術

後來,出現了更多高級漏洞。惡意軟件編寫者會反彙編程序以檢查其源代碼,並查找可能利用的數據和錯誤處理能力較差的某些部分。這些指令通常採用某種用戶輸入的形式。例如,OS或Web站點上的登錄對話框可能不執行錯誤檢查或數據驗證,因此假設/期望用戶僅輸入適當的數據。如果然後輸入它不期望的數據(或者在大多數漏洞利用的情況下,數據太多),則輸入將在分配用於保存數據的內存之外。通常,用戶數據應僅包含在變量中,但通過利用較差的錯誤檢查和內存管​​理,可以將其放入可執行的內存部分。一種常見且眾所周知的方法是 緩衝區溢出 這會在變量中放入比它能容納的數據更多的數據,從而覆蓋內存的其他部分。通過巧妙地製作輸入,可以使代碼(指令)溢出,然後將控制轉移到該代碼。此時,天空通常是惡意軟件控制後可以執行的操作的限制。

媒體文件是相同的。它們可以製作成包含一些機器代碼並利用媒體播放器,以便機器代碼最終運行。例如,有可能在媒體文件的元數據中放入太多數據,以便當播放器嘗試打開文件並讀取它時,它會溢出變量並導致某些代碼運行。理論上,即使是實際數據也可以用來利用該程序。

媒體文件更糟糕的是,與登錄明顯不同的是,即使是非專業人士(例如, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^),可以製作一個媒體文件,使其實際上包含甚至沒有腐敗的合適的合法媒體,因此看起來完全合法,並且在感染髮生之前完全不被發現。 隱寫術 (字面意思是“覆蓋寫作”)通常用於隱藏其他數據中的數據,但這基本上是相同的,因為惡意軟件將隱藏在看似合法的媒體中。

所以是的,媒體文件(就此而言, 任何 文件) 能夠 通過利用程序中的漏洞來包含病毒 打開/意見 文件。問題是您通常甚至不需要打開或查看要感染的文件。大多數文件類型都可以預覽,或者在不故意打開元數據的情況下讀取元數據。例如,只需在Windows資源管理器中選擇媒體文件,就會自動從文件中讀取元數據(尺寸,長度等)。如果惡意軟件編寫者碰巧在資源管理器的預覽/元數據功能中發現漏洞並製作利用它的媒體文件,這可能會成為攻擊的載體。

幸運的是,漏洞利用是脆弱的。它們通常只影響一個媒體播放器或另一個媒體播放器,而不是所有播放器,即便如此,它們也不能保證能夠為同一個程序的不同版本工作(這就是操作系統發布補丁漏洞更新的原因)。因此,惡意軟件編寫者通常只會花時間破解廣泛使用或高價值的系統/程序(例如,Windows,銀行系統等)。這尤其正確,因為黑客作為一個犯罪分子的業務已經越來越受歡迎試圖獲得金錢,不再僅僅是試圖獲得榮耀的書呆子的領域。

應用

如果你的視頻文件  如果您碰巧使用了專門設計用於利用的媒體播放器,那麼它很可能只會感染您。如果沒有,那麼它可能會崩潰,無法打開,玩弄腐敗,甚至玩得很好(這是最糟糕的情況因為那時被標記為可以並且傳播給可能被感染的其他人)。

反惡意軟件程序通常使用簽名和/或啟發式方法來檢測惡意軟件。簽名查找文件中的字節模式,這些模式通常對應於眾所周知的病毒中的指令。問題在於,由於多態病毒每次復制都會發生變化,因此簽名效率會降低。啟發式掃描會觀察行為模式,例如編輯特定文件或讀取特定數據。這些通常僅在惡意軟件已經運行時才適用,因為由於惡意軟件混淆和規避技術,靜態分析(檢查代碼而不運行它)可能非常複雜。

