Saya mengunduh file AVI melalui torrent, tetapi antivirus saya mendeteksi sesuatu. Apakah mungkin file AVI mengandung virus?

Ini cukup aneh karena torrent memiliki banyak ulasan positif.

TL; DR

Sebuah .avifile video, dan karena itu tidak dapat dieksekusi, sehingga sistem operasi dapat / tidak akan menjalankan file tersebut. Dengan demikian, itu tidak bisa menjadi virus dalam dirinya sendiri, tetapi memang bisa mengandung virus.

Sejarah

Di masa lalu, hanya file yang dapat dieksekusi (yaitu, "runnable") akan menjadi virus. Kemudian, cacing internet mulai menggunakan rekayasa sosial untuk menipu orang agar menjalankan virus. Trik yang populer adalah mengubah nama executable untuk memasukkan ekstensi lain seperti .aviatau .jpguntuk menipu pengguna agar berpikir itu adalah file media dan menjalankannya. Misalnya, klien email hanya dapat menampilkan selusin karakter lampiran pertama, jadi dengan memberikan file ekstensi palsu, lalu menambahkannya dengan spasi seperti dalam "FunnyAnimals.avi              .exe", pengguna melihat apa yang tampak seperti video dan menjalankannya dan terinfeksi.

Ini bukan hanya rekayasa sosial (menipu pengguna), tetapi juga eksploitasi awal . Itu mengeksploitasi tampilan terbatas nama file klien email untuk melakukan triknya.

Teknis

Kemudian, eksploitasi yang lebih maju muncul. Penulis malware akan membongkar sebuah program untuk memeriksa kode sumbernya dan mencari bagian-bagian tertentu yang memiliki data yang buruk dan penanganan kesalahan yang dapat mereka eksploitasi. Instruksi ini sering berupa input pengguna. Sebagai contoh, kotak dialog login pada OS atau situs web mungkin tidak melakukan pengecekan kesalahan atau validasi data, dan dengan demikian menganggap / mengharapkan pengguna untuk memasukkan hanya data yang sesuai. Jika Anda memasukkan data yang tidak diharapkan (atau dalam kasus sebagian besar eksploit, terlalu banyak data), maka input akan berakhir di luar memori yang ditugaskan untuk menyimpan data. Biasanya, data pengguna hanya boleh dimasukkan dalam variabel, tetapi dengan mengeksploitasi pemeriksaan kesalahan dan manajemen memori yang buruk, dimungkinkan untuk memasukkannya ke dalam bagian memori yang dapat dieksekusi. Metode umum, dan terkenal adalahbuffer-overflow yang menempatkan lebih banyak data dalam variabel daripada yang bisa dipegang, sehingga menimpa bagian lain dari memori. Dengan secara cerdik menyusun input, dimungkinkan untuk menyebabkan kode (instruksi) overrun dan kemudian mentransfer kontrol ke kode itu. Pada titik itu, langit biasanya menjadi batas untuk apa yang dapat dilakukan setelah malware memiliki kendali.

File media sama. Mereka dapat dibuat sehingga mengandung sedikit kode mesin dan mengeksploitasi media-player sehingga kode mesin akhirnya berjalan. Misalnya, dimungkinkan untuk memasukkan terlalu banyak data ke dalam meta-data file media sehingga ketika pemain mencoba untuk membuka file dan membacanya, itu meluap variabel dan menyebabkan beberapa kode untuk dijalankan. Bahkan data aktual secara teoritis dapat dibuat untuk mengeksploitasi program.

Yang lebih buruk dengan file media adalah bahwa tidak seperti login yang jelas-jelas buruk, bahkan untuk orang awam (misalnya, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)file media dapat dibuat sehingga benar-benar berisi media yang tepat dan sah yang bahkan tidak korup sehingga terlihat benar-benar sah dan benar-benar tidak terdeteksi sampai efek infeksi terjadi. Steganografi (secara harfiah “tulisan tertutup”) biasanya digunakan untuk menyembunyikan data dalam data lain, tetapi ini pada dasarnya adalah hal yang sama karena malware akan disembunyikan dalam apa yang tampak seperti media yang sah.

