ไฟล์ AVI สามารถมีไวรัสได้หรือไม่?

99

ฉันกำลังดาวน์โหลดไฟล์AVIผ่านทางฝนตกหนัก แต่โปรแกรมป้องกันไวรัสของฉันตรวจพบบางสิ่ง เป็นไปได้ไหมว่าไฟล์ AVI มีไวรัส?

มันค่อนข้างแปลกเพราะฝนตกหนักมีความคิดเห็นเชิงบวกมากมาย

virus  malware  avi 
IMB
แหล่งที่มา
2
@ user3183 VideoLAN ใช้ตัวแปลงสัญญาณของมันเองภายใน ไม่มีสิ่งใดหยุดตัวแปลงสัญญาณตัวใดตัวหนึ่งของตัวเองจากการมีข้อผิดพลาดที่ผู้เขียนไวรัสที่เป็นอันตรายสามารถใช้ประโยชน์ได้
GAThrawn
7
เมื่อสงสัยให้หยุดการดาวน์โหลด
27
@soos นั่นไม่จำเป็นต้องเป็นเรื่องจริง ไฟล์อาจได้รับการออกแบบเพื่อใช้ประโยชน์จากไคลเอนต์ฝนตกหนักเมื่อมันแฮชมันเพื่อตรวจสอบว่ามันดี มันยังสามารถออกแบบมาเพื่อใช้ประโยชน์จากระบบปฏิบัติการเมื่อมันอ่านไฟล์เพื่อผลิตภาพขนาดย่อหรือดึงข้อมูลเมตา
Synetech
2
@IMB ไฟล์ใดที่มีการตั้งค่าสถานะป้องกันไวรัส ความเห็นเชิงบวกจากคนจริงหรือเห็นได้ชัดว่าพวกเขาสร้าง / คัดลอกวาง?
Synetech
4
bwDraco

คำตอบ:

193

TL; DR

.aviไฟล์วิดีโอและดังนั้นจึงไม่ปฏิบัติการเพื่อให้ระบบปฏิบัติการสามารถ / จะไม่เรียกใช้ไฟล์ ด้วยเหตุนี้จึงไม่สามารถเป็นไวรัสในสิทธิของตนเองได้ แต่สามารถมีไวรัสได้

ประวัติศาสตร์

ในอดีตไฟล์ที่ปฏิบัติการได้เท่านั้น (เช่น "runnable") จะเป็นไวรัส ต่อมาหนอนอินเทอร์เน็ตได้เริ่มใช้โซเชียลเอ็นจิเนียริ่งเพื่อหลอกลวงผู้คนให้ใช้ไวรัส เคล็ดลับที่เป็นที่นิยมคือเปลี่ยนชื่อไฟล์ปฏิบัติการเพื่อรวมส่วนขยายอื่น ๆ เช่น.aviหรือ.jpgเพื่อหลอกลวงผู้ใช้ให้คิดว่าเป็นไฟล์สื่อและเรียกใช้ ตัวอย่างเช่นไคลเอนต์อีเมลสามารถแสดงอักขระที่แนบมาได้เพียงโหลตัวแรกเท่านั้นดังนั้นด้วยการให้นามสกุลไฟล์เท็จจากนั้นขยายช่องว่างดัง"FunnyAnimals.avi              .exe"ที่ผู้ใช้เห็นสิ่งที่ดูเหมือนวิดีโอและเรียกใช้และติดเชื้อ

นี่ไม่ได้เป็นเพียงแค่วิศวกรรมทางสังคม (หลอกผู้ใช้) แต่ยังเป็นการใช้ประโยชน์จากต้นด้วย มันใช้ประโยชน์จากการแสดงชื่อไฟล์ของไคลเอนต์อีเมลที่ จำกัด เพื่อดึงเอาเคล็ดลับของมัน

วิชาการ

หลังจากนั้นการหาประโยชน์ขั้นสูงเพิ่มเติมก็เข้ามา ผู้เขียนมัลแวร์จะแยกชิ้นส่วนโปรแกรมเพื่อตรวจสอบซอร์สโค้ดของมันและค้นหาบางส่วนที่มีข้อมูลไม่ดีและการจัดการข้อผิดพลาดที่พวกเขาสามารถใช้ประโยชน์ได้ คำแนะนำเหล่านี้มักจะอยู่ในรูปแบบของการป้อนข้อมูลของผู้ใช้บางประเภท ตัวอย่างเช่นกล่องโต้ตอบการเข้าสู่ระบบในระบบปฏิบัติการหรือเว็บไซต์อาจไม่ทำการตรวจสอบข้อผิดพลาดหรือการตรวจสอบข้อมูลและทำให้ / คาดว่าผู้ใช้ป้อนข้อมูลที่เหมาะสมเท่านั้น หากคุณป้อนข้อมูลที่ไม่ได้คาดหวัง (หรือในกรณีของการหาประโยชน์ส่วนใหญ่ข้อมูลมากเกินไป) จากนั้นอินพุตจะสิ้นสุดนอกหน่วยความจำที่กำหนดให้เก็บข้อมูล โดยทั่วไปข้อมูลผู้ใช้ควรมีอยู่ในตัวแปรเท่านั้น แต่ด้วยการใช้ประโยชน์จากการตรวจสอบข้อผิดพลาดและการจัดการหน่วยความจำที่ไม่ดีจึงเป็นไปได้ที่จะเก็บไว้ในส่วนของหน่วยความจำที่สามารถดำเนินการได้ วิธีการทั่วไปและเป็นที่รู้จักคือbuffer-overflowซึ่งเก็บข้อมูลไว้ในตัวแปรมากกว่าที่จะเก็บไว้จึงเขียนทับส่วนอื่น ๆ ของหน่วยความจำ โดยการสร้างอินพุตอย่างชาญฉลาดจึงเป็นไปได้ที่จะทำให้โค้ด (คำสั่ง) ถูกใช้จนเกินไปและจากนั้นถ่ายโอนการควบคุมไปยังโค้ดนั้น ณ จุดนั้นท้องฟ้ามักจะมีข้อ จำกัด เกี่ยวกับสิ่งที่สามารถทำได้เมื่อมัลแวร์มีการควบคุม

