@ user3183 VideoLAN menggunakan codec-nya sendiri secara internal. Tidak ada yang menghentikan salah satu codec-nya sendiri dari kesalahan yang bisa dieksploitasi oleh penulis virus jahat.
GAT Diambil
7
Jika ragu, hentikan unduhan.
27
@soando, itu belum tentu benar. File dapat dirancang untuk mengeksploitasi klien torrent ketika hash untuk memeriksa apakah itu baik; itu juga dapat dirancang untuk mengeksploitasi sistem operasi ketika membaca file untuk menghasilkan thumbnail atau mengekstrak metadata.
Synetech
2
@IMB, file mana yang ditandai oleh antivirus? Apakah ulasan positif dari orang sungguhan atau mereka jelas dihasilkan / disalin?
Sebuah .avifile video, dan karena itu tidak dapat dieksekusi, sehingga sistem operasi dapat / tidak akan menjalankan file tersebut. Dengan demikian, itu tidak bisa menjadi virus dalam dirinya sendiri, tetapi memang bisa mengandung virus.
Sejarah
Di masa lalu, hanya file yang dapat dieksekusi (yaitu, "runnable") akan menjadi virus. Kemudian, cacing internet mulai menggunakan rekayasa sosial untuk menipu orang agar menjalankan virus. Trik yang populer adalah mengubah nama executable untuk memasukkan ekstensi lain seperti .aviatau .jpguntuk menipu pengguna agar berpikir itu adalah file media dan menjalankannya. Misalnya, klien email hanya dapat menampilkan selusin karakter lampiran pertama, jadi dengan memberikan file ekstensi palsu, lalu menambahkannya dengan spasi seperti dalam "FunnyAnimals.avi .exe", pengguna melihat apa yang tampak seperti video dan menjalankannya dan terinfeksi.
Ini bukan hanya rekayasa sosial (menipu pengguna), tetapi juga eksploitasi awal . Itu mengeksploitasi tampilan terbatas nama file klien email untuk melakukan triknya.
Teknis
Kemudian, eksploitasi yang lebih maju muncul. Penulis malware akan membongkar sebuah program untuk memeriksa kode sumbernya dan mencari bagian-bagian tertentu yang memiliki data yang buruk dan penanganan kesalahan yang dapat mereka eksploitasi. Instruksi ini sering berupa input pengguna. Sebagai contoh, kotak dialog login pada OS atau situs web mungkin tidak melakukan pengecekan kesalahan atau validasi data, dan dengan demikian menganggap / mengharapkan pengguna untuk memasukkan hanya data yang sesuai. Jika Anda memasukkan data yang tidak diharapkan (atau dalam kasus sebagian besar eksploit, terlalu banyak data), maka input akan berakhir di luar memori yang ditugaskan untuk menyimpan data. Biasanya, data pengguna hanya boleh dimasukkan dalam variabel, tetapi dengan mengeksploitasi pemeriksaan kesalahan dan manajemen memori yang buruk, dimungkinkan untuk memasukkannya ke dalam bagian memori yang dapat dieksekusi. Metode umum, dan terkenal adalahbuffer-overflow yang menempatkan lebih banyak data dalam variabel daripada yang bisa dipegang, sehingga menimpa bagian lain dari memori. Dengan secara cerdik menyusun input, dimungkinkan untuk menyebabkan kode (instruksi) overrun dan kemudian mentransfer kontrol ke kode itu. Pada titik itu, langit biasanya menjadi batas untuk apa yang dapat dilakukan setelah malware memiliki kendali.
File media sama. Mereka dapat dibuat sehingga mengandung sedikit kode mesin dan mengeksploitasi media-player sehingga kode mesin akhirnya berjalan. Misalnya, dimungkinkan untuk memasukkan terlalu banyak data ke dalam meta-data file media sehingga ketika pemain mencoba untuk membuka file dan membacanya, itu meluap variabel dan menyebabkan beberapa kode untuk dijalankan. Bahkan data aktual secara teoritis dapat dibuat untuk mengeksploitasi program.
Yang lebih buruk dengan file media adalah bahwa tidak seperti login yang jelas-jelas buruk, bahkan untuk orang awam (misalnya, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)file media dapat dibuat sehingga benar-benar berisi media yang tepat dan sah yang bahkan tidak korup sehingga terlihat benar-benar sah dan benar-benar tidak terdeteksi sampai efek infeksi terjadi. Steganografi (secara harfiah “tulisan tertutup”) biasanya digunakan untuk menyembunyikan data dalam data lain, tetapi ini pada dasarnya adalah hal yang sama karena malware akan disembunyikan dalam apa yang tampak seperti media yang sah.
Jadi ya, file media (dan dalam hal ini, file apa saja ) dapat mengandung virus dengan mengeksploitasi kerentanan dalam program yang membuka / melihat file. Masalahnya adalah Anda seringkali tidak perlu membuka atau melihat file yang akan terinfeksi. Sebagian besar tipe file dapat dipratinjau atau meta-datanya dibaca tanpa sengaja membukanya. Misalnya, cukup memilih file media di Windows Explorer akan secara otomatis membaca meta-data (dimensi, panjang, dll.) Dari file. Ini berpotensi menjadi vektor serangan jika penulis malware menemukan kerentanan dalam fungsi pratinjau / meta-data Explorer dan membuat file media yang mengeksploitasinya.
