web-dev-qa-db-ja.com

AVIファイルにウイルスを含めることはできますか?

AVI ファイルを急流でダウンロードしていますが、私のアンチウィルスが何かを検出しています。 AVIファイルにウイルスが含まれている可能性はありますか?

急流は多くの肯定的なレビューを持っているのでそれは非常に奇妙です。

99
IMB

TL; DR

.aviファイルはビデオであるため、実行可能ではないため、オペレーティングシステムはファイルをrunすることができます/しません。そのため、それ自体ではウイルスをにすることはできませんが、実際には含むことができますウイルス。

歴史

以前は、実行可能(つまり、「実行可能」)ファイルのみがウイルスになりました。その後、インターネットワームはソーシャルエンジニアリングを使用して、人々をだましてウイルスを実行させ始めました。一般的なトリックは、実行可能ファイルの名前を.avi.jpgなどの他の拡張子を含むように変更して、ユーザーをだましてメディアファイルだと思わせ、実行させることです。たとえば、メールクライアントは添付ファイルの最初の数十文字しか表示しない場合があるため、ファイルに偽の拡張子を付け、"FunnyAnimals.avi              .exe"のようにスペースをパディングすると、ユーザーはビデオのように見えて実行されますそれに感染します。

これは、ソーシャルエンジニアリング(ユーザーを欺く)だけでなく、初期の exploit でもありました。電子メールクライアントのファイル名の限られた表示を悪用して、そのトリックを実行しました。

テクニカル

その後、より高度なエクスプロイトが登場しました。マルウェア作成者は、プログラムを逆アセンブルしてソースコードを調べ、悪用可能なデータおよびエラー処理が不十分な特定の部分を探します。これらの指示は、多くの場合、何らかのユーザー入力の形式を取ります。たとえば、OSまたはWebサイトのログインダイアログボックスは、エラーチェックまたはデータ検証を実行しないため、ユーザーが適切なデータのみを入力することを前提としています。その後、予期しないデータを入力した場合(またはほとんどのエクスプロイトの場合、データが多すぎる場合)、入力はデータを保持するために割り当てられたメモリの外側になります。通常、ユーザーデータは変数にのみ含める必要がありますが、貧弱なエラーチェックとメモリ管理を活用することで、実行可能なメモリの一部に格納することができます。一般的なよく知られた方法は buffer-overflow で、これは変数に保持できる量よりも多くのデータを入れて、メモリの他の部分を上書きします。入力を巧みに作成することで、コード(命令)をオーバーランさせ、そのコードに制御を移すことができます。その時点で、空は通常、マルウェアが制御できたら何ができるかの限界です。

メディアファイルは同じです。少しのマシンコードを含むように作成し、メディアプレーヤーを悪用してマシンコードが実行されるようにすることができます。たとえば、メディアファイルのメタデータに大量のデータを入れて、プレーヤーがファイルを開いて読み取ろうとすると、変数がオーバーフローしてコードが実行される可能性があります。プログラムを悪用するために、実際のデータでさえ理論的に作成できます。

メディアファイルの方が悪いのは、一般の人でさえ明らかに悪いログイン(たとえば、username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^))とは異なり、破損していない適切で正当なメディアを実際に含むようにメディアファイルを作成できることです。 Steganography (文字通り「カバーされた書き込み」)は、通常、データを他のデータに隠すために使用されますが、これは基本的にマルウェアと同じです正当なメディアのように見えるものに隠されます。

そう、メディアファイル(そして、そのために、anyファイル)canプログラムの脆弱性を悪用してウイルスを封じ込めるファイルを開く/表示する問題は、感染するファイルを開いたり表示したりする必要がないことです。ほとんどのファイルタイプは、意図的に開かなくてもプレビューしたり、メタデータを読み取ったりできます。たとえば、Windowsエクスプローラーでメディアファイルを選択するだけで、ファイルからメタデータ(次元、長さなど)が自動的に読み取られます。マルウェア作成者がたまたまExplorerのプレビュー/メタデータ機能に脆弱性を見つけ、それを悪用するメディアファイルを作成した場合、これは潜在的に攻撃のベクトルになる可能性があります。

幸いなことに、エクスプロイトは脆弱です。通常、それらはすべてのプレーヤーではなく1つのメディアプレーヤーのみに影響し、それでも同じプログラムの異なるバージョンで動作することは保証されていません(そのため、オペレーティングシステムはパッチの脆弱性に対する更新を発行します)。このため、マルウェア作成者は通常、システムまたはプログラムのクラッキングを広く使用するか、価値の高いもの(Windows、銀行システムなど)に費やすだけです。これは、ハッキングが犯罪者のビジネスとして人気を集めているため特に当てはまります。お金を手に入れようとすることは、もはや栄光を得ようとするオタクだけの領域ではありません。

