Question Les fichiers AVI peuvent-ils contenir un virus?


Je télécharge un AVI fichier via un torrent, mais mon anti-virus détecte quelque chose. Est-il possible que le fichier AVI contienne un virus?

C'est assez bizarre puisque le torrent a beaucoup de critiques positives.


97
2017-07-05 16:56


origine


@ user3183 VideoLAN utilise ses propres codecs en interne. Il n'y a rien qui empêche l'un de ses propres codecs d'avoir une erreur qu'un auteur de virus malveillant pourrait exploiter. - GAThrawn
En cas de doute, arrêtez le téléchargement.
@soandos, ce n'est pas nécessairement vrai. Le fichier peut être conçu pour exploiter le client torrent lorsqu'il le hache pour vérifier qu'il est bon. il peut également être conçu pour exploiter le système d'exploitation lorsqu'il lit le fichier pour produire une miniature ou extraire des métadonnées. - Synetech
@IMB, quel fichier est le flag antivirus? Les avis positifs émanant de personnes réelles sont-ils manifestement générés / copiés? - Synetech
Duplicata possible de Pouvez-vous obtenir un virus en téléchargeant un fichier .avi?. Lecture connexe: Est-il possible de stocker des données arbitraires dans un fichier image? - bwDraco


Réponses:


TL; DR

Un .avi fichier est une vidéo, et n'est donc pas exécutable, donc le système d'exploitation peut / ne veut pas courir le fichier. En tant que tel, il ne peut pas être un virus à part entière, mais il peut en effet contenir un virus.

Histoire

Dans le passé, seuls les fichiers exécutables (c'est-à-dire "exécutables") seraient des virus. Plus tard, les vers Internet ont commencé à utiliser l'ingénierie sociale pour inciter les gens à utiliser des virus. Un truc populaire serait de renommer un exécutable pour inclure d'autres extensions comme .avi ou .jpg afin de faire croire à l'utilisateur qu'il s'agit d'un fichier multimédia et de l'exécuter. Par exemple, un client de messagerie ne peut afficher que la première douzaine de caractères des pièces jointes. Par conséquent, en attribuant une fausse extension à un fichier, remplissez-le avec des espaces comme dans "FunnyAnimals.avi              .exe", l'utilisateur voit ce qui ressemble à une vidéo et l'exécute et est infecté.

Ce n'était pas seulement une ingénierie sociale (tromper l'utilisateur), mais aussi exploit. Il a exploité l'affichage limité des noms de fichiers des clients de messagerie pour tirer son épingle du jeu.

Technique

Plus tard, des exploits plus avancés sont apparus. Les auteurs de logiciels malveillants désassembleraient un programme pour examiner son code source et rechercher certaines parties présentant une mauvaise gestion des données et des erreurs qu’ils pourraient exploiter. Ces instructions prennent souvent la forme d'une sorte de saisie utilisateur. Par exemple, une boîte de dialogue de connexion sur un système d'exploitation ou un site Web peut ne pas effectuer de vérification des erreurs ou de validation des données et suppose donc que l'utilisateur n'entre que les données appropriées. Si vous entrez ensuite des données auxquelles il ne s'attend pas (ou dans le cas de la plupart des exploits, trop de données), l'entrée se retrouvera en dehors de la mémoire affectée à la conservation des données. Normalement, les données utilisateur ne doivent être contenues que dans une variable, mais en exploitant une mauvaise vérification des erreurs et une mauvaise gestion de la mémoire, il est possible de la placer dans une partie de la mémoire pouvant être exécutée. Une méthode courante et bien connue est la débordement de tampon qui met plus de données dans la variable qu’elle ne peut en contenir, écrasant ainsi d’autres parties de la mémoire. En créant astucieusement l'entrée, il est possible de provoquer un dépassement du code (instructions), puis de transférer le contrôle vers ce code. À ce stade, le ciel est généralement la limite de ce qui peut être fait une fois que le logiciel malveillant a le contrôle.