Untungnya, eksploitasi rapuh. Mereka biasanya hanya mempengaruhi satu media player atau yang lain sebagai lawan semua pemain, dan bahkan kemudian, mereka tidak dijamin bekerja untuk versi berbeda dari program yang sama (itu sebabnya sistem operasi mengeluarkan pembaruan untuk menambal kerentanan). Karena itu, penulis malware biasanya hanya bersusah payah menghabiskan waktu untuk memecahkan sistem / program dalam penggunaan luas atau bernilai tinggi (misalnya, Windows, sistem bank, dll.) Ini terutama benar karena peretasan telah mendapatkan popularitas sebagai bisnis dengan penjahat. berusaha mendapatkan uang dan bukan lagi sekadar domain para kutu buku yang berusaha mendapatkan kejayaan.
Aplikasi
Jika file video Anda yang terinfeksi, maka akan cenderung hanya menginfeksi Anda jika Anda kebetulan menggunakan media player (s) yang dirancang khusus untuk mengeksploitasi. Jika tidak, maka itu bisa crash, gagal membuka, bermain dengan korupsi, atau bahkan bermain dengan baik (yang merupakan skenario terburuk karena kemudian ditandai sebagai oke dan akan menyebar ke orang lain yang mungkin terinfeksi).
Program anti-malware biasanya menggunakan tanda tangan dan / atau heuristik untuk mendeteksi malware. Tanda tangan mencari pola byte dalam file yang biasanya sesuai dengan instruksi pada virus terkenal. Masalahnya adalah karena virus polimorfik yang dapat berubah setiap kali mereka bereproduksi, tanda tangan menjadi kurang efektif. Heuristik mengamati pola perilaku seperti mengedit file tertentu atau membaca data tertentu. Ini biasanya hanya berlaku setelah malware sudah berjalan karena analisis statis (memeriksa kode tanpa menjalankannya) dapat menjadi sangat kompleks berkat teknik penggelapan dan penghindaran malware.
Dalam kedua kasus, program anti-malware dapat, dan memang, melaporkan false-positive.
Kesimpulan
Jelas langkah paling penting dalam keamanan komputasi adalah mengambil file Anda dari sumber tepercaya. Jika torrent yang Anda gunakan berasal dari suatu tempat yang Anda percayai, maka mungkin torrent itu boleh saja. Jika tidak, maka Anda mungkin ingin berpikir dua kali tentang hal itu, (terutama karena ada kelompok anti-pembajakan yang dengan sengaja melepaskan torrent berisi pemalsuan atau bahkan malware).
Tinjauan yang bagus. Ada beberapa eksploit terkenal di masa lalu di mana payload dikirim sebagai file gambar GIF. Kata kunci untuk informasi lebih lanjut adalah: "buffer overflow mengeksploitasi eksekusi kode arbitrer"
horatio
3
@horatio, saya belum pernah mendengar tentang eksploitasi GIF (kecuali jika Anda merujuk pada kerentanan GDI), tapi saya tahu eksploitasi WMF adalah berita besar.
Synetech
@GarrettFogerlie, terima kasih. Tampaknya ini yang terbaik dari saya. Yang aneh adalah aku bersumpah aku menulis yang hampir identik sebelumnya. o.O
Synetech
3
+1 Bravo untuk ikhtisar malware yang sangat menyeluruh, ringkas, dan mudah dipahami.
Phil
3
Juga, untuk melindungi dari kerentanan seperti ini selalu jalankan versi terbaru dari perangkat lunak karena beberapa orang memang mencoba untuk memperbaiki bug ini.
sjbotha
29
Saya tidak akan mengatakan itu tidak mungkin, tetapi itu akan sulit. Penulis virus harus membuat AVI untuk memicu bug di pemutar media Anda, dan kemudian mengeksploitasinya untuk menjalankan kode pada sistem operasi Anda - tanpa mengetahui pemutar media atau OS apa yang Anda jalankan. Jika Anda memperbarui perangkat lunak Anda, dan / atau jika Anda menjalankan sesuatu selain Windows Media Player atau iTunes (sebagai platform terbesar, mereka akan menjadi target terbaik), Anda harusnya cukup aman.
Namun, ada risiko terkait yang sangat nyata. Film-film di internet akhir-akhir ini menggunakan beragam codec, dan masyarakat umum tidak mengerti apa itu codec - yang mereka tahu adalah "itu sesuatu yang kadang-kadang harus saya unduh sehingga film akan diputar". Ini adalah vektor serangan asli. Jika Anda mengunduh sesuatu dan diberi tahu "untuk melihatnya, Anda memerlukan codec dari [beberapa situs web]", maka kami sangat yakin Anda tahu apa yang Anda lakukan karena Anda dapat menginfeksi diri Anda sendiri.
Ekstensi file avi bukan jaminan bahwa file tersebut adalah file video. Anda bisa mendapatkan virus .exe dan menamainya menjadi .avi (ini membuat Anda mengunduh virus, yang setengah dari jalur untuk menginfeksi komputer Anda). Jika ada exploit terbuka pada mesin Anda yang memungkinkan virus untuk berjalan, maka Anda akan terpengaruh.
Jika Anda berpikir itu adalah malware, hentikan unduhan dan hapus saja, jangan pernah jalankan sebelum pemindaian antivirus.
