@ user3183 VideoLAN utilise ses propres codecs en interne. Rien n'empêche un de ses propres codecs d'avoir une erreur qu'un auteur de virus malveillant pourrait exploiter.
GAThrawn
7
En cas de doute, arrêtez le téléchargement.
27
@soandos, ce n'est pas forcément vrai. Le fichier peut être conçu pour exploiter le client torrent quand il le hache pour en vérifier la qualité; il peut également être conçu pour exploiter le système d'exploitation lorsqu'il lit le fichier pour produire une vignette ou extraire des métadonnées.
Synetech
2
@IMB, quel fichier l'antivirus signale-t-il? Les critiques positives proviennent-elles de personnes réelles ou sont-elles évidemment générées / copiées-collées?
Un .avifichier est une vidéo, et est donc pas exécutable, de sorte que le système d'exploitation peut / ne sera pas exécuter le fichier. En tant que tel, il ne peut pas être un virus à part entière, mais il peut en effet contenir un virus.
Histoire
Dans le passé, seuls les fichiers exécutables (c'est-à-dire «exécutables») étaient des virus. Plus tard, les vers Internet ont commencé à utiliser l'ingénierie sociale pour inciter les gens à exécuter des virus. Une astuce répandue consisterait à renommer un fichier exécutable afin d’y inclure d’autres extensions, .aviou .jpgpour inciter l’utilisateur à penser qu’il s’agit d’un fichier multimédia et à l’exécuter. Par exemple, un client de messagerie peut uniquement afficher la première douzaine de caractères de pièces jointes. Ainsi, en attribuant une fausse extension à un fichier, puis en le complétant avec des espaces "FunnyAnimals.avi .exe", l'utilisateur voit ce qui ressemble à une vidéo et l'exécute, puis est infecté.
Ce n’était pas seulement de l’ingénierie sociale (en trompant l’utilisateur), mais aussi un exploit précoce . Il a exploité l'affichage limité des noms de fichiers des clients de messagerie pour réussir son tour.
Technique
Plus tard, des exploits plus avancés sont venus. Les auteurs de logiciels malveillants désassembleraient un programme pour examiner son code source et rechercheraient certaines parties présentant une mauvaise gestion des données et des erreurs qu’elles pourraient exploiter. Ces instructions prennent souvent la forme d'une sorte de saisie de l'utilisateur. Par exemple, une boîte de dialogue de connexion sur un système d'exploitation ou un site Web peut ne pas effectuer de vérification des erreurs ou de validation des données, et suppose donc / attend de l'utilisateur qu'il entre uniquement les données appropriées. Si vous saisissez ensuite des données inattendues (ou dans le cas de la plupart des exploits, trop de données), l’entrée se retrouvera en dehors de la mémoire qui a été affectée pour contenir les données. Normalement, les données utilisateur ne doivent être contenues que dans une variable, mais en exploitant une vérification des erreurs et une gestion de la mémoire médiocres, il est possible de les placer dans une partie de la mémoire pouvant être exécutée. Une méthode courante et bien connue est labuffer-overflow qui met plus de données dans la variable qu'il ne peut en contenir, écrasant ainsi d'autres parties de la mémoire. En créant astucieusement l'entrée, il est possible de provoquer un dépassement du code (instructions), puis de transférer le contrôle sur ce code. À ce stade, le ciel est généralement la limite quant à ce qui peut être fait une fois que le malware a le contrôle.
Les fichiers multimédias sont les mêmes. Ils peuvent être conçus pour contenir un peu de code machine et exploiter le lecteur multimédia pour que le code machine finisse par s'exécuter. Par exemple, il peut être possible de mettre trop de données dans les méta-données du fichier multimédia de sorte que, lorsque le lecteur essaie d'ouvrir le fichier et de le lire, il déborde des variables et entraîne l'exécution de code. Même les données réelles pourraient théoriquement être conçues pour exploiter le programme.
Ce qui est pire avec les fichiers multimédias, c'est que, contrairement à un identifiant clairement mauvais, même aux non-initiés (par exemple, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)un fichier multimédia peut être créé de manière à ce qu'il contienne réellement un support légitime, légitime, qui ne soit même pas corrompu et qui semble donc totalement légitime. La stéganographie (littéralement «écriture dissimulée») est généralement utilisée pour dissimuler des données dans d'autres données, mais il s'agit essentiellement de la même chose, car le malware serait dissimulé dans ce qui ressemble à un média légitime.
Alors oui, les fichiers multimédias (et même n'importe quel fichier) peuvent contenir un virus en exploitant les vulnérabilités du programme qui ouvre / affiche le fichier. Le problème est que vous n'avez souvent même pas besoin d'ouvrir ou d'afficher le fichier à infecter. La plupart des types de fichiers peuvent être prévisualisés ou leurs métadonnées doivent être lues sans les ouvrir à dessein. Par exemple, il suffit de sélectionner un fichier multimédia dans l'Explorateur Windows pour lire automatiquement les métadonnées (dimensions, longueur, etc.) du fichier. Cela pourrait potentiellement constituer un vecteur d'attaque si un auteur de programme malveillant découvrait une vulnérabilité dans la fonction aperçu / métadonnées de l'explorateur et créait un fichier multimédia qui l'exploitait.
