Estoy descargando un archivo AVI a través de un torrent, pero mi antivirus detecta algo. ¿Es posible que el archivo AVI contenga un virus?

Es bastante extraño ya que el torrent tiene muchas críticas positivas.

TL; DR

Un .aviarchivo es un video y, por lo tanto, no es ejecutable, por lo que el sistema operativo puede / no ejecutará el archivo. Como tal, no puede ser un virus por derecho propio, pero sí puede contener un virus.

Historia

En el pasado, solo los archivos ejecutables (es decir, "ejecutables") eran virus. Más tarde, los gusanos de Internet comenzaron a usar ingeniería social para engañar a las personas para que ejecutaran virus. Un truco popular sería cambiar el nombre de un ejecutable para incluir otras extensiones como .avio .jpgpara engañar al usuario para que piense que es un archivo multimedia y lo ejecute. Por ejemplo, un cliente de correo electrónico solo puede mostrar la primera docena de caracteres de los archivos adjuntos, por lo que al darle a un archivo una extensión falsa y luego rellenarlo con espacios "FunnyAnimals.avi              .exe", el usuario ve lo que parece un video, lo ejecuta y se infecta.

Esto no fue solo ingeniería social (engañando al usuario), sino también una hazaña temprana . Explotó la visualización limitada de nombres de archivo de clientes de correo electrónico para llevar a cabo su truco.

Técnico

Más tarde, aparecieron hazañas más avanzadas. Los creadores de malware desmontarían un programa para examinar su código fuente y buscar ciertas partes que tenían un manejo deficiente de datos y errores que podrían explotar. Estas instrucciones a menudo toman la forma de algún tipo de entrada del usuario. Por ejemplo, un cuadro de diálogo de inicio de sesión en un sistema operativo o sitio web puede no realizar la verificación de errores o la validación de datos y, por lo tanto, asumir / esperar que el usuario ingrese solo los datos apropiados. Si luego ingresa datos que no espera (o en el caso de la mayoría de los exploits, demasiados datos), la entrada terminará fuera de la memoria asignada para guardar los datos. Normalmente, los datos del usuario deben estar contenidos solo en una variable, pero al explotar la mala comprobación de errores y la gestión de la memoria, es posible colocarlos en una parte de la memoria que se puede ejecutar. Un método común y conocido es eldesbordamiento de búfer que pone más datos en la variable de los que puede contener, sobrescribiendo así otras partes de la memoria. Al crear inteligentemente la entrada, es posible hacer que el código (instrucciones) se desborde y luego transferir el control a ese código. En ese punto, el cielo suele ser el límite de lo que se puede hacer una vez que el malware tiene control.

Los archivos multimedia son iguales. Se pueden hacer para que contengan un poco de código de máquina y explotar el reproductor multimedia para que el código de máquina termine ejecutándose. Por ejemplo, podría ser posible poner demasiados datos en los metadatos del archivo multimedia para que cuando el reproductor intente abrir el archivo y leerlo, desborde las variables y haga que se ejecute algún código. Incluso los datos reales podrían teóricamente ser diseñados para explotar el programa.

Lo que es peor con los archivos multimedia es que, a diferencia de un inicio de sesión que es claramente malo, incluso para los legos (p. Ej. username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^), Se puede crear un archivo multimedia para que realmente contenga medios legítimos y adecuados que ni siquiera estén corruptos y parezcan completamente legítimos y no se detecta por completo hasta que se producen los efectos de la infección. La esteganografía (literalmente "escritura cubierta") generalmente se usa para ocultar datos en otros datos, pero esto es esencialmente lo mismo ya que el malware estaría oculto en lo que parecen medios legítimos.

Entonces, sí, los archivos multimedia (y para el caso, cualquier archivo) pueden contener virus al explotar vulnerabilidades en el programa que abre / ve el archivo. El problema es que a menudo ni siquiera necesita abrir o ver el archivo infectado. La mayoría de los tipos de archivos se pueden previsualizar o leer sus metadatos sin abrirlos a propósito. Por ejemplo, simplemente seleccionando un archivo multimedia en el Explorador de Windows leerá automáticamente los metadatos (dimensiones, longitud, etc.) del archivo. Potencialmente, esto podría ser un vector de ataque si un escritor de malware encuentra una vulnerabilidad en la función de vista previa / metadatos de Explorer y crea un archivo multimedia que la explota.