-1 Ini bukan bagaimana .avi kemungkinan akan menginfeksi Anda - bahkan jika .exe diganti nama menjadi .avi, itu tidak akan dieksekusi sebagai executable ketika Anda membukanya, kecuali jika Anda cukup bodoh untuk mengubah nama menjadi .exe terlebih dahulu .
BlueRaja - Danny Pflughoeft
3
Mengalihkan virus ke mesin pengguna bukanlah bagian tersulit, melainkan bagian yang sepenuhnya sepele. Anda bisa mengganti nama .exe menjadi .jpg dan memasukkannya dalam halaman web dan itu akan dipindahkan ketika pengguna mengunjungi halaman Anda. Bagian tersulit dari infeksi adalah melakukan eksekusi kode pertama.
MatsT
2
@ BlueRaja: Saya benar-benar melihat infeksi terjadi pada komputer seorang kolega dengan file .avi, dan memperbanyaknya sendiri di VM. Dia telah mengunduh zip yang berisi beberapa file, satu dengan ekstensi AVI, dan yang lainnya dengan batch script. Membuka AVI tidak berhasil, jadi dia mencoba membuka skrip. Script memiliki kode untuk menjalankan "AVI" dari baris perintah sebagai executable, dan Anda dapat menebak apa yang terjadi selanjutnya (virus mengenkripsi semua data dalam direktori penggunanya setelah mengubah kata sandi, dan kemudian meminta $ 25 sebagai hukuman karena bertindak bodoh ).
Hippo
3
@ Kuda nil yang agak contoh buruk, karena virus yang sebenarnya - skrip dalam hal ini - datang dengan AVI tidak relevan dengan kenyataan bahwa AVI tidak dapat menginfeksi komputer Anda sendiri, mengingat sebagian besar komputer dan target yang disukai adalah terhubung ke internet, skrip dapat dengan mudah mengunduh virus dari web dan lagi, jika Anda dapat membuat seseorang menjalankan 'skrip', mengapa tidak menempatkan virus di sana? -
omeid
2
tetapi file atau ekstensi lain akan memiliki dampak yang sama jika ada.
omeid
12
Ya itu mungkin. File AVI, seperti setiap file, dapat dibuat khusus untuk memanfaatkan bug yang dikenal dalam perangkat lunak yang mengelola file-file itu.
Perangkat lunak antivirus mendeteksi pola pengetahuan dalam file, seperti kode yang dapat dieksekusi dalam file biner, atau konstruksi JavaScript tertentu di halaman HTML , yang kemungkinan adalah virus.
File AVI(Audio Video Interleave) dimaksudkan untuk berisi data audio dan video yang disisipkan. Biasanya, ini tidak boleh berisi kode yang dapat dieksekusi.
Kecuali penyerang ditentukan secara tidak biasa, sangat kecil kemungkinan AVIfile dengan data audio-video akan benar-benar mengandung virus
NAMUN ...
Sebuah AVIfile perlu decoder untuk melakukan sesuatu yang berguna. Misalnya, Anda mungkin sudah menggunakan Windows Media Player untuk memutar AVIfile untuk melihat kontennya
Jika decoder atau file-parser memiliki bug yang dapat dieksploitasi oleh penyerang, mereka akan secara cerdik menghasilkan AVIfile sedemikian rupa sehingga:
pada upaya Anda untuk membuka file-file itu (misalnya jika Anda mengklik dua kali untuk mulai memutar video) dengan AVI-parser atau decoder buggy Anda, bug-bug tersembunyi tersebut akan memicu
Akibatnya, penyerang dapat mengeksekusi kode pilihannya di komputer Anda, berpotensi membiarkan komputer Anda terinfeksi.
Berikut adalah laporan kerentanan yang menjawab dengan tepat apa yang Anda minta.
Satu-satunya jawaban nyata untuk pertanyaan ini adalah "Inilah laporan kerentanan" dalam jawaban ini. Yang lainnya hanya berspekulasi.
Alex
Hai @ Alex, saya kira Anda benar. Niat saya adalah memberi OP beberapa latar belakang. Saya setuju bahwa laporan kerentanan menjawab pertanyaan itu sendiri.
gsbabil
Mungkin aku tidak cukup jelas - hanya dimaksudkan untuk mengatakan bahwa karena laporan tersebut, jawaban Anda adalah yang salah satu yang benar-benar menjawab pertanyaan asli. +1.
Alex
8
Itu mungkin, ya, tapi sangat tidak mungkin. Anda lebih cenderung mencoba dan melihat WMV dan memuatnya secara otomatis ke URL atau meminta Anda untuk mengunduh lisensi, yang pada gilirannya akan memunculkan jendela browser yang dapat mengeksploitasi mesin Anda jika belum sepenuhnya ditambal.
Yang paling populer dari virus 'AVI' yang saya dengar adalah something.avi.exefile yang diunduh di mesin windows
yang dikonfigurasi untuk menyembunyikan ekstensi file di explorer.
Pengguna biasanya lupa bahwa fakta kemudian dan menganggap file tersebut adalah AVI.
Digabungkan dengan harapan mereka terhadap pemain terkait, klik dua kali benar-benar meluncurkan EXE.
Setelah itu, file AVI yang ditranskodekan secara aneh mengharuskan Anda untuk mengunduh yang barucodec untuk melihatnya.