Heureusement, les exploits sont fragiles. Ils n'affectent généralement qu'un ou plusieurs lecteurs multimédias, contrairement à tous les lecteurs. Même dans ce cas, leur fonctionnement ne fonctionne pas pour différentes versions du même programme (c'est pourquoi les systèmes d'exploitation publient des mises à jour pour corriger les vulnérabilités). Pour cette raison, les auteurs de programmes malveillants ne passent généralement que leur temps à casser des systèmes / programmes largement utilisés ou de grande valeur (Windows, systèmes bancaires, etc.), ce qui est d'autant plus vrai que le piratage a gagné en popularité auprès des criminels. essayer d’obtenir de l’argent et ce n’est plus seulement le domaine des nerds qui essaient d’obtenir la gloire.
Application
Si votre fichier vidéo est infecté, il ne vous infectera probablement que si vous utilisez le ou les lecteurs multimédias pour lesquels il est spécifiquement conçu. Si ce n'est pas le cas, alors il peut se bloquer, ne pas s'ouvrir, jouer avec la corruption ou même très bien (ce qui est le pire des cas, car il est alors signalé comme étant correct et se propage à d'autres personnes susceptibles d'être infectées).
Les programmes anti-programmes malveillants utilisent généralement des signatures et / ou des méthodes heuristiques pour détecter les programmes malveillants. Les signatures recherchent des modèles d'octets dans les fichiers qui correspondent généralement aux instructions de virus connus. Le problème est qu’en raison des virus polymorphes qui peuvent changer chaque fois qu’ils se reproduisent, les signatures deviennent moins efficaces. Les heuristiques observent des comportements tels que l'édition de fichiers spécifiques ou la lecture de données spécifiques. Celles-ci ne s'appliquent généralement que lorsque le logiciel malveillant est déjà en cours d'exécution, car l'analyse statique (examiner le code sans l'exécuter) peut s'avérer extrêmement complexe grâce aux techniques d'obscurcissement et d'évasion des logiciels malveillants.
Dans les deux cas, les programmes anti-malware peuvent et doivent signaler des faux positifs.
Conclusion
De toute évidence, l’étape la plus importante en matière de sécurité informatique consiste à récupérer vos fichiers à partir de sources fiables. Si le torrent que vous utilisez est de quelque part vous avez confiance, alors sans doute il devrait être correct. Sinon, vous voudrez peut-être y réfléchir à deux fois (d'autant plus qu'il existe des groupes anti-piratage qui libèrent volontairement des torrents contenant des faux ou même des logiciels malveillants).
Bon aperçu. Il y avait des exploits bien connus dans le passé où la charge utile était livrée sous forme de fichier image GIF. Les mots-clés pour plus d’informations sont: "débordement de la mémoire tampon et exécution de code par exécution arbitraire"
horatio
3
@horatio, je n'avais pas entendu parler d'un exploit GIF (à moins que vous ne parliez de la vulnérabilité GDI), mais je sais que l' exploit WMF était une énorme nouvelle.
Synetech
@ GarrettFogerlie, merci. Apparemment c'est mon meilleur encore. Ce qui est étrange, c'est que je jure en avoir écrit une presque identique auparavant. o.O
Synetech
3
+1 Bravo pour cette présentation très complète, succincte et facile à comprendre des malwares.
Phil
3
En outre, pour vous protéger contre de telles vulnérabilités, exécutez toujours la version la plus récente du logiciel, car certaines personnes tentent de résoudre ces problèmes.
Sjbotha
29
Je ne dirai pas que c'est impossible, mais ce serait difficile. Le rédacteur du virus devrait créer l’AVI pour déclencher un bogue dans votre lecteur multimédia, puis exploiter celui-ci pour exécuter du code sur votre système d’exploitation, sans savoir quel lecteur multimédia ou système d’exploitation vous utilisez. Si vous maintenez votre logiciel à jour et / ou si vous utilisez autre chose que Windows Media Player ou iTunes (en tant que plates-formes les plus grandes, ce seront les meilleures cibles), vous devriez être assez en sécurité.
Cependant, il existe un risque connexe très réel. De nos jours, les films sur Internet utilisent une variété de codecs, et le grand public ne comprend pas ce qu'est un codec. Tout ce qu'ils savent, c'est "c'est quelque chose que je dois parfois télécharger pour que le film soit lu". C'est un véritable vecteur d'attaque. Si vous téléchargez quelque chose et que vous recevez le message "Pour voir ceci, vous avez besoin du codec de [un site Web]", nous sommes alors certains de savoir ce que vous faites car vous pourriez vous infecter.
Une extension de fichier avi ne garantit pas que le fichier est un fichier vidéo. Vous pouvez obtenir n'importe quel virus .exe et le renommer en .avi (cela vous oblige à télécharger le virus, soit la moitié du chemin pour infecter votre ordinateur). Si un exploit permettant d'ouvrir le virus sur votre ordinateur est ouvert, vous seriez affecté.
Si vous pensez qu'il s'agit d'un malware, arrêtez simplement le téléchargement et supprimez-le, ne l'exécutez jamais avant une analyse antivirus.