応用

ビデオファイル感染している場合、悪用するように特別に設計されたメディアプレーヤーを使用した場合にのみ感染する可能性があります。そうでない場合は、クラッシュしたり、開けなかったり、破損して再生したり、正常に再生したりする可能性があります(これは最悪のシナリオであり、大丈夫としてフラグが付けられ、感染する可能性のある他のユーザーに拡散します)。

マルウェア対策プログラムは、通常、署名および/またはヒューリスティックを使用してマルウェアを検出します。署名は、よく知られているウイルスの指示に通常対応するファイル内のバイトのパターンを探します。問題は、複製するたびに変化する可能性のある多形性ウイルスのため、署名の効果が低下することです。ヒューリスティックは、特定のファイルの編集や特定のデータの読み取りなどの動作パターンを観察します。これらは通常、マルウェアが既に実行されている場合にのみ適用されます。静的解析(実行せずにコードを調べる)は、マルウェアの難読化および回避技術のおかげで非常に複雑になる可能性があるためです。

どちらの場合も、マルウェア対策プログラムは偽陽性を報告できます。

結論

コンピューティングの安全性における最も重要なステップは、信頼できるソースからファイルを取得することです。使用しているトレントが信頼できる場所からのものである場合、おそらく大丈夫です。そうでない場合は、もう一度考えてみてください(特に、意図的に偽物やマルウェアを含むトレントをリリースする著作権侵害対策グループがあるため) 。

193
Synetech

それは不可能だとは言わないが、難しいだろう。ウイルス作成者は、メディアプレーヤーのバグを引き起こすAVIを作成し、それからどういうわけかあなたが実行しているメディアプレーヤーやOSを知らずにあなたのオペレーティングシステム上でコードを実行するためにそれを悪用するでしょう。ソフトウェアを最新の状態に保っている場合、および/またはWindows Media PlayerやiTunes以外のものを実行している場合(最大のプラットフォームとしては、それらが最良のターゲットになるでしょう)、あなたはかなり安全であるはずです。

ただし、非常に現実的な関連リスクがあります。最近のインターネット上の映画はさまざまなコーデックを使用していますが、一般の人々はコーデックの意味を理解していません - 知っているのは「映画を再生するためにダウンロードしなければならないこと」だけです。これは本物の攻撃方法です。何かをダウンロードして「これを表示するには、[some website]のコーデックが必要です」と言われたら、感染している可能性があるので、自分が何をしているのかを知っていることを確認します。

29
John Fouhy

はい、可能です。 AVIファイルは、すべてのファイルと同様に、それらのファイルを管理するソフトウェアの既知のバグを利用するように特別に細工することができます。

ウイルス対策ソフトウェアは、バイナリファイル内の実行可能コードや、 HTML ページ内の特定の JavaScript 構造など、ファイル内の既知のパターンを検出します。それはおそらくウイルスです。

12
fmanco

aviファイルの拡張子は、そのファイルがビデオファイルであることを保証するものではありません。.exeウイルスを入手して、.aviという名前に変更することができます。あなたはウイルスをダウンロードします、あなたのコンピュータを感染させる道のりの半分は何ですか。あなたのマシン上でウイルスの実行を可能にするエクスプロイトが開かれている場合、あなたは影響を受けるでしょう。

マルウェアだと思われる場合は、ダウンロードを中止して削除してくださいウイルス対策プログラムの実行前に実行しないでください

12
Diogo

クイックアンサー:はい

もう少し長い答え:

  • ファイルはさまざまな種類のデータのコンテナです。
  • AVI (Audio Video Interleave)ファイルは、インターリーブされたオーディオとビデオのデータを含むことを意味しています。通常、実行可能コードを含めるべきではありません。
  • 攻撃者が異常に決定されない限り、オーディオビデオデータを含むAVIファイルに実際にウイルスが含まれる可能性はほとんどありません。

HOWEVER ...

  • AVIファイルには、便利なことをするためのデコーダが必要です。たとえば、AVIファイルを再生してその内容を表示するために、既にWindows Media Playerを使用しているとします。
  • デコーダまたはファイルパーサに、攻撃者が悪用可能なバグがある場合、それらは次のようなAVIファイルを巧妙に作成します。
    • あなたのバグのあるAVIパーサやデコーダでそれらのファイルを開こうとした時(例えば、あなたがビデオの再生を開始するためにダブルクリックした時)、それらの隠されたバグは引き起こす
    • その結果、攻撃者が自分の選んだコードをあなたのコンピュータで実行する可能性があり、潜在的にあなたのコンピュータを感染させたままにします。
    • これは あなたが求めていることに正確に答える脆弱性レポートです。
9
gsbabil

それは可能です、はい、しかし非常にありそうもありません。 WMVを試して表示してURLを自動ロードするか、ライセンスをダウンロードするように要求すると、ブラウザウィンドウが表示され、完全にパッチが適用されていないとマシンが悪用される可能性があります。