Jadi ya, file media (dan dalam hal ini, file apa saja ) dapat mengandung virus dengan mengeksploitasi kerentanan dalam program yang membuka / melihat file. Masalahnya adalah Anda seringkali tidak perlu membuka atau melihat file yang akan terinfeksi. Sebagian besar tipe file dapat dipratinjau atau meta-datanya dibaca tanpa sengaja membukanya. Misalnya, cukup memilih file media di Windows Explorer akan secara otomatis membaca meta-data (dimensi, panjang, dll.) Dari file. Ini berpotensi menjadi vektor serangan jika penulis malware menemukan kerentanan dalam fungsi pratinjau / meta-data Explorer dan membuat file media yang mengeksploitasinya.

Untungnya, eksploitasi rapuh. Mereka biasanya hanya mempengaruhi satu media player atau yang lain sebagai lawan semua pemain, dan bahkan kemudian, mereka tidak dijamin bekerja untuk versi berbeda dari program yang sama (itu sebabnya sistem operasi mengeluarkan pembaruan untuk menambal kerentanan). Karena itu, penulis malware biasanya hanya bersusah payah menghabiskan waktu untuk memecahkan sistem / program dalam penggunaan luas atau bernilai tinggi (misalnya, Windows, sistem bank, dll.) Ini terutama benar karena peretasan telah mendapatkan popularitas sebagai bisnis dengan penjahat. berusaha mendapatkan uang dan bukan lagi sekadar domain para kutu buku yang berusaha mendapatkan kejayaan.

Aplikasi

Jika file video Anda yang terinfeksi, maka akan cenderung hanya menginfeksi Anda jika Anda kebetulan menggunakan media player (s) yang dirancang khusus untuk mengeksploitasi. Jika tidak, maka itu bisa crash, gagal membuka, bermain dengan korupsi, atau bahkan bermain dengan baik (yang merupakan skenario terburuk karena kemudian ditandai sebagai oke dan akan menyebar ke orang lain yang mungkin terinfeksi).

Program anti-malware biasanya menggunakan tanda tangan dan / atau heuristik untuk mendeteksi malware. Tanda tangan mencari pola byte dalam file yang biasanya sesuai dengan instruksi pada virus terkenal. Masalahnya adalah karena virus polimorfik yang dapat berubah setiap kali mereka bereproduksi, tanda tangan menjadi kurang efektif. Heuristik mengamati pola perilaku seperti mengedit file tertentu atau membaca data tertentu. Ini biasanya hanya berlaku setelah malware sudah berjalan karena analisis statis (memeriksa kode tanpa menjalankannya) dapat menjadi sangat kompleks berkat teknik penggelapan dan penghindaran malware.

Dalam kedua kasus, program anti-malware dapat, dan memang, melaporkan false-positive.

Kesimpulan

Jelas langkah paling penting dalam keamanan komputasi adalah mengambil file Anda dari sumber tepercaya. Jika torrent yang Anda gunakan berasal dari suatu tempat yang Anda percayai, maka mungkin torrent itu boleh saja. Jika tidak, maka Anda mungkin ingin berpikir dua kali tentang hal itu, (terutama karena ada kelompok anti-pembajakan yang dengan sengaja melepaskan torrent berisi pemalsuan atau bahkan malware).

Saya tidak akan mengatakan itu tidak mungkin, tetapi itu akan sulit. Penulis virus harus membuat AVI untuk memicu bug di pemutar media Anda, dan kemudian mengeksploitasinya untuk menjalankan kode pada sistem operasi Anda - tanpa mengetahui pemutar media atau OS apa yang Anda jalankan. Jika Anda memperbarui perangkat lunak Anda, dan / atau jika Anda menjalankan sesuatu selain Windows Media Player atau iTunes (sebagai platform terbesar, mereka akan menjadi target terbaik), Anda harusnya cukup aman.

Namun, ada risiko terkait yang sangat nyata. Film-film di internet akhir-akhir ini menggunakan beragam codec, dan masyarakat umum tidak mengerti apa itu codec - yang mereka tahu adalah "itu sesuatu yang kadang-kadang harus saya unduh sehingga film akan diputar". Ini adalah vektor serangan asli. Jika Anda mengunduh sesuatu dan diberi tahu "untuk melihatnya, Anda memerlukan codec dari [beberapa situs web]", maka kami sangat yakin Anda tahu apa yang Anda lakukan karena Anda dapat menginfeksi diri Anda sendiri.

Ekstensi file avi bukan jaminan bahwa file tersebut adalah file video. Anda bisa mendapatkan virus .exe dan menamainya menjadi .avi (ini membuat Anda mengunduh virus, yang setengah dari jalur untuk menginfeksi komputer Anda). Jika ada exploit terbuka pada mesin Anda yang memungkinkan virus untuk berjalan, maka Anda akan terpengaruh.

