¿Pueden los archivos AVI contener un virus?


99

Estoy descargando un archivo AVI a través de un torrent, pero mi antivirus detecta algo. ¿Es posible que el archivo AVI contenga un virus?

Es bastante extraño ya que el torrent tiene muchas críticas positivas.


2
@ user3183 VideoLAN utiliza sus propios códecs internamente. No hay nada que impida que uno de sus propios códecs tenga un error que un escritor de virus malicioso podría explotar.
GAThrawn

77
En caso de duda, detenga la descarga.

27
@soandos, eso no es necesariamente cierto. El archivo puede estar diseñado para explotar el torrent-client cuando lo comprime para comprobar que es bueno; También se puede diseñar para explotar el sistema operativo cuando lee el archivo para producir una miniatura o extraer metadatos.
Synetech

2
@IMB, ¿ qué archivo está marcando el antivirus? ¿Son las críticas positivas de personas reales o obviamente se generan / copian?
Synetech

Respuestas:


193

TL; DR

Un .aviarchivo es un video y, por lo tanto, no es ejecutable, por lo que el sistema operativo puede / no ejecutará el archivo. Como tal, no puede ser un virus por derecho propio, pero sí puede contener un virus.

Historia

En el pasado, solo los archivos ejecutables (es decir, "ejecutables") eran virus. Más tarde, los gusanos de Internet comenzaron a usar ingeniería social para engañar a las personas para que ejecutaran virus. Un truco popular sería cambiar el nombre de un ejecutable para incluir otras extensiones como .avio .jpgpara engañar al usuario para que piense que es un archivo multimedia y lo ejecute. Por ejemplo, un cliente de correo electrónico solo puede mostrar la primera docena de caracteres de los archivos adjuntos, por lo que al darle a un archivo una extensión falsa y luego rellenarlo con espacios "FunnyAnimals.avi              .exe", el usuario ve lo que parece un video, lo ejecuta y se infecta.

Esto no fue solo ingeniería social (engañando al usuario), sino también una hazaña temprana . Explotó la visualización limitada de nombres de archivo de clientes de correo electrónico para llevar a cabo su truco.

Técnico

Más tarde, aparecieron hazañas más avanzadas. Los creadores de malware desmontarían un programa para examinar su código fuente y buscar ciertas partes que tenían un manejo deficiente de datos y errores que podrían explotar. Estas instrucciones a menudo toman la forma de algún tipo de entrada del usuario. Por ejemplo, un cuadro de diálogo de inicio de sesión en un sistema operativo o sitio web puede no realizar la verificación de errores o la validación de datos y, por lo tanto, asumir / esperar que el usuario ingrese solo los datos apropiados. Si luego ingresa datos que no espera (o en el caso de la mayoría de los exploits, demasiados datos), la entrada terminará fuera de la memoria asignada para guardar los datos. Normalmente, los datos del usuario deben estar contenidos solo en una variable, pero al explotar la mala comprobación de errores y la gestión de la memoria, es posible colocarlos en una parte de la memoria que se puede ejecutar. Un método común y conocido es eldesbordamiento de búfer que pone más datos en la variable de los que puede contener, sobrescribiendo así otras partes de la memoria. Al crear inteligentemente la entrada, es posible hacer que el código (instrucciones) se desborde y luego transferir el control a ese código. En ese punto, el cielo suele ser el límite de lo que se puede hacer una vez que el malware tiene control.

Los archivos multimedia son iguales. Se pueden hacer para que contengan un poco de código de máquina y explotar el reproductor multimedia para que el código de máquina termine ejecutándose. Por ejemplo, podría ser posible poner demasiados datos en los metadatos del archivo multimedia para que cuando el reproductor intente abrir el archivo y leerlo, desborde las variables y haga que se ejecute algún código. Incluso los datos reales podrían teóricamente ser diseñados para explotar el programa.

