AVIファイルにウイルスを含めることはできますか?


99

トレント経由でAVIファイルをダウンロードしていますが、アンチウイルスが何かを検出します。AVIファイルにウイルスが含まれている可能性はありますか?

トレントには多くの肯定的なレビューがあるため、それは非常に奇妙です。


2
@ user3183 VideoLANは内部で独自のコーデックを使用します。悪意のあるウイルス作成者が悪用する可能性のあるエラーが、独自のコーデックのいずれかを止めることはありません。
GAThrawn

7
疑わしい場合は、ダウンロードを停止してください。

27
@soandos、それは必ずしも真実ではありません。このファイルは、トレントクライアントがハッシュされたときに、それが良いことを確認するために悪用されるように設計されている場合があります。また、ファイルを読み取ってサムネイルを作成したりメタデータを抽出したりするときにオペレーティングシステムを悪用するように設計することもできます。
Synetech

2
@IMB、アンチウイルスはどのファイルにフラグを立てていますか?肯定的なレビューは実在の人々によるものですか、それとも明らかに生成/コピーペーストされたものですか?
Synetech

回答:


193

TL; DR

.aviファイルは、ビデオであるため、実行可能ではないので、オペレーティングシステムが/いないだろうことができます実行ファイルを。そのため、それ自体はウイルスではありません、実際はウイルスを含むことができます

歴史

過去には、実行可能(つまり、「実行可能」)ファイルのみがウイルスでした。その後、インターネットワームはソーシャルエンジニアリングを使用して、人々をだましてウイルスを実行させ始めました。人気のあるトリックは、実行可能ファイルの名前を他の拡張子を含むように変更する.avi.jpg、ユーザーをだましてメディアファイルだと思わせ、実行させることです。たとえば、電子メールクライアントは添付ファイルの最初の数十文字しか表示しない場合があるため、ファイルに誤った拡張子を付け、次にのようにスペースをパディングすると"FunnyAnimals.avi              .exe"、ユーザーはビデオのように見えて実行され、感染します。

これは、ソーシャルエンジニアリング(ユーザーを欺く)だけでなく、初期の悪用でもありました。電子メールクライアントのファイル名の限られた表示を悪用して、そのトリックを引き出しました。

テクニカル

その後、より高度なエクスプロイトが登場しました。マルウェア作成者は、プログラムを分解してソースコードを調べ、悪用可能なデータおよびエラー処理が不十分な特定の部分を探します。これらの指示は、多くの場合、何らかのユーザー入力の形式を取ります。たとえば、OSまたはWebサイトのログインダイアログボックスは、エラーチェックまたはデータ検証を実行しないため、ユーザーが適切なデータのみを入力することを前提としています。その後、予期しないデータを入力した場合(またはほとんどのエクスプロイトの場合、データが多すぎる場合)、入力はデータを保持するために割り当てられたメモリの外側になります。通常、ユーザーデータは変数にのみ含める必要がありますが、エラーチェックとメモリ管理の悪さを利用することで、実行可能なメモリの一部に置くことができます。一般的なよく知られた方法はバッファオーバーフローは、変数が保持できるよりも多くのデータを変数に格納するため、メモリの他の部分を上書きします。入力を巧みに作成することで、コード(命令)をオーバーランさせ、そのコードに制御を移すことができます。その時点で、通常、空はマルウェアが制御できたらできることの限界です。

メディアファイルは同じです。少しのマシンコードを含むように作成し、メディアプレーヤーを悪用してマシンコードが実行されるようにすることができます。たとえば、メディアファイルのメタデータに大量のデータを入れて、プレーヤーがファイルを開いて読み取ろうとすると、変数がオーバーフローしてコードが実行される可能性があります。実際のデータでさえ、プログラムを悪用するために理論的に作成できます。

メディアファイルの方が悪いのは、一般ユーザーにとっても明らかに悪いログインとは異なり(たとえば、username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)メディアファイルは、破損していない、完全に正当であるように見える適切な正当なメディアを実際に含むように作成できることです。感染症の効果は場所を取るまでは全く検出されない。ステガノグラフィ(文字通り「カバー書き込み」)は、通常、他のデータ内のデータを隠すために使用されているが、これは基本的にマルウェアが正当なメディアのように見えるものの中に隠されることになるので、同じものです。

