토런트를 통해 AVI 파일을 다운로드하고 있는데 안티 바이러스가 무언가를 감지했습니다. AVI 파일에 바이러스가 포함되어있을 수 있습니까?

급류에 많은 긍정적 인 리뷰가 있기 때문에 그것은 매우 이상합니다.

TL; DR

.avi파일은 비디오이며, 따라서 실행되지 않으므로 운영 체제 /하지 않을 수 있습니다 실행 파일을. 따라서 바이러스 자체 로 는 바이러스가 될 수 없지만 실제로 바이러스를 포함 할 수 있습니다 .

역사

과거에는 실행 파일 (즉, "실행 가능") 파일 만 바이러스였습니다. 나중에 인터넷 웜은 소셜 엔지니어링을 사용하여 사람들을 바이러스에 감염시키기 시작했습니다. 일반적인 트릭은 실행 파일의 이름을 바꾸어 다른 확장명을 포함 .avi시키거나 .jpg사용자가 미디어 파일이라고 생각 하여 실행 하도록 속이는 것입니다. 예를 들어, 전자 메일 클라이언트는 첨부 파일의 첫 12 자 정도만 표시 할 수 있으므로 파일에 잘못된 확장자를 부여한 다음에서와 같이 공백으로 채워 넣으면 "FunnyAnimals.avi              .exe"사용자는 비디오처럼 보이는 것을보고이를 실행하여 감염시킵니다.

이것은 사회 공학뿐만 ​​아니라 (사용자를 유혹)뿐만 아니라 초기 악용 이었습니다. 그것은 이메일 클라이언트의 제한된 파일 이름 표시를 이용하여 그 트릭을 시작했습니다.

인위적인

나중에 더 많은 고급 익스플로잇이 등장했습니다. 악성 코드 작성자는 프로그램을 분해하여 소스 코드를 검사하고 악용 할 수있는 데이터 및 오류 처리가 불량한 특정 부분을 찾습니다. 이러한 명령어는 종종 일종의 사용자 입력 형식을 취합니다. 예를 들어, OS 또는 웹 사이트의 로그인 대화 상자는 오류 확인 또는 데이터 유효성 검사를 수행하지 않으므로 사용자가 적절한 데이터 만 입력한다고 가정 / 예상합니다. 그런 다음 예상치 못한 데이터 (또는 대부분의 익스플로잇의 경우 너무 많은 데이터)를 입력하면 데이터를 보유하도록 지정된 메모리 외부에서 입력이 종료됩니다. 일반적으로 사용자 데이터는 변수에만 포함되어야하지만 잘못된 오류 확인 및 메모리 관리를 이용하여 실행할 수있는 메모리의 일부에 넣을 수 있습니다. 일반적이고 잘 알려진 방법은버퍼 오버플 로는 보유 할 수있는 것보다 많은 데이터를 변수에 저장하므로 메모리의 다른 부분을 덮어 씁니다. 입력을 영리하게 만들면 코드 (명령)가 오버런 된 다음 해당 코드로 제어권을 넘길 수 있습니다. 이 시점에서 일반적으로 하늘은 맬웨어가 제어 한 후 수행 할 수있는 작업에 대한 제한입니다.

미디어 파일이 동일합니다. 그것들은 약간의 머신 코드를 포함하고 머신 코드가 실행되도록 미디어 플레이어를 악용하도록 만들 수 있습니다. 예를 들어, 플레이어가 파일을 열고 읽으려고 할 때 변수가 오버플로되고 일부 코드가 실행되도록 미디어 파일의 메타 데이터에 너무 많은 데이터를 넣을 수 있습니다. 실제 데이터조차도 이론적으로 프로그램을 활용하도록 제작 될 수 있습니다.

미디어 파일의 더 나쁜 점은 평범한 사람에게도 명백하게 나쁜 로그인과는 달리 (예를 들어, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)미디어 파일은 실제로 손상되지 않았으며 완전히 합법적 인 것처럼 보이는 적절한 합법적 인 미디어를 포함하도록 만들 수 있음) 감염의 영향이 발생할 때까지 완전히 감지되지 않습니다 스테 가노 그래피 (문자 적으로 "덮어 쓴 글쓰기")는 일반적으로 다른 데이터의 데이터를 숨기는 데 사용되지만, 합법적 인 미디어처럼 보이는 곳에 맬웨어가 숨겨져 있기 때문에 이는 본질적으로 동일합니다.

