Syn*_*ech 194
一个.avi文件是一个视频的,因此是不可执行的,所以操作系统可以/将不运行该文件。因此,它本身不可能是病毒,但它确实可以包含病毒。
过去,只有可执行(即“可运行”)文件才是病毒。后来,互联网蠕虫开始使用社会工程学来诱骗人们运行病毒。一个流行的技巧是重命名可执行文件以包含其他扩展名,例如.avi或.jpg以欺骗用户认为它是媒体文件并运行它。例如,电子邮件客户端可能只显示附件的前十几个字符,因此通过给文件一个错误的扩展名,然后用空格填充它,如"FunnyAnimals.avi .exe",用户会看到看起来像视频的内容并运行它并被感染。
这不仅是社会工程学(欺骗用户),也是早期的利用。它利用电子邮件客户端文件名的有限显示来实现它的伎俩。
后来,出现了更高级的漏洞利用。恶意软件编写者会反汇编程序以检查其源代码,并寻找可以利用的数据和错误处理不佳的某些部分。这些指令通常采用某种用户输入的形式。例如,操作系统或网站上的登录对话框可能不会执行错误检查或数据验证,因此假设/期望用户仅输入适当的数据。如果您随后输入了它不期望的数据(或者在大多数漏洞利用的情况下,数据过多),那么输入将最终超出分配用于保存数据的内存。通常情况下,用户数据应该只包含在一个变量中,但是通过利用糟糕的错误检查和内存管理,可以将它放在可以执行的内存中。一种常见且众所周知的方法是缓冲区溢出将更多的数据放入变量中,超出了它所能容纳的范围,从而覆盖了内存的其他部分。通过巧妙地设计输入,有可能导致代码(指令)溢出,然后将控制权转移给该代码。那时,一旦恶意软件获得控制权,可以做什么通常是无止境的。
媒体文件是一样的。它们可以被制作成包含一些机器代码并利用媒体播放器使机器代码最终运行。例如,可能会在媒体文件的元数据中放入过多数据,因此当播放器尝试打开文件并读取它时,它会溢出变量并导致某些代码运行。理论上甚至可以精心制作实际数据来利用该程序。
媒体文件更糟糕的是,与显然不好的登录不同,即使对于外行人也是如此(例如,username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)可以制作媒体文件,使其实际上包含正确、合法的媒体,甚至没有损坏,因此看起来完全合法且在感染的影响发生之前完全不被发现。隐写术(字面意思是“覆盖的写作”)通常用于将数据隐藏在其他数据中,但这本质上是一样的,因为恶意软件会隐藏在看起来像合法媒体的地方。
所以是的,媒体文件(以及就此而言,任何文件)都可以通过利用打开/查看文件的程序中的漏洞来包含病毒。问题是您通常甚至不需要打开或查看要被感染的文件。大多数文件类型都可以预览或读取其元数据,而无需故意打开它们。例如,只需在 Windows 资源管理器中选择一个媒体文件,就会自动从文件中读取元数据(尺寸、长度等)。如果恶意软件编写者碰巧在 Explorer 的预览/元数据功能中发现漏洞并制作利用该漏洞的媒体文件,则这可能成为攻击的载体。
幸运的是,漏洞利用是脆弱的。它们通常只影响一个或另一个媒体播放器,而不是所有播放器,即便如此,也不能保证它们适用于同一程序的不同版本(这就是操作系统发布补丁漏洞更新的原因)。因此,恶意软件编写者通常只会花时间破解广泛使用或具有高价值的系统/程序(例如,Windows、银行系统等)。这一点尤其正确,因为黑客作为犯罪分子的业务越来越受欢迎试图赚钱,不再只是试图获得荣耀的书呆子的领域。
如果您的视频文件被感染,那么只有当您碰巧使用专门设计用于利用的媒体播放器时,它才会感染您。如果没有,那么它可能会崩溃、无法打开、损坏甚至正常运行(这是最坏的情况,因为然后被标记为正常并传播给可能被感染的其他人)。
反恶意软件程序通常使用签名和/或试探法来检测恶意软件。签名在文件中寻找通常与众所周知的病毒中的指令相对应的字节模式。问题在于,由于多态病毒每次繁殖都会发生变化,因此签名变得不那么有效。启发式观察行为模式,例如编辑特定文件或读取特定数据。这些通常仅在恶意软件已经运行时适用,因为由于恶意软件混淆和规避技术,静态分析(在不运行代码的情况下检查代码)可能非常复杂。
在这两种情况下,反恶意软件程序都可以并且确实会报告误报。