ไฟล์สื่อเหมือนกัน พวกเขาสามารถทำเพื่อให้พวกเขามีบิตของรหัสเครื่องและใช้ประโยชน์จากเครื่องเล่นสื่อเพื่อให้รหัสเครื่องในที่สุดทำงาน ตัวอย่างเช่นอาจเป็นไปได้ที่จะใส่ข้อมูลมากเกินไปใน meta-data ของไฟล์สื่อเพื่อที่ว่าเมื่อผู้เล่นพยายามเปิดไฟล์และอ่านมันมันจะล้นตัวแปรและทำให้บางรหัสทำงาน แม้แต่ข้อมูลจริงก็สามารถสร้างขึ้นเพื่อใช้ประโยชน์จากโปรแกรมในทางทฤษฎี

สิ่งที่เลวร้ายยิ่งกับไฟล์มีเดียคือการที่แตกต่างจากการลงชื่อเข้าใช้ที่ไม่ดีอย่างเห็นได้ชัดแม้แต่กับบุคคลทั่วไป (เช่นusername: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)ไฟล์มีเดียสามารถสร้างขึ้นได้เพื่อให้มีสื่อที่เหมาะสมถูกต้องตามกฎหมายซึ่งไม่ได้เสียหาย จะไม่ถูกตรวจจับอย่างเต็มที่จนกว่าจะเกิดผลกระทบจากการติดเชื้อSteganography (ตัวอักษร“ ครอบคลุมการเขียน”) มักใช้เพื่อปกปิดข้อมูลในข้อมูลอื่น แต่นี่เป็นสิ่งเดียวกันเนื่องจากมัลแวร์จะถูกซ่อนอยู่ในสื่อ

ดังนั้นใช่ไฟล์มีเดีย (และสำหรับไฟล์ใด ๆ ) สามารถมีไวรัสโดยใช้ประโยชน์จากช่องโหว่ในโปรแกรมที่เปิด / ดูไฟล์ ปัญหาคือคุณมักไม่จำเป็นต้องเปิดหรือดูไฟล์ที่ติดไวรัส ประเภทไฟล์ส่วนใหญ่สามารถดูตัวอย่างหรืออ่านข้อมูลเมตาได้โดยไม่ต้องเปิด ตัวอย่างเช่นการเลือกไฟล์มีเดียใน Windows Explorer จะอ่านเมตาดาต้า (ขนาดความยาว ฯลฯ ) จากไฟล์โดยอัตโนมัติ นี่อาจเป็นเวกเตอร์ของการโจมตีหากผู้เขียนมัลแวร์เกิดขึ้นเพื่อค้นหาช่องโหว่ในฟังก์ชั่นแสดงตัวอย่าง / เมตาดาต้าของ Explorer และสร้างไฟล์สื่อที่ใช้ประโยชน์

โชคดีที่การหาช่องโหว่นั้นเปราะบาง พวกเขามักจะส่งผลกระทบต่อผู้เล่นสื่อหนึ่งหรืออื่น ๆ เมื่อเทียบกับผู้เล่นทุกคนและแม้กระทั่งพวกเขาจะไม่รับประกันการทำงานสำหรับโปรแกรมเดียวกันรุ่นต่าง ๆ (นั่นคือเหตุผลที่ระบบปฏิบัติการออกการปรับปรุงเพื่อแก้ไขช่องโหว่) ด้วยเหตุนี้ผู้เขียนมัลแวร์มักจะใช้เวลาในการถอดรหัสระบบ / โปรแกรมในวงกว้างหรือมีมูลค่าสูง (เช่น Windows, ระบบธนาคารเป็นต้น) สิ่งนี้เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งเนื่องจากการแฮ็คได้รับความนิยมในฐานะธุรกิจที่อาชญากร พยายามที่จะรับเงินและไม่เพียง แต่โดเมนของคนโง่ที่พยายามจะได้รับเกียรติอีกต่อไป