-1 Ce n'est pas ainsi qu'un .avi pourrait vous infecter - même s'il s'agissait d'un fichier .exe renommé en .avi, il ne s'exécuterait pas en tant qu'exécutable lorsque vous l'ouvririez, à moins que vous ne soyez suffisamment stupide pour le renommer au préalable. .
BlueRaja - Danny Pflughoeft
3
Transférer des virus sur la machine d'un utilisateur n'est pas la partie la plus difficile, c'est une partie complètement triviale. Vous pouvez simplement renommer le fichier .exe en .jpg et l'inclure dans une page Web. Il sera transféré lorsque l'utilisateur visitera votre page. La partie la plus difficile de l’infection est la première exécution du code.
MatsT
2
@BlueRaja: En fait, j'ai vu une infection sur l'ordinateur d'un collègue avec un fichier .avi et je l'ai reproduite moi-même sur une machine virtuelle. Elle avait téléchargé un zip contenant deux fichiers, l'un avec une extension AVI et l'autre un script batch. Ouvrir AVI n'a pas fonctionné, alors elle a essayé d'ouvrir le script. Le script contenait du code pour exécuter "AVI" à partir de la ligne de commande en tant qu'exécutable, et vous pouvez deviner ce qui s'est passé ensuite (le virus a chiffré toutes les données de son répertoire utilisateur après la modification du mot de passe, puis a demandé 25 euros de pénalité pour comportement stupide. ).
Hippo
3
@ Hippo est plutôt un exemple médiocre, car le virus - les scripts dans ce cas-ci - est venu avec un AVI n'a aucune pertinence pour le fait qu'AVI ne peut pas à lui seul infecter votre ordinateur, étant donné que la plupart des ordinateurs et des cibles préférées sont connecté à Internet, le script pourrait simplement télécharger le virus sur le Web et encore une fois, si vous pouvez forcer quelqu'un à exécuter un "script", pourquoi ne pas y placer le virus en premier lieu? -
omeid
2
mais tout autre fichier ou extension aurait le même impact, le cas échéant.
Omeide
12
Oui c'est possible. Les fichiers AVI, comme tous les fichiers, peuvent être spécialement conçus pour tirer parti des bogues connus du logiciel qui les gère.
Les logiciels antivirus détectent des modèles connus dans les fichiers, tels que du code exécutable dans des fichiers binaires ou des constructions JavaScript spécifiques dans des pages HTML , qui sont éventuellement des virus.
Un fichier est un conteneur pour différents types de données.
Un AVIfichier (Audio Video Interleave) est destiné à contenir des données audio et vidéo entrelacées. Normalement, il ne devrait contenir aucun code exécutable.
À moins que l'attaquant ne soit déterminé de manière inhabituelle, il est peu probable qu'un AVIfichier contenant des données audio-vidéo contienne réellement un virus
TOUTEFOIS ...
Un AVIfichier a besoin d'un décodeur pour faire quelque chose d'utile. Par exemple, vous utilisez peut-être déjà Windows Media Player pour lire des AVIfichiers afin de voir leur contenu.
Si le décodeur ou l'analyseur de fichiers ont des bogues que l'attaquant peut exploiter, ils produiront intelligemment un AVIfichier tel que:
lors de votre tentative d'ouverture de ces fichiers (par exemple si vous double-cliquez pour démarrer la lecture de la vidéo) avec votre analyseur AVI ou décodeur buggy, ces bogues cachés se déclencheront
En conséquence, il peut permettre à l’attaquant d’exécuter le code de son choix sur votre ordinateur, en laissant éventuellement votre ordinateur infecté.
Voici un rapport de vulnérabilité qui répond exactement à ce que vous demandez.
La seule vraie réponse à la question est "Voici un rapport de vulnérabilité" dans cette réponse. Tous les autres ne font que spéculer.
Alex
Bonjour @ Alex, je suppose que vous avez raison. Mon intention était de donner au PO un peu de contexte. Je conviens que le rapport de vulnérabilité répond à la question elle-même.
gsbabil
Peut-être que je ne suis pas assez clair - signifiait simplement dire qu'en raison du rapport, votre réponse est l' une qui a vraiment répond à la question initiale. +1
Alex
8
C'est possible, oui, mais très peu probable. Vous êtes plus susceptible d’essayer d’afficher un fichier WMV et de le charger automatiquement ou de vous demander de télécharger une licence, ce qui fait apparaître une fenêtre du navigateur qui pourrait exploiter votre ordinateur s’il n’est pas entièrement patché.
Les something.avi.exefichiers les plus populaires parmi les virus 'AVI' que j'ai entendus sont les fichiers téléchargés sur une machine Windows
configurée pour masquer les extensions de fichier dans l'explorateur.
L'utilisateur oublie généralement ce fait plus tard et suppose que le fichier est AVI.
Couplé à l'attente d'un joueur associé, un double-clic lance le fichier EXE.
Après cela, ses fichiers AVI ont été étrangement transcodés, ce qui nécessite de télécharger un nouveau fichier codecpour les voir.
Le soi-disant codecest généralement le vrai "virus" ici.
J'ai également entendu parler des exploits de dépassement de tampon AVI, mais quelques bonnes références seraient utiles.