Jika Anda berpikir itu adalah malware, hentikan unduhan dan hapus saja, jangan pernah jalankan sebelum pemindaian antivirus.

Ya itu mungkin. File AVI, seperti setiap file, dapat dibuat khusus untuk memanfaatkan bug yang dikenal dalam perangkat lunak yang mengelola file-file itu.

Perangkat lunak antivirus mendeteksi pola pengetahuan dalam file, seperti kode yang dapat dieksekusi dalam file biner, atau konstruksi JavaScript tertentu di halaman HTML , yang kemungkinan adalah virus.

Jawaban cepat: YA .

Jawaban yang sedikit lebih panjang:

• File adalah wadah untuk berbagai jenis data.
• File AVI(Audio Video Interleave) dimaksudkan untuk berisi data audio dan video yang disisipkan. Biasanya, ini tidak boleh berisi kode yang dapat dieksekusi.
• Kecuali penyerang ditentukan secara tidak biasa, sangat kecil kemungkinan AVIfile dengan data audio-video akan benar-benar mengandung virus

NAMUN ...

• Sebuah AVIfile perlu decoder untuk melakukan sesuatu yang berguna. Misalnya, Anda mungkin sudah menggunakan Windows Media Player untuk memutar AVIfile untuk melihat kontennya
• Jika decoder atau file-parser memiliki bug yang dapat dieksploitasi oleh penyerang, mereka akan secara cerdik menghasilkan AVIfile sedemikian rupa sehingga:
  • pada upaya Anda untuk membuka file-file itu (misalnya jika Anda mengklik dua kali untuk mulai memutar video) dengan AVI-parser atau decoder buggy Anda, bug-bug tersembunyi tersebut akan memicu
  • Akibatnya, penyerang dapat mengeksekusi kode pilihannya di komputer Anda, berpotensi membiarkan komputer Anda terinfeksi.
  • Berikut adalah laporan kerentanan yang menjawab dengan tepat apa yang Anda minta.

Itu mungkin, ya, tapi sangat tidak mungkin. Anda lebih cenderung mencoba dan melihat WMV dan memuatnya secara otomatis ke URL atau meminta Anda untuk mengunduh lisensi, yang pada gilirannya akan memunculkan jendela browser yang dapat mengeksploitasi mesin Anda jika belum sepenuhnya ditambal.

Yang paling populer dari virus 'AVI' yang saya dengar adalah
something.avi.exefile yang diunduh di mesin windows
yang dikonfigurasi untuk menyembunyikan ekstensi file di explorer.

Pengguna biasanya lupa bahwa fakta kemudian dan menganggap file tersebut adalah AVI.
Digabungkan dengan harapan mereka terhadap pemain terkait, klik dua kali benar-benar meluncurkan EXE.

Setelah itu, file AVI yang ditranskodekan secara aneh mengharuskan Anda untuk mengunduh yang baru codec untuk melihatnya.
Yang disebut codecbiasanya 'virus' yang sebenarnya di sini.

Saya juga pernah mendengar tentang eksploitasi buffer-overflow AVI, tetapi beberapa referensi yang bagus akan bermanfaat.

Intinya saya: biang kerok biasanya salah satu dari berikut ini daripada file AVI itu sendiri

• The codecdiinstal pada sistem Anda untuk menangani AVI
• Pemain sedang digunakan
• Alat berbagi file yang digunakan untuk mendapatkan file AVI

Bacaan pencegahan malware pendek: P2P atau File Sharing

.avi(atau .mkvdalam hal ini) adalah wadah dan mendukung penyertaan berbagai media - beberapa aliran audio / video, subtitle, navigasi menu seperti-DVD dll. Tidak ada yang mencegah konten yang dapat dieksekusi yang berbahaya dimasukkan juga tetapi tidak akan dijalankan kecuali dalam skenario yang dijelaskan Synetech dalam jawabannya

Meski begitu, ada satu sudut yang biasa dieksplotasi yang ditinggalkan. Dengan adanya beragam codec yang tersedia dan tidak ada batasan untuk memasukkannya dalam file kontainer, ada protokol umum untuk meminta pengguna memasang codec yang diperlukan dan itu tidak membantu bahwa pemutar media dapat dikonfigurasikan untuk secara otomatis mencoba mencari dan menginstal codec. Akhirnya codec dapat dieksekusi (minus array kecil yang berbasis plugin) dan dapat berisi kode berbahaya.

