Je télécharge un fichier AVI via un torrent, mais mon anti-virus détecte quelque chose. Est-il possible que le fichier AVI contient un virus?

C'est assez étrange car le torrent a de nombreuses critiques positives.

TL; DR

Un .avifichier est une vidéo, et est donc pas exécutable, de sorte que le système d'exploitation peut / ne sera pas exécuter le fichier. En tant que tel, il ne peut pas être un virus à part entière, mais il peut en effet contenir un virus.

Histoire

Dans le passé, seuls les fichiers exécutables (c'est-à-dire «exécutables») étaient des virus. Plus tard, les vers Internet ont commencé à utiliser l'ingénierie sociale pour inciter les gens à exécuter des virus. Une astuce répandue consisterait à renommer un fichier exécutable afin d’y inclure d’autres extensions, .aviou .jpgpour inciter l’utilisateur à penser qu’il s’agit d’un fichier multimédia et à l’exécuter. Par exemple, un client de messagerie peut uniquement afficher la première douzaine de caractères de pièces jointes. Ainsi, en attribuant une fausse extension à un fichier, puis en le complétant avec des espaces "FunnyAnimals.avi              .exe", l'utilisateur voit ce qui ressemble à une vidéo et l'exécute, puis est infecté.

Ce n’était pas seulement de l’ingénierie sociale (en trompant l’utilisateur), mais aussi un exploit précoce . Il a exploité l'affichage limité des noms de fichiers des clients de messagerie pour réussir son tour.

Technique

Plus tard, des exploits plus avancés sont venus. Les auteurs de logiciels malveillants désassembleraient un programme pour examiner son code source et rechercheraient certaines parties présentant une mauvaise gestion des données et des erreurs qu’elles pourraient exploiter. Ces instructions prennent souvent la forme d'une sorte de saisie de l'utilisateur. Par exemple, une boîte de dialogue de connexion sur un système d'exploitation ou un site Web peut ne pas effectuer de vérification des erreurs ou de validation des données, et suppose donc / attend de l'utilisateur qu'il entre uniquement les données appropriées. Si vous saisissez ensuite des données inattendues (ou dans le cas de la plupart des exploits, trop de données), l’entrée se retrouvera en dehors de la mémoire qui a été affectée pour contenir les données. Normalement, les données utilisateur ne doivent être contenues que dans une variable, mais en exploitant une vérification des erreurs et une gestion de la mémoire médiocres, il est possible de les placer dans une partie de la mémoire pouvant être exécutée. Une méthode courante et bien connue est labuffer-overflow qui met plus de données dans la variable qu'il ne peut en contenir, écrasant ainsi d'autres parties de la mémoire. En créant astucieusement l'entrée, il est possible de provoquer un dépassement du code (instructions), puis de transférer le contrôle sur ce code. À ce stade, le ciel est généralement la limite quant à ce qui peut être fait une fois que le malware a le contrôle.

Les fichiers multimédias sont les mêmes. Ils peuvent être conçus pour contenir un peu de code machine et exploiter le lecteur multimédia pour que le code machine finisse par s'exécuter. Par exemple, il peut être possible de mettre trop de données dans les méta-données du fichier multimédia de sorte que, lorsque le lecteur essaie d'ouvrir le fichier et de le lire, il déborde des variables et entraîne l'exécution de code. Même les données réelles pourraient théoriquement être conçues pour exploiter le programme.

Ce qui est pire avec les fichiers multimédias, c'est que, contrairement à un identifiant clairement mauvais, même aux non-initiés (par exemple, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)un fichier multimédia peut être créé de manière à ce qu'il contienne réellement un support légitime, légitime, qui ne soit même pas corrompu et qui semble donc totalement légitime. La stéganographie (littéralement «écriture dissimulée») est généralement utilisée pour dissimuler des données dans d'autres données, mais il s'agit essentiellement de la même chose, car le malware serait dissimulé dans ce qui ressemble à un média légitime.

Alors oui, les fichiers multimédias (et même n'importe quel fichier) peuvent contenir un virus en exploitant les vulnérabilités du programme qui ouvre / affiche le fichier. Le problème est que vous n'avez souvent même pas besoin d'ouvrir ou d'afficher le fichier à infecter. La plupart des types de fichiers peuvent être prévisualisés ou leurs métadonnées doivent être lues sans les ouvrir à dessein. Par exemple, il suffit de sélectionner un fichier multimédia dans l'Explorateur Windows pour lire automatiquement les métadonnées (dimensions, longueur, etc.) du fichier. Cela pourrait potentiellement constituer un vecteur d'attaque si un auteur de programme malveillant découvrait une vulnérabilité dans la fonction aperçu / métadonnées de l'explorateur et créait un fichier multimédia qui l'exploitait.