Lo que es peor con los archivos multimedia es que, a diferencia de un inicio de sesión que es claramente malo, incluso para los legos (p. Ej. username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^), Se puede crear un archivo multimedia para que realmente contenga medios legítimos y adecuados que ni siquiera estén corruptos y parezcan completamente legítimos y no se detecta por completo hasta que se producen los efectos de la infección. La esteganografía (literalmente "escritura cubierta") generalmente se usa para ocultar datos en otros datos, pero esto es esencialmente lo mismo ya que el malware estaría oculto en lo que parecen medios legítimos.

Entonces, sí, los archivos multimedia (y para el caso, cualquier archivo) pueden contener virus al explotar vulnerabilidades en el programa que abre / ve el archivo. El problema es que a menudo ni siquiera necesita abrir o ver el archivo infectado. La mayoría de los tipos de archivos se pueden previsualizar o leer sus metadatos sin abrirlos a propósito. Por ejemplo, simplemente seleccionando un archivo multimedia en el Explorador de Windows leerá automáticamente los metadatos (dimensiones, longitud, etc.) del archivo. Potencialmente, esto podría ser un vector de ataque si un escritor de malware encuentra una vulnerabilidad en la función de vista previa / metadatos de Explorer y crea un archivo multimedia que la explota.

Afortunadamente, las hazañas son frágiles. Por lo general, solo afectan a un reproductor multimedia u otro en comparación con todos los reproductores, e incluso entonces, no se garantiza que funcionen para diferentes versiones del mismo programa (es por eso que los sistemas operativos emiten actualizaciones para corregir vulnerabilidades). Debido a esto, los creadores de malware generalmente solo se molestan en dedicar su tiempo a descifrar sistemas / programas de uso amplio o de alto valor (por ejemplo, Windows, sistemas bancarios, etc.) Esto es particularmente cierto ya que el pirateo ha ganado popularidad como negocio con delincuentes tratando de obtener dinero y ya no es solo el dominio de los nerds que intentan obtener la gloria.

Solicitud

Si su archivo de video está infectado, es probable que solo lo infecte si utiliza los reproductores multimedia que está específicamente diseñado para explotar. De lo contrario, puede bloquearse, no abrirse, jugar con corrupción o incluso jugar bien (que es el peor de los casos porque luego se marca como correcto y se propaga a otras personas que pueden infectarse).

Los programas antimalware usualmente usan firmas y / o heurísticas para detectar malware. Las firmas buscan patrones de bytes en los archivos que generalmente corresponden a instrucciones en virus conocidos. El problema es que debido a los virus polimórficos que pueden cambiar cada vez que se reproducen, las firmas se vuelven menos efectivas. La heurística observa patrones de comportamiento como editar archivos específicos o leer datos específicos. Por lo general, solo se aplican una vez que el malware ya se está ejecutando porque el análisis estático (examinar el código sin ejecutarlo) puede ser extremadamente complejo gracias a las técnicas de evasión y ofuscación de malware.

En ambos casos, los programas antimalware pueden, y lo hacen, informar falsos positivos.

Conclusión

Obviamente, el paso más importante en la seguridad informática es obtener sus archivos de fuentes confiables. Si el torrent que está usando proviene de un lugar en el que confía, entonces probablemente debería estar bien. Si no es así, entonces es posible que desee pensar dos veces sobre él, (sobre todo porque hay grupos antipiratería que a propósito liberan torrentes que contiene falsificaciones o incluso malicioso).