Mon résultat: le coupable est généralement l'un des éléments suivants plutôt que le fichier AVI lui-même
Le codecinstallé sur votre système pour gérer le fichier AVI
Le joueur utilisé
L'outil de partage de fichiers utilisé pour obtenir le fichier AVI
.avi(ou .mkvd'ailleurs) sont des conteneurs et prennent en charge l'inclusion d'une variété de supports - plusieurs flux audio / vidéo, sous-titres, navigation dans les menus de type DVD, etc. Rien n'empêche l'inclusion de contenu exécutable malveillant, mais il ne sera pas exécuté sauf scénarios Synetech décrits dans sa réponse
Cependant, il existe un angle communément expliqué qui est laissé de côté. Compte tenu de la diversité des codecs disponibles et de l'absence de restrictions quant à leur inclusion dans les fichiers de conteneur, il existe des protocoles communs pour inviter l'utilisateur à installer le codec nécessaire. De plus, les lecteurs multimédias peuvent être configurés pour tenter automatiquement la recherche et l'installation de codecs. En fin de compte, les codecs sont exécutables (moins un petit tableau de plugins) et peuvent contenir du code malveillant.
Mon antivirus Avast vient de m'annoncer qu'un cheval de Troie était intégré à l'un de mes AVI de films téléchargés. Lorsque j'ai essayé de le mettre en quarantaine, il a été déclaré que le fichier était trop volumineux et qu'il ne pouvait pas être déplacé. J'ai donc dû le supprimer.
Le virus s'appelle WMA.wimad [susp]et ressemble apparemment à un virus de menace moyenne qui effectue une sorte de piratage du navigateur. Ce n'est pas exactement une panne de système, mais cela prouve que vous pouvez contracter des virus à partir de fichiers AVI.
Si le téléchargement n'est pas encore terminé, attendez avant de terminer avant de décider quoi faire. Lorsque le téléchargement n'est que partiellement terminé, les parties manquantes du fichier sont essentiellement du bruit et sont assez susceptibles de générer des faux positifs lors de la recherche de logiciels malveillants.
Comme @Synetech l'a expliqué en détail, il est possible de propager des programmes malveillants via des fichiers vidéo, éventuellement avant même la fin du téléchargement. Mais que ce soit possible ne signifie pas que c'est probable . D'après mon expérience personnelle, les risques de faux positifs lors d'un téléchargement en cours sont beaucoup plus élevés.
> Les chances d'un faux positif lors d'un téléchargement en cours sont beaucoup plus élevées. Je ne sais pas «beaucoup», mais c’est certainement possible, car le fichier incomplet peut contenir un grand nombre de zéros, ce qui pourrait bien se trouver à côté d’octets normalement inoffensifs qui finissent par ressembler à du mauvais code machine. moins jusqu'à ce que les valeurs NULL soient écrasées par les données réelles).
Synetech
2
D'autre part, les images d'aperçu dans l'Explorateur Windows sont générées par le lecteur vidéo de votre choix. Si ce lecteur est celui que le virus exploite, il est possible d'attraper le virus simplement en ouvrant le dossier du fichier dans l'explorateur! Dans ce cas, vous voulez attraper le virus avant de terminer le téléchargement du fichier. Des virus se sont répandus de la sorte dans le passé.
BlueRaja - Danny Pflughoeft
@ Synetech: Je n'ai aucune donnée à ce sujet, mais je connais au moins 20 personnes qui ont reçu une fausse alerte à la suite d'un téléchargement torrent incomplet. Pendant que je lisais que c'était possible, je ne connais personne qui ait infecté son ordinateur par un fichier vidéo réel.
Dennis
1
@ BlueRaja, yup, c'est ce que j'ai mis en garde sur Soandos ci-dessus. Cependant, pour la plupart des fichiers multimédias courants, c'est Windows / WMP qui génère l'aperçu, et non un programme tiers (FFDShow n'est pas installé sur la plupart des novices; du moins pas s'ils n'installent pas tous ces programmes désagréables et dévoués. méga packs de codecs).
Synetech
1
@BlueRaja, je ne trouve aucune information à ce sujet. Pouvez-vous s'il vous plaît trouver une source pour cela. J'utilise uniquement le portable, donc je n'ai jamais vu VLC générer des vignettes. De plus, on pourrait penser qu’il générerait des vignettes pour chaque type de vidéo qu’il peut lire et auquel il est associé, y compris FLV, MKV, etc., mais ce n’est pas le cas, par conséquent, pour des programmes comme Icaros. En fait, il semble qu’il soit prévu de mettre en place un gestionnaire de prévisualisation VLC, mais cela a été retardé.
Synetech
2
Ayant passé du temps à aider les utilisateurs à résoudre les problèmes liés aux logiciels malveillants, je peux témoigner que le mécanisme d'exploitation habituel utilisé par les fraudeurs est plus social que technique.
Le fichier est simplement nommé * .avi.exe et le paramètre par défaut de Windows ne révèle pas les extensions de fichier courantes. Le fichier exécutable se voit simplement attribuer une icône de fichier AVI. Ceci est similaire à la tactique utilisée pour distribuer les virus * .doc.exe où le fichier a l'icône de winword.
