سؤال هل يمكن أن تحتوي ملفات AVI على فيروس؟


أنا تحميل AVI ملف عن طريق سيل ، ولكن بلدي مكافحة الفيروسات بالكشف عن شيء ما. هل من الممكن أن يحتوي ملف AVI على فيروس؟

هو غريب جدا لأن سيل لديه العديد من الاستعراضات الإيجابية.


97
2017-07-05 16:56


الأصل


@ user3183 تستخدم VideoLAN برامج الترميز الخاصة بها داخليًا. لا يوجد شيء يوقف أحد برامج الترميز الخاصة به من وجود خطأ يمكن أن يستغله كاتب فيروس ضار. - GAThrawn
عندما تكون في شك ، أوقف التنزيل.
soandos ، هذا ليس صحيحا بالضرورة. قد يتم تصميم الملف لاستغلال سيل العميل عند تجزئته للتأكد من أنه جيد ؛ يمكن أيضًا تصميمه لاستغلال نظام التشغيل عندما يقرأ الملف لإنتاج صورة مصغرة أو استخراج بيانات التعريف. - Synetech
IMB، أي ملف هو مكافحة الفيروسات ترفع العلم؟ هل التقييمات الإيجابية من أشخاص حقيقيين أو من الواضح أنها تم إنشاؤها / نسخها؟ - Synetech
ممكن نسخة من يمكنك الحصول على فيروس من تحميل ملف .avi؟. القراءة ذات الصلة: هل من الممكن تخزين بيانات عشوائية في ملف صورة؟ - bwDraco


الأجوبة:


TL، DR

ل .avi الملف هو فيديو ، وبالتالي فهو غير قابل للتنفيذ ، لذا فإن نظام التشغيل لا يمكنه / لا يركض الملف. على هذا النحو ، لا يمكن يكون فيروس في حد ذاته ، ولكن يمكن في الواقع يحتوي فيروس.

التاريخ

في الماضي ، كانت الملفات القابلة للتنفيذ فقط (أي "runnable") هي الفيروسات. في وقت لاحق ، بدأت ديدان الإنترنت باستخدام الهندسة الاجتماعية لخداع الناس في تشغيل الفيروسات. وستكون الخدعة الشائعة هي إعادة تسمية الملف التنفيذي ليشمل ملحقات أخرى مثل .avi أو .jpg من أجل خداع المستخدم إلى التفكير في أنه ملف وسائط وتشغيله. على سبيل المثال ، قد يقوم عميل البريد الإلكتروني بعرض أول 12 حرفًا فقط من المرفقات ، وذلك عن طريق إعطاء ملف ملحق خاطئ ، ثم حشوه بمسافات كما في "FunnyAnimals.avi              .exe"، يرى المستخدم ما يشبه الفيديو ويديره ويصاب به.

هذا لم يكن فقط الهندسة الاجتماعية (خداع المستخدم) ، ولكن أيضا في وقت مبكر استغلال. استغلت العرض المحدود لأسماء ملفات عملاء البريد الإلكتروني لسحب خدعتهم.

تقني

في وقت لاحق ، جاءت المزيد من المآثر المتقدمة. سيقوم كتاب البرامج الضارة بفك برنامج لفحص الكود المصدري الخاص بهم والبحث عن أجزاء معينة لديها سوء معالجة البيانات والخطأ التي يمكنهم استغلالها. غالباً ما تأخذ هذه الإرشادات شكل نوع من إدخال المستخدم. على سبيل المثال ، قد لا يؤدي مربع حوار تسجيل الدخول على نظام التشغيل أو موقع الويب إلى إجراء فحص الأخطاء أو التحقق من صحة البيانات ، ومن ثم يفترض / يتوقع أن يقوم المستخدم بإدخال البيانات المناسبة فقط. إذا كنت ثم أدخل البيانات أنه لا يتوقع (أو في حالة معظم مآثر، الكثير من البيانات)، ثم دخل في نهاية المطاف خارج الذاكرة الذي تم تعيينه لاحتواء البيانات. عادة، يجب أن تحتوي على بيانات المستخدم فقط في متغير، ولكن من خلال استغلال الفقراء تدقيق الأخطاء وإدارة الذاكرة، فمن الممكن وضعها في جزء من الذاكرة التي يمكن تنفيذها. طريقة شائعة ومعروفة هي تجاوز سعة المخزن المؤقت الذي يضع المزيد من البيانات في المتغير مما يمكنه الاحتفاظ بها ، وبالتالي الكتابة فوق أجزاء أخرى من الذاكرة. من خلال صياغة المدخلات بذكاء ، يمكن التسبب في تجاوز التعليمات البرمجية (الإرشادات) ثم نقل التحكم إلى هذا الرمز. عند هذه النقطة ، عادة ما تكون السماء هي الحد المسموح به لما يمكن القيام به بمجرد السيطرة على البرامج الضارة.