ใบสมัคร

ถ้าไฟล์วิดีโอของคุณจะติดเชื้อแล้วมันน่าจะติดคุณถ้าคุณเกิดขึ้นที่จะใช้เครื่องเล่นสื่อ (s) ที่ได้รับการออกแบบมาโดยเฉพาะเพื่อใช้ประโยชน์จาก ถ้าไม่เช่นนั้นอาจมีปัญหาล้มเหลวในการเปิดเล่นกับคอร์รัปชั่นหรือแม้แต่เล่นได้ดี (ซึ่งเป็นสถานการณ์ที่เลวร้ายที่สุดเพราะได้รับการตั้งค่าสถานะเป็นโอเคและแพร่กระจายไปยังผู้อื่นที่อาจติดเชื้อ)

โปรแกรมต่อต้านมัลแวร์มักใช้ลายเซ็นและ / หรือการวิเคราะห์พฤติกรรมเพื่อตรวจจับมัลแวร์ ลายเซ็นค้นหารูปแบบของไบต์ในไฟล์ที่มักจะตรงกับคำแนะนำในไวรัสที่รู้จักกันดี ปัญหาคือเนื่องจากไวรัส polymorphic ที่สามารถเปลี่ยนแปลงได้ทุกครั้งที่มีการทำซ้ำลายเซ็นจะมีประสิทธิภาพน้อยลง ฮิวริสติกส์สังเกตรูปแบบพฤติกรรมเช่นการแก้ไขไฟล์เฉพาะหรืออ่านข้อมูลเฉพาะ สิ่งเหล่านี้มักจะนำมาใช้เมื่อมัลแวร์ทำงานอยู่แล้วเนื่องจากการวิเคราะห์แบบคงที่ (ตรวจสอบโค้ดโดยไม่เรียกใช้) อาจมีความซับซ้อนอย่างมากเนื่องจากเทคนิคการ obfuscation และการหลีกเลี่ยงของมัลแวร์

ในทั้งสองกรณีโปรแกรมป้องกันมัลแวร์สามารถและทำรายงานแจ้งว่าเป็นเท็จได้

ข้อสรุป

เห็นได้ชัดว่าขั้นตอนที่สำคัญที่สุดในการคำนวณความปลอดภัยคือการรับไฟล์ของคุณจากแหล่งที่เชื่อถือได้ หากฝนตกหนักที่คุณใช้นั้นมาจากที่ใดก็ตามที่คุณไว้ใจก็น่าจะโอเคได้ ถ้าไม่เช่นนั้นคุณอาจต้องคิดให้รอบคอบสองครั้ง (โดยเฉพาะอย่างยิ่งเนื่องจากมีกลุ่มต่อต้านการละเมิดลิขสิทธิ์ที่ตั้งใจปล่อย torrents ที่มีการปลอมแปลงหรือมัลแวร์)

Synetech
แหล่งที่มา
3
ภาพรวมที่ดี มีการหาช่องโหว่ที่รู้จักกันดีในอดีตซึ่งไฟล์เพย์โหลดถูกส่งเป็นไฟล์ภาพ GIF คำหลักสำหรับข้อมูลเพิ่มเติมคือ: "buffer overflow ใช้ประโยชน์จากการใช้รหัสโดย
อำเภอใจ
3
@ Horatio ฉันไม่เคยได้ยินเกี่ยวกับการโกง GIF (ยกเว้นกรณีที่คุณอ้างถึงช่องโหว่ GDI) แต่ฉันรู้ว่าการใช้ช่องโหว่ WMFเป็นข่าวใหญ่
Synetech
@ GarrettFogerlie ขอบคุณ เห็นได้ชัดว่ามันดีที่สุดของฉัน มีอะไรแปลก ๆ ที่ฉันสาบานว่าจะเขียนแบบที่เหมือนกันมาก่อน o.O
Synetech
3
+1 Bravo สำหรับภาพรวมที่ละเอียดกระชับรวบรัดและเข้าใจง่ายของมัลแวร์
ฟิล
3
นอกจากนี้เพื่อป้องกันช่องโหว่เช่นซอฟต์แวร์เหล่านี้จะใช้งานเวอร์ชันล่าสุดเสมอเพราะบางคนพยายามแก้ไขข้อบกพร่องเหล่านี้
sjbotha
29

ฉันจะไม่บอกว่ามันเป็นไปไม่ได้ แต่มันจะยาก ผู้เขียนไวรัสจะต้องสร้าง AVI เพื่อให้เกิดข้อบกพร่องในเครื่องเล่นสื่อของคุณจากนั้นก็ใช้ประโยชน์จากมันเพื่อรันโค้ดบนระบบปฏิบัติการของคุณโดยไม่ทราบว่าคุณใช้เครื่องเล่นสื่อหรือระบบปฏิบัติการใดอยู่ หากคุณปรับปรุงซอฟต์แวร์ของคุณให้ทันสมัยและ / หรือหากคุณใช้งานอย่างอื่นที่ไม่ใช่ Windows Media Player หรือ iTunes (เป็นแพลตฟอร์มที่ใหญ่ที่สุดซอฟต์แวร์เหล่านี้จะเป็นเป้าหมายที่ดีที่สุด) คุณควรจะปลอดภัย