Les fichiers multimédias sont les mêmes. Ils peuvent être faits de telle sorte qu'ils contiennent un peu de code machine et exploitent le lecteur multimédia pour que le code machine soit exécuté. Par exemple, il peut être possible de mettre trop de données dans les métadonnées du fichier multimédia, de sorte que lorsque le lecteur essaie d'ouvrir le fichier et de le lire, il déborde des variables et provoque l'exécution d'un code. Même les données réelles pourraient théoriquement être conçues pour exploiter le programme.

Ce qui est pire avec les fichiers multimédias, c’est que contrairement à un login qui est clairement mauvais, même pour les profanes (par exemple, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^), un fichier multimédia peut être créé de sorte qu'il contienne un média légitime et approprié, qui n'est même pas corrompu et qui semble donc complètement légitime et passe inaperçu jusqu'à ce que les effets de l'infection se produisent. Stéganographie (littéralement "écriture couverte") est généralement utilisé pour dissimuler des données dans d’autres données, mais c’est essentiellement la même chose car le logiciel malveillant serait caché dans des supports légitimes.

Alors oui, les fichiers média (et d'ailleurs, tout fichier) pouvez contenir un virus en exploitant les vulnérabilités du programme ouvre / vues le fichier. Le problème est que vous n'avez souvent même pas besoin d'ouvrir ou d'afficher le fichier à infecter. La plupart des types de fichiers peuvent être prévisualisés ou leurs métadonnées peuvent être lues sans les ouvrir intentionnellement. Par exemple, il suffit de sélectionner un fichier multimédia dans Windows Explorer pour lire automatiquement les métadonnées (dimensions, longueur, etc.) du fichier. Cela pourrait être un vecteur d'attaque si un auteur de programmes malveillants découvrait une vulnérabilité dans la fonction de prévisualisation / méta-données d'Explorer et créait un fichier multimédia qui l'exploitait.

Heureusement, les exploits sont fragiles. Ils n'affectent généralement qu'un lecteur multimédia ou un autre par opposition à tous les lecteurs, et même alors, ils ne sont pas garantis pour fonctionner avec différentes versions du même programme (c'est pourquoi les systèmes d'exploitation émettent des mises à jour pour les vulnérabilités de correctifs). De ce fait, les auteurs de logiciels malveillants prennent généralement le temps de craquer des systèmes / programmes très répandus ou de grande valeur (Windows, systèmes bancaires, etc.). Ceci est particulièrement vrai car le piratage a gagné en popularité. essayer d'obtenir de l'argent et n'est plus seulement le domaine des nerds essayant d'obtenir la gloire.

Application

Si votre fichier vidéo est Si vous êtes infecté, il ne vous infectera probablement que si vous utilisez le ou les lecteurs multimédias qu’il est spécifiquement conçu pour exploiter. Sinon, il risque de tomber en panne, de ne pas s'ouvrir, de jouer avec la corruption ou même de jouer correctement (ce qui est le cas le plus défavorable car il est signalé comme correct et se propage à d'autres personnes susceptibles d'être infectées).

Les programmes anti-malware utilisent généralement des signatures et / ou heuristiques pour détecter les logiciels malveillants. Les signatures recherchent des modèles d'octets dans les fichiers qui correspondent généralement à des instructions dans des virus bien connus. Le problème est que, à cause des virus polymorphes qui peuvent changer à chaque reproduction, les signatures deviennent moins efficaces. Les heuristiques observent les comportements tels que l'édition de fichiers spécifiques ou la lecture de données spécifiques. Celles-ci ne s'appliquent généralement qu'une fois que le logiciel malveillant est déjà en cours d'exécution, car l'analyse statique (en examinant le code sans l'exécuter) peut être extrêmement complexe grâce aux techniques d'obfuscation et d'évasion des logiciels malveillants.

Dans les deux cas, les programmes anti-programmes malveillants peuvent et doivent signaler des faux positifs.

Conclusion

Évidemment, l'étape la plus importante dans la sécurité informatique consiste à récupérer vos fichiers à partir de sources fiables. Si le torrent que vous utilisez provient de quelque part de confiance, alors probablement ça devrait aller. Si non, alors vous voudrez peut-être y réfléchir à deux fois (d'autant plus qu'il existe des groupes anti-piratage qui à dessein libérer des torrents contenant des faux ou même des logiciels malveillants).