ملفات الوسائط هي نفسها. يمكن إجراؤها بحيث تحتوي على جزء من رمز الماكينة وتستغل مشغل الوسائط بحيث ينتهي تشغيل رمز الماكينة. على سبيل المثال، قد يكون من الممكن وضع الكثير من البيانات في البيانات الفوقية ملف الوسائط بحيث عندما يحاول لاعب لفتح الملف وقراءته، فإنه يفيض المتغيرات ويسبب بعض التعليمات البرمجية لتشغيل. حتى من الناحية النظرية يمكن أن تصاغ البيانات الفعلية لاستغلال البرنامج.

ما هو أسوأ مع ملفات الوسائط هو أنه على خلاف تسجيل الدخول الذي هو سيء بشكل واضح ، حتى للأشخاص العاديين (على سبيل المثال ، username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)يمكن إنشاء ملف وسائط بحيث يحتوي فعليًا على وسائل إعلام شرعية سليمة ليست فاسدة حتى تبدو شرعية تمامًا وتظل غير مكتشفة تمامًا حتى تحدث آثار العدوى. إخفاء المعلومات (عادة ما يتم استخدام "الكتابة المغطاة") لإخفاء البيانات في بيانات أخرى ، ولكن هذا هو نفس الشيء في الأساس لأن البرمجيات الخبيثة ستكون مخبأة في وسائل الإعلام المشروعة.

لذلك نعم ، ملفات الوسائط (وهذا الأمر ، أي ملف) يستطيع تحتوي على فيروس من خلال استغلال نقاط الضعف في البرنامج يفتح / المناظر الملف. المشكلة هي أنك في كثير من الأحيان لا تحتاج حتى لفتح أو عرض الملف للإصابة. يمكن معاينة معظم أنواع الملفات أو قراءة بياناتها الوصفية دون فتحها عن قصد. على سبيل المثال ، سيؤدي اختيار ملف وسائط في مستكشف Windows إلى قراءة البيانات الوصفية (الأبعاد والطول وغير ذلك) تلقائيًا من الملف. من المحتمل أن يكون هذا متجهًا للهجوم إذا صادف كاتب برامج ضارة ثغرة في وظيفة معاينة / بيانات المتصفح في Explorer وصنع ملف وسائط يستغلها.

لحسن الحظ ، المآثر هشة. عادةً ما تؤثر فقط على مشغل وسائط أو آخر بدلاً من كل اللاعبين ، وحتى بعد ذلك ، لا يتم ضمان عملهم لإصدارات مختلفة من نفس البرنامج (ولهذا السبب تقوم إصدارات أنظمة التشغيل بتحديث التحديثات لثغرات التصحيح). وبسبب هذا ، عادةً ما يكلف كتاب البرامج الضارة عناء قضاء وقتهم في تشتيت الأنظمة / البرامج ذات الاستخدام الواسع أو ذات القيمة العالية (على سبيل المثال ، Windows ، الأنظمة البنكية ، إلخ.) وهذا صحيح بشكل خاص لأن القرصنة اكتسبت شعبية كشركة مع المجرمين في محاولة للحصول على المال ولم يعد مجرد مجال المهووسين يحاولون الحصول على المجد.

الوضعية

إذا كان ملف الفيديو الخاص بك هو إذا كنت مصابًا بمشغل / مشغلات الوسائط التي تم تصميمها خصيصًا لاستغلالها. إذا لم يكن الأمر كذلك ، فقد يحدث انهيار ، أو فشل في فتح ، أو اللعب بالفساد ، أو حتى اللعب على ما يرام (وهو السيناريو الأسوأ لأنه بعد ذلك يتم الإبلاغ عنه على أنه مقبول ، وينتشر إلى الآخرين الذين قد يصابون بالعدوى).