そのため、はい、メディアファイル(さらに言え任意のファイル)、ファイルを開く/表示するプログラムの脆弱性を悪用することにより、ウイルス含むことができます。問題は、感染するファイルを開いたり表示したりする必要がないことです。ほとんどのファイルタイプは、意図的に開かずにプレビューしたり、メタデータを読み取ったりできます。たとえば、Windowsエクスプローラーでメディアファイルを選択するだけで、ファイルからメタデータ(次元、長さなど)が自動的に読み取られます。マルウェア作成者がたまたまExplorerのプレビュー/メタデータ機能に脆弱性を見つけ、それを悪用するメディアファイルを作成した場合、これは潜在的に攻撃のベクトルになる可能性があります。

幸いなことに、エクスプロイトは脆弱です。通常、それらはすべてのプレーヤーではなく1つのメディアプレーヤーのみに影響し、それでも同じプログラムの異なるバージョンで動作することは保証されていません(オペレーティングシステムがパッチの脆弱性に対する更新を発行する理由です)。このため、マルウェア作成者は通常、システムまたはプログラムのクラッキングに時間を費やすだけで、価値の高いシステム(Windows、銀行システムなど)を使用します。お金を稼ごうとすることは、もはや栄光を得ようとしているオタクの領域ではありません。

応用

ビデオファイル感染している場合、悪用するように特別に設計されたメディアプレーヤーを使用した場合にのみ感染する可能性があります。そうでない場合は、クラッシュしたり、開けなかったり、破損したり、うまく再生したりする可能性があります(これは最悪のシナリオであり、その後、問題がないとしてフラグが付けられ、感染する可能性がある他のユーザーに拡散します)。

マルウェア対策プログラムは通常、シグネチャを検出するか、ヒューリスティックを使用してマルウェアを検出します。シグニチャは、よく知られているウイルスの指示に通常対応するファイルのバイトパターンを探します。問題は、複製するたびに変化する可能性のある多形性ウイルスのため、署名の効果が低下することです。ヒューリスティックは、特定のファイルの編集や特定のデータの読み取りなどの動作パターンを観察します。これらは通常、マルウェアが既に実行されている場合にのみ適用されます。静的解析(実行せずにコードを調べる)は、マルウェアの難読化および回避技術のおかげで非常に複雑になる可能性があるためです。

どちらの場合も、マルウェア対策プログラムは偽陽性を報告できます。

結論

コンピューティングの安全性で最も重要なステップは、信頼できるソースからファイルを取得することです。使用しているトレントが信頼できる場所からのものであれば、おそらく大丈夫でしょう。そうでない場合は、よく考えてください(特に、偽造品やマルウェアを含むトレントを意図的にリリースする著作権侵害対策グループがあるため)。


3
概要。過去にペイロードがGIF画像ファイルとして配信された有名なエクスプロイトがいくつかありました。詳細情報のキーワードは次のとおりです。「バッファオーバーフローによる任意のコード実行の悪用」
-horatio

3
@ horatio、GIFエクスプロイトについて聞いたことがありません(GDIの脆弱性について言及している場合を除きます)が、WMFエクスプロイトが大きなニュースであることは知っています。
Synetech

@GarrettFogerlie、ありがとう。どうやらまだ最高です。奇妙なのは、以前にほぼ同じものを書いたことを誓うことです。o.O
Synetech

3
Bravo +1を使用して、マルウェアの概要を非常に簡潔かつ簡潔に理解しやすくします。
フィル

3
また、これらの脆弱性から保護するために、常に最新バージョンのソフトウェアを実行します。これは、一部の人々がこれらのバグを修正しようとするためです。
sjbotha

29

不可能だとは言いませんが、難しいでしょう。ウイルス作成者は、AVIを作成してメディアプレーヤーのバグを引き起こし、それを悪用してオペレーティングシステムでコードを実行する必要があります(実行しているメディアプレーヤーまたはOSがわからない)。ソフトウェアを最新の状態に保つか、Windows Media PlayerまたはiTunes(最大のプラットフォームとしては最適なターゲットになる)以外を実行する場合は、かなり安全です。

ただし、非常に現実的な関連リスクがあります。最近のインターネット上の映画はさまざまなコーデックを使用しており、一般の人々はコーデックが何であるかを理解していません-彼らが知っているのは「映画を再生するために時々ダウンロードしなければならないもの」です。これは真の攻撃ベクトルです。何かをダウンロードし、「これを表示するには[一部のWebサイト]からコーデックが必要です」と言われた場合、自分自身に感染する可能性があるため、何をしているのかを確実に把握できます。


12

aviファイル拡張子は、ファイルがビデオファイルであることを保証するものではありません。任意の.exeウイルスを取得して、.aviに名前を変更できます(これにより、ウイルスがダウンロードされます。これは、コンピュータに感染するパスの半分です)。ウイルスの実行を許可するエクスプロイトがマシン上で開かれている場合、影響を受けます。