190
2017-07-05 17:39



Bon aperçu. Il y avait des exploits bien connus dans le passé où la charge utile était livrée sous la forme d'un fichier image GIF. Les mots-clés pour plus d'informations sont: "le débordement de tampon exploite l'exécution de code arbitraire" - horatio
@horatio, je n'avais pas entendu parler d'un exploit GIF (sauf si vous faites référence à la vulnérabilité GDI), mais je connais la Exploit WMF était une grande nouvelle. - Synetech
@GarrettFogerlie, merci. Apparemment c'est mon meilleur encore. Ce qui est étrange, c'est que je jure que j'en ai écrit un presque identique auparavant. o.O - Synetech
+1 Bravo pour un aperçu très complet, succinct et facile à comprendre des logiciels malveillants. - Phil
Aussi, pour se protéger contre les vulnérabilités comme celles-ci, exécutez toujours la dernière version du logiciel, car certaines personnes essaient de corriger ces bogues. - sjbotha


Je ne dirai pas que c'est impossible, mais ce serait difficile. Le rédacteur de virus devrait créer l'AVI pour déclencher un bogue dans votre lecteur multimédia, et ensuite l'exploiter pour exécuter du code sur votre système d'exploitation - sans savoir quel lecteur multimédia ou système d'exploitation vous utilisez. Si vous maintenez votre logiciel à jour et / ou si vous utilisez autre chose que Windows Media Player ou iTunes (en tant que plus grandes plates-formes, elles seront les meilleures cibles), vous devriez être assez sûr.

Cependant, il existe un risque connexe qui est très réel. Les films sur Internet de nos jours utilisent une variété de codecs, et le grand public ne comprend pas ce qu’est un codec - tout ce qu’ils savent, c’est «c’est quelque chose que je dois parfois télécharger pour que le film joue». Ceci est un véritable vecteur d'attaque. Si vous téléchargez quelque chose et que l'on vous dit "pour voir ceci, vous avez besoin du codec de [certains sites Web]", alors nous sommes certains que vous savez ce que vous faites parce que vous pourriez vous infecter.


28
2017-08-19 01:46





Une extension de fichier avi ne garantit pas que le fichier est un fichier vidéo. Vous pouvez obtenir n'importe quel virus .exe et le renommer en .avi (cela vous fait télécharger le virus, la moitié du chemin pour infecter votre ordinateur). Si un exploit est ouvert sur votre machine et permet au virus de s'exécuter, vous serez affecté.

Si vous pensez qu’il s’agit d’un malware, arrêtez le téléchargement et supprimez-le, ne l'exécutez jamais avant une analyse antivirus.


12
2017-07-05 17:07



-1 Ce n'est pas comme ça qu'un .avi pourrait vous infecter - même s'il s'agissait d'un fichier .exe renommé en .avi, il ne s'exécuterait pas en tant qu'exécutable lorsque vous l'ouvriez, sauf si vous étiez assez stupide pour le renommer en .exe . - BlueRaja - Danny Pflughoeft
Transférer des virus sur la machine d'un utilisateur n'est pas la partie la plus difficile, c'est une partie complètement triviale. Vous pouvez simplement renommer le fichier .exe au format .jpg et l'inclure dans une page Web. Il sera transféré lorsque l'utilisateur visite votre page. La partie la plus difficile de l'infection est l'exécution du premier code. - MatsT
@BlueRaja: J'ai effectivement vu une infection arriver à l'ordinateur d'un collègue avec un fichier .avi, et je l'ai reproduit moi-même sur une VM. Elle avait téléchargé un fichier zip contenant deux fichiers, l’un avec une extension AVI et l’autre un script de traitement par lots. Ouvrir l'AVI n'a pas fonctionné, alors elle a essayé d'ouvrir le script. Le script avait du code pour exécuter le fichier "AVI" de la ligne de commande en tant qu'exécutable, et vous pouvez deviner ce qui s'est passé ensuite (le virus a crypté toutes les données de son répertoire utilisateur après avoir changé le mot de passe, puis ). - Hippo
@Hippo, qui est plutôt un mauvais exemple, car le véritable virus - les scripts dans ce cas-ci - fourni avec un AVI n’a rien à voir avec le fait qu’AVI ne peut pas infecter votre ordinateur, étant donné que la plupart des ordinateurs et des cibles préférées sont connecté à Internet, le script peut simplement télécharger le virus sur le Web et, encore une fois, si vous pouvez faire en sorte que quelqu'un lance un «script», alors pourquoi ne pas y installer le virus? - - omeid
mais tout autre fichier ou extension aurait le même impact, le cas échéant. - omeid


Oui c'est possible. Les fichiers AVI, comme tous les fichiers, peuvent être spécialement conçus pour tirer parti des bogues connus du logiciel qui gère ces fichiers.