อย่างไรก็ตามมีความเสี่ยงที่เกี่ยวข้องที่เป็นจริงมาก ทุกวันนี้ภาพยนตร์บนอินเทอร์เน็ตใช้ตัวแปลงสัญญาณหลายแบบและประชาชนทั่วไปไม่เข้าใจว่าตัวแปลงสัญญาณคืออะไร - สิ่งที่พวกเขารู้คือ "มันเป็นบางครั้งที่ฉันต้องดาวน์โหลดเพื่อที่ภาพยนตร์จะเล่น" นี่คือเวกเตอร์การโจมตีของแท้ หากคุณดาวน์โหลดบางสิ่งและได้รับแจ้งว่า "เมื่อต้องการดูสิ่งนี้คุณต้องใช้ตัวแปลงสัญญาณจาก [เว็บไซต์บางแห่ง]" เรามั่นใจว่าคุณรู้ว่าคุณกำลังทำอะไรเพราะคุณสามารถแพร่เชื้อได้

John Fouhy
แหล่งที่มา
12

นามสกุลไฟล์ avi ไม่ได้รับประกันว่าไฟล์นั้นเป็นไฟล์วิดีโอ คุณสามารถได้รับไวรัส. exe และเปลี่ยนชื่อเป็น. avi (ทำให้คุณดาวน์โหลดไวรัสครึ่งหนึ่งของเส้นทางที่ทำให้คอมพิวเตอร์ของคุณติดไวรัส) หากมีการหาช่องโหว่ในเครื่องของคุณซึ่งอนุญาตให้ไวรัสทำงานได้คุณจะได้รับผลกระทบ

หากคุณคิดว่าเป็นมัลแวร์เพียงหยุดดาวน์โหลดและลบอย่าดำเนินการก่อนที่จะสแกนไวรัส

Diogo
แหล่งที่มา
17
-1 นี่ไม่ใช่วิธีที่. avi จะทำให้คุณติด - แม้ว่าจะเป็น. exe ที่ถูกเปลี่ยนชื่อเป็น. avi ก็จะไม่เรียกใช้งานเป็นไฟล์ปฏิบัติการเมื่อคุณเปิดมันเว้นแต่คุณจะโง่พอที่จะเปลี่ยนชื่อเป็น. exe ไว้ล่วงหน้า .
BlueRaja - Danny Pflughoeft
3
การโอนไวรัสไปยังเครื่องของผู้ใช้ไม่ใช่ส่วนที่ยากที่สุด แต่เป็นส่วนที่ไม่สำคัญอย่างสมบูรณ์ คุณสามารถเปลี่ยนชื่อ. exe เป็น. jpg และรวมไว้ในหน้าเว็บและมันจะถูกโอนเมื่อผู้ใช้เยี่ยมชมหน้าของคุณ ส่วนที่ยากที่สุดของการติดไวรัสคือการเรียกใช้รหัสแรก
MatsT
2
@ BlueRaja: จริง ๆ แล้วฉันเห็นการติดเชื้อเกิดขึ้นกับคอมพิวเตอร์ของเพื่อนร่วมงานที่มีไฟล์. avi และสร้างมันขึ้นมาใหม่บน VM เธอดาวน์โหลด zip ที่มีไฟล์สองไฟล์หนึ่งไฟล์ที่มีนามสกุล AVI และอีกหนึ่งไฟล์เป็นชุดสคริปต์ การเปิด AVI ไม่ทำงานดังนั้นเธอจึงลองเปิดสคริปต์ สคริปต์มีรหัสเพื่อเรียกใช้ "AVI" จากบรรทัดคำสั่งในฐานะที่ปฏิบัติการได้และคุณสามารถเดาได้ว่าเกิดอะไรขึ้นต่อไป (ไวรัสเข้ารหัสข้อมูลทั้งหมดในไดเรกทอรีผู้ใช้ของเธอหลังจากเปลี่ยนรหัสผ่านแล้วเรียกร้อง $ 25 เป็นโทษสำหรับการกระทำโง่ ๆ )
ฮิปโป
3
@ Hippo ที่ค่อนข้างเป็นตัวอย่างที่ไม่ดีเพราะไวรัสจริง - สคริปต์ในกรณีนี้ - มาพร้อมกับ AVI ไม่เกี่ยวข้องกับความจริงที่ว่า AVI ไม่สามารถติดคอมพิวเตอร์ของคุณเองโดยพิจารณาว่าคอมพิวเตอร์ส่วนใหญ่และเป้าหมายที่ต้องการคือ สคริปต์ที่เชื่อมต่อกับอินเทอร์เน็ตสามารถดาวน์โหลดไวรัสจากเว็บและอีกครั้งหากคุณสามารถให้คนเรียกใช้ 'สคริปต์' แล้วทำไมไม่ใส่ไวรัสไว้ในตอนแรก -
omeid
2
แต่ไฟล์หรือนามสกุลอื่น ๆ จะมีผลเช่นเดียวกันหากมี
omeid
12

ใช่มันเป็นไปได้ ไฟล์ AVI เช่นเดียวกับไฟล์ทุกไฟล์สามารถสร้างขึ้นมาเป็นพิเศษเพื่อใช้ประโยชน์จากข้อบกพร่องที่รู้จักในซอฟต์แวร์ที่จัดการไฟล์เหล่านั้น