تستخدم برامج مكافحة البرامج الضارة عادةً التوقيعات و / أو الاستدلال لاكتشاف البرامج الضارة. تبحث التوقيعات عن أنماط البايتات في الملفات التي تتوافق عادة مع التعليمات في الفيروسات المعروفة. المشكلة هي أنه بسبب فيروسات متعددة الأشكال يمكن أن تتغير في كل مرة تتكاثر فيها ، تصبح التوقيعات أقل فعالية. مراقبة الاستدلال على أنماط السلوك مثل تحرير ملفات محددة أو قراءة بيانات محددة. عادة ما يتم تطبيقها فقط عند تشغيل البرامج الضارة بالفعل لأن التحليل الثابت (فحص الشفرة بدون تشغيلها) يمكن أن يكون معقدًا للغاية بسبب تقنيات التشويش الخبيث والتهرب.

في كلتا الحالتين ، يمكن لبرامج مكافحة البرامج الضارة ، والقيام ، والإبلاغ عن ايجابيات كاذبة.

استنتاج

من الواضح أن أهم خطوة في أمان الحوسبة هي الحصول على ملفاتك من مصادر موثوقة. إذا كان التورنت الذي تستخدمه من مكان ما تثق به ، فعندئذٍ محتمل يجب أن تكون على ما يرام. إذا لم يكن الأمر كذلك ، فقد ترغب في التفكير مرتين في هذا الأمر ، (لا سيما وأن هناك مجموعات لمكافحة القرصنة عمدا الافراج عن السيول التي تحتوي على مزيفة أو حتى البرامج الضارة).


190
2017-07-05 17:39



نظرة عامة جيدة. كانت هناك بعض عمليات الاستغلال المعروفة في الماضي حيث تم تسليم الحمولة كملف صورة GIF. الكلمات الرئيسية لمزيد من المعلومات هي: "تجاوز المخزن المؤقت تنفيذ التعليمات البرمجية التعسفية" - horatio
horatio ، لم أسمع عن استغلال GIF (إلا إذا كنت تشير إلى الضعف GDI) ، لكنني أعرف استغلال WMF كان خبر ضخم. - Synetech
GarrettFogerlie ، شكرًا. على ما يبدو هو أفضل ما لدي حتى الآن. من الغريب أن أقسم أنني كتبت كتابًا متطابقًا تقريبًا من قبل. o.O - Synetech
+1 برافو للحصول على نظرة شاملة ومختصرة وسهلة الفهم للبرامج الضارة. - Phil
أيضا ، للحماية من نقاط الضعف مثل هذه دائما تشغيل أحدث إصدار من البرنامج لأن بعض الناس يحاولون إصلاح هذه الأخطاء. - sjbotha


لن أقول إنه مستحيل ، لكنه سيكون صعبًا. سيضطر كاتب الفيروس إلى إنشاء AVI لتشغيل خطأ في مشغل الوسائط الخاص بك ، ثم يستغل ذلك بطريقة ما لتشغيل التعليمات البرمجية على نظام التشغيل الخاص بك - دون معرفة ما مشغل الوسائط أو نظام التشغيل الذي تقوم بتشغيله. إذا كنت تحافظ على تحديث برنامجك ، و / أو إذا قمت بتشغيل شيء آخر غير Windows Media Player أو iTunes (كأهم الأنظمة الأساسية ، فستكون أفضل الأهداف) ، يجب أن تكون في أمان تام.

ومع ذلك ، هناك مخاطر ذات صلة حقيقية للغاية. تستخدم الأفلام على الإنترنت هذه الأيام مجموعة متنوعة من برامج الترميز ، ولا يفهم العامة ما هو برنامج الترميز - كل ما يعرفونه هو "شيء يجب أن أقوم بتنزيله في بعض الأحيان حتى يتم تشغيل الفيلم". هذا هو ناقل الهجوم الحقيقي. إذا قمت بتنزيل شيء ما وقيل لك "لعرض هذا ، فأنت بحاجة إلى برنامج الترميز من [بعض مواقع الويب]" ، ثم نحن على يقين من أنك تعرف ما تفعله لأنك قد تصيب نفسك.


28
2017-08-19 01:46





لا يعد امتداد ملف avi ضمانًا بأن الملف هو ملف فيديو. يمكنك الحصول على أي فيروس .exe وإعادة تسميته إلى .avi (هذا يجعلك تقوم بتحميل الفيروس ، ما هو نصف المسار الذي يصيب جهاز الكمبيوتر الخاص بك). إذا كان هناك أي استغلال مفتوح على جهازك يسمح بتشغيل الفيروس ، فإنك ستتأثر بذلك.