J'ai également observé des tactiques douteuses telles que l'utilisation de noms de fichiers longs dans la distribution P2P, de sorte que le client n'affiche que les noms partiels dans la liste des fichiers.
Utiliser des fichiers de mauvaise qualité
Si vous devez utiliser le fichier, utilisez toujours un bac à sable configuré pour arrêter les connexions Internet sortantes. Le pare-feu Windows est mal configuré pour autoriser les connexions sortantes par défaut. L'exploitation est une action qui, comme toute action, a toujours une motivation. Habituellement, cette opération consiste à siphonner les mots de passe du navigateur ou les cookies, à octroyer une licence et à transférer le contenu vers une ressource externe (telle que FTP) détenue par un attaquant. Par conséquent, si vous utilisez un outil tel que sandboxie, désactivez les connexions Internet sortantes. Si vous utilisez une machine virtuelle, assurez-vous qu'elle ne contient aucune information sensible et bloquez toujours les accès Internet sortants à l'aide d'une règle de pare-feu.
Si vous ne savez pas ce que vous faites, n'utilisez pas le fichier. Soyez prudent et ne prenez pas de risques qui ne valent pas la peine d'être pris.
Notez que cette page n'implémente pas réellement un exploit pour infecter un système, elle ne cache que des données dans un fichier image à l'aide de la stéganographie (dans ce cas, c'est un malware, mais il pourrait aussi s'agir de n'importe quoi). Le code ne fonctionne pas réellement, il est simplement caché. Cela permet d’obtenir le code sur le système cible, mais il faudrait alors une autre méthode d’exécution.
Synetech
-2
Les fichiers AVI ne seront pas infectés par un virus. Lorsque vous téléchargez des films à partir d'un torrent, au lieu d'AVI, si le film est dans un package RAR ou dans un fichier EXE, il y a sûrement une possibilité de virus.
Certains d'entre eux vous demandent de télécharger un codec supplémentaire à partir d'un site Web pour visionner le film. Ce sont les suspects. Mais si c'est AVI, alors vous pouvez sûrement essayer de le lire dans votre lecteur vidéo. Rien ne se passera.
pourrait-il simplement décompresser le fichier pour vous donner un virus?
user3183
@ user3183, éventuellement. Le fichier peut être conçu pour exploiter une vulnérabilité dans WinRAR / 7-zip / etc.
Synetech
@ Synetech: cette probabilité est identique à la probabilité d'exploiter une vulnérabilité de votre lecteur multimédia, ce qui est beaucoup moins probable qu'un exploit .avi.exe.
Lie Ryan
1
@LieRyan, exactement. Il existe suffisamment de programmes d'archivage et de versions du même logiciel pour que la surface cible soit (trop) grande. Pour les chiens de gloire, l'effort en vaut la peine, mais pour les pirates informatiques, il est préférable de cibler le système d'exploitation.
Synetech
-3
Les fichiers AVI ne peuvent pas avoir de virus s’il s’agit de fichiers vidéo. Lors du téléchargement, votre navigateur conserve le téléchargement dans son propre format. C'est pourquoi l'antivirus le détecte comme un virus. Lors du téléchargement du fichier AVI, assurez-vous qu'après le téléchargement, le fichier est exécuté sur un lecteur vidéo. S'il s'agit d'un fichier invalide, il ne sera pas lu et il n'y a aucun prix à deviner s'il s'agit d'un virus.
Si vous essayez de double-cliquer et de l'exécuter directement s'il y a un léger risque de virus, il sera diffusé. Prenez des précautions et vous n’avez pas besoin d’un logiciel antivirus.
Ils n'utilisent pas de navigateur. c'est un client torrent.
Synetech
yup même va avec les fichiers torrent trop spécifiquement les fichiers torrent sont une cible pour ces entreprises antivirus
Sreejit
1
la plupart des clients torrent ne conservent pas le fichier téléchargé dans un format différent pendant le téléchargement (bien qu'ils puissent utiliser un nom de fichier / une extension différent).
Synetech
oui, je suis aussi en train de dire des extensions désolées de ne pas inclure cela et l'antivirus ne voit pas les extensions de vérification des virus
Sreejit
Ah d'accord. Les programmes anti-programmes malveillants peuvent également être configurés pour une analyse quelle que soit leur extension, mais cela a tendance à ralentir le système. :-(
Réponses:
TL; DR
Un
.avi
fichier est une vidéo, et est donc pas exécutable, de sorte que le système d'exploitation peut / ne sera pas exécuter le fichier. En tant que tel, il ne peut pas être un virus à part entière, mais il peut en effet contenir un virus.Histoire
Dans le passé, seuls les fichiers exécutables (c'est-à-dire «exécutables») étaient des virus. Plus tard, les vers Internet ont commencé à utiliser l'ingénierie sociale pour inciter les gens à exécuter des virus. Une astuce répandue consisterait à renommer un fichier exécutable afin d’y inclure d’autres extensions,
.avi
ou.jpg
pour inciter l’utilisateur à penser qu’il s’agit d’un fichier multimédia et à l’exécuter. Par exemple, un client de messagerie peut uniquement afficher la première douzaine de caractères de pièces jointes. Ainsi, en attribuant une fausse extension à un fichier, puis en le complétant avec des espaces"FunnyAnimals.avi .exe"
, l'utilisateur voit ce qui ressemble à une vidéo et l'exécute, puis est infecté.Ce n’était pas seulement de l’ingénierie sociale (en trompant l’utilisateur), mais aussi un exploit précoce . Il a exploité l'affichage limité des noms de fichiers des clients de messagerie pour réussir son tour.