ซอฟต์แวร์ป้องกันไวรัสจะตรวจสอบรูปแบบการรู้ในไฟล์เช่นรหัสที่ใช้งานได้ในไฟล์ไบนารีหรือโครงสร้างJavaScriptเฉพาะในหน้าHTMLซึ่งอาจเป็นไวรัส

fmanco
แหล่งที่มา
9

คำตอบด่วน: YES

ตอบอีกเล็กน้อย:

  • ไฟล์เป็นที่เก็บข้อมูลประเภทต่าง ๆ
  • ไฟล์AVI(Interleave Audio Video) หมายถึงมีข้อมูลเสียงและวิดีโอ interleaved โดยปกติแล้วมันไม่ควรมีรหัสที่ปฏิบัติการได้
  • เว้นแต่ว่าผู้โจมตีจะได้รับการพิจารณาอย่างผิดปกติเป็นไปได้ยากที่AVIไฟล์ที่มีข้อมูลเสียงและวิดีโอจะมีไวรัสจริง

อย่างไรก็ตาม ...

  • AVIไฟล์ต้องการถอดรหัสที่จะทำอะไรที่เป็นประโยชน์ ตัวอย่างเช่นคุณอาจใช้ Windows Media Player เพื่อเล่นAVIไฟล์เพื่อดูเนื้อหาของพวกเขา
  • หากตัวถอดรหัสหรือตัวแยกวิเคราะห์ไฟล์มีข้อบกพร่องที่ผู้โจมตีสามารถใช้ประโยชน์ได้พวกเขาจะสร้างAVIไฟล์อย่างชาญฉลาดเช่น:
    • ในความพยายามที่จะเปิดไฟล์เหล่านั้น (ตัวอย่างเช่นหากคุณดับเบิลคลิกเพื่อเริ่มเล่นวิดีโอ) ด้วย AVI-parser หรือตัวถอดรหัส buggy ของคุณข้อบกพร่องที่ซ่อนอยู่เหล่านั้นจะทริกเกอร์
    • ดังนั้นอาจทำให้ผู้โจมตีสามารถเรียกใช้รหัสที่เขาเลือกบนคอมพิวเตอร์ของคุณและอาจทำให้คอมพิวเตอร์ของคุณติดไวรัส
    • นี่คือรายงานช่องโหว่ที่ตอบคำถามที่คุณต้องการ
gsbabil
แหล่งที่มา
คำตอบที่แท้จริงสำหรับคำถามนี้คือ "นี่คือรายงานช่องโหว่" ในคำตอบนี้ คนอื่น ๆ เพียงแค่คาดเดา
Alex
สวัสดี @Alex ฉันคิดว่าคุณพูดถูก ความตั้งใจของฉันคือให้พื้นหลังแก่โอพี ฉันยอมรับว่ารายงานช่องโหว่ตอบคำถามด้วยตัวเอง
gsbabil
บางทีผมอาจจะไม่ชัดเจนพอ - เพียงหมายถึงการบอกว่าเพราะรายงานคำตอบของคุณคือหนึ่งซึ่งจริงๆตอบคำถามเดิม +1
Alex
8

เป็นไปได้ใช่ แต่ไม่น่าเป็นไปได้มาก คุณมีแนวโน้มที่จะลองและดู WMV มากขึ้นและให้มันโหลด URL อัตโนมัติหรือขอให้คุณดาวน์โหลดใบอนุญาตซึ่งจะเปิดหน้าต่างเบราว์เซอร์ขึ้นมาซึ่งอาจใช้ประโยชน์จากเครื่องของคุณหากยังไม่ได้รับการแก้ไขอย่างสมบูรณ์

Nicholas H
แหล่งที่มา
7

ไฟล์ที่ได้รับความนิยมสูงสุดจากไวรัส 'AVI' ที่ฉันเคยได้ยิน
something.avi.exeไฟล์ที่ดาวน์โหลดบนเครื่อง windows
ที่กำหนดค่าให้ซ่อนนามสกุลไฟล์ใน explorer

โดยทั่วไปผู้ใช้จะลืมว่าในภายหลังข้อเท็จจริงและถือว่าไฟล์คือ AVI
เมื่อรวมกับความคาดหวังของผู้เล่นที่เกี่ยวข้องแล้วการดับเบิลคลิกจริง ๆ จะเปิดใช้งาน EXE

หลังจากนั้นไฟล์แปลงไฟล์ AVI ที่ได้รับการแปลงอย่างแปลกประหลาดซึ่งคุณต้องดาวน์โหลดไฟล์ใหม่ codecเพื่อดูไฟล์เหล่านั้น
ที่เรียกว่าcodecมักจะเป็น 'ไวรัส' ของจริงที่นี่

ฉันเคยได้ยินเกี่ยวกับการหาประโยชน์จากบัฟเฟอร์มากเกินไปของ AVI แต่การอ้างอิงที่ดีเพียงไม่กี่อย่างก็มีประโยชน์