그렇습니다. 미디어 파일 (및 해당 파일의 경우 파일) 은 파일 을 열거 나 보는 프로그램의 취약점을 악용하여 바이러스를 포함 할 수 있습니다 . 문제는 감염된 파일을 열거 나 보지 않아도된다는 것입니다. 대부분의 파일 형식은 의도적으로 열지 않고도 미리 보거나 메타 데이터를 읽을 수 있습니다. 예를 들어, Windows 탐색기에서 미디어 파일을 선택하면 파일에서 메타 데이터 (치수, 길이 등)를 자동으로 읽습니다. 맬웨어 작성자가 Explorer의 미리보기 / 메타 데이터 기능에서 취약점을 발견하여 악용하는 미디어 파일을 제작하는 경우 잠재적으로 공격의 벡터가 될 수 있습니다.

다행스럽게도 익스플로잇은 취약합니다. 그들은 일반적으로 모든 플레이어와 달리 하나의 미디어 플레이어 또는 다른 미디어 플레이어에만 영향을 미치며, 심지어 동일한 버전의 다른 프로그램에서 작동한다고 보장하지 않습니다 (그래서 운영 체제는 패치 취약점에 대한 업데이트를 발행합니다). 이로 인해 맬웨어 작성자는 일반적으로 시간이 오래 걸리거나 시스템, 프로그램 (예 : Windows, 은행 시스템 등)에서 크래킹하는 데 귀찮게합니다. 이는 해커가 범죄자와의 비즈니스에서 인기를 얻었 기 때문에 특히 그렇습니다. 돈을 얻으려고 노력하고 더 이상 영광을 얻으려고 노력하는 머저리의 영역이 아닙니다.

신청

비디오 파일 이 감염된 경우 특별히 악용하도록 설계된 미디어 플레이어를 사용하는 경우에만 감염 될 수 있습니다. 그렇지 않은 경우 충돌이 발생하거나 열지 못하거나 손상이 발생하거나 제대로 재생 될 수 있습니다 (최악의 시나리오 인 경우 문제가있는 것으로 표시되어 감염 될 수있는 다른 사람에게 전파되기 때문).

맬웨어 방지 프로그램은 일반적으로 서명 및 / 또는 휴리스틱을 사용하여 맬웨어를 탐지합니다. 시그니처는 파일에서 일반적으로 잘 알려진 바이러스의 지침에 해당하는 바이트 패턴을 찾습니다. 문제는 복제 할 때마다 변할 수있는 다형성 바이러스로 인해 서명이 덜 효과적이라는 것입니다. 휴리스틱은 특정 파일 편집 또는 특정 데이터 읽기와 같은 동작 패턴을 관찰합니다. 정적 분석 (코드를 실행하지 않고 코드 검사)은 맬웨어 난독 화 및 회피 기술로 인해 매우 복잡 할 수 있으므로 일반적으로 맬웨어가 이미 실행 된 후에 만 ​​적용됩니다.

두 경우 모두 맬웨어 방지 프로그램이 오 탐지를보고 할 수 있습니다.

결론

안전 컴퓨팅에서 가장 중요한 단계는 신뢰할 수있는 출처에서 파일을 가져 오는 것입니다. 당신이 사용하는 급류가 당신이 신뢰하는 곳에서 온다면 아마도 괜찮을 것입니다. 그렇지 않은 경우, 특히 가짜 또는 맬웨어를 포함하는 토런트 를 의도적으로 공개하는 불법 복제 방지 그룹이 있기 때문에 이에 대해 두 번 생각할 수 있습니다 .

불가능하다고는 말하지 않지만 어려울 것입니다. 바이러스 제작자는 미디어 플레이어에서 버그를 발생시키기 위해 AVI를 제작 한 다음 운영 체제에서 실행중인 미디어 플레이어 나 OS를 모르는 상태에서 코드를 실행하기 위해 AVI를 만들어야합니다. 소프트웨어를 최신 상태로 유지하거나 Windows Media Player 또는 iTunes 이외의 다른 것을 실행하는 경우 (가장 큰 플랫폼 일 경우 가장 좋은 대상이 됨) 매우 안전해야합니다.

그러나 매우 실제적인 관련 위험이 있습니다. 요즘 인터넷에서 영화는 다양한 코덱을 사용하며 일반 대중은 코덱이 무엇인지 이해하지 못합니다. 그들이 아는 것은 "때로 다운로드해야 영화가 재생됩니다"라는 것뿐입니다. 이것은 진정한 공격 벡터입니다. 무언가를 다운로드하고 "이것을 보려면 [일부 웹 사이트]의 코덱이 필요합니다"라는 메시지가 표시되면 자신을 감염시킬 수 있기 때문에 현재하고있는 일을 알고있을 것입니다.

avi 파일 확장자는 파일이 비디오 파일임을 보증하지 않습니다. .exe 바이러스를 가져 와서 이름을 .avi로 바꿀 수 있습니다 (이 경우 바이러스를 다운로드하게되므로 컴퓨터를 감염시키는 경로의 절반). 컴퓨터에서 바이러스를 실행할 수있는 익스플로잇이 열려 있으면 영향을받습니다.