Technique
Plus tard, des exploits plus avancés sont venus. Les auteurs de logiciels malveillants désassembleraient un programme pour examiner son code source et rechercheraient certaines parties présentant une mauvaise gestion des données et des erreurs qu’elles pourraient exploiter. Ces instructions prennent souvent la forme d'une sorte de saisie de l'utilisateur. Par exemple, une boîte de dialogue de connexion sur un système d'exploitation ou un site Web peut ne pas effectuer de vérification des erreurs ou de validation des données, et suppose donc / attend de l'utilisateur qu'il entre uniquement les données appropriées. Si vous saisissez ensuite des données inattendues (ou dans le cas de la plupart des exploits, trop de données), l’entrée se retrouvera en dehors de la mémoire qui a été affectée pour contenir les données. Normalement, les données utilisateur ne doivent être contenues que dans une variable, mais en exploitant une vérification des erreurs et une gestion de la mémoire médiocres, il est possible de les placer dans une partie de la mémoire pouvant être exécutée. Une méthode courante et bien connue est labuffer-overflow qui met plus de données dans la variable qu'il ne peut en contenir, écrasant ainsi d'autres parties de la mémoire. En créant astucieusement l'entrée, il est possible de provoquer un dépassement du code (instructions), puis de transférer le contrôle sur ce code. À ce stade, le ciel est généralement la limite quant à ce qui peut être fait une fois que le malware a le contrôle.
Les fichiers multimédias sont les mêmes. Ils peuvent être conçus pour contenir un peu de code machine et exploiter le lecteur multimédia pour que le code machine finisse par s'exécuter. Par exemple, il peut être possible de mettre trop de données dans les méta-données du fichier multimédia de sorte que, lorsque le lecteur essaie d'ouvrir le fichier et de le lire, il déborde des variables et entraîne l'exécution de code. Même les données réelles pourraient théoriquement être conçues pour exploiter le programme.
Ce qui est pire avec les fichiers multimédias, c'est que, contrairement à un identifiant clairement mauvais, même aux non-initiés (par exemple,
username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)
un fichier multimédia peut être créé de manière à ce qu'il contienne réellement un support légitime, légitime, qui ne soit même pas corrompu et qui semble donc totalement légitime. La stéganographie (littéralement «écriture dissimulée») est généralement utilisée pour dissimuler des données dans d'autres données, mais il s'agit essentiellement de la même chose, car le malware serait dissimulé dans ce qui ressemble à un média légitime.Alors oui, les fichiers multimédias (et même n'importe quel fichier) peuvent contenir un virus en exploitant les vulnérabilités du programme qui ouvre / affiche le fichier. Le problème est que vous n'avez souvent même pas besoin d'ouvrir ou d'afficher le fichier à infecter. La plupart des types de fichiers peuvent être prévisualisés ou leurs métadonnées doivent être lues sans les ouvrir à dessein. Par exemple, il suffit de sélectionner un fichier multimédia dans l'Explorateur Windows pour lire automatiquement les métadonnées (dimensions, longueur, etc.) du fichier. Cela pourrait potentiellement constituer un vecteur d'attaque si un auteur de programme malveillant découvrait une vulnérabilité dans la fonction aperçu / métadonnées de l'explorateur et créait un fichier multimédia qui l'exploitait.
Heureusement, les exploits sont fragiles. Ils n'affectent généralement qu'un ou plusieurs lecteurs multimédias, contrairement à tous les lecteurs. Même dans ce cas, leur fonctionnement ne fonctionne pas pour différentes versions du même programme (c'est pourquoi les systèmes d'exploitation publient des mises à jour pour corriger les vulnérabilités). Pour cette raison, les auteurs de programmes malveillants ne passent généralement que leur temps à casser des systèmes / programmes largement utilisés ou de grande valeur (Windows, systèmes bancaires, etc.), ce qui est d'autant plus vrai que le piratage a gagné en popularité auprès des criminels. essayer d’obtenir de l’argent et ce n’est plus seulement le domaine des nerds qui essaient d’obtenir la gloire.
Application
Si votre fichier vidéo est infecté, il ne vous infectera probablement que si vous utilisez le ou les lecteurs multimédias pour lesquels il est spécifiquement conçu. Si ce n'est pas le cas, alors il peut se bloquer, ne pas s'ouvrir, jouer avec la corruption ou même très bien (ce qui est le pire des cas, car il est alors signalé comme étant correct et se propage à d'autres personnes susceptibles d'être infectées).