3
Buena visión general Hubo algunas vulnerabilidades bien conocidas en el pasado donde la carga útil se entregó como un archivo de imagen GIF. Las palabras clave para obtener más información son: "desbordamiento de búfer explotar la ejecución de código arbitrario"
horatio

3
@horatio, no había oído hablar de un exploit GIF (a menos que se refiera a la vulnerabilidad de GDI), pero sé que el exploit WMF fue una gran noticia.
Synetech

@GarrettFogerlie, gracias. Aparentemente es mi mejor momento. Lo extraño es que juro que escribí uno casi idéntico antes. o.O
Synetech

3
+1 Bravo para una descripción general muy completa, sucinta y fácil de entender del malware.
Phil

3
Además, para protegerse contra vulnerabilidades como estas, siempre se ejecuta la última versión del software porque algunas personas intentan solucionar estos errores.
sjbotha

29

No diré que es imposible, pero sería difícil. El creador de virus tendría que crear el AVI para activar un error en su reproductor multimedia, y luego explotarlo de alguna manera para ejecutar el código en su sistema operativo, sin saber qué reproductor multimedia o sistema operativo está ejecutando. Si mantiene su software actualizado, y / o ejecuta algo que no sea Windows Media Player o iTunes (como las plataformas más grandes, serán los mejores objetivos), debe estar bastante seguro.

Sin embargo, existe un riesgo relacionado que es muy real. En la actualidad, las películas en Internet usan una variedad de códecs, y el público en general no entiende lo que es un códec; todo lo que saben es "es algo que a veces tengo que descargar para que la película se reproduzca". Este es un vector de ataque genuino. Si descarga algo y le dicen "para ver esto, necesita el códec de [algún sitio web]", entonces estamos muy seguros de que sabe lo que está haciendo porque podría infectarse.


12

Una extensión de archivo avi no garantiza que el archivo sea un archivo de video. Puede obtener cualquier virus .exe y cambiarle el nombre a .avi (esto hace que descargue el virus, que es la mitad de la ruta para infectar su computadora). Si hay algún exploit abierto en su máquina que permita que se ejecute el virus, entonces se verá afectado.

Si cree que es un malware, simplemente detenga la descarga y elimínelo, nunca lo ejecute antes de un análisis antivirus.


17
-1 Así no es como un .avi probablemente lo infectaría, incluso si fuera un .exe renombrado a .avi, no se ejecutaría como un ejecutable cuando lo abriera, a menos que fuera lo suficientemente estúpido como para renombrarlo a .exe de antemano .
BlueRaja - Danny Pflughoeft

3
Transferir virus a la máquina de un usuario no es la parte más difícil, es una parte completamente trivial. Puede cambiar el nombre del archivo .exe a .jpg e incluirlo en una página web y se transferirá cuando el usuario visite su página. La parte más difícil de la infección es hacer la primera ejecución del código.
MatsT

2
@BlueRaja: En realidad, vi una infección en la computadora de un colega con un archivo .avi, y la reproduje yo mismo en una máquina virtual. Había descargado un archivo zip que contenía un par de archivos, uno con una extensión AVI y el otro un script por lotes. Abrir el AVI no funcionó, así que intentó abrir el guión. El script tenía un código para ejecutar el "AVI" desde la línea de comandos como un ejecutable, y puedes adivinar lo que sucedió después (el virus cifró todos los datos en su directorio de usuario después de cambiar la contraseña, y luego exigió $ 25 como penalización por actuar estúpido )
Hippo

3
@Hippo es un ejemplo bastante pobre, porque el virus real, las secuencias de comandos en este caso, vino con un AVI es irrelevante para el hecho de que AVI no puede infectar su computadora por sí mismo, teniendo en cuenta que la mayoría de las computadoras y los objetivos preferidos son conectado a Internet, el script simplemente puede descargar el virus de la web y nuevamente, si puede hacer que alguien ejecute un 'script', ¿por qué no poner el virus allí en primer lugar? -
omeid

2
pero cualquier otro archivo o extensión tendría el mismo impacto si lo hubiera.
omeid

12

Sí, es posible. Los archivos AVI, como todos los archivos, pueden diseñarse especialmente para aprovechar los errores conocidos en el software que administra esos archivos.