显然,计算安全最重要的一步是从可信来源获取文件。如果您使用的 torrent 来自您信任的某个地方,那么大概应该没问题。如果没有,那么您可能要三思而后行(特别是因为有反盗版组织故意发布包含假货甚至恶意软件的种子)。
Joh*_*uhy 30
我不会说这是不可能的,但会很困难。病毒编写者必须制作 AVI 以触发您的媒体播放器中的错误,然后以某种方式利用它在您的操作系统上运行代码 - 不知道您正在运行什么媒体播放器或操作系统。如果您使软件保持最新状态,和/或运行 Windows Media Player 或 iTunes 以外的其他软件(作为最大的平台,它们将是最佳目标),那么您应该非常安全。
然而,存在一个非常真实的相关风险。如今互联网上的电影使用各种编解码器,而一般公众不了解什么是编解码器——他们只知道“有时我必须下载它才能播放电影”。这是一个真正的攻击媒介。如果您下载了某些内容并被告知“要查看此内容,您需要来自 [某个网站] 的编解码器”,那么我们非常确定您知道自己在做什么,因为您可能会感染自己。
fma*_*nco 12
对的,这是可能的。AVI 文件,就像每个文件一样,可以特制以利用管理这些文件的软件中的已知错误。
防病毒软件检测文件中的已知模式,例如二进制文件中的可执行代码或HTML页面中的特定JavaScript结构,这些可能是病毒。
Dio*_*ogo 12
avi 文件扩展名并不能保证文件是视频文件。你可以得到任何 .exe 病毒并将其重命名为 .avi(这会让你下载病毒,感染计算机的路径的一半是什么)。如果您的机器上有任何漏洞允许病毒运行,那么您就会受到影响。
如果您认为它是恶意软件,请停止下载并删除它,不要在防病毒扫描之前执行它。
快速回答:是的。
稍微长一点的答案:
AVI(音频视频交错)文件应该是包含交错的音频和视频数据。通常,它不应包含任何可执行代码。AVI带有音视频数据的文件实际上不太可能包含病毒然而 ...
AVI文件需要一个解码器来做任何有用的事情。例如,您可能已经在使用 Windows Media Player 播放AVI文件以查看其内容AVI文件:
有可能,是的,但不太可能。您更有可能尝试查看 WMV 并让它自动加载 URL 或要求您下载许可证,这反过来会弹出一个浏览器窗口,如果您的机器没有完全修补,它可能会利用您的机器。
我听说过的最流行的“AVI”病毒是
something.avi.exe在 Windows 机器上下载的文件,该文件
被配置为在资源管理器中隐藏文件扩展名。
用户通常会忘记后来的事实并假设文件是 AVI。
再加上他们对相关播放器的期望,双击实际上会启动 EXE。
在那之后,它被奇怪地转码了 AVI 文件,需要你下载一个新的 codec才能看到它们。
所谓codec的通常是这里真正的“病毒”。
我也听说过 AVI 缓冲区溢出漏洞利用,但一些好的参考资料会很有用。
我的底线:罪魁祸首通常是以下之一,而不是 AVI 文件本身
codec系统处理AVI上安装简短的恶意软件预防阅读:P2P 或文件共享
.avi(或.mkv就此而言)是容器并支持包含各种媒体 - 多个音频/视频流、字幕、类似 dvd 的菜单导航等。也没有什么可以阻止恶意可执行内容被包含在内,但除非在Synetech 在他的回答中描述的场景
尽管如此,还是遗漏了一个常见的角度。鉴于有各种可用的编解码器并且对将它们包含在容器文件中没有限制,有一些通用协议可以提示用户安装必要的编解码器,并且媒体播放器可能被配置为自动尝试编解码器查找和安装,这无济于事。最终编解码器是可执行的(减去一小部分基于插件的编解码器)并且可能包含恶意代码。
小智 5
我的 Avast Antivirus 刚刚通知我,我下载的一个电影 AVI 中嵌入了一个木马程序。当我试图隔离它时,它说文件太大并且无法移动,所以我不得不删除它。
该病毒被称为WMA.wimad [susp]并且显然是一种中等威胁病毒,它会进行某种浏览器劫持。不完全是系统破坏,但它确实证明您可以从 AVI 文件中感染病毒。
| 归档时间: |
|
| 查看次数: |
94551 次 |
| 最近记录: |