บรรทัดล่างของฉัน: ผู้ร้ายมักจะเป็นหนึ่งในสิ่งต่อไปนี้มากกว่าไฟล์ AVI ตัวเอง

  • การcodecติดตั้งบนระบบของคุณเพื่อจัดการกับ AVI
  • ผู้เล่นที่กำลังใช้
  • เครื่องมือแบ่งปันไฟล์ที่ใช้รับไฟล์ AVI

การป้องกันมัลแวร์แบบสั้น ๆ : P2P หรือการแชร์ไฟล์

nik
แหล่งที่มา
6

.avi(หรือ.mkvสำหรับเรื่องนั้น) เป็นคอนเทนเนอร์และรองรับการรวมสื่อหลากหลาย - กระแสข้อมูลเสียง / วิดีโอหลายคำบรรยายการนำทางเมนูเหมือนดีวีดี ฯลฯ ไม่มีอะไรที่ป้องกันเนื้อหาที่เป็นอันตรายซึ่งรวมอยู่ด้วย แต่มันจะไม่ทำงานเว้นแต่ในสถานการณ์ Synetech อธิบายไว้ในคำตอบของเขา

ถึงกระนั้นก็มีมุมสำรวจหนึ่งที่ถูกปล่อยออกมา เนื่องจากมีตัวแปลงสัญญาณหลายแบบและไม่มีข้อ จำกัด ในการรวมไว้ในไฟล์คอนเทนเนอร์มีโปรโตคอลทั่วไปที่จะให้ผู้ใช้ติดตั้งตัวแปลงสัญญาณที่จำเป็นและไม่ช่วยให้ผู้เล่นสื่ออาจได้รับการกำหนดค่าให้พยายามค้นหาและติดตั้งตัวแปลงสัญญาณอัตโนมัติ ในที่สุดตัวแปลงสัญญาณสามารถดำเนินการได้ (ลบอาร์เรย์ขนาดเล็กที่ใช้ปลั๊กอิน) และอาจมีรหัสที่เป็นอันตราย

OV
แหล่งที่มา
จุดดีเกี่ยวกับตัวแปลงสัญญาณ!
marabutt
5

ในทางเทคนิคแล้วไม่ใช่จากการดาวน์โหลดไฟล์ แต่เมื่อไฟล์ถูกเปิดมันเป็นเกมที่ยุติธรรมขึ้นอยู่กับผู้เล่นและการใช้งานตัวแปลงสัญญาณ

ชะแลงขนาดสั้น
แหล่งที่มา
5

My Avast Antivirus เพิ่งแจ้งฉันว่ามีโทรจันฝังอยู่ในหนึ่งใน AVIs ภาพยนตร์ที่ดาวน์โหลดของฉัน เมื่อฉันพยายามกักกันมันก็บอกว่าไฟล์ใหญ่เกินไปและไม่สามารถย้ายได้ดังนั้นฉันจึงต้องลบมันแทน

ไวรัสถูกเรียกWMA.wimad [susp]และเห็นได้ชัดว่าเป็นไวรัสภัยคุกคามระดับกลาง ไม่ใช่ระบบที่ผิดปกติ แต่มันพิสูจน์ว่าคุณสามารถรับไวรัสจากไฟล์ AVI

เจมส์เมสัน
แหล่งที่มา
3

หากการดาวน์โหลดยังไม่เสร็จสิ้นให้รอก่อนที่การดาวน์โหลดจะเสร็จสิ้นก่อนที่คุณจะตัดสินใจว่าจะทำอย่างไร เมื่อการดาวน์โหลดเสร็จสมบูรณ์เพียงบางส่วนส่วนที่ขาดหายไปของไฟล์จะเป็นจุดรบกวนและค่อนข้างมีแนวโน้มที่จะสร้างผลบวกปลอมเมื่อตรวจสอบมัลแวร์

ตามที่ @Synetech อธิบายโดยละเอียดแล้วเป็นไปได้ที่จะแพร่กระจายมัลแวร์ผ่านไฟล์วิดีโอก่อนที่การดาวน์โหลดจะเสร็จสิ้น แต่สิ่งที่เป็นไปได้ไม่ได้หมายความว่าเป็นไปได้ จากประสบการณ์ส่วนตัวของฉันโอกาสในการบวกผิด ๆ ระหว่างการดาวน์โหลดอย่างต่อเนื่องนั้นสูงขึ้นมาก