在這兩種情況下,反惡意軟件程序都可以並且確實報告誤報。

結論

顯然,計算安全性中最重要的一步是從可靠來源獲取文件。如果您使用的torrent來自您信任的某個地方,那麼 想必 應該沒問題。如果沒有,那麼你可能要三思而行,(特別是因為有反盜版團體的人 故意 釋放含有假貨甚至惡意軟件的種子)。


190
2017-07-05 17:39



好的概述。過去有一些眾所周知的漏洞,其中有效載荷是作為GIF圖像文件傳送的。更多信息的關鍵字是:“緩衝區溢出利用任意代碼執行” - horatio
@horatio,我沒有聽說過GIF漏洞利用(除非你指的是GDI漏洞),但我知道 WMF漏洞利用 是個大新聞。 - Synetech
@GarrettFogerlie,謝謝。顯然這是我最好的。奇怪的是,我發誓我以前寫了一個幾乎相同的。 o.O - Synetech
+1 Bravo可以非常全面,簡潔,易於理解惡意軟件的概述。 - Phil
此外,為了防止這些漏洞總是運行最新版本的軟件,因為有些人會嘗試修復這些錯誤。 - sjbotha


我不會說這是不可能的,但這很難。病毒編寫者必須製作AVI來觸發媒體播放器中的錯誤,然後以某種方式利用它來在您的操作系統上運行代碼 - 而不知道您運行的是哪個媒體播放器或操作系統。如果您保持軟件是最新的,和/或如果您運行的不是Windows Media Player或iTunes(作為最大的平台,它們將是最佳目標),您應該非常安全。

但是,存在非常真實的相關風險。如今,互聯網上的電影使用各種編解碼器,普通大眾並不了解編解碼器是什麼 - 他們所知道的只是“我有時必須下載的內容才能播放電影”。這是一個真正的攻擊媒介。如果你下載的東西被告知“要查看這個,你需要來自[某個網站]的編解碼器”,那麼我們非常肯定你知道你在做什麼,因為你可以感染自己。


28
2017-08-19 01:46





avi文件擴展名不能保證該文件是視頻文件。 您可以獲取任何.exe病毒並將其重命名為.avi(這使您下載病毒,感染計算機的路徑的一半)。如果您的計算機上有任何允許病毒運行的漏洞,那麼您將受到影響。

如果您認為它是惡意軟件,只需停止下載並刪除它, 永遠不要在防病毒掃描之前執行它。


12
2017-07-05 17:07



-1這不是.avi可能感染你的方式 - 即使它是.exe重命名為.avi,當你打開它時它也不會作為可執行文件執行,除非你愚蠢到事先將它重命名為.exe 。 - BlueRaja - Danny Pflughoeft
將病毒傳播到用戶的機器並不是最困難的部分,它是一個完全無關緊要的部分。您可以將.exe重命名為.jpg並將其包含在網頁中,並在用戶訪問您的網頁時進行轉移。感染最難的部分是執行第一次代碼。 - MatsT
@BlueRaja:我實際上看到感染髮生在同事的計算機上,帶有.avi文件,並在VM上自行複制。她下載了一個包含幾個文件的zip文件,一個帶有AVI擴展名,另一個帶有批處理腳本。打開AVI不起作用,所以她嘗試打開腳本。該腳本具有從命令行運行“AVI”作為可執行文件的代碼,您可以猜測接下來發生了什麼(病毒在更改密碼後加密了用戶目錄中的所有數據,然後要求25美元作為代理愚蠢的懲罰)。 - Hippo
@Hippo這是一個很糟糕的例子,因為實際的病毒 - 在這種情況下的腳本 - 附帶AVI與AVI無法自己感染計算機的事實無關,考慮到大多數計算機和首選目標是連接到互聯網腳本可以簡單地從網上下載病毒,如果你可以讓別人運行“腳本”,那麼為什麼不把病毒放在那裡呢? - - omeid
但任何其他文件或擴展名都會產生同樣的影響。 - omeid