Heureusement, les exploits sont fragiles. Ils n'affectent généralement qu'un ou plusieurs lecteurs multimédias, contrairement à tous les lecteurs. Même dans ce cas, leur fonctionnement ne fonctionne pas pour différentes versions du même programme (c'est pourquoi les systèmes d'exploitation publient des mises à jour pour corriger les vulnérabilités). Pour cette raison, les auteurs de programmes malveillants ne passent généralement que leur temps à casser des systèmes / programmes largement utilisés ou de grande valeur (Windows, systèmes bancaires, etc.), ce qui est d'autant plus vrai que le piratage a gagné en popularité auprès des criminels. essayer d’obtenir de l’argent et ce n’est plus seulement le domaine des nerds qui essaient d’obtenir la gloire.

Application

Si votre fichier vidéo est infecté, il ne vous infectera probablement que si vous utilisez le ou les lecteurs multimédias pour lesquels il est spécifiquement conçu. Si ce n'est pas le cas, alors il peut se bloquer, ne pas s'ouvrir, jouer avec la corruption ou même très bien (ce qui est le pire des cas, car il est alors signalé comme étant correct et se propage à d'autres personnes susceptibles d'être infectées).

Les programmes anti-programmes malveillants utilisent généralement des signatures et / ou des méthodes heuristiques pour détecter les programmes malveillants. Les signatures recherchent des modèles d'octets dans les fichiers qui correspondent généralement aux instructions de virus connus. Le problème est qu’en raison des virus polymorphes qui peuvent changer chaque fois qu’ils se reproduisent, les signatures deviennent moins efficaces. Les heuristiques observent des comportements tels que l'édition de fichiers spécifiques ou la lecture de données spécifiques. Celles-ci ne s'appliquent généralement que lorsque le logiciel malveillant est déjà en cours d'exécution, car l'analyse statique (examiner le code sans l'exécuter) peut s'avérer extrêmement complexe grâce aux techniques d'obscurcissement et d'évasion des logiciels malveillants.

Dans les deux cas, les programmes anti-malware peuvent et doivent signaler des faux positifs.

Conclusion

De toute évidence, l’étape la plus importante en matière de sécurité informatique consiste à récupérer vos fichiers à partir de sources fiables. Si le torrent que vous utilisez est de quelque part vous avez confiance, alors sans doute il devrait être correct. Sinon, vous voudrez peut-être y réfléchir à deux fois (d'autant plus qu'il existe des groupes anti-piratage qui libèrent volontairement des torrents contenant des faux ou même des logiciels malveillants).

Je ne dirai pas que c'est impossible, mais ce serait difficile. Le rédacteur du virus devrait créer l’AVI pour déclencher un bogue dans votre lecteur multimédia, puis exploiter celui-ci pour exécuter du code sur votre système d’exploitation, sans savoir quel lecteur multimédia ou système d’exploitation vous utilisez. Si vous maintenez votre logiciel à jour et / ou si vous utilisez autre chose que Windows Media Player ou iTunes (en tant que plates-formes les plus grandes, ce seront les meilleures cibles), vous devriez être assez en sécurité.

Cependant, il existe un risque connexe très réel. De nos jours, les films sur Internet utilisent une variété de codecs, et le grand public ne comprend pas ce qu'est un codec. Tout ce qu'ils savent, c'est "c'est quelque chose que je dois parfois télécharger pour que le film soit lu". C'est un véritable vecteur d'attaque. Si vous téléchargez quelque chose et que vous recevez le message "Pour voir ceci, vous avez besoin du codec de [un site Web]", nous sommes alors certains de savoir ce que vous faites car vous pourriez vous infecter.

Une extension de fichier avi ne garantit pas que le fichier est un fichier vidéo. Vous pouvez obtenir n'importe quel virus .exe et le renommer en .avi (cela vous oblige à télécharger le virus, soit la moitié du chemin pour infecter votre ordinateur). Si un exploit permettant d'ouvrir le virus sur votre ordinateur est ouvert, vous seriez affecté.