멀웨어라고 생각되면 다운로드를 중지하고 삭제 한 다음 바이러스 백신 검사 전에 실행하지 마십시오.

네 가능합니다. AVI 파일은 모든 파일과 마찬가지로 해당 파일을 관리하는 소프트웨어의 알려진 버그를 이용하도록 특수하게 조작 할 수 있습니다.

바이러스 백신 소프트웨어는 이진 파일의 실행 코드 또는 HTML 페이지의 특정 JavaScript 구성 과 같이 파일에서 알려진 패턴을 바이러스로 탐지 합니다.

빠른 답변 : 예 .

약간 긴 답변 :

• 파일은 다양한 유형의 데이터를위한 컨테이너입니다.
• AVI(오디오 비디오 인터리브) 파일은 인터리브 오디오 및 비디오 데이터를 포함하기위한 것입니다. 일반적으로 실행 코드가 포함되어서는 안됩니다.
• 공격자가 비정상적으로 결정되지 않는 한 AVI오디오 비디오 데이터가 있는 파일에 실제로 바이러스가 포함되어 있지는 않습니다.

그러나 ...

• AVI파일은 아무것도 유용 할 수있는 디코더를 필요로한다. 예를 들어, 이미 Windows Media Player를 사용하여 AVI파일을 재생 하여 내용을 볼 수 있습니다.
• 디코더 또는 파일 파서에 공격자가 악용 할 수있는 버그가있는 AVI경우 다음과 같은 파일 을 영리하게 생성 합니다.
  • 버그가 많은 AVI 파서 또는 디코더로 해당 파일을 열려고하면 (예를 들어 비디오를 두 번 클릭하여 비디오 재생을 시작하는 경우) 숨겨진 버그가 트리거됩니다
  • 결과적으로 침입자는 컴퓨터에서 선택한 코드를 실행하여 컴퓨터가 감염 될 수 있습니다.
  • 여기 취약성 보고서를 요구하고 정확하게 응답이.

가능하지만 가능하지는 않습니다. WMV를 보려고 시도하고 URL을 자동로드하거나 라이센스를 다운로드하도록 요청하면 완전히 패치되지 않은 경우 컴퓨터를 악용 할 수있는 브라우저 창이 나타납니다.

내가 들었던 'AVI'바이러스 중 가장 인기있는 것은 탐색기에서 파일 확장자 를 숨기 도록 구성된
something.avi.exeWindows 시스템에서 다운로드 한 파일입니다.

사용자는 일반적으로 나중에 사실을 잊고 파일이 AVI라고 가정합니다.
연관된 플레이어에 대한 기대와 함께 더블 클릭하면 실제로 EXE가 시작됩니다.

그 후, AVI 파일을 이상하게 트랜스 코딩하여 새 파일을 다운로드해야 codec합니다.
소위 codec일반적으로 여기에서 실제 '바이러스'입니다.

또한 AVI 버퍼 오버플로 악용에 대해 들었지만 몇 가지 좋은 참고 자료가 유용 할 것입니다.

결론 : 범인은 일반적으로 AVI 파일 자체가 아니라 다음 중 하나입니다.

• codecavi 파일을 처리하는 시스템에 설치
• 사용중인 플레이어
• AVI 파일을 얻는 데 사용되는 파일 공유 도구

짧은 맬웨어 방지 읽기 : P2P 또는 파일 공유

.avi(또는 .mkv그 문제에 대한) 컨테이너 는 여러 오디오 / 비디오 스트림, 자막, DVD와 같은 메뉴 탐색 등 다양한 미디어 포함을 지원합니다. 악성 실행 파일이 포함되는 것을 막을 수는 없지만 Synetech이 그의 답변에서 설명한 시나리오

그럼에도 불구하고 일반적으로 분해되는 각도가 하나 남았습니다. 사용 가능한 다양한 코덱이 있고 컨테이너 파일에 포함하는 데 제한이없는 경우 필요한 코덱을 설치하라는 메시지를 표시하는 일반적인 프로토콜이 있으며 미디어 플레이어가 코덱 조회 및 설치를 자동으로 시도하도록 구성 할 수 없습니다. 궁극적으로 코덱은 실행 가능하며 (플러그인 기반의 작은 배열 제외) 악성 코드를 포함 할 수 있습니다.

기술적으로 파일을 다운로드하지 않습니다. 그러나 파일이 열리면 플레이어 및 코덱 구현에 따라 공정한 게임입니다.