Secara teknis, bukan dari mengunduh file. Tapi begitu file dibuka, itu adalah permainan yang adil tergantung pada pemain dan implementasi codec.

Avast Antivirus saya baru saja memberi tahu saya bahwa ada trojan yang tertanam di salah satu AVI film yang saya unduh. Ketika saya mencoba untuk karantina, katanya file itu terlalu besar dan tidak bisa dipindahkan, jadi saya harus menghapusnya.

Virus ini disebut WMA.wimad [susp]dan jelas merupakan virus ancaman sedang yang melakukan semacam pembajakan browser. Bukan sistem yang rusak, tetapi itu membuktikan bahwa Anda bisa mendapatkan virus dari file AVI.

Jika unduhan belum selesai, tunggu sebelum selesai sebelum Anda memutuskan apa yang harus dilakukan. Ketika unduhan hanya selesai sebagian, bagian file yang hilang pada dasarnya berisik dan cukup rentan untuk menghasilkan false positive ketika diperiksa untuk malware.

Seperti yang @Synetech jelaskan, mungkin menyebarkan malware melalui file video, mungkin sebelum unduhan selesai. Tapi itu mungkin bukan berarti itu mungkin . Dari pengalaman pribadi saya, peluang false positive selama unduhan yang sedang berlangsung jauh lebih tinggi.

Setelah menghabiskan waktu membantu pengguna menyelesaikan masalah malware, saya dapat bersaksi bahwa mekanisme eksploitasi yang biasa digunakan oleh scammers lebih bersifat sosial daripada teknis.

File hanya bernama * .avi.exe dan pengaturan default di windows tidak mengungkapkan ekstensi file yang umum. File yang dapat dieksekusi hanya diberi ikon file AVI. Ini mirip dengan taktik yang digunakan untuk mendistribusikan virus * .doc.exe di mana file tersebut memiliki ikon winword.

Saya juga mengamati taktik cerdik seperti nama file panjang yang digunakan dalam distribusi p2p, sehingga klien hanya menampilkan sebagian nama dalam daftar file.

Menggunakan file jelek

Jika Anda perlu menggunakan file tersebut, selalu gunakan kotak pasir yang dikonfigurasi untuk menghentikan koneksi internet keluar. Windows firewall dikonfigurasi dengan buruk untuk memungkinkan koneksi keluar secara default. Eksploitasi adalah suatu tindakan, yang seperti tindakan apa pun selalu memiliki motivasi. Biasanya, ini dilakukan untuk menyedot kata sandi atau cookie browser, melisensikan dan mentransfer konten ke sumber daya eksternal (seperti FTP) yang dimiliki oleh penyerang. Karenanya, jika Anda menggunakan alat seperti sandboxie, nonaktifkan koneksi internet keluar. Jika Anda menggunakan mesin virtual pastikan bahwa itu tidak mengandung informasi sensitif dan selalu memblokir akses internet keluar menggunakan aturan firewall.

Jika Anda tidak tahu apa yang Anda lakukan, jangan gunakan file tersebut. Aman dan jangan mengambil risiko yang tidak layak diambil.

Jawaban singkat, ya. Jawaban yang lebih panjang mengikuti tutorial dasar Solusi Tropical PC: Cara menyembunyikan virus! dan buat satu untuk dirimu sendiri.

File AVI tidak akan terinfeksi virus. Ketika Anda mengunduh film dari torrent, bukan AVI, jika film itu dalam paket RAR atau itu sebagai file EXE, maka pasti ada kemungkinan virus di dalamnya.

Beberapa dari mereka meminta Anda untuk mengunduh codec tambahan dari beberapa situs web untuk menonton film. Ini yang dicurigai. Tetapi jika itu AVI, maka Anda pasti dapat mencoba memainkannya di pemutar video Anda. Tidak ada yang akan terjadi.

File AVI tidak dapat memiliki virus jika mereka adalah file video. Saat mengunduh peramban Anda menyimpan unduhan dalam formatnya sendiri, itulah sebabnya antivirus mendeteksi itu sebagai virus. Saat mengunduh file AVI pastikan setelah mengunduh file dijalankan dalam pemutar video jika itu file yang tidak valid maka tidak akan diputar dan tidak ada harga untuk menebaknya akan menjadi virus.

Jika Anda mencoba untuk mengklik dua kali dan menjalankannya secara langsung jika ada sedikit kemungkinan virus maka itu akan keluar. Ambil tindakan pencegahan dan Anda tidak memerlukan perangkat lunak antivirus.