Yang disebut codecbiasanya 'virus' yang sebenarnya di sini.
Saya juga pernah mendengar tentang eksploitasi buffer-overflow AVI, tetapi beberapa referensi yang bagus akan bermanfaat.
Intinya saya: biang kerok biasanya salah satu dari berikut ini daripada file AVI itu sendiri
The codecdiinstal pada sistem Anda untuk menangani AVI
Pemain sedang digunakan
Alat berbagi file yang digunakan untuk mendapatkan file AVI
.avi(atau .mkvdalam hal ini) adalah wadah dan mendukung penyertaan berbagai media - beberapa aliran audio / video, subtitle, navigasi menu seperti-DVD dll. Tidak ada yang mencegah konten yang dapat dieksekusi yang berbahaya dimasukkan juga tetapi tidak akan dijalankan kecuali dalam skenario yang dijelaskan Synetech dalam jawabannya
Meski begitu, ada satu sudut yang biasa dieksplotasi yang ditinggalkan. Dengan adanya beragam codec yang tersedia dan tidak ada batasan untuk memasukkannya dalam file kontainer, ada protokol umum untuk meminta pengguna memasang codec yang diperlukan dan itu tidak membantu bahwa pemutar media dapat dikonfigurasikan untuk secara otomatis mencoba mencari dan menginstal codec. Akhirnya codec dapat dieksekusi (minus array kecil yang berbasis plugin) dan dapat berisi kode berbahaya.
Avast Antivirus saya baru saja memberi tahu saya bahwa ada trojan yang tertanam di salah satu AVI film yang saya unduh. Ketika saya mencoba untuk karantina, katanya file itu terlalu besar dan tidak bisa dipindahkan, jadi saya harus menghapusnya.
Virus ini disebut WMA.wimad [susp]dan jelas merupakan virus ancaman sedang yang melakukan semacam pembajakan browser. Bukan sistem yang rusak, tetapi itu membuktikan bahwa Anda bisa mendapatkan virus dari file AVI.
Jika unduhan belum selesai, tunggu sebelum selesai sebelum Anda memutuskan apa yang harus dilakukan. Ketika unduhan hanya selesai sebagian, bagian file yang hilang pada dasarnya berisik dan cukup rentan untuk menghasilkan false positive ketika diperiksa untuk malware.
Seperti yang @Synetech jelaskan, mungkin menyebarkan malware melalui file video, mungkin sebelum unduhan selesai. Tapi itu mungkin bukan berarti itu mungkin . Dari pengalaman pribadi saya, peluang false positive selama unduhan yang sedang berlangsung jauh lebih tinggi.
> Peluang positif palsu selama unduhan yang sedang berlangsung jauh lebih tinggi. Saya tidak tahu tentang "banyak", tapi tentu saja mungkin karena file yang tidak lengkap mungkin memiliki banyak nol yang kebetulan berada di sebelah sedikit byte yang biasanya tidak berbahaya yang akhirnya terlihat seperti kode mesin yang buruk (pada Setidaknya sampai nol ditimpa dengan data aktual).
Synetech
2
Di sisi lain, pratinjau gambar di Windows Explorer dihasilkan oleh pemutar video pilihan Anda. Jika pemain ini adalah salah satu yang dieksploitasi virus, ada kemungkinan menangkap virus hanya dengan membuka folder file di explorer! Dalam hal ini, Anda ingin menangkap virus sebelum selesai mengunduh file. Ada virus yang menyebar seperti ini di masa lalu.
BlueRaja - Danny Pflughoeft
@Synetech: Saya tidak punya data tentang ini, tapi saya tahu setidaknya 20 orang yang mendapat alarm palsu dari unduhan torrent yang tidak lengkap. Sementara saya membaca bahwa itu mungkin, saya tahu tidak ada orang yang membuat komputernya terinfeksi oleh file video aktual.
Dennis
1
@ BlueRaja, ya, itu yang saya ingatkan tentang hal itu di atas. Namun, untuk sebagian besar file media yang umum, itu adalah Windows / WMP yang menghasilkan pratinjau, bukan program pihak ketiga (kebanyakan novis tidak memiliki FFDShow diinstal; setidaknya tidak jika mereka tidak menginstal semua yang jahat, ditinggalkan oleh Tuhan) paket mega codec).
Synetech
1
@ BlueRaja, saya tidak dapat menemukan informasi tentang itu. Bisakah Anda mencari sumber untuk itu? Saya hanya menggunakan portable, jadi saya belum pernah melihat VLC menghasilkan thumbnail. Lebih jauh, orang akan berpikir bahwa itu akan menghasilkan thumbnail untuk setiap jenis video yang dapat diputar dan dikaitkan dengan, termasuk FLV, MKV, dll. Namun tidak, maka program seperti Icaros. Bahkan, tampaknya ada rencana untuk mengimplementasikan handler pratinjau VLC, tetapi itu telah ditunda.
Synetech
2
Setelah menghabiskan waktu membantu pengguna menyelesaikan masalah malware, saya dapat bersaksi bahwa mekanisme eksploitasi yang biasa digunakan oleh scammers lebih bersifat sosial daripada teknis.
File hanya bernama * .avi.exe dan pengaturan default di windows tidak mengungkapkan ekstensi file yang umum. File yang dapat dieksekusi hanya diberi ikon file AVI. Ini mirip dengan taktik yang digunakan untuk mendistribusikan virus * .doc.exe di mana file tersebut memiliki ikon winword.