對的,這是可能的。 AVI文件與每個文件一樣,可以經過精心設計,以利用管理這些文件的軟件中的已知錯誤。

防病毒軟件檢測文件中的已知模式,如二進製文件中的可執行代碼或特定的 JavaScript的 建築物 HTML 頁面,可能是病毒。


12
2017-07-05 17:03





快速回答:

答案稍長一點:

  • 文件是不同類型數據的容器。
  • 一個 AVI (音頻視頻交錯)文件旨在包含交錯的音頻和視頻數據。通常,它不應包含任何可執行代碼。
  • 除非攻擊者異常確定,否則不太可能 AVI 帶有音頻視頻數據的文件實際上會包含病毒

但是......

  • 一個 AVI 文件需要解碼器來做任何有用的事情。例如,您可能已經在使用Windows Media Player進行播放 AVI 文件以查看其內容
  • 如果解碼器或文件解析器具有攻擊者可以利用的錯誤,他們將巧妙地生成一個 AVI 文件使得:
    • 如果您嘗試打開這些文件(例如,如果您雙擊以開始播放視頻)與您的錯誤的AVI解析器或解碼器,這些隱藏的錯誤將觸發
    • 因此,它可能允許攻擊者在您的計算機上執行他選擇的代碼,可能會使您的計算機受到感染。
    • 這裡的 一個漏洞報告,可以準確回答您的要求。

9
2017-07-06 08:53



這個問題的唯一真正答案是“這是一個漏洞報告”。所有其他人只是猜測。 - Alex
嗨@Alex,我想你是對的。我的目的是給OP一些背景知識。我同意漏洞報告為自己回答了這個問題。 - gsbabil
也許我不夠清楚 - 只是想說因為報告,你的回答是 該 一個真的 答案 原來的問題。 +1。 - Alex


這是可能的,是的,但不太可能。您更有可能嘗試查看WMV並讓它自動加載URL或要求您下載許可證,這反過來會彈出一個瀏覽器窗口,如果它沒有完全修補,可能會利用您的機器。


8
2017-08-19 01:50





我聽過的最流行的'AVI'病毒,
something.avi.exe 在Windows機器上下載的文件
配置為 隱藏 資源管理器中的文件擴展名。

用戶通常會忘記以後的事實並假設該文件是AVI。
加上他們對相關玩家的期望,雙擊實際上啟動了EXE。


之後,它被奇怪的轉碼AVI文件,要求你下載一個   codec 去看他們。
所謂的 codec 通常是真正的“病毒”。


我也聽說過AVI緩衝區溢出攻擊,但一些好的參考資料會很有用。

我的底線:罪魁禍首通常是以下之一,而不是AVI文件本身

  • codec 安裝在您的系統上以處理AVI
  • 正在使用的玩家
  • 用於獲取AVI文件的文件共享工具

一個簡短的惡意軟件預防閱讀: P2P或文件共享


7
2017-08-19 05:30





.avi (要么 .mkv 就此而言)是 集裝箱 並支持包含各種媒體 - 多個音頻/視頻流,字幕,類似DVD的菜單導航等。沒有任何東西阻止包含惡意可執行內容,但它不會被運行,除非在 Synetech在他的回答中描述了這些場景

儘管如此,還是有一個常見的脫離角度。鑑於可用的各種編解碼器並沒有將它們包含在容器文件中的限制,有一些通用協議來提示用戶安裝必要的編解碼器,並且無法幫助媒體播放器配置為自動嘗試編解碼器查找和安裝。最終編解碼器是可執行的(減去一小部分基於插件的編解碼器)並且可能包含惡意代碼。


6
2017-07-06 00:42



關於編解碼器的好點! - marabutt


從技術上講,不是從下載文件。但是一旦打開文件,這取決於播放器和編解碼器實現,這是公平的遊戲。


5
2017-08-19 03:29