내 Avast Antivirus에서 방금 다운로드 한 영화 AVI 중 하나에 트로이 목마가 포함되어 있다고 알려주었습니다. 파일을 격리하려고 할 때 파일이 너무 커서 이동할 수 없다고 말했기 때문에 대신 삭제해야했습니다.

이 바이러스는 WMA.wimad [susp]일종의 브라우저 하이재킹을 수행하는 중형 위협 바이러스입니다. 시스템을 완전히 깨는 것은 아니지만 AVI 파일에서 바이러스를 얻을 수 있음을 증명합니다.

다운로드가 아직 완료되지 않은 경우 완료하기 전에 기다렸다가 수행 할 작업을 결정하십시오. 다운로드가 부분적으로 만 완료된 경우 파일에서 누락 된 부분은 본질적으로 노이즈가 있으며 맬웨어를 검사 할 때 오 탐지가 발생하기 쉽습니다.

@Synetech이 자세히 설명했듯이 다운로드가 완료되기 전에 비디오 파일을 통해 맬웨어를 유포 할 수 있습니다. 그러나이 있다고 할 수 는 있다는 것을 의미하지 않는다 가능성 . 내 개인적인 경험에 따르면 다운로드가 진행되는 동안 오 탐지 확률이 훨씬 높습니다.

사용자가 맬웨어 문제를 해결하는 데 시간을 보냈으므로 사기꾼이 사용하는 일반적인 악용 메커니즘이 기술적 인 것보다 사회적인 것임을 간증 할 수 있습니다.

파일의 이름은 * .avi.exe 이며 Windows의 기본 설정은 일반적인 파일 확장자를 나타내지 않습니다. 실행 파일에는 단순히 AVI 파일 아이콘이 할당됩니다. 파일에 winword 아이콘이있는 * .doc.exe 바이러스 를 배포하는 데 사용되는 전술과 비슷 합니다.

또한 p2p 배포에 사용되는 긴 파일 이름과 같은 회피 전술을 관찰하여 클라이언트가 파일 이름에 부분 이름 만 표시합니다.

Shoddy 파일 사용

파일을 사용해야하는 경우, 나가는 인터넷 연결을 중지하도록 구성된 샌드 박스를 사용하십시오. Windows 방화벽은 기본적으로 나가는 연결을 허용하도록 잘못 구성되어 있습니다. 착취는 어떤 행동과 마찬가지로 항상 동기를 부여하는 행동입니다. 일반적으로 브라우저 비밀번호 또는 쿠키를 사이펀 (sphon)하고 컨텐츠를 라이센스하고 공격자가 소유 한 외부 자원 (예 : FTP)으로 전송합니다. 따라서 샌드 박스와 같은 도구를 사용하는 경우 발신 인터넷 연결을 비활성화하십시오. 가상 머신을 사용하는 경우 민감한 정보가 없는지 확인하고 방화벽 규칙을 사용하여 발신 인터넷 액세스를 항상 차단하십시오.

하고있는 일을 모르는 경우 파일을 사용하지 마십시오. 안전하고 가치가없는 위험을 감수하지 마십시오.

짧은 대답입니다. 더 긴 답변은 기본 자습서 Tropical PC Solutions : 바이러스를 숨기는 방법을 따릅니다 . 자신을 위해 하나를 만드십시오.

AVI 파일은 바이러스에 감염되지 않습니다. AVI 대신 토렌트에서 영화를 다운로드 할 때 영화가 RAR 패키지에 있거나 EXE 파일 인 경우 바이러스가있을 가능성이 있습니다.

그들 중 일부는 영화를 보려면 일부 웹 사이트에서 추가 코덱을 다운로드하도록 요청합니다. 이것들은 용의자입니다. 그러나 AVI 인 경우 비디오 플레이어에서 재생할 수 있습니다. 아무것도 안 일어날거야.

AVI 파일은 비디오 파일 인 경우 바이러스에 감염 될 수 없습니다. 브라우저를 다운로드하는 동안 다운로드는 자체 형식으로 유지되므로 바이러스 백신이 바이러스를 탐지합니다. AVI 파일을 다운로드 할 때 파일을 다운로드 한 후 비디오 플레이어에서 파일이 잘못된 파일인지 확인하십시오. 파일이 유효하지 않으면 파일이 재생되지 않으며 바이러스가 될 것이라고 추측하는 가격이 없습니다.

약간의 바이러스 감염 가능성이있는 경우 더블 클릭하여 직접 실행하면 바이러스가 나옵니다. 예방 조치를 취하면 바이러스 백신 소프트웨어가 필요하지 않습니다.