Les programmes anti-programmes malveillants utilisent généralement des signatures et / ou des méthodes heuristiques pour détecter les programmes malveillants. Les signatures recherchent des modèles d'octets dans les fichiers qui correspondent généralement aux instructions de virus connus. Le problème est qu’en raison des virus polymorphes qui peuvent changer chaque fois qu’ils se reproduisent, les signatures deviennent moins efficaces. Les heuristiques observent des comportements tels que l'édition de fichiers spécifiques ou la lecture de données spécifiques. Celles-ci ne s'appliquent généralement que lorsque le logiciel malveillant est déjà en cours d'exécution, car l'analyse statique (examiner le code sans l'exécuter) peut s'avérer extrêmement complexe grâce aux techniques d'obscurcissement et d'évasion des logiciels malveillants.
Dans les deux cas, les programmes anti-malware peuvent et doivent signaler des faux positifs.
Conclusion
De toute évidence, l’étape la plus importante en matière de sécurité informatique consiste à récupérer vos fichiers à partir de sources fiables. Si le torrent que vous utilisez est de quelque part vous avez confiance, alors sans doute il devrait être correct. Sinon, vous voudrez peut-être y réfléchir à deux fois (d'autant plus qu'il existe des groupes anti-piratage qui libèrent volontairement des torrents contenant des faux ou même des logiciels malveillants).
la source
o.O
Je ne dirai pas que c'est impossible, mais ce serait difficile. Le rédacteur du virus devrait créer l’AVI pour déclencher un bogue dans votre lecteur multimédia, puis exploiter celui-ci pour exécuter du code sur votre système d’exploitation, sans savoir quel lecteur multimédia ou système d’exploitation vous utilisez. Si vous maintenez votre logiciel à jour et / ou si vous utilisez autre chose que Windows Media Player ou iTunes (en tant que plates-formes les plus grandes, ce seront les meilleures cibles), vous devriez être assez en sécurité.
Cependant, il existe un risque connexe très réel. De nos jours, les films sur Internet utilisent une variété de codecs, et le grand public ne comprend pas ce qu'est un codec. Tout ce qu'ils savent, c'est "c'est quelque chose que je dois parfois télécharger pour que le film soit lu". C'est un véritable vecteur d'attaque. Si vous téléchargez quelque chose et que vous recevez le message "Pour voir ceci, vous avez besoin du codec de [un site Web]", nous sommes alors certains de savoir ce que vous faites car vous pourriez vous infecter.
la source
Une extension de fichier avi ne garantit pas que le fichier est un fichier vidéo. Vous pouvez obtenir n'importe quel virus .exe et le renommer en .avi (cela vous oblige à télécharger le virus, soit la moitié du chemin pour infecter votre ordinateur). Si un exploit permettant d'ouvrir le virus sur votre ordinateur est ouvert, vous seriez affecté.
Si vous pensez qu'il s'agit d'un malware, arrêtez simplement le téléchargement et supprimez-le, ne l'exécutez jamais avant une analyse antivirus.
la source
Oui c'est possible. Les fichiers AVI, comme tous les fichiers, peuvent être spécialement conçus pour tirer parti des bogues connus du logiciel qui les gère.
Les logiciels antivirus détectent des modèles connus dans les fichiers, tels que du code exécutable dans des fichiers binaires ou des constructions JavaScript spécifiques dans des pages HTML , qui sont éventuellement des virus.
la source
Réponse rapide: OUI .
Réponse légèrement plus longue:
AVI
fichier (Audio Video Interleave) est destiné à contenir des données audio et vidéo entrelacées. Normalement, il ne devrait contenir aucun code exécutable.AVI
fichier contenant des données audio-vidéo contienne réellement un virusTOUTEFOIS ...
AVI
fichier a besoin d'un décodeur pour faire quelque chose d'utile. Par exemple, vous utilisez peut-être déjà Windows Media Player pour lire desAVI
fichiers afin de voir leur contenu.AVI
fichier tel que:la source
C'est possible, oui, mais très peu probable. Vous êtes plus susceptible d’essayer d’afficher un fichier WMV et de le charger automatiquement ou de vous demander de télécharger une licence, ce qui fait apparaître une fenêtre du navigateur qui pourrait exploiter votre ordinateur s’il n’est pas entièrement patché.
la source
Les
something.avi.exe
fichiers les plus populaires parmi les virus 'AVI' que j'ai entendus sont les fichiers téléchargés sur une machine Windowsconfigurée pour masquer les extensions de fichier dans l'explorateur.
L'utilisateur oublie généralement ce fait plus tard et suppose que le fichier est AVI.
Couplé à l'attente d'un joueur associé, un double-clic lance le fichier EXE.
Après cela, ses fichiers AVI ont été étrangement transcodés, ce qui nécessite de télécharger un nouveau fichier
codec
pour les voir.Le soi-disant
codec
est généralement le vrai "virus" ici.J'ai également entendu parler des exploits de dépassement de tampon AVI, mais quelques bonnes références seraient utiles.