Si vous pensez qu'il s'agit d'un malware, arrêtez simplement le téléchargement et supprimez-le, ne l'exécutez jamais avant une analyse antivirus.

Oui c'est possible. Les fichiers AVI, comme tous les fichiers, peuvent être spécialement conçus pour tirer parti des bogues connus du logiciel qui les gère.

Les logiciels antivirus détectent des modèles connus dans les fichiers, tels que du code exécutable dans des fichiers binaires ou des constructions JavaScript spécifiques dans des pages HTML , qui sont éventuellement des virus.

Réponse rapide: OUI .

Réponse légèrement plus longue:

• Un fichier est un conteneur pour différents types de données.
• Un AVIfichier (Audio Video Interleave) est destiné à contenir des données audio et vidéo entrelacées. Normalement, il ne devrait contenir aucun code exécutable.
• À moins que l'attaquant ne soit déterminé de manière inhabituelle, il est peu probable qu'un AVIfichier contenant des données audio-vidéo contienne réellement un virus

TOUTEFOIS ...

• Un AVIfichier a besoin d'un décodeur pour faire quelque chose d'utile. Par exemple, vous utilisez peut-être déjà Windows Media Player pour lire des AVIfichiers afin de voir leur contenu.
• Si le décodeur ou l'analyseur de fichiers ont des bogues que l'attaquant peut exploiter, ils produiront intelligemment un AVIfichier tel que:
  • lors de votre tentative d'ouverture de ces fichiers (par exemple si vous double-cliquez pour démarrer la lecture de la vidéo) avec votre analyseur AVI ou décodeur buggy, ces bogues cachés se déclencheront
  • En conséquence, il peut permettre à l’attaquant d’exécuter le code de son choix sur votre ordinateur, en laissant éventuellement votre ordinateur infecté.
  • Voici un rapport de vulnérabilité qui répond exactement à ce que vous demandez.

C'est possible, oui, mais très peu probable. Vous êtes plus susceptible d’essayer d’afficher un fichier WMV et de le charger automatiquement ou de vous demander de télécharger une licence, ce qui fait apparaître une fenêtre du navigateur qui pourrait exploiter votre ordinateur s’il n’est pas entièrement patché.

Les
something.avi.exefichiers les plus populaires parmi les virus 'AVI' que j'ai entendus sont les fichiers téléchargés sur une machine Windows
configurée pour masquer les extensions de fichier dans l'explorateur.

L'utilisateur oublie généralement ce fait plus tard et suppose que le fichier est AVI.
Couplé à l'attente d'un joueur associé, un double-clic lance le fichier EXE.

Après cela, ses fichiers AVI ont été étrangement transcodés, ce qui nécessite de télécharger un nouveau fichier codecpour les voir.
Le soi-disant codecest généralement le vrai "virus" ici.

J'ai également entendu parler des exploits de dépassement de tampon AVI, mais quelques bonnes références seraient utiles.

Mon résultat: le coupable est généralement l'un des éléments suivants plutôt que le fichier AVI lui-même

• Le codecinstallé sur votre système pour gérer le fichier AVI
• Le joueur utilisé
• L'outil de partage de fichiers utilisé pour obtenir le fichier AVI

Lecture rapide de prévention des programmes malveillants: P2P ou partage de fichiers

.avi(ou .mkvd'ailleurs) sont des conteneurs et prennent en charge l'inclusion d'une variété de supports - plusieurs flux audio / vidéo, sous-titres, navigation dans les menus de type DVD, etc. Rien n'empêche l'inclusion de contenu exécutable malveillant, mais il ne sera pas exécuté sauf scénarios Synetech décrits dans sa réponse

Cependant, il existe un angle communément expliqué qui est laissé de côté. Compte tenu de la diversité des codecs disponibles et de l'absence de restrictions quant à leur inclusion dans les fichiers de conteneur, il existe des protocoles communs pour inviter l'utilisateur à installer le codec nécessaire. De plus, les lecteurs multimédias peuvent être configurés pour tenter automatiquement la recherche et l'installation de codecs. En fin de compte, les codecs sont exécutables (moins un petit tableau de plugins) et peuvent contenir du code malveillant.

Techniquement, pas de télécharger le fichier. Mais une fois que le fichier est ouvert, tout dépend du joueur et de l’implémentation du codec.

