トレント経由でAVIファイルをダウンロードしていますが、アンチウイルスが何かを検出します。AVIファイルにウイルスが含まれている可能性はありますか?
トレントには多くの肯定的なレビューがあるため、それは非常に奇妙です。
トレント経由でAVIファイルをダウンロードしていますが、アンチウイルスが何かを検出します。AVIファイルにウイルスが含まれている可能性はありますか?
トレントには多くの肯定的なレビューがあるため、それは非常に奇妙です。
回答:
.avi
ファイルは、ビデオであるため、実行可能ではないので、オペレーティングシステムが/いないだろうことができます実行ファイルを。そのため、それ自体はウイルスではありませんが、実際にはウイルスを含むことができます。
過去には、実行可能(つまり、「実行可能」)ファイルのみがウイルスでした。その後、インターネットワームはソーシャルエンジニアリングを使用して、人々をだましてウイルスを実行させ始めました。人気のあるトリックは、実行可能ファイルの名前を他の拡張子を含むように変更する.avi
か.jpg
、ユーザーをだましてメディアファイルだと思わせ、実行させることです。たとえば、電子メールクライアントは添付ファイルの最初の数十文字しか表示しない場合があるため、ファイルに誤った拡張子を付け、次にのようにスペースをパディングすると"FunnyAnimals.avi .exe"
、ユーザーはビデオのように見えて実行され、感染します。
これは、ソーシャルエンジニアリング(ユーザーを欺く)だけでなく、初期の悪用でもありました。電子メールクライアントのファイル名の限られた表示を悪用して、そのトリックを引き出しました。
その後、より高度なエクスプロイトが登場しました。マルウェア作成者は、プログラムを分解してソースコードを調べ、悪用可能なデータおよびエラー処理が不十分な特定の部分を探します。これらの指示は、多くの場合、何らかのユーザー入力の形式を取ります。たとえば、OSまたはWebサイトのログインダイアログボックスは、エラーチェックまたはデータ検証を実行しないため、ユーザーが適切なデータのみを入力することを前提としています。その後、予期しないデータを入力した場合(またはほとんどのエクスプロイトの場合、データが多すぎる場合)、入力はデータを保持するために割り当てられたメモリの外側になります。通常、ユーザーデータは変数にのみ含める必要がありますが、エラーチェックとメモリ管理の悪さを利用することで、実行可能なメモリの一部に置くことができます。一般的なよく知られた方法はバッファオーバーフローは、変数が保持できるよりも多くのデータを変数に格納するため、メモリの他の部分を上書きします。入力を巧みに作成することで、コード(命令)をオーバーランさせ、そのコードに制御を移すことができます。その時点で、通常、空はマルウェアが制御できたらできることの限界です。
メディアファイルは同じです。少しのマシンコードを含むように作成し、メディアプレーヤーを悪用してマシンコードが実行されるようにすることができます。たとえば、メディアファイルのメタデータに大量のデータを入れて、プレーヤーがファイルを開いて読み取ろうとすると、変数がオーバーフローしてコードが実行される可能性があります。実際のデータでさえ、プログラムを悪用するために理論的に作成できます。
メディアファイルの方が悪いのは、一般ユーザーにとっても明らかに悪いログインとは異なり(たとえば、username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)
メディアファイルは、破損していない、完全に正当であるように見える適切な正当なメディアを実際に含むように作成できることです。感染症の効果は場所を取るまでは全く検出されない。ステガノグラフィ(文字通り「カバー書き込み」)は、通常、他のデータ内のデータを隠すために使用されているが、これは基本的にマルウェアが正当なメディアのように見えるものの中に隠されることになるので、同じものです。
そのため、はい、メディアファイル(さらに言えば、任意のファイル)は、ファイルを開く/表示するプログラムの脆弱性を悪用することにより、ウイルスを含むことができます。問題は、感染するファイルを開いたり表示したりする必要がないことです。ほとんどのファイルタイプは、意図的に開かずにプレビューしたり、メタデータを読み取ったりできます。たとえば、Windowsエクスプローラーでメディアファイルを選択するだけで、ファイルからメタデータ(次元、長さなど)が自動的に読み取られます。マルウェア作成者がたまたまExplorerのプレビュー/メタデータ機能に脆弱性を見つけ、それを悪用するメディアファイルを作成した場合、これは潜在的に攻撃のベクトルになる可能性があります。