เดนนิส
แหล่งที่มา
> อัตราต่อรองของผลบวกปลอมระหว่างการดาวน์โหลดอย่างต่อเนื่องจะสูงกว่ามาก ฉันไม่รู้เกี่ยวกับ "มาก" แต่เป็นไปได้อย่างแน่นอนเนื่องจากไฟล์ที่ไม่สมบูรณ์อาจมีโมฆะจำนวนมากซึ่งอาจเกิดขึ้นถัดจากบิตไบต์ที่ไม่มีพิษภัยปกติซึ่งจบลงด้วยการดูเหมือนรหัสเครื่องที่ไม่ดี (ที่ อย่างน้อยก็จนกว่า null จะถูกเขียนทับด้วยข้อมูลจริง)
Synetech
2
ในขณะที่ภาพตัวอย่างใน Windows Explorer ถูกสร้างขึ้นโดยโปรแกรมเล่นวิดีโอที่คุณเลือก หากผู้เล่นคนนี้เป็นคนที่ไวรัสใช้ประโยชน์มีความเป็นไปได้ที่จะจับไวรัสเพียงแค่เปิดโฟลเดอร์ของไฟล์ใน explorer! ในกรณีนี้คุณต้องการจับไวรัสก่อนที่คุณจะดาวน์โหลดไฟล์เสร็จ เคยมีไวรัสที่แพร่กระจายเช่นนี้ในอดีต
BlueRaja - Danny Pflughoeft
@Synetech: ฉันไม่มีข้อมูลเกี่ยวกับเรื่องนี้ แต่ฉันรู้ว่าอย่างน้อย 20 คนที่ได้รับการเตือนที่ผิดพลาดจากการดาวน์โหลดฝนตกหนักที่ไม่สมบูรณ์ ในขณะที่ฉันอ่านว่าเป็นไปได้ฉันรู้ว่าไม่มีใครที่ติดคอมพิวเตอร์ของเขาด้วยไฟล์วิดีโอจริง
Dennis
1
@ BlueRaja, yup, นั่นคือสิ่งที่ฉันเตือน soandos เกี่ยวกับข้างต้น อย่างไรก็ตามสำหรับไฟล์สื่อทั่วไปส่วนใหญ่เป็น Windows / WMP ที่สร้างการแสดงตัวอย่างไม่ใช่โปรแกรมของบุคคลที่สาม (สามเณรส่วนใหญ่ไม่ได้ติดตั้ง FFDShow อย่างน้อยก็ไม่ใช่ถ้าพวกเขาไม่ได้ติดตั้งสิ่งที่น่ารังเกียจเหล่านั้น mega codec pack)
Synetech
1
@BlueRaja ฉันไม่พบข้อมูลใด ๆ คุณช่วยหาแหล่งที่มาได้ไหม ฉันใช้อุปกรณ์พกพาเท่านั้นดังนั้นฉันไม่เคยเห็น VLC สร้างรูปขนาดย่อ นอกจากนี้เราอาจคิดว่ามันจะสร้างภาพขนาดย่อสำหรับวิดีโอทุกประเภทที่สามารถเล่นและเชื่อมโยงกับรวมถึง FLV, MKV เป็นต้น แต่มันก็ไม่ได้ดังนั้นโปรแกรมเช่น Icaros ในความเป็นจริงดูเหมือนว่ามีแผนการที่จะใช้ตัวจัดการตัวอย่าง VLC แต่มีความล่าช้า
Synetech
2

เมื่อใช้เวลาช่วยผู้ใช้ในการแก้ไขปัญหามัลแวร์ฉันสามารถยืนยันได้ว่ากลไกการแสวงประโยชน์ตามปกติที่นักต้มตุ๋นใช้นั้นเป็นเรื่องทางสังคมมากกว่าทางเทคนิค

ไฟล์นี้มีชื่อว่า* .avi.exeและการตั้งค่าเริ่มต้นใน windows จะไม่เปิดเผยนามสกุลไฟล์ทั่วไป ไฟล์ปฏิบัติการสามารถกำหนดไอคอนไฟล์ AVI ได้อย่างง่ายดาย สิ่งนี้คล้ายกับกลยุทธ์ที่ใช้ในการแจกจ่ายไวรัส* .doc.exeที่ไฟล์นั้นมีไอคอนของ winword

ฉันได้สังเกตเห็นกลยุทธ์หลบเช่นชื่อไฟล์ยาวที่ใช้ในการกระจาย p2p ดังนั้นลูกค้าจะแสดงเฉพาะชื่อบางส่วนในรายการไฟล์

การใช้ไฟล์กระจอก

หากคุณต้องการใช้ไฟล์ใช้แซนด์บ็อกซ์ที่กำหนดค่าไว้เสมอเพื่อหยุดการเชื่อมต่ออินเทอร์เน็ตขาออก ไฟร์วอลล์ Windows ถูกกำหนดค่าไว้ไม่ดีเพื่ออนุญาตการเชื่อมต่อขาออกโดยค่าเริ่มต้น การเอารัดเอาเปรียบเป็นการกระทำที่ชอบการกระทำใด ๆ ที่มีแรงจูงใจเสมอ โดยปกติจะใช้กับกาลักน้ำของเบราว์เซอร์รหัสผ่านหรือคุกกี้สิทธิ์การใช้งานและถ่ายโอนเนื้อหาไปยังทรัพยากรภายนอก (เช่น FTP) ที่ผู้โจมตีเป็นเจ้าของ ดังนั้นหากคุณใช้เครื่องมือเช่น sandboxie ให้ปิดการใช้งานการเชื่อมต่ออินเทอร์เน็ตขาออก หากคุณใช้เครื่องเสมือนให้แน่ใจว่าไม่มีข้อมูลที่ละเอียดอ่อนและบล็อกการเข้าถึงอินเทอร์เน็ตขาออกโดยใช้กฎไฟร์วอลล์เสมอ