Mon résultat: le coupable est généralement l'un des éléments suivants plutôt que le fichier AVI lui-même
codec
installé sur votre système pour gérer le fichier AVILecture rapide de prévention des programmes malveillants: P2P ou partage de fichiers
la source
.avi
(ou.mkv
d'ailleurs) sont des conteneurs et prennent en charge l'inclusion d'une variété de supports - plusieurs flux audio / vidéo, sous-titres, navigation dans les menus de type DVD, etc. Rien n'empêche l'inclusion de contenu exécutable malveillant, mais il ne sera pas exécuté sauf scénarios Synetech décrits dans sa réponseCependant, il existe un angle communément expliqué qui est laissé de côté. Compte tenu de la diversité des codecs disponibles et de l'absence de restrictions quant à leur inclusion dans les fichiers de conteneur, il existe des protocoles communs pour inviter l'utilisateur à installer le codec nécessaire. De plus, les lecteurs multimédias peuvent être configurés pour tenter automatiquement la recherche et l'installation de codecs. En fin de compte, les codecs sont exécutables (moins un petit tableau de plugins) et peuvent contenir du code malveillant.
la source
Techniquement, pas de télécharger le fichier. Mais une fois que le fichier est ouvert, tout dépend du joueur et de l’implémentation du codec.
la source
Mon antivirus Avast vient de m'annoncer qu'un cheval de Troie était intégré à l'un de mes AVI de films téléchargés. Lorsque j'ai essayé de le mettre en quarantaine, il a été déclaré que le fichier était trop volumineux et qu'il ne pouvait pas être déplacé. J'ai donc dû le supprimer.
Le virus s'appelle
WMA.wimad [susp]
et ressemble apparemment à un virus de menace moyenne qui effectue une sorte de piratage du navigateur. Ce n'est pas exactement une panne de système, mais cela prouve que vous pouvez contracter des virus à partir de fichiers AVI.la source
Si le téléchargement n'est pas encore terminé, attendez avant de terminer avant de décider quoi faire. Lorsque le téléchargement n'est que partiellement terminé, les parties manquantes du fichier sont essentiellement du bruit et sont assez susceptibles de générer des faux positifs lors de la recherche de logiciels malveillants.
Comme @Synetech l'a expliqué en détail, il est possible de propager des programmes malveillants via des fichiers vidéo, éventuellement avant même la fin du téléchargement. Mais que ce soit possible ne signifie pas que c'est probable . D'après mon expérience personnelle, les risques de faux positifs lors d'un téléchargement en cours sont beaucoup plus élevés.
la source
Ayant passé du temps à aider les utilisateurs à résoudre les problèmes liés aux logiciels malveillants, je peux témoigner que le mécanisme d'exploitation habituel utilisé par les fraudeurs est plus social que technique.
Le fichier est simplement nommé * .avi.exe et le paramètre par défaut de Windows ne révèle pas les extensions de fichier courantes. Le fichier exécutable se voit simplement attribuer une icône de fichier AVI. Ceci est similaire à la tactique utilisée pour distribuer les virus * .doc.exe où le fichier a l'icône de winword.
J'ai également observé des tactiques douteuses telles que l'utilisation de noms de fichiers longs dans la distribution P2P, de sorte que le client n'affiche que les noms partiels dans la liste des fichiers.
Utiliser des fichiers de mauvaise qualité
Si vous devez utiliser le fichier, utilisez toujours un bac à sable configuré pour arrêter les connexions Internet sortantes. Le pare-feu Windows est mal configuré pour autoriser les connexions sortantes par défaut. L'exploitation est une action qui, comme toute action, a toujours une motivation. Habituellement, cette opération consiste à siphonner les mots de passe du navigateur ou les cookies, à octroyer une licence et à transférer le contenu vers une ressource externe (telle que FTP) détenue par un attaquant. Par conséquent, si vous utilisez un outil tel que sandboxie, désactivez les connexions Internet sortantes. Si vous utilisez une machine virtuelle, assurez-vous qu'elle ne contient aucune information sensible et bloquez toujours les accès Internet sortants à l'aide d'une règle de pare-feu.
Si vous ne savez pas ce que vous faites, n'utilisez pas le fichier. Soyez prudent et ne prenez pas de risques qui ne valent pas la peine d'être pris.
la source
Réponse courte, oui. Une réponse plus longue suit le didacticiel de base Tropical PC Solutions: Comment cacher un virus! et en faire un pour vous-même.
la source
Les fichiers AVI ne seront pas infectés par un virus. Lorsque vous téléchargez des films à partir d'un torrent, au lieu d'AVI, si le film est dans un package RAR ou dans un fichier EXE, il y a sûrement une possibilité de virus.
Certains d'entre eux vous demandent de télécharger un codec supplémentaire à partir d'un site Web pour visionner le film. Ce sont les suspects. Mais si c'est AVI, alors vous pouvez sûrement essayer de le lire dans votre lecteur vidéo. Rien ne se passera.
la source
Les fichiers AVI ne peuvent pas avoir de virus s’il s’agit de fichiers vidéo. Lors du téléchargement, votre navigateur conserve le téléchargement dans son propre format. C'est pourquoi l'antivirus le détecte comme un virus. Lors du téléchargement du fichier AVI, assurez-vous qu'après le téléchargement, le fichier est exécuté sur un lecteur vidéo. S'il s'agit d'un fichier invalide, il ne sera pas lu et il n'y a aucun prix à deviner s'il s'agit d'un virus.
Si vous essayez de double-cliquer et de l'exécuter directement s'il y a un léger risque de virus, il sera diffusé. Prenez des précautions et vous n’avez pas besoin d’un logiciel antivirus.
la source
:-(