El software antivirus detecta patrones conocidos en los archivos, como código ejecutable en archivos binarios, o construcciones específicas de JavaScript en páginas HTML , que posiblemente sean virus.


9

Respuesta rápida: .

Respuesta un poco más larga:

  • Un archivo es un contenedor para diferentes tipos de datos.
  • Un AVIarchivo (Audio Video Interleave) está destinado a contener datos de audio y video intercalados. Normalmente, no debe contener ningún código ejecutable.
  • A menos que el atacante esté inusualmente determinado, es bastante improbable que un AVIarchivo con datos de audio y video contenga un virus

SIN EMBARGO ...

  • Un AVIarchivo necesita un decodificador para hacer algo útil. Por ejemplo, es posible que ya esté utilizando Windows Media Player para reproducir AVIarchivos para ver su contenido.
  • Si el decodificador o el analizador de archivos tienen errores que el atacante puede explotar, producirán inteligentemente un AVIarchivo tal que:
    • en su intento de abrir esos archivos (por ejemplo, si hace doble clic para comenzar a reproducir el video) con su analizador o decodificador AVI defectuoso, esos errores ocultos se activarán
    • Como resultado, puede permitir que el atacante ejecute el código de su elección en su computadora, lo que podría dejar su computadora infectada.
    • Aquí hay un informe de vulnerabilidad que responde exactamente lo que está preguntando.

La única respuesta real a la pregunta es "Aquí hay un informe de vulnerabilidad" en esta respuesta. Todos los demás solo especulan.
Alex

Hola @ Alex, creo que tienes razón. Mi intención era dar al OP algunos antecedentes. Estoy de acuerdo en que el informe de vulnerabilidad responde la pregunta por sí mismo.
gsbabil

Quizás no estaba lo suficientemente claro, solo quería decir que debido al informe, su respuesta es la que realmente responde a la pregunta original. +1.
Alex

8

Es posible, sí, pero muy poco probable. Es más probable que intente ver un WMV y que cargue automáticamente una URL o le solicite que descargue una licencia, que a su vez abre una ventana del navegador que podría explotar su máquina si no está completamente parcheada.


7

El más popular de los virus 'AVI' que he escuchado ha sido,
something.avi.exearchivos descargados en una máquina Windows
que está configurada para ocultar las extensiones de archivo en el explorador.

El usuario generalmente olvida ese hecho posterior y asume que el archivo es AVI.
Junto con sus expectativas de un jugador asociado, un doble clic en realidad inicia el EXE.


Después de eso, se han transcodificado archivos AVI que requieren que descargues uno nuevo codec para verlos.
El llamado codecgeneralmente es el verdadero "virus" aquí.


También he oído hablar de las vulnerabilidades de desbordamiento del búfer de AVI, pero algunas buenas referencias serían útiles.

Mi conclusión: el culpable suele ser uno de los siguientes en lugar del archivo AVI en sí

  • El codecinstalado en su sistema para manejar el AVI
  • El jugador usado
  • La herramienta para compartir archivos utilizada para obtener el archivo AVI

Una breve lectura de prevención de malware: P2P o uso compartido de archivos


6

.avi(o .mkvpara el caso) son contenedores y admiten la inclusión de una variedad de medios: múltiples transmisiones de audio / video, subtítulos, navegación de menú tipo DVD, etc. Tampoco hay nada que impida la inclusión de contenido ejecutable malicioso, pero no se ejecutará a menos que en escenarios que Synetech describió en su respuesta

Aún así, queda un ángulo explotado comúnmente. Dada la variedad de códecs disponibles y sin restricciones para incluirlos en los archivos contenedores, existen protocolos comunes para solicitar al usuario que instale el códec necesario y no ayuda que los reproductores multimedia puedan configurarse para intentar automáticamente la búsqueda e instalación de códecs. En última instancia, los códecs son ejecutables (menos una pequeña variedad de los que están basados ​​en complementos) y pueden contener código malicioso.