Saya juga mengamati taktik cerdik seperti nama file panjang yang digunakan dalam distribusi p2p, sehingga klien hanya menampilkan sebagian nama dalam daftar file.
Menggunakan file jelek
Jika Anda perlu menggunakan file tersebut, selalu gunakan kotak pasir yang dikonfigurasi untuk menghentikan koneksi internet keluar. Windows firewall dikonfigurasi dengan buruk untuk memungkinkan koneksi keluar secara default. Eksploitasi adalah suatu tindakan, yang seperti tindakan apa pun selalu memiliki motivasi. Biasanya, ini dilakukan untuk menyedot kata sandi atau cookie browser, melisensikan dan mentransfer konten ke sumber daya eksternal (seperti FTP) yang dimiliki oleh penyerang. Karenanya, jika Anda menggunakan alat seperti sandboxie, nonaktifkan koneksi internet keluar. Jika Anda menggunakan mesin virtual pastikan bahwa itu tidak mengandung informasi sensitif dan selalu memblokir akses internet keluar menggunakan aturan firewall.
Jika Anda tidak tahu apa yang Anda lakukan, jangan gunakan file tersebut. Aman dan jangan mengambil risiko yang tidak layak diambil.
Catatan, halaman itu tidak benar-benar menerapkan eksploit untuk menginfeksi sistem, ia hanya menyembunyikan beberapa data dalam file gambar menggunakan steganografi (dalam hal ini malware, tetapi bisa juga apa saja). Kode tidak benar-benar berjalan, itu hanya disembunyikan. Memang mencapai tujuan mendapatkan kode pada sistem target, tetapi kemudian akan membutuhkan beberapa metode lain untuk dijalankan.
Synetech
-2
File AVI tidak akan terinfeksi virus. Ketika Anda mengunduh film dari torrent, bukan AVI, jika film itu dalam paket RAR atau itu sebagai file EXE, maka pasti ada kemungkinan virus di dalamnya.
Beberapa dari mereka meminta Anda untuk mengunduh codec tambahan dari beberapa situs web untuk menonton film. Ini yang dicurigai. Tetapi jika itu AVI, maka Anda pasti dapat mencoba memainkannya di pemutar video Anda. Tidak ada yang akan terjadi.
dapatkah hanya menghapus file yang memberi Anda virus?
user3183
@ user3183, mungkin. File tersebut dapat dirancang untuk mengeksploitasi kerentanan di WinRAR / 7-zip / etc.
Synetech
@Synetech: kemungkinan itu sama dengan kemungkinan mengeksploitasi kerentanan di media player Anda, yang artinya jauh lebih kecil daripada eksploitasi .avi.exe.
Lie Ryan
1
@LyanRyan, tepatnya. Ada cukup berbagai program arsip dan versi yang sama sehingga luas permukaan target terlalu besar. Untuk kejayaan-anjing, mungkin sepadan dengan usaha, tetapi untuk peretas bisnis, lebih baik untuk menargetkan OS.
Synetech
-3
File AVI tidak dapat memiliki virus jika mereka adalah file video. Saat mengunduh peramban Anda menyimpan unduhan dalam formatnya sendiri, itulah sebabnya antivirus mendeteksi itu sebagai virus. Saat mengunduh file AVI pastikan setelah mengunduh file dijalankan dalam pemutar video jika itu file yang tidak valid maka tidak akan diputar dan tidak ada harga untuk menebaknya akan menjadi virus.
Jika Anda mencoba untuk mengklik dua kali dan menjalankannya secara langsung jika ada sedikit kemungkinan virus maka itu akan keluar. Ambil tindakan pencegahan dan Anda tidak memerlukan perangkat lunak antivirus.
Mereka tidak menggunakan browser; itu adalah klien torrent.
Synetech
yup sama halnya dengan file torrent juga khususnya file torrent adalah target bagi perusahaan
Sreejit
1
sebagian besar klien torrent tidak menyimpan file yang diunduh dalam format yang berbeda selama unduhan (meskipun mereka dapat menggunakan nama file / ekstensi yang berbeda).
Synetech
ya saya juga mengatakan perluasan maaf untuk tidak memasukkan itu dan antivirus tidak melihat
perluasan
Oh baiklah. Program anti-malware juga dapat diatur untuk memindai terlepas dari ekstensi, tetapi itu cenderung memperlambat sistem. :-(
Jawaban:
TL; DR
Sebuah
.avi
file video, dan karena itu tidak dapat dieksekusi, sehingga sistem operasi dapat / tidak akan menjalankan file tersebut. Dengan demikian, itu tidak bisa menjadi virus dalam dirinya sendiri, tetapi memang bisa mengandung virus.Sejarah
Di masa lalu, hanya file yang dapat dieksekusi (yaitu, "runnable") akan menjadi virus. Kemudian, cacing internet mulai menggunakan rekayasa sosial untuk menipu orang agar menjalankan virus. Trik yang populer adalah mengubah nama executable untuk memasukkan ekstensi lain seperti
.avi
atau.jpg
untuk menipu pengguna agar berpikir itu adalah file media dan menjalankannya. Misalnya, klien email hanya dapat menampilkan selusin karakter lampiran pertama, jadi dengan memberikan file ekstensi palsu, lalu menambahkannya dengan spasi seperti dalam"FunnyAnimals.avi .exe"
, pengguna melihat apa yang tampak seperti video dan menjalankannya dan terinfeksi.Ini bukan hanya rekayasa sosial (menipu pengguna), tetapi juga eksploitasi awal . Itu mengeksploitasi tampilan terbatas nama file klien email untuk melakukan triknya.