マルウェアと思われる場合は、ダウンロードを停止して削除し、ウイルス対策スキャンの前に実行しないでください


17
-1これは.aviがあなたに感染する可能性がある方法ではありません-.aviに名前が変更された.exeであっても、事前に.exeに名前を変更するほど愚かでない限り、それを開いたときに実行可能ファイルとして実行されません。
BlueRaja-ダニーPflughoeft

3
ウイルスをユーザーのマシンに移すことは最も難しい部分ではなく、完全に些細な部分です。.exeの名前を.jpgに変更してWebページに含めるだけで、ユーザーがページにアクセスしたときに転送されます。感染の最も難しい部分は、最初のコード実行です。
MatsT

2
@BlueRaja:実際に.aviファイルを使用して同僚のコンピューターに感染が発生したのを見て、VMで自分で再現しました。彼女は、いくつかのファイルを含むzipをダウンロードしました。1つはAVI拡張子があり、もう1つはバッチスクリプトです。AVIを開くことが機能しなかったため、スクリプトを開いてみました。スクリプトには、コマンドラインから「AVI」を実行可能ファイルとして実行するコードがあり、次に何が起こるか推測できます(ウイルスはパスワードを変更した後、ユーザーディレクトリ内のすべてのデータを暗号化し、バカな行為に対するペナルティとして25ドルを要求しました) )。
カバ

3
@Hippoはかなり貧弱な例です。実際のウイルス(この場合はスクリプト)がAVIに付属しているため、ほとんどのコンピューターと優先ターゲットがインターネットに接続すると、スクリプトは単純にWebからウイルスをダウンロードできます。誰かに「スクリプト」を実行させることができたら、そもそもそこにウイルスを入れてみませんか?–
オメイド

2
しかし、他のファイルまたは拡張子がある場合、同じ影響があります。
オメイド

12

はい、可能です。AVIファイルは、すべてのファイルと同様に、それらのファイルを管理するソフトウェアの既知のバグを活用するために特別に作成できます。

ウイルス対策ソフトウェアは、バイナリファイルの実行可能コードやHTMLページの特定のJavaScript構造など、ファイル内の既知のパターンを検出します


9

クイックアンサー:はい

少し長い答え:

  • ファイルは、さまざまなタイプのデータのコンテナです。
  • AVI(オーディオビデオインターリーブ)ファイルがインターリーブされたオーディオおよびビデオデータを含むように意図されています。通常、実行可能なコードは含まれません。
  • 攻撃者が異常に判断されない限り、AVIオーディオビデオデータを含むファイルに実際にウイルスが含まれることはほとんどありません

しかしながら ...

  • AVIファイルには、便利な何かをするためのデコーダを必要とします。たとえば、既にWindows Media Playerを使用してAVIファイルを再生し、コンテンツを表示している可能性があります
  • デコーダーまたはファイルパーサーに攻撃者が悪用できるバグがある場合、次のAVIようなファイルを巧妙に作成します。
    • バギーなAVIパーサーまたはデコーダーでこれらのファイルを開こうとすると(たとえば、ダブルクリックしてビデオの再生を開始した場合)、これらの隠されたバグがトリガーされます
    • その結果、攻撃者がコンピュータ上で任意のコードを実行できるようになり、コンピュータが感染したままになる可能性があります。
    • ここだ脆弱性の報告書は、あなたが求めている正確に何を答えています。

この質問に対する唯一の本当の答えは、この回答の「脆弱性レポートです」です。他のすべてはただ推測しています。
アレックス

こんにちは@Alex、あなたは正しいと思います。私の意図はOPに背景を与えることでした。脆弱性レポートがそれ自体の質問に答えていることに同意します。
gsbabil

おそらく、私は十分に明確ではなかった-という理由だけでレポートを、あなたの答えがあると言うことを意味し、本当に1 回答元の質問を。+1。
アレックス

8

はい、可能ですが、可能性は非常に低いです。WMVを試してみて、URLを自動ロードするか、ライセンスをダウンロードするように依頼する可能性が高くなります。ライセンスをダウンロードすると、完全にパッチが適用されていない場合にマシンを悪用するブラウザウィンドウがポップアップ表示されます。


7

私が聞いた「AVI」ウイルスの中で最も人気があったの は、エクスプローラーでファイル拡張子を隠すように構成さ
something.avi.exeれたWindowsマシンにダウンロードされたファイルです。

