总结

总结

我正在下载AVI通过 torrent 下载文件,但我的防病毒软件检测到了问题。AVI 文件可能含有病毒吗?

这很奇怪,因为这个种子有很多正面评价。

答案1

总结

一个.avi是视频,因此不可执行,因此操作系统不能/不会跑步该文件。因此,它不能它本身就是一种病毒,但它确实可以包含病毒。

历史

过去,只有可执行(即可运行)文件才是病毒。后来,互联网蠕虫开始使用社交工程来诱骗人们运行病毒。一种流行的伎俩是重命名可执行文件以包含其他扩展名,如.avi或,.jpg以诱骗用户认为它是媒体文件并运行它。例如,电子邮件客户端可能只显示附件的前十几个字符,因此通过给文件赋予虚假扩展名,然后用空格填充,如"FunnyAnimals.avi              .exe",用户会看到看起来像视频的内容并运行它并被感染。

这不仅是社会工程学(欺骗用户),而且还是早期的开发。它利用电子邮件客户端文件名显示受限的特点来实现其伎俩。

技术的

后来,出现了更高级的漏洞利用。恶意软件编写者会反汇编程序以检查其源代码,并寻找可以利用的某些数据和错误处理较差的部分。这些指令通常采用某种用户输入的形式。例如,操作系统或网站上的登录对话框可能不执行错误检查或数据验证,因此假设/期望用户只输入适当的数据。如果您随后输入它不期望的数据(或者在大多数漏洞利用的情况下,输入的数据太多),则输入将超出分配给保存数据的内存。通常,用户数据应该只包含在变量中,但通过利用较差的错误检查和内存管理,可以将其放在可以执行的内存部分中。一种常见且众所周知的方法是缓冲区溢出这会将比变量所能容纳的数据更多的数据放入变量中,从而覆盖内存的其他部分。通过巧妙地设计输入,可能会导致代码(指令)溢出,然后将控制权转移到该代码。此时,一旦恶意软件获得控制权,通常可以做的事情就没有限制了。

媒体文件也一样。它们可以包含一些机器代码,并利用媒体播放器,最终运行机器代码。例如,可以在媒体文件的元数据中放入太多数据,这样当播放器尝试打开文件并读取它时,就会溢出变量并导致某些代码运行。理论上,甚至可以制作实际数据来利用该程序。

媒体文件更糟糕的是,它与登录名不同,登录名即使对外行人来说也明显是坏的(例如,)username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^),但媒体文件可以被制作成实际上包含正确的、合法的媒体,甚至没有损坏,因此看起来完全合法,并且在感染效果发生之前完全不会被发现。隐写术(字面意思是“掩盖的文字”)通常用于将数据隐藏在其他数据中,但这本质上是同一件事,因为恶意软件会隐藏在看似合法的媒体中。

是的,媒体文件(以及,任何文件)利用程序中的漏洞来包含病毒打开/浏览该文件。问题是,您通常甚至不需要打开或查看要感染的文件。大多数文件类型都可以预览或读取其元数据,而无需特意打开它们。例如,只需在 Windows 资源管理器中选择一个媒体文件,就会自动从文件中读取元数据(尺寸、长度等)。如果恶意软件编写者碰巧在 Explorer 的预览/元数据功能中发现漏洞并制作利用该漏洞的媒体文件,则这可能成为攻击媒介。

幸运的是,漏洞利用非常脆弱。它们通常只会影响一个媒体播放器,而不是所有播放器,而且即使如此,它们也不能保证对同一程序的不同版本都有效(这就是操作系统发布更新来修补漏洞的原因)。正因为如此,恶意软件编写者通常只会花时间破解广泛使用或高价值的系统/程序(例如 Windows、银行系统等)。这种情况尤其如此,因为黑客攻击已经成为一种流行的商业手段,犯罪分子试图通过这种手段来赚钱,而不再只是那些试图获得荣誉的书呆子的领域。

应用

如果您的视频文件感染,那么只有当您碰巧使用专门设计用于利用的媒体播放器时,它才会感染您。如果没有,那么它可能会崩溃、无法打开、播放损坏,甚至播放正常(这是最糟糕的情况,因为它被标记为正常并传播给可能被感染的其他人)。

反恶意软件程序通常使用签名和/或启发式方法来检测恶意软件。签名会在文件中寻找字节模式,这些模式通常与知名病毒中的指令相对应。问题在于,由于多态病毒每次复制时都会发生变化,签名变得不那么有效。启发式方法观察行为模式,例如编辑特定文件或读取特定数据。这些通常仅适用于恶意软件已运行的情况,因为由于恶意软件混淆和规避技术,静态分析(不运行代码而检查代码)可能非常复杂。

在这两种情况下,反恶意软件程序都会报告误报。

结论

显然,计算机安全最重要的一步是从受信任的来源获取文件。如果你使用的 torrent 来自你信任的地方,那么想必应该没问题。如果不行,那么你可能需要再三考虑,(尤其是因为有反盗版组织故意发布包含假货甚至恶意软件的种子)。

答案2

我不会说这是不可能的,但会很困难。病毒编写者必须制作 AVI 来触发媒体播放器中的错​​误,然后以某种方式利用它在您的操作系统上运行代码——而不知道您正在运行什么媒体播放器或操作系统。如果您保持软件更新,和/或运行 Windows Media Player 或 iTunes 以外的其他程序(作为最大的平台,它们将是最佳目标),您应该相当安全。

然而,存在一个非常现实的相关风险。如今,互联网上的电影使用各种编解码器,而公众并不明白编解码器是什么——他们只知道“这是我有时必须下载才能播放电影的东西”。这是一个真正的攻击媒介。如果你下载了某些东西,并被告知“要观看这个,你需要[某个网站]的编解码器”,那么我们非常肯定你知道自己在做什么,因为你可能会感染自己。

答案3

是的,这是有可能的。AVI 文件和其他文件一样,可以利用管理这些文件的软件中已知的错误进行特殊制作。

防病毒软件检测文件中的已知模式,例如二进制文件中的可执行代码或特定JavaScript建筑HTML页面,可能是病毒。

答案4

快速回答:是的

稍微长一点的答案:

  • 文件是不同类型数据的容器。
  • 一个AVI(音频视频交错)文件用于包含交错的音频和视频数据。通常,它不应包含任何可执行代码。
  • 除非攻击者异常坚定,否则AVI包含音频视频数据的文件实际上不太可能包含病毒

然而 ...

  • 文件AVI需要解码器才能执行任何有用的操作。例如,您可能已经使用 Windows Media Player 播放AVI文件以查看其内容
  • 如果解码器或文件解析器存在攻击者可以利用的错误,他们就会巧妙地生成AVI如下文件:
    • 当你尝试使用有问题的 AVI 解析器或解码器打开这些文件(例如,如果你双击开始播放视频)时,这些隐藏的错误将触发
    • 结果,它可能允许攻击者在您的计算机上执行他选择的代码,从而可能导致您的计算机受到感染。
    • 以下是一份可以准确回答您所问问题的漏洞报告。

相关内容