Un logiciel antivirus détecte des modèles connus dans les fichiers, comme du code exécutable dans des fichiers binaires, ou des codes spécifiques. JavaScript constructions en HTML pages, qui sont probablement des virus.


12
2017-07-05 17:03





Réponse rapide: OUI.

Réponse légèrement plus longue:

  • Un fichier est un conteneur pour différents types de données.
  • Un AVI Le fichier (Audio Video Interleave) est destiné à contenir des données audio et vidéo entrelacées. Normalement, il ne doit contenir aucun code exécutable.
  • À moins que l'attaquant ne soit exceptionnellement déterminé, il est fort peu probable qu'un AVI fichier avec des données audio-vidéo contiendrait en réalité un virus

TOUTEFOIS ...

  • Un AVI fichier nécessite un décodeur pour faire quelque chose d'utile. Par exemple, vous utilisez peut-être déjà Windows Media Player pour jouer AVI fichiers pour voir leur contenu
  • Si le décodeur ou l'analyseur de fichiers ont des bogues que l'attaquant peut exploiter, ils produiront intelligemment un AVI fichier tel que:
    • Si vous tentez d’ouvrir ces fichiers (par exemple, si vous double-cliquez pour lancer la lecture de la vidéo) avec votre analyseur ou votre décodeur AVI défectueux, ces bogues cachés se déclenchent.
    • Par conséquent, il peut permettre à l’attaquant d’exécuter du code de son choix sur votre ordinateur, ce qui risque de laisser votre ordinateur infecté.
    • Ici c'est un rapport de vulnérabilité qui répond exactement à ce que vous demandez.

9
2017-07-06 08:53



La seule vraie réponse à la question est "Voici un rapport de vulnérabilité" dans cette réponse. Tous les autres ne font que spéculer. - Alex
Salut @Alex, je suppose que tu as raison. Mon intention était de donner quelques informations au PO. Je conviens que le rapport de vulnérabilité répond à la question pour lui-même. - gsbabil
Peut-être que je n'étais pas assez clair - je voulais juste dire qu'en raison du rapport, votre réponse est la un qui vraiment réponses la question originale. +1. - Alex


C'est possible, oui, mais très improbable. Vous êtes plus susceptible d'essayer d'afficher un WMV et de le charger automatiquement une URL ou de vous demander de télécharger une licence, ce qui ouvre une fenêtre de navigateur qui pourrait exploiter votre ordinateur s'il n'est pas entièrement corrigé.


8
2017-08-19 01:50





Les virus les plus populaires parmi les virus «AVI» que j'ai entendus ont été,
something.avi.exe fichiers téléchargés sur une machine Windows
qui est configuré pour cacher les extensions de fichiers dans l'explorateur.

L'utilisateur oublie généralement ce fait ultérieur et suppose que le fichier est AVI.
Couplé à leur attente d'un lecteur associé, un double-clic lance réellement le fichier EXE.


Après cela, ses fichiers AVI ont été bizarrement transcodés, ce qui vous oblige à télécharger un fichier. Nouveau  codec de les voir.
La dite codec est généralement le vrai "virus" ici.


J'ai aussi entendu parler des exploits AVI de buffer-overflow, mais quelques bonnes références seraient utiles.

Ma ligne de fond: coupable est généralement l'un des suivants plutôt que le fichier AVI lui-même

  • le codec installé sur votre système pour gérer l'AVI
  • Le joueur utilisé
  • L'outil de partage de fichiers utilisé pour obtenir le fichier AVI

Une lecture courte de prévention contre les logiciels malveillants: P2P ou partage de fichiers


7
2017-08-19 05:30