Mon antivirus Avast vient de m'annoncer qu'un cheval de Troie était intégré à l'un de mes AVI de films téléchargés. Lorsque j'ai essayé de le mettre en quarantaine, il a été déclaré que le fichier était trop volumineux et qu'il ne pouvait pas être déplacé. J'ai donc dû le supprimer.

Le virus s'appelle WMA.wimad [susp]et ressemble apparemment à un virus de menace moyenne qui effectue une sorte de piratage du navigateur. Ce n'est pas exactement une panne de système, mais cela prouve que vous pouvez contracter des virus à partir de fichiers AVI.

Si le téléchargement n'est pas encore terminé, attendez avant de terminer avant de décider quoi faire. Lorsque le téléchargement n'est que partiellement terminé, les parties manquantes du fichier sont essentiellement du bruit et sont assez susceptibles de générer des faux positifs lors de la recherche de logiciels malveillants.

Comme @Synetech l'a expliqué en détail, il est possible de propager des programmes malveillants via des fichiers vidéo, éventuellement avant même la fin du téléchargement. Mais que ce soit possible ne signifie pas que c'est probable . D'après mon expérience personnelle, les risques de faux positifs lors d'un téléchargement en cours sont beaucoup plus élevés.

Ayant passé du temps à aider les utilisateurs à résoudre les problèmes liés aux logiciels malveillants, je peux témoigner que le mécanisme d'exploitation habituel utilisé par les fraudeurs est plus social que technique.

Le fichier est simplement nommé * .avi.exe et le paramètre par défaut de Windows ne révèle pas les extensions de fichier courantes. Le fichier exécutable se voit simplement attribuer une icône de fichier AVI. Ceci est similaire à la tactique utilisée pour distribuer les virus * .doc.exe où le fichier a l'icône de winword.

J'ai également observé des tactiques douteuses telles que l'utilisation de noms de fichiers longs dans la distribution P2P, de sorte que le client n'affiche que les noms partiels dans la liste des fichiers.

Utiliser des fichiers de mauvaise qualité

Si vous devez utiliser le fichier, utilisez toujours un bac à sable configuré pour arrêter les connexions Internet sortantes. Le pare-feu Windows est mal configuré pour autoriser les connexions sortantes par défaut. L'exploitation est une action qui, comme toute action, a toujours une motivation. Habituellement, cette opération consiste à siphonner les mots de passe du navigateur ou les cookies, à octroyer une licence et à transférer le contenu vers une ressource externe (telle que FTP) détenue par un attaquant. Par conséquent, si vous utilisez un outil tel que sandboxie, désactivez les connexions Internet sortantes. Si vous utilisez une machine virtuelle, assurez-vous qu'elle ne contient aucune information sensible et bloquez toujours les accès Internet sortants à l'aide d'une règle de pare-feu.

Si vous ne savez pas ce que vous faites, n'utilisez pas le fichier. Soyez prudent et ne prenez pas de risques qui ne valent pas la peine d'être pris.

Réponse courte, oui. Une réponse plus longue suit le didacticiel de base Tropical PC Solutions: Comment cacher un virus! et en faire un pour vous-même.

Les fichiers AVI ne seront pas infectés par un virus. Lorsque vous téléchargez des films à partir d'un torrent, au lieu d'AVI, si le film est dans un package RAR ou dans un fichier EXE, il y a sûrement une possibilité de virus.

Certains d'entre eux vous demandent de télécharger un codec supplémentaire à partir d'un site Web pour visionner le film. Ce sont les suspects. Mais si c'est AVI, alors vous pouvez sûrement essayer de le lire dans votre lecteur vidéo. Rien ne se passera.

Les fichiers AVI ne peuvent pas avoir de virus s’il s’agit de fichiers vidéo. Lors du téléchargement, votre navigateur conserve le téléchargement dans son propre format. C'est pourquoi l'antivirus le détecte comme un virus. Lors du téléchargement du fichier AVI, assurez-vous qu'après le téléchargement, le fichier est exécuté sur un lecteur vidéo. S'il s'agit d'un fichier invalide, il ne sera pas lu et il n'y a aucun prix à deviner s'il s'agit d'un virus.

Si vous essayez de double-cliquer et de l'exécuter directement s'il y a un léger risque de virus, il sera diffusé. Prenez des précautions et vous n’avez pas besoin d’un logiciel antivirus.