Teknis
Kemudian, eksploitasi yang lebih maju muncul. Penulis malware akan membongkar sebuah program untuk memeriksa kode sumbernya dan mencari bagian-bagian tertentu yang memiliki data yang buruk dan penanganan kesalahan yang dapat mereka eksploitasi. Instruksi ini sering berupa input pengguna. Sebagai contoh, kotak dialog login pada OS atau situs web mungkin tidak melakukan pengecekan kesalahan atau validasi data, dan dengan demikian menganggap / mengharapkan pengguna untuk memasukkan hanya data yang sesuai. Jika Anda memasukkan data yang tidak diharapkan (atau dalam kasus sebagian besar eksploit, terlalu banyak data), maka input akan berakhir di luar memori yang ditugaskan untuk menyimpan data. Biasanya, data pengguna hanya boleh dimasukkan dalam variabel, tetapi dengan mengeksploitasi pemeriksaan kesalahan dan manajemen memori yang buruk, dimungkinkan untuk memasukkannya ke dalam bagian memori yang dapat dieksekusi. Metode umum, dan terkenal adalahbuffer-overflow yang menempatkan lebih banyak data dalam variabel daripada yang bisa dipegang, sehingga menimpa bagian lain dari memori. Dengan secara cerdik menyusun input, dimungkinkan untuk menyebabkan kode (instruksi) overrun dan kemudian mentransfer kontrol ke kode itu. Pada titik itu, langit biasanya menjadi batas untuk apa yang dapat dilakukan setelah malware memiliki kendali.
File media sama. Mereka dapat dibuat sehingga mengandung sedikit kode mesin dan mengeksploitasi media-player sehingga kode mesin akhirnya berjalan. Misalnya, dimungkinkan untuk memasukkan terlalu banyak data ke dalam meta-data file media sehingga ketika pemain mencoba untuk membuka file dan membacanya, itu meluap variabel dan menyebabkan beberapa kode untuk dijalankan. Bahkan data aktual secara teoritis dapat dibuat untuk mengeksploitasi program.
Yang lebih buruk dengan file media adalah bahwa tidak seperti login yang jelas-jelas buruk, bahkan untuk orang awam (misalnya,
username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)
file media dapat dibuat sehingga benar-benar berisi media yang tepat dan sah yang bahkan tidak korup sehingga terlihat benar-benar sah dan benar-benar tidak terdeteksi sampai efek infeksi terjadi. Steganografi (secara harfiah “tulisan tertutup”) biasanya digunakan untuk menyembunyikan data dalam data lain, tetapi ini pada dasarnya adalah hal yang sama karena malware akan disembunyikan dalam apa yang tampak seperti media yang sah.Jadi ya, file media (dan dalam hal ini, file apa saja ) dapat mengandung virus dengan mengeksploitasi kerentanan dalam program yang membuka / melihat file. Masalahnya adalah Anda seringkali tidak perlu membuka atau melihat file yang akan terinfeksi. Sebagian besar tipe file dapat dipratinjau atau meta-datanya dibaca tanpa sengaja membukanya. Misalnya, cukup memilih file media di Windows Explorer akan secara otomatis membaca meta-data (dimensi, panjang, dll.) Dari file. Ini berpotensi menjadi vektor serangan jika penulis malware menemukan kerentanan dalam fungsi pratinjau / meta-data Explorer dan membuat file media yang mengeksploitasinya.
Untungnya, eksploitasi rapuh. Mereka biasanya hanya mempengaruhi satu media player atau yang lain sebagai lawan semua pemain, dan bahkan kemudian, mereka tidak dijamin bekerja untuk versi berbeda dari program yang sama (itu sebabnya sistem operasi mengeluarkan pembaruan untuk menambal kerentanan). Karena itu, penulis malware biasanya hanya bersusah payah menghabiskan waktu untuk memecahkan sistem / program dalam penggunaan luas atau bernilai tinggi (misalnya, Windows, sistem bank, dll.) Ini terutama benar karena peretasan telah mendapatkan popularitas sebagai bisnis dengan penjahat. berusaha mendapatkan uang dan bukan lagi sekadar domain para kutu buku yang berusaha mendapatkan kejayaan.
Aplikasi
Jika file video Anda yang terinfeksi, maka akan cenderung hanya menginfeksi Anda jika Anda kebetulan menggunakan media player (s) yang dirancang khusus untuk mengeksploitasi. Jika tidak, maka itu bisa crash, gagal membuka, bermain dengan korupsi, atau bahkan bermain dengan baik (yang merupakan skenario terburuk karena kemudian ditandai sebagai oke dan akan menyebar ke orang lain yang mungkin terinfeksi).