Buen punto sobre los códecs!
marabutt

5

Técnicamente, no desde la descarga del archivo. Pero una vez que se abre el archivo, es un juego justo dependiendo del jugador y la implementación del códec.


5

Mi Avast Antivirus acaba de informarme que había un troyano incrustado en una de mis películas AVI descargadas. Cuando intenté ponerlo en cuarentena, dijo que el archivo es demasiado grande y no se puede mover, por lo que tuve que eliminarlo.

El virus se llama WMA.wimad [susp]y aparentemente es un virus de amenaza media que hace algún tipo de secuestro del navegador. No es exactamente una falla en el sistema, pero demuestra que puede obtener virus de archivos AVI.


3

Si la descarga aún no se ha completado, espere antes de que se complete antes de decidir qué hacer. Cuando la descarga se completa solo parcialmente, las partes que faltan en el archivo son esencialmente ruidosas y bastante propensas a producir falsos positivos cuando se comprueba si hay malware.

Como @Synetech explicó en detalle, es posible propagar malware a través de archivos de video, posiblemente incluso antes de que finalice la descarga. Pero que sea posible no significa que sea probable . Desde mi experiencia personal, las probabilidades de un falso positivo durante una descarga en curso son mucho mayores.


> Las probabilidades de un falso positivo durante una descarga en curso son mucho mayores. No sé acerca de "mucho", pero ciertamente es posible ya que el archivo incompleto puede tener una gran cantidad de ceros que podría acaba de pasar a estar al lado de un poco de bytes normalmente inocuos que terminan pasando a parecer mal código máquina (en menos hasta que los valores nulos se sobrescriban con los datos reales).
Synetech

2
Por otro lado, las imágenes de vista previa en el Explorador de Windows son generadas por el reproductor de video de su elección. Si este reproductor es el que explota el virus, existe la posibilidad de atrapar el virus simplemente abriendo la carpeta del archivo en el explorador. En este caso, desea atrapar el virus antes de terminar de descargar el archivo. Ha habido virus que se propagaron así en el pasado.
BlueRaja - Danny Pflughoeft

@Synetech: No tengo datos sobre esto, pero conozco al menos a 20 personas que recibieron una falsa alarma por una descarga de torrent incompleta. Si bien leí que es posible, no conozco a nadie que haya infectado su computadora con un archivo de video real.
Dennis

1
@BlueRaja, sí, eso es lo que le advertí a Soandos arriba. Sin embargo, para los archivos multimedia más comunes, es Windows / WMP el que genera la vista previa, no un programa de terceros (la mayoría de los principiantes no tienen instalado FFDShow; al menos no si no instalan todos esos desagradables y abandonados por Dios) mega paquetes de códecs).
Synetech

1
@BlueRaja, no puedo encontrar ninguna información al respecto. ¿Puedes encontrar una fuente para eso? Solo uso el portátil, por lo que nunca he visto que VLC genere miniaturas. Además, uno pensaría que generaría miniaturas para cada tipo de video que puede reproducir y con el que está asociado, incluidos FLV, MKV, etc., pero no lo hace, por lo tanto, programas como Icaros. De hecho, parece que hay planes para implementar un controlador de vista previa de VLC, pero eso se ha retrasado.
Synetech

2

Después de pasar tiempo ayudando a los usuarios a resolver problemas de malware, puedo testificar que el mecanismo de explotación habitual utilizado por los estafadores es más social que técnico.

El archivo simplemente se denomina * .avi.exe y la configuración predeterminada en Windows no revela extensiones de archivo comunes. Al archivo ejecutable simplemente se le asigna un icono de archivo AVI. Esto es similar a las tácticas utilizadas para distribuir virus * .doc.exe donde el archivo tiene el icono de winword.

También he observado tácticas dudosas como el uso de nombres largos de archivos en la distribución p2p, por lo que el cliente muestra solo nombres parciales en la lista de archivos.