ユーザーは通常、後の事実を忘れて、ファイルがAVIであると想定します。
関連するプレーヤーへの期待に加えて、ダブルクリックは実際にEXEを起動します。


その後、奇妙にトランスコードされたAVIファイルが表示されるため、新しい ファイルをダウンロードする必要がありますcodec。通常、
いわゆるcodec「ウイルス」がここにあります。


AVIのバッファオーバーフローエクスプロイトについても聞いたことがありますが、参考になる参考資料がいくつかあります。

私の要点:犯人は通常、AVIファイル自体ではなく、次のいずれかです

  • codecAVIを処理するために、システムにインストール
  • 使用されているプレーヤー
  • AVIファイルを取得するために使用されるファイル共有ツール

短いマルウェア防止読書:P2Pまたはファイル共有


6

.avi(または.mkvそのことについて)コンテナーであり、メディアの多様性の包含をサポートします-複数のオーディオ/ビデオストリーム、字幕、DVDのようなメニューナビゲーションなど。悪意のある実行可能コンテンツも含まれることを妨げるものはありませんが、シネテックが答えで説明したシナリオ

それでも、一般的な角度が1つ残っています。さまざまなコーデックが利用可能であり、コンテナファイルに含めることには制限がないため、ユーザーに必要なコーデックのインストールを促す一般的なプロトコルがあり、コーデックルックアップとインストールを自動的に試みるようにメディアプレーヤーを構成することはできません。最終的に、コーデックは実行可能(プラグインベースの小さな配列を除く)であり、悪意のあるコードを含む可能性があります。


コーデックについての良い点!
-marabutt

5

技術的には、ファイルのダウンロードからではありません。ただし、ファイルが開かれると、プレーヤーとコーデックの実装に応じて公平なゲームになります。


5

アバストアンチウイルスは、ダウンロードした映画AVIの1つにトロイの木馬が埋め込まれていることを通知しました。隔離しようとしたときに、ファイルが大きすぎて移動できないと言われたため、代わりに削除する必要がありました。

このウイルスは呼ばれWMA.wimad [susp]、何らかのブラウザハイジャックを行う中程度の脅威のウイルスです。正確にシステムを破壊するわけではありませんが、AVIファイルからウイルスを取得できることが証明されています。


3

ダウンロードがまだ完了していない場合は、完了する前に何をするかを決定してください。ダウンロードが部分的にしか完了していない場合、ファイルの欠落部分は本質的にノイズであり、マルウェアのチェック時に誤検知を生じる傾向があります。

@Synetechが詳細に説明したように、おそらくダウンロードが完了する前に、ビデオファイルを介してマルウェアを拡散する可能性があります。しかし、それはだという可能性、それはだという意味ではありません可能性が高いです。私の個人的な経験から、進行中のダウンロード中の誤検知の可能性ははるかに高いです。


>進行中のダウンロード中の誤検知の可能性ははるかに高くなります。 私は「ずっと」について知らないが、不完全なファイルができヌルのたくさん持っているかもしれないので、それは確かに可能です偶然に(終わる通常は無害のバイトのビットの次の悪いマシンコードに見えるように起こってことを少なくともヌルが実際のデータで上書きされるまで)。
Synetech

2
一方、Windowsエクスプローラーのプレビュー画像は、選択したビデオプレーヤーによって生成されます。このプレーヤーがウイルスが悪用するプレーヤーである場合、エクスプローラーでファイルのフォルダーを開くだけでウイルスをキャッチする可能性があります! この場合、ファイルのダウンロードを完了するにウイルスをキャッチする必要があります。過去にこのように広がるウイルスがありました。
BlueRaja-ダニーPflughoeft

@Synetech:これについてのデータはありませんが、少なくとも20人が不完全なトレントダウンロードから誤報を受け取ったことを知っています。私はそれが可能であることを読みましたが、彼のコンピューターを実際のビデオファイルに感染させた人は誰もいません。
デニス

1
@BlueRaja、うん、それは私が上記についてsoandosに警告したことです。ただし、ほとんどの一般的なメディアファイルの場合、プレビューを生成するのはWindows / WMPであり、サードパーティのプログラムではありません(ほとんどの初心者にはFFDShowがインストールされていません。メガコーデックパック)。
Synetech

1
@BlueRaja、それに関する情報を見つけることができません。そのためのソースを見つけてください。私はポータブルのみを使用しているため、VLCがサムネイルを生成するのを見たことはありません。さらに、FLV、MKVなどを含む、再生可能で関連付けられているあらゆる種類のビデオのサムネイルを生成すると考えられますが、そうではないため、Icarosのようなプログラムです。実際、VLCプレビューハンドラーを実装する計画があるようですが、それは遅れています。
Synetech