Program anti-malware biasanya menggunakan tanda tangan dan / atau heuristik untuk mendeteksi malware. Tanda tangan mencari pola byte dalam file yang biasanya sesuai dengan instruksi pada virus terkenal. Masalahnya adalah karena virus polimorfik yang dapat berubah setiap kali mereka bereproduksi, tanda tangan menjadi kurang efektif. Heuristik mengamati pola perilaku seperti mengedit file tertentu atau membaca data tertentu. Ini biasanya hanya berlaku setelah malware sudah berjalan karena analisis statis (memeriksa kode tanpa menjalankannya) dapat menjadi sangat kompleks berkat teknik penggelapan dan penghindaran malware.
Dalam kedua kasus, program anti-malware dapat, dan memang, melaporkan false-positive.
Kesimpulan
Jelas langkah paling penting dalam keamanan komputasi adalah mengambil file Anda dari sumber tepercaya. Jika torrent yang Anda gunakan berasal dari suatu tempat yang Anda percayai, maka mungkin torrent itu boleh saja. Jika tidak, maka Anda mungkin ingin berpikir dua kali tentang hal itu, (terutama karena ada kelompok anti-pembajakan yang dengan sengaja melepaskan torrent berisi pemalsuan atau bahkan malware).
sumber
o.O
Saya tidak akan mengatakan itu tidak mungkin, tetapi itu akan sulit. Penulis virus harus membuat AVI untuk memicu bug di pemutar media Anda, dan kemudian mengeksploitasinya untuk menjalankan kode pada sistem operasi Anda - tanpa mengetahui pemutar media atau OS apa yang Anda jalankan. Jika Anda memperbarui perangkat lunak Anda, dan / atau jika Anda menjalankan sesuatu selain Windows Media Player atau iTunes (sebagai platform terbesar, mereka akan menjadi target terbaik), Anda harusnya cukup aman.
Namun, ada risiko terkait yang sangat nyata. Film-film di internet akhir-akhir ini menggunakan beragam codec, dan masyarakat umum tidak mengerti apa itu codec - yang mereka tahu adalah "itu sesuatu yang kadang-kadang harus saya unduh sehingga film akan diputar". Ini adalah vektor serangan asli. Jika Anda mengunduh sesuatu dan diberi tahu "untuk melihatnya, Anda memerlukan codec dari [beberapa situs web]", maka kami sangat yakin Anda tahu apa yang Anda lakukan karena Anda dapat menginfeksi diri Anda sendiri.
sumber
Ekstensi file avi bukan jaminan bahwa file tersebut adalah file video. Anda bisa mendapatkan virus .exe dan menamainya menjadi .avi (ini membuat Anda mengunduh virus, yang setengah dari jalur untuk menginfeksi komputer Anda). Jika ada exploit terbuka pada mesin Anda yang memungkinkan virus untuk berjalan, maka Anda akan terpengaruh.
Jika Anda berpikir itu adalah malware, hentikan unduhan dan hapus saja, jangan pernah jalankan sebelum pemindaian antivirus.
sumber
Ya itu mungkin. File AVI, seperti setiap file, dapat dibuat khusus untuk memanfaatkan bug yang dikenal dalam perangkat lunak yang mengelola file-file itu.
Perangkat lunak antivirus mendeteksi pola pengetahuan dalam file, seperti kode yang dapat dieksekusi dalam file biner, atau konstruksi JavaScript tertentu di halaman HTML , yang kemungkinan adalah virus.
sumber
Jawaban cepat: YA .
Jawaban yang sedikit lebih panjang:
AVI
(Audio Video Interleave) dimaksudkan untuk berisi data audio dan video yang disisipkan. Biasanya, ini tidak boleh berisi kode yang dapat dieksekusi.AVI
file dengan data audio-video akan benar-benar mengandung virusNAMUN ...
AVI
file perlu decoder untuk melakukan sesuatu yang berguna. Misalnya, Anda mungkin sudah menggunakan Windows Media Player untuk memutarAVI
file untuk melihat kontennyaAVI
file sedemikian rupa sehingga:sumber
Itu mungkin, ya, tapi sangat tidak mungkin. Anda lebih cenderung mencoba dan melihat WMV dan memuatnya secara otomatis ke URL atau meminta Anda untuk mengunduh lisensi, yang pada gilirannya akan memunculkan jendela browser yang dapat mengeksploitasi mesin Anda jika belum sepenuhnya ditambal.
sumber
Yang paling populer dari virus 'AVI' yang saya dengar adalah
something.avi.exe
file yang diunduh di mesin windowsyang dikonfigurasi untuk menyembunyikan ekstensi file di explorer.
Pengguna biasanya lupa bahwa fakta kemudian dan menganggap file tersebut adalah AVI.
Digabungkan dengan harapan mereka terhadap pemain terkait, klik dua kali benar-benar meluncurkan EXE.
Setelah itu, file AVI yang ditranskodekan secara aneh mengharuskan Anda untuk mengunduh yang baru
codec
untuk melihatnya.Yang disebut
codec
biasanya 'virus' yang sebenarnya di sini.Saya juga pernah mendengar tentang eksploitasi buffer-overflow AVI, tetapi beberapa referensi yang bagus akan bermanfaat.