Usando archivos de mala calidad

Si necesita usar el archivo, use siempre un sandbox que esté configurado para detener las conexiones de Internet salientes. El firewall de Windows está mal configurado para permitir conexiones salientes de manera predeterminada. La explotación es una acción que, como cualquier acción, siempre tiene una motivación. Por lo general, se realiza para extraer las contraseñas o cookies del navegador, licenciar y transferir los contenidos a un recurso externo (como FTP) propiedad de un atacante. Por lo tanto, si usa una herramienta como sandboxie, deshabilite las conexiones de Internet salientes. Si utiliza una máquina virtual, asegúrese de que no contenga información confidencial y siempre bloquee el acceso saliente a Internet mediante una regla de firewall.

Si no sabe lo que está haciendo, no use el archivo. Esté seguro y no corra riesgos que no valen la pena.


2

Respuesta corta, si. Una respuesta más larga sigue el tutorial básico Tropical PC Solutions: ¡Cómo ocultar un virus! y haz uno para ti.


1
Tenga en cuenta que esa página en realidad no implementa un exploit para infectar un sistema, solo oculta algunos datos en un archivo de imagen usando esteganografía (en este caso es malware, pero podría ser cualquier cosa). El código no se ejecuta realmente, simplemente está oculto. Realiza el objetivo de obtener el código en el sistema de destino, pero luego necesitaría algún otro método de ejecución.
Synetech

-2

Los archivos AVI no se infectarán con virus. Cuando descarga películas desde un torrent, en lugar de AVI, si la película está en un paquete RAR o es como un archivo EXE, entonces seguramente hay una posibilidad de virus en ella.

Algunos de ellos le piden que descargue un códec adicional de algún sitio web para ver la película. Estos son los sospechosos. Pero si se trata de AVI, entonces seguramente puedes probarlo en tu reproductor de video. Nada pasará.


¿podría simplemente eliminar el archivo del virus?
user3183

@ user3183, posiblemente. El archivo puede estar diseñado para explotar una vulnerabilidad en WinRAR / 7-zip / etc.
Synetech

@Synetech: la probabilidad de que eso sea igual a la probabilidad de explotar una vulnerabilidad en su reproductor de medios, es decir, mucho menos probable que una explotación .avi.exe.
Lie Ryan

1
@LieRyan, exactamente. Hay suficientes programas de archivo diferentes y versiones de los mismos para que el área de destino sea (demasiado) grande. Para los sabuesos de la gloria, puede valer la pena el esfuerzo, pero para los piratas informáticos de negocios, es mejor apuntar al sistema operativo.
Synetech

-3

Los archivos AVI no pueden tener un virus si son archivos de video. Mientras descarga su navegador, mantiene la descarga en su propio formato, por eso el antivirus lo detecta como un virus. Al descargar el archivo AVI, asegúrese de que después de descargar el archivo se ejecute en un reproductor de video si es un archivo no válido, entonces no se reproducirá y no habrá precios por adivinar que será un virus.

Si intenta hacer doble clic y ejecutarlo directamente si hay una pequeña posibilidad de virus, entonces saldrá. Tome precauciones y no necesita software antivirus.


2
No están usando un navegador; Es un cliente torrent.
Synetech

yup mismo ocurre con los archivos torrent demasiado específicamente archivos torrent son un objetivo para estas compañías antivirus
Sreejit

1
la mayoría de los clientes de torrent no mantienen el archivo descargado en un formato diferente durante la descarga (aunque pueden usar un nombre de archivo / extensión diferente).
Synetech

Sí yo también estoy diciendo lo siento extensiones de no incluir eso y el antivirus no ver las extensiones para el control de virus
Sreejit

Ah, esta bien. Los programas antimalware también se pueden configurar para escanear independientemente de la extensión, pero eso tiende a ralentizar el sistema. :-(
Synetech
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.