Afortunadamente, las hazañas son frágiles. Por lo general, solo afectan a un reproductor multimedia u otro en comparación con todos los reproductores, e incluso entonces, no se garantiza que funcionen para diferentes versiones del mismo programa (es por eso que los sistemas operativos emiten actualizaciones para corregir vulnerabilidades). Debido a esto, los creadores de malware generalmente solo se molestan en dedicar su tiempo a descifrar sistemas / programas de uso amplio o de alto valor (por ejemplo, Windows, sistemas bancarios, etc.) Esto es particularmente cierto ya que el pirateo ha ganado popularidad como negocio con delincuentes tratando de obtener dinero y ya no es solo el dominio de los nerds que intentan obtener la gloria.

Solicitud

Si su archivo de video está infectado, es probable que solo lo infecte si utiliza los reproductores multimedia que está específicamente diseñado para explotar. De lo contrario, puede bloquearse, no abrirse, jugar con corrupción o incluso jugar bien (que es el peor de los casos porque luego se marca como correcto y se propaga a otras personas que pueden infectarse).

Los programas antimalware usualmente usan firmas y / o heurísticas para detectar malware. Las firmas buscan patrones de bytes en los archivos que generalmente corresponden a instrucciones en virus conocidos. El problema es que debido a los virus polimórficos que pueden cambiar cada vez que se reproducen, las firmas se vuelven menos efectivas. La heurística observa patrones de comportamiento como editar archivos específicos o leer datos específicos. Por lo general, solo se aplican una vez que el malware ya se está ejecutando porque el análisis estático (examinar el código sin ejecutarlo) puede ser extremadamente complejo gracias a las técnicas de evasión y ofuscación de malware.

En ambos casos, los programas antimalware pueden, y lo hacen, informar falsos positivos.

Conclusión

Obviamente, el paso más importante en la seguridad informática es obtener sus archivos de fuentes confiables. Si el torrent que está usando proviene de un lugar en el que confía, entonces probablemente debería estar bien. Si no es así, entonces es posible que desee pensar dos veces sobre él, (sobre todo porque hay grupos antipiratería que a propósito liberan torrentes que contiene falsificaciones o incluso malicioso).

No diré que es imposible, pero sería difícil. El creador de virus tendría que crear el AVI para activar un error en su reproductor multimedia, y luego explotarlo de alguna manera para ejecutar el código en su sistema operativo, sin saber qué reproductor multimedia o sistema operativo está ejecutando. Si mantiene su software actualizado, y / o ejecuta algo que no sea Windows Media Player o iTunes (como las plataformas más grandes, serán los mejores objetivos), debe estar bastante seguro.

Sin embargo, existe un riesgo relacionado que es muy real. En la actualidad, las películas en Internet usan una variedad de códecs, y el público en general no entiende lo que es un códec; todo lo que saben es "es algo que a veces tengo que descargar para que la película se reproduzca". Este es un vector de ataque genuino. Si descarga algo y le dicen "para ver esto, necesita el códec de [algún sitio web]", entonces estamos muy seguros de que sabe lo que está haciendo porque podría infectarse.

Una extensión de archivo avi no garantiza que el archivo sea un archivo de video. Puede obtener cualquier virus .exe y cambiarle el nombre a .avi (esto hace que descargue el virus, que es la mitad de la ruta para infectar su computadora). Si hay algún exploit abierto en su máquina que permita que se ejecute el virus, entonces se verá afectado.

Si cree que es un malware, simplemente detenga la descarga y elimínelo, nunca lo ejecute antes de un análisis antivirus.

Sí, es posible. Los archivos AVI, como todos los archivos, pueden diseñarse especialmente para aprovechar los errores conocidos en el software que administra esos archivos.

El software antivirus detecta patrones conocidos en los archivos, como código ejecutable en archivos binarios, o construcciones específicas de JavaScript en páginas HTML , que posiblemente sean virus.

Respuesta rápida: SÍ .

Respuesta un poco más larga:

• Un archivo es un contenedor para diferentes tipos de datos.
• Un AVIarchivo (Audio Video Interleave) está destinado a contener datos de audio y video intercalados. Normalmente, no debe contener ningún código ejecutable.
• A menos que el atacante esté inusualmente determinado, es bastante improbable que un AVIarchivo con datos de audio y video contenga un virus

SIN EMBARGO ...

• Un AVIarchivo necesita un decodificador para hacer algo útil. Por ejemplo, es posible que ya esté utilizando Windows Media Player para reproducir AVIarchivos para ver su contenido.
• Si el decodificador o el analizador de archivos tienen errores que el atacante puede explotar, producirán inteligentemente un AVIarchivo tal que:
  • en su intento de abrir esos archivos (por ejemplo, si hace doble clic para comenzar a reproducir el video) con su analizador o decodificador AVI defectuoso, esos errores ocultos se activarán
  • Como resultado, puede permitir que el atacante ejecute el