Intinya saya: biang kerok biasanya salah satu dari berikut ini daripada file AVI itu sendiri
codec
diinstal pada sistem Anda untuk menangani AVIBacaan pencegahan malware pendek: P2P atau File Sharing
sumber
.avi
(atau.mkv
dalam hal ini) adalah wadah dan mendukung penyertaan berbagai media - beberapa aliran audio / video, subtitle, navigasi menu seperti-DVD dll. Tidak ada yang mencegah konten yang dapat dieksekusi yang berbahaya dimasukkan juga tetapi tidak akan dijalankan kecuali dalam skenario yang dijelaskan Synetech dalam jawabannyaMeski begitu, ada satu sudut yang biasa dieksplotasi yang ditinggalkan. Dengan adanya beragam codec yang tersedia dan tidak ada batasan untuk memasukkannya dalam file kontainer, ada protokol umum untuk meminta pengguna memasang codec yang diperlukan dan itu tidak membantu bahwa pemutar media dapat dikonfigurasikan untuk secara otomatis mencoba mencari dan menginstal codec. Akhirnya codec dapat dieksekusi (minus array kecil yang berbasis plugin) dan dapat berisi kode berbahaya.
sumber
Secara teknis, bukan dari mengunduh file. Tapi begitu file dibuka, itu adalah permainan yang adil tergantung pada pemain dan implementasi codec.
sumber
Avast Antivirus saya baru saja memberi tahu saya bahwa ada trojan yang tertanam di salah satu AVI film yang saya unduh. Ketika saya mencoba untuk karantina, katanya file itu terlalu besar dan tidak bisa dipindahkan, jadi saya harus menghapusnya.
Virus ini disebut
WMA.wimad [susp]
dan jelas merupakan virus ancaman sedang yang melakukan semacam pembajakan browser. Bukan sistem yang rusak, tetapi itu membuktikan bahwa Anda bisa mendapatkan virus dari file AVI.sumber
Jika unduhan belum selesai, tunggu sebelum selesai sebelum Anda memutuskan apa yang harus dilakukan. Ketika unduhan hanya selesai sebagian, bagian file yang hilang pada dasarnya berisik dan cukup rentan untuk menghasilkan false positive ketika diperiksa untuk malware.
Seperti yang @Synetech jelaskan, mungkin menyebarkan malware melalui file video, mungkin sebelum unduhan selesai. Tapi itu mungkin bukan berarti itu mungkin . Dari pengalaman pribadi saya, peluang false positive selama unduhan yang sedang berlangsung jauh lebih tinggi.
sumber
Setelah menghabiskan waktu membantu pengguna menyelesaikan masalah malware, saya dapat bersaksi bahwa mekanisme eksploitasi yang biasa digunakan oleh scammers lebih bersifat sosial daripada teknis.
File hanya bernama * .avi.exe dan pengaturan default di windows tidak mengungkapkan ekstensi file yang umum. File yang dapat dieksekusi hanya diberi ikon file AVI. Ini mirip dengan taktik yang digunakan untuk mendistribusikan virus * .doc.exe di mana file tersebut memiliki ikon winword.
Saya juga mengamati taktik cerdik seperti nama file panjang yang digunakan dalam distribusi p2p, sehingga klien hanya menampilkan sebagian nama dalam daftar file.
Menggunakan file jelek
Jika Anda perlu menggunakan file tersebut, selalu gunakan kotak pasir yang dikonfigurasi untuk menghentikan koneksi internet keluar. Windows firewall dikonfigurasi dengan buruk untuk memungkinkan koneksi keluar secara default. Eksploitasi adalah suatu tindakan, yang seperti tindakan apa pun selalu memiliki motivasi. Biasanya, ini dilakukan untuk menyedot kata sandi atau cookie browser, melisensikan dan mentransfer konten ke sumber daya eksternal (seperti FTP) yang dimiliki oleh penyerang. Karenanya, jika Anda menggunakan alat seperti sandboxie, nonaktifkan koneksi internet keluar. Jika Anda menggunakan mesin virtual pastikan bahwa itu tidak mengandung informasi sensitif dan selalu memblokir akses internet keluar menggunakan aturan firewall.
Jika Anda tidak tahu apa yang Anda lakukan, jangan gunakan file tersebut. Aman dan jangan mengambil risiko yang tidak layak diambil.
sumber
Jawaban singkat, ya. Jawaban yang lebih panjang mengikuti tutorial dasar Solusi Tropical PC: Cara menyembunyikan virus! dan buat satu untuk dirimu sendiri.
sumber
File AVI tidak akan terinfeksi virus. Ketika Anda mengunduh film dari torrent, bukan AVI, jika film itu dalam paket RAR atau itu sebagai file EXE, maka pasti ada kemungkinan virus di dalamnya.
Beberapa dari mereka meminta Anda untuk mengunduh codec tambahan dari beberapa situs web untuk menonton film. Ini yang dicurigai. Tetapi jika itu AVI, maka Anda pasti dapat mencoba memainkannya di pemutar video Anda. Tidak ada yang akan terjadi.
sumber
File AVI tidak dapat memiliki virus jika mereka adalah file video. Saat mengunduh peramban Anda menyimpan unduhan dalam formatnya sendiri, itulah sebabnya antivirus mendeteksi itu sebagai virus. Saat mengunduh file AVI pastikan setelah mengunduh file dijalankan dalam pemutar video jika itu file yang tidak valid maka tidak akan diputar dan tidak ada harga untuk menebaknya akan menjadi virus.
Jika Anda mencoba untuk mengklik dua kali dan menjalankannya secara langsung jika ada sedikit kemungkinan virus maka itu akan keluar. Ambil tindakan pencegahan dan Anda tidak memerlukan perangkat lunak antivirus.
sumber
:-(