幸いなことに、エクスプロイトは脆弱です。通常、それらはすべてのプレーヤーではなく1つのメディアプレーヤーのみに影響し、それでも同じプログラムの異なるバージョンで動作することは保証されていません(オペレーティングシステムがパッチの脆弱性に対する更新を発行する理由です)。このため、マルウェア作成者は通常、システムまたはプログラムのクラッキングに時間を費やすだけで、価値の高いシステム(Windows、銀行システムなど)を使用します。お金を稼ごうとすることは、もはや栄光を得ようとしているオタクの領域ではありません。
ビデオファイルが感染している場合、悪用するように特別に設計されたメディアプレーヤーを使用した場合にのみ感染する可能性があります。そうでない場合は、クラッシュしたり、開けなかったり、破損したり、うまく再生したりする可能性があります(これは最悪のシナリオであり、その後、問題がないとしてフラグが付けられ、感染する可能性がある他のユーザーに拡散します)。
マルウェア対策プログラムは通常、シグネチャを検出するか、ヒューリスティックを使用してマルウェアを検出します。シグニチャは、よく知られているウイルスの指示に通常対応するファイルのバイトパターンを探します。問題は、複製するたびに変化する可能性のある多形性ウイルスのため、署名の効果が低下することです。ヒューリスティックは、特定のファイルの編集や特定のデータの読み取りなどの動作パターンを観察します。これらは通常、マルウェアが既に実行されている場合にのみ適用されます。静的解析(実行せずにコードを調べる)は、マルウェアの難読化および回避技術のおかげで非常に複雑になる可能性があるためです。
どちらの場合も、マルウェア対策プログラムは偽陽性を報告できます。
コンピューティングの安全性で最も重要なステップは、信頼できるソースからファイルを取得することです。使用しているトレントが信頼できる場所からのものであれば、おそらく大丈夫でしょう。そうでない場合は、よく考えてください(特に、偽造品やマルウェアを含むトレントを意図的にリリースする著作権侵害対策グループがあるため)。
o.O
不可能だとは言いませんが、難しいでしょう。ウイルス作成者は、AVIを作成してメディアプレーヤーのバグを引き起こし、それを悪用してオペレーティングシステムでコードを実行する必要があります(実行しているメディアプレーヤーまたはOSがわからない)。ソフトウェアを最新の状態に保つか、Windows Media PlayerまたはiTunes(最大のプラットフォームとしては最適なターゲットになる)以外を実行する場合は、かなり安全です。
ただし、非常に現実的な関連リスクがあります。最近のインターネット上の映画はさまざまなコーデックを使用しており、一般の人々はコーデックが何であるかを理解していません-彼らが知っているのは「映画を再生するために時々ダウンロードしなければならないもの」です。これは真の攻撃ベクトルです。何かをダウンロードし、「これを表示するには[一部のWebサイト]からコーデックが必要です」と言われた場合、自分自身に感染する可能性があるため、何をしているのかを確実に把握できます。
aviファイル拡張子は、ファイルがビデオファイルであることを保証するものではありません。任意の.exeウイルスを取得して、.aviに名前を変更できます(これにより、ウイルスがダウンロードされます。これは、コンピュータに感染するパスの半分です)。ウイルスの実行を許可するエクスプロイトがマシン上で開かれている場合、影響を受けます。
マルウェアと思われる場合は、ダウンロードを停止して削除し、ウイルス対策スキャンの前に実行しないでください。
はい、可能です。AVIファイルは、すべてのファイルと同様に、それらのファイルを管理するソフトウェアの既知のバグを活用するために特別に作成できます。
ウイルス対策ソフトウェアは、バイナリファイルの実行可能コードやHTMLページの特定のJavaScript構造など、ファイル内の既知のパターンを検出します。
クイックアンサー:はい。
少し長い答え:
AVI
(オーディオビデオインターリーブ)ファイルがインターリーブされたオーディオおよびビデオデータを含むように意図されています。通常、実行可能なコードは含まれません。AVI
オーディオビデオデータを含むファイルに実際にウイルスが含まれることはほとんどありませんしかしながら ...