2

ユーザーがマルウェアの問題を解決するのに時間を費やしてきたので、詐欺師が使用する通常の悪用メカニズムは技術的なものよりも社会的なものであると証言できます。

ファイルの名前は単純に* .avi.exeであり、Windowsのデフォルト設定では一般的なファイル拡張子は表示されません。実行可能ファイルには、単にAVIファイルアイコンが割り当てられます。これは、ファイルにwinwordのアイコンがある* .doc.exeウイルスを配布するために使用される戦術に似ています。

また、p2p配布で使用される長いファイル名などの危険な戦術も観察しているため、クライアントはファイルリストに名前の一部しか表示しません。

見掛け倒しファイルを使用する

ファイルを使用する必要がある場合は、常に発信インターネット接続を停止するように構成されたサンドボックスを使用してください。Windowsファイアウォールは、デフォルトで発信接続を許可するように正しく構成されていません。エクスプロイトはアクションであり、他のアクションと同様に常にモチベーションがあります。通常、ブラウザのパスワードまたはCookieを吸い上げ、ライセンスを取得し、攻撃者が所有する外部リソース(FTPなど)にコンテンツを転送するために実行されます。したがって、sandboxieなどのツールを使用する場合は、発信インターネット接続を無効にしてください。仮想マシンを使用する場合、機密情報が含まれていないことを確認し、ファイアウォールルールを使用して送信インターネットアクセスを常にブロックしてください。

何をしているのかわからない場合は、ファイルを使用しないでください。安全であり、取る価値のないリスクを負わないでください。


2

短い答え、はい。より長い答えは、基本的なチュートリアルTropical PC Solutions:ウイルスを隠す方法です!自分用に作りましょう。


1
このページは、システムに感染するエクスプロイトを実際には実装していないことに注意してください。ステガノグラフィを使用して画像ファイル内の一部のデータのみを隠します(この場合はマルウェアですが、それは何でも可能です)。コードは実際には実行されず、単に非表示になります。ターゲットシステムでコードを取得するという目標は達成されますが、実行するには他の方法が必要になります。
Synetech

-2

AVIファイルはウイルスに感染しません。AVIではなくtorrentから映画をダウンロードするとき、映画がRARパッケージに含まれているか、EXEファイルとして存在する場合、確実にウイルスの可能性があります。

それらのいくつかは、映画を見るためにいくつかのウェブサイトから追加のコーデックをダウンロードするように頼みます。これらは疑わしいものです。ただし、AVIの場合は、ビデオプレーヤーで再生してみてください。何も起こりません。


ファイルを解凍するだけでウイルスになりますか?
user3183 09

@ user3183、おそらく。このファイルは、WinRAR / 7-zip / etcの脆弱性を悪用するように設計されている可能性があります。
Synetech

@Synetech:その可能性は、メディアプレーヤーの脆弱性を悪用する可能性と同じです。つまり、.avi.exeを悪用する可能性ははるかに低いと言えます。
ライライアン

1
@LieRyan、正確に。十分な数の異なるアーカイブプログラムと同じバージョンがあり、ターゲットの表面積は(大きすぎる)です。栄光の猟犬にとっては努力する価値があるかもしれませんが、ビジネスハッカーにとってはOSをターゲットにした方が良いでしょう。
Synetech

-3

ビデオファイルの場合、AVIファイルはウイルスに感染できません。ブラウザーをダウンロードしている間、ダウンロードは独自の形式で保持されるため、ウイルス対策ソフトウェアはそれをウイルスとして検出します。AVIファイルをダウンロードするとき、ダウンロード後にビデオプレーヤーで実行されるファイルが無効なファイルである場合、再生されず、ウイルスであると推測するための価格がないことを確認してください。

ウイルスのわずかな可能性がある場合、ダブルクリックして直接実行しようとすると、ウイルスが発生します。予防策を講じれば、ウイルス対策ソフトウェアは必要ありません。


2
彼らはブラウザを使用していません。トレントクライアントです。
Synetech

うん

1
ほとんどのトレントクライアントは、ダウンロード中にダウンロードしたファイルを別の形式で保持しません(ただし、別のファイル名/拡張子を使用する場合があります)。
Synetech

はい、
拡張

いいよ マルウェア対策プログラムは、拡張子に関係なくスキャンするように設定することもできますが、システムが遅くなる傾向があります。:-(
Synetech
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.