8
Nicholas Head

私が聞いたことがある 'AVI'ウイルスから最も人気がありました、
something.avi.exeファイルをWindowsマシンにダウンロードした
これはhideExplorerのファイル拡張子に設定されています。

ユーザーは通常、それ以降の事実を忘れて、ファイルがAVIであると想定します。
関連するプレーヤーへの期待と相まって、ダブルクリックで実際にEXEが起動します。


その後、奇妙にトランスコードされたAVIファイルを見るにはnewcodecをダウンロードする必要があります。
いわゆるcodecは通常ここでは本当の「ウイルス」です。


私はAVIバッファオーバーフローの悪用も聞いたことがありますが、いくつかの良い参考文献が役に立つでしょう。

私の結論:犯人は通常AVIファイル自体よりもむしろ以下のいずれかです。

  • AVIを処理するためにシステムにインストールされているcodec
  • 使用されているプレイヤー
  • AVIファイルを入手するために使用されるファイル共有ツール

マルウェア対策の簡単な説明: P2Pまたはファイル共有

7
nik

.avi(あるいはそのことで.mkv)はコンテナで、さまざまなメディア(複数のオーディオ/ビデオストリーム、字幕、DVDのようなメニューナビゲーションなど)を含めることができます。悪意のある実行可能コンテンツも含まれていますが、 シナリオSynetechの回答に記載されていない限り実行されません

それでも、一般的に検討されている角度が1つ残っています。利用可能なさまざまなコーデックがあり、それらをコンテナファイルに含める際の制限がないことを考えると、必要なコーデックをインストールするようにユーザーに要求する一般的なプロトコルがあり、最終的にコーデックは実行可能であり(プラグインベースのものを除く)、悪質なコードを含む可能性があります。

6
o.v.

技術的には、ファイルのダウンロードからではありません。しかし、ファイルが開かれると、プレーヤーとコーデックの実装に応じて公平なゲームになります。

5
Jimmy

私のAvast Antivirusは、ダウンロードした映画のAVIにトロイの木馬が埋め込まれていることを知らせてきました。隔離しようとすると、ファイルが大きすぎて移動できないと表示されたため、削除する必要がありました。

このウイルスはWMA.wimad [susp]と呼ばれ、明らかにブラウザのハイジャックのようなものを実行する中程度の脅威のウイルスです。厳密にはシステムが壊れるわけではありませんが、AVIファイルからウイルスを取得できることは証明されています。

5
James Mason

ダウンロードがまだ完了していない場合は、完了するまで待ってから何をするかを決定してください。ダウンロードが部分的にしか完了していない場合、ファイルの欠けている部分は本質的にノイズが多く、マルウェアのチェック時に誤検知が発生する可能性が非常に高いです。

@Synetechが詳細に説明したように、おそらくダウンロードが終了する前でさえも、ビデオファイルを通してマルウェアを広めることは可能です。しかし、可能であるということは、可能性があるという意味ではありません。私の個人的な経験から、ダウンロード中の誤検知の可能性ははるかに高いです。

3
Dennis

ユーザーがマルウェアの問題を解決するのを手助けするのに時間を費やしたので、詐欺師によって使用される通常の悪用メカニズムが技術的より社会的であることを証明することができます。

ファイルは単に*。avi.exeという名前で、Windowsのデフォルト設定では一般的なファイル拡張子は表示されません。実行ファイルには、単にAVIファイルアイコンが割り当てられています。これは、ファイルにwinwordのアイコンが付いている*。doc.exeウイルスを配布するのに使用される戦術と似ています。

私はまた、長いファイル名がp2p配布で使用されているなどの厄介な作戦を観察したので、クライアントはファイルリストに部分的な名前だけを表示します。

不気味なファイルを使う

ファイルを使用する必要がある場合は、常にインターネットへの発信を停止するように構成されているサンドボックスを使用してください。 Windowsファイアウォールは、デフォルトで発信接続を許可するように設定されています。搾取は行動であり、他の行動と同様に常に動機があります。通常、ブラウザのパスワードやCookieをサイフォンで盗んで、そのコンテンツを攻撃者が所有する外部リソース(FTPなど)に転送します。したがって、サンドボックスなどのツールを使用する場合は、インターネットへの発信接続を無効にしてください。仮想マシンを使用する場合は、機密情報が含まれていないことを確認し、常にファイアウォールルールを使用してインターネットへの発信アクセスをブロックしてください。

自分のしていることがわからない場合は、ファイルを使用しないでください。安全で、取る価値のないリスクを負わないでください。

2
R..

短い答え、はい。より長い答えは基本的なチュートリアルに従います。Tropical PC Solutions:ウイルスを隠すには!あなた自身のための。

2
pyCthon