AVI
ファイルには、便利な何かをするためのデコーダを必要とします。たとえば、既にWindows Media Playerを使用してAVI
ファイルを再生し、コンテンツを表示している可能性がありますAVI
ようなファイルを巧妙に作成します。
私が聞いた「AVI」ウイルスの中で最も人気があったの
は、エクスプローラーでファイル拡張子を隠すように構成さ
something.avi.exe
れたWindowsマシンにダウンロードされたファイルです。
ユーザーは通常、後の事実を忘れて、ファイルがAVIであると想定します。
関連するプレーヤーへの期待に加えて、ダブルクリックは実際にEXEを起動します。
その後、奇妙にトランスコードされたAVIファイルが表示されるため、新しい ファイルをダウンロードする必要がありますcodec
。通常、
いわゆるcodec
「ウイルス」がここにあります。
AVIのバッファオーバーフローエクスプロイトについても聞いたことがありますが、参考になる参考資料がいくつかあります。
私の要点:犯人は通常、AVIファイル自体ではなく、次のいずれかです
codec
AVIを処理するために、システムにインストール短いマルウェア防止読書:P2Pまたはファイル共有
.avi
(または.mkv
そのことについて)コンテナーであり、メディアの多様性の包含をサポートします-複数のオーディオ/ビデオストリーム、字幕、DVDのようなメニューナビゲーションなど。悪意のある実行可能コンテンツも含まれることを妨げるものはありませんが、シネテックが答えで説明したシナリオ
それでも、一般的な角度が1つ残っています。さまざまなコーデックが利用可能であり、コンテナファイルに含めることには制限がないため、ユーザーに必要なコーデックのインストールを促す一般的なプロトコルがあり、コーデックルックアップとインストールを自動的に試みるようにメディアプレーヤーを構成することはできません。最終的に、コーデックは実行可能(プラグインベースの小さな配列を除く)であり、悪意のあるコードを含む可能性があります。
アバストアンチウイルスは、ダウンロードした映画AVIの1つにトロイの木馬が埋め込まれていることを通知しました。隔離しようとしたときに、ファイルが大きすぎて移動できないと言われたため、代わりに削除する必要がありました。
このウイルスは呼ばれWMA.wimad [susp]
、何らかのブラウザハイジャックを行う中程度の脅威のウイルスです。正確にシステムを破壊するわけではありませんが、AVIファイルからウイルスを取得できることが証明されています。
ダウンロードがまだ完了していない場合は、完了する前に何をするかを決定してください。ダウンロードが部分的にしか完了していない場合、ファイルの欠落部分は本質的にノイズであり、マルウェアのチェック時に誤検知を生じる傾向があります。
@Synetechが詳細に説明したように、おそらくダウンロードが完了する前に、ビデオファイルを介してマルウェアを拡散する可能性があります。しかし、それはだという可能性、それはだという意味ではありません可能性が高いです。私の個人的な経験から、進行中のダウンロード中の誤検知の可能性ははるかに高いです。
ユーザーがマルウェアの問題を解決するのに時間を費やしてきたので、詐欺師が使用する通常の悪用メカニズムは技術的なものよりも社会的なものであると証言できます。
ファイルの名前は単純に* .avi.exeであり、Windowsのデフォルト設定では一般的なファイル拡張子は表示されません。実行可能ファイルには、単にAVIファイルアイコンが割り当てられます。これは、ファイルにwinwordのアイコンがある* .doc.exeウイルスを配布するために使用される戦術に似ています。
また、p2p配布で使用される長いファイル名などの危険な戦術も観察しているため、クライアントはファイルリストに名前の一部しか表示しません。
ファイルを使用する必要がある場合は、常に発信インターネット接続を停止するように構成されたサンドボックスを使用してください。Windowsファイアウォールは、デフォルトで発信接続を許可するように正しく構成されていません。エクスプロイトはアクションであり、他のアクションと同様に常にモチベーションがあります。通常、ブラウザのパスワードまたはCookieを吸い上げ、ライセンスを取得し、攻撃者が所有する外部リソース(FTPなど)にコンテンツを転送するために実行されます。したがって、sandboxieなどのツールを使用する場合は、発信インターネット接続を無効にしてください。仮想マシンを使用する場合、機密情報が含まれていないことを確認し、ファイアウォールルールを使用して送信インターネットアクセスを常にブロックしてください。
何をしているのかわからない場合は、ファイルを使用しないでください。安全であり、取る価値のないリスクを負わないでください。
短い答え、はい。より長い答えは、基本的なチュートリアルTropical PC Solutions:ウイルスを隠す方法です!自分用に作りましょう。
AVIファイルはウイルスに感染しません。AVIではなくtorrentから映画をダウンロードするとき、映画がRARパッケージに含まれているか、EXEファイルとして存在する場合、確実にウイルスの可能性があります。
それらのいくつかは、映画を見るためにいくつかのウェブサイトから追加のコーデックをダウンロードするように頼みます。これらは疑わしいものです。ただし、AVIの場合は、ビデオプレーヤーで再生してみてください。何も起こりません。
ビデオファイルの場合、AVIファイルはウイルスに感染できません。ブラウザーをダウンロードしている間、ダウンロードは独自の形式で保持されるため、ウイルス対策ソフトウェアはそれをウイルスとして検出します。AVIファイルをダウンロードするとき、ダウンロード後にビデオプレーヤーで実行されるファイルが無効なファイルである場合、再生されず、ウイルスであると推測するための価格がないことを確認してください。
ウイルスのわずかな可能性がある場合、ダブルクリックして直接実行しようとすると、ウイルスが発生します。予防策を講じれば、ウイルス対策ソフトウェアは必要ありません。
:-(