إذا كنت تعتقد أنها برامج ضارة ، فما عليك سوى إيقاف التنزيل وحذفها ، أبدا تنفيذ ذلك قبل مسح مكافحة الفيروسات.


12
2017-07-05 17:07



-1 هذه ليست الطريقة التي من المحتمل أن يصيبك بها .avi - حتى لو كان .exe تمت إعادة تسميته إلى .avi ، لن يتم تنفيذه على أنه قابل للتنفيذ عند فتحه ، إلا إذا كنت غبيًا بما فيه الكفاية لإعادة تسميته إلى .exe مسبقًا . - BlueRaja - Danny Pflughoeft
لا تعد الفيروسات المنقولة إلى جهاز المستخدم هي الجزء الأصعب ، بل إنها جزء تافه تمامًا. يمكنك فقط إعادة تسمية .exe إلى .jpg وتضمينها في صفحة ويب وسيتم نقلها عندما يزور المستخدم صفحتك. الجزء الأصعب من العدوى هو تنفيذ التعليمات البرمجية الأولى. - MatsT
BlueRaja: لقد رأيت في الواقع عدوى تحدث إلى جهاز كمبيوتر أحد الزملاء باستخدام ملف .avi ، وأعد إنتاجه بنفسي على جهاز VM. وقد قامت بتنزيل ملف مضغوط يحتوي على ملفين ، أحدهما بامتداد AVI ، والآخر برمجية دفعية. لم ينجح فتح AVI ، لذلك حاولت فتح البرنامج النصي. كان للبرنامج النصي رمز لتشغيل "AVI" من سطر الأوامر كملف قابل للتنفيذ ، ويمكنك تخمين ما حدث بعد ذلك (قام الفيروس بتشفير جميع البيانات في دليل المستخدم الخاص بها بعد تغيير كلمة المرور ، ثم طلب 25 دولارًا كعقوبة على التصرف غبيًا ). - Hippo
Hippo هذا هو مثال ضعيف ، لأن الفيروس الفعلي - النصوص في هذه الحالة - جاء مع AVI غير ذي صلة بحقيقة أن AVI لا يمكن أن تصيب جهاز الكمبيوتر الخاص بك ، معتبرا أن معظم أجهزة الكمبيوتر والأهداف المفضلة هي متصلاً بالإنترنت ، يمكن للبرنامج النصي ببساطة تنزيل الفيروس من الويب ومرة ​​أخرى ، إذا تمكنت من تشغيل شخص ما لتشغيل "برنامج نصي" ، فلماذا لا تضع الفيروس هناك في المقام الأول؟ - - omeid
ولكن أي ملف أو ملحق آخر سيكون له نفس التأثير إن وجد. - omeid


نعم هذا ممكن. يمكن إنشاء ملفات AVI ، مثل كل ملف ، خصيصًا للاستفادة من الأخطاء المعروفة في البرنامج الذي يدير هذه الملفات.

يكشف برنامج مكافحة الفيروسات عن أنماط معرفة في الملفات ، مثل التعليمات البرمجية القابلة للتنفيذ في الملفات الثنائية ، أو محددة جافا سكريبت الانشاءات في HTML الصفحات ، التي قد تكون فيروس.


12
2017-07-05 17:03





جواب سريع: نعم فعلا.

الإجابة لفترة أطول قليلاً:

  • الملف عبارة عن حاوية لأنواع مختلفة من البيانات.
  • ل AVI (ملف Audio Video Interleave) مخصص لاحتواء بيانات الصوت والفيديو المشذرة. عادةً ، يجب ألا يحتوي على أي شفرة قابلة للتنفيذ.
  • ما لم يتم تحديد المهاجم على غير المعتاد ، فمن غير المحتمل تماما أن AVI ملف يحتوي على بيانات الصوت والفيديو يحتوي بالفعل على فيروس

ومع ذلك ...