หากคุณไม่ทราบว่ากำลังทำอะไรอยู่อย่าใช้ไฟล์ ปลอดภัยและอย่าเสี่ยงที่ไม่คุ้มค่า

R ..
แหล่งที่มา
2

คำตอบสั้น ๆ ใช่ คำตอบอีกต่อไปนี้เป็นบทเรียนพื้นฐานของTropical PC Solutions: จะซ่อนไวรัสได้อย่างไร! และสร้างหนึ่งสำหรับตัวคุณเอง

pyCthon
แหล่งที่มา
1
โปรดทราบว่าหน้านั้นไม่ได้ใช้ประโยชน์จากการติดเชื้อระบบจะซ่อนข้อมูลบางส่วนในไฟล์ภาพโดยใช้ซูรินาเมเท่านั้น (ในกรณีนี้คือมัลแวร์ แต่อาจเป็นอะไรก็ได้) รหัสไม่ได้ทำงานจริงมันถูกซ่อนไว้เพียง มันบรรลุเป้าหมายในการรับโค้ดบนระบบเป้าหมาย แต่จากนั้นจะต้องใช้วิธีอื่นในการรัน
Synetech
-2

ไฟล์ AVI จะไม่ติดไวรัส เมื่อคุณดาวน์โหลดภาพยนตร์จากทอร์เรนต์แทนที่จะเป็น AVI หากภาพยนตร์อยู่ในแพ็คเกจRARหรือเป็นไฟล์ EXE แน่นอนว่ามีโอกาสติดไวรัสอยู่

บางคนขอให้คุณดาวน์โหลดตัวแปลงสัญญาณเพิ่มเติมจากบางเว็บไซต์เพื่อดูภาพยนตร์ เหล่านี้เป็นคนที่ต้องสงสัย แต่ถ้าเป็น AVI คุณสามารถลองเล่นในเครื่องเล่นวิดีโอของคุณได้ จะไม่มีอะไรเกิดขึ้น

ahmedmzl
แหล่งที่มา
สามารถเพียงแค่การไม่ลบไฟล์ให้ไวรัสหรือไม่
user3183
@ user3183 เป็นไปได้ ไฟล์ดังกล่าวอาจได้รับการออกแบบให้ใช้ประโยชน์จากช่องโหว่ใน WinRAR / 7-zip / etc
Synetech
@Synetech: ความเป็นไปได้ของการโจมตีช่องโหว่ในโปรแกรมเล่นสื่อของคุณซึ่งมีโอกาสน้อยกว่า avi.exe
โกหกที่
1
@LieRyan แน่นอน มีโปรแกรมเก็บถาวรที่แตกต่างกันเพียงพอและรุ่นเดียวกันที่พื้นที่ผิวเป้าหมายมีขนาดใหญ่เกินไป สำหรับเกียรติศักดิ์มันอาจจะคุ้มค่ากับความพยายาม แต่สำหรับแฮ็กเกอร์ธุรกิจก็เป็นการดีกว่าที่จะกำหนดเป้าหมายระบบปฏิบัติการ
Synetech
-3

ไฟล์ AVI ไม่สามารถมีไวรัสหากเป็นไฟล์วิดีโอ ในขณะที่ดาวน์โหลดเบราว์เซอร์ของคุณจะทำการดาวน์โหลดในรูปแบบของตัวเองนั่นคือสาเหตุที่โปรแกรมป้องกันไวรัสตรวจพบว่าเป็นไวรัส เมื่อดาวน์โหลดไฟล์ AVI ตรวจสอบให้แน่ใจว่าหลังจากดาวน์โหลดไฟล์แล้วจะทำงานในเครื่องเล่นวิดีโอหากเป็นไฟล์ที่ไม่ถูกต้องไฟล์นั้นจะไม่เล่นและไม่มีราคาสำหรับการเดาว่าเป็นไวรัสแล้ว

หากคุณพยายามดับเบิ้ลคลิกและรันมันโดยตรงหากมีโอกาสติดไวรัสเล็กน้อย ใช้ความระมัดระวังและคุณไม่จำเป็นต้องมีซอฟต์แวร์ป้องกันไวรัส

Sreejit
แหล่งที่มา
2
พวกเขาไม่ได้ใช้เบราว์เซอร์ มันเป็นไคลเอนต์ฝนตกหนัก
Synetech
yup เดียวกันกับไฟล์ torrent โดยเฉพาะไฟล์ torrent เป็นเป้าหมายสำหรับ บริษัท แอนติไวรัสเหล่านี้
Sreejit
1
ไคลเอนต์ฝนตกหนักส่วนใหญ่จะไม่เก็บไฟล์ที่ดาวน์โหลดมาในรูปแบบที่แตกต่างกันในระหว่างการดาวน์โหลด (แม้ว่าพวกเขาอาจใช้ชื่อไฟล์ / นามสกุลอื่น)
Synetech
ใช่ฉันยังพูด extentions เสียใจที่ไม่รวมถึงที่และป้องกันไวรัสไม่เห็น extentions สำหรับการตรวจสอบไวรัส
Sreejit
ตกลง. โปรแกรมป้องกันมัลแวร์สามารถตั้งค่าให้สแกนโดยไม่คำนึงถึงนามสกุล แต่มีแนวโน้มที่จะทำให้ระบบช้าลง :-(
Synetech
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.