  • ل AVI ملف يحتاج إلى فك لتفعل أي شيء مفيد. على سبيل المثال ، قد تكون بالفعل تستخدم Windows Media Player للتشغيل AVI الملفات لرؤية محتواها
  • إذا كان لدى برنامج فك الترميز أو محلل الملف أخطاءً يمكن للمهاجم استغلالها ، فسيكون بذكاء AVI ملف مثل:
    • في محاولتك لفتح هذه الملفات (على سبيل المثال ، إذا كنت تنقر نقرًا مزدوجًا لبدء تشغيل الفيديو) باستخدام أداة تحليل بيانات AVI-parser أو وحدة فك الترميز ، فستبدأ هذه الأخطاء
    • نتيجة لذلك ، قد تسمح للمهاجم بتنفيذ تعليمات برمجية من اختياره على الكمبيوتر الخاص بك ، مما قد يؤدي إلى إصابة جهاز الكمبيوتر الخاص بك بالعدوى.
    • من هنا تقرير الضعف الذي يجيب بالضبط ما تسأل.

9
2017-07-06 08:53



الإجابة الحقيقية الوحيدة على السؤال هي "إليك تقرير عن الثغرات الأمنية" في هذه الإجابة. جميع الآخرين مجرد المضاربة. - Alex
مرحباً @ أليكس ، أعتقد أنك على حق. كان نيتي إعطاء OP بعض الخلفية. أوافق على أن تقرير الضعف يجيب على السؤال عن نفسه. - gsbabil
ربما لم أكن واضحًا بما فيه الكفاية - قصدت فقط أن أقول أنه بسبب التقرير ، فإن إجابتك هي ال واحد حقا الأجوبة السؤال الأصلي. +1. - Alex


من الممكن ، نعم ، ولكن من غير المحتمل جدا. من المرجح أن تحاول عرض WMV وتحمله تلقائيًا لتحميل عنوان URL أو تطلب منك تنزيل ترخيص ، مما يؤدي بدوره إلى ظهور نافذة متصفح يمكنها استغلال جهازك إذا لم يتم تصحيحها بالكامل.


8
2017-08-19 01:50





الأكثر شعبية من الفيروسات "AVI" لقد سمعت ،
something.avi.exe الملفات التي تم تنزيلها على جهاز ويندوز
التي تم تكوينها ل إخفاء امتدادات الملفات في المستكشف.

ينسى المستخدم عادةً هذه الحقيقة الأحدث ويفترض أن الملف هو AVI.
إلى جانب توقعهم من لاعب مرتبط ، فإن نقرة مزدوجة تطلق EXE بالفعل.


بعد ذلك ، كانت ملفات AVI التي تم تحويلها بشكل غريب والتي تتطلب منك تنزيل الجديد  codec لرؤيتهم.
ما يسمى ب codec هو عادة "الفيروس" الحقيقي هنا.


لقد سمعت أيضا عن مآثر AVI-buffer overflow ، ولكن بعض المراجع الجيدة ستكون مفيدة.

بلادي الأساسية: الجاني عادة ما يكون واحدا من التالي بدلا من ملف AVI نفسه

  • ال codec مثبتة على نظامك للتعامل مع AVI
  • اللاعب الذي يتم استخدامه
  • أداة مشاركة الملفات المستخدمة للحصول على ملف AVI

قراءة قصيرة للبرامج الضارة: P2P أو مشاركة الملفات


7
2017-08-19 05:30





.avi (أو .mkv لهذه المسألة) هي حاويات ودعم تضمين variaty من وسائل الإعلام - تيارات الصوت / الفيديو متعددة ، وترجمات ، والملاحة القائمة دي في دي الملاحة وما إلى ذلك. لا يوجد شيء منع تضمين محتوى ضار للتنفيذ ولكن لن يتم تشغيله إلا في سيناريوهات وصف Synetech في إجابته

ومع ذلك ، هناك زاوية واحدة استكشافية شائعة. نظرًا لوجود مجموعة متنوعة من برامج الترميز المتوفرة وعدم وجود قيود على تضمينها في ملفات الحاوية ، توجد بروتوكولات شائعة لمطالبة المستخدم بتثبيت برنامج الترميز الضروري ولا يساعد ذلك في تكوين مشغلات الوسائط لمحاولة البحث والترميز تلقائيًا. في نهاية المطاف برامج الترميز قابلة للتنفيذ (ناقص مجموعة صغيرة من تلك التي تعتمد على البرنامج المساعد) ويمكن أن تحتوي على تعليمات برمجية ضارة.


6
2017-07-06 00:42



نقطة جيدة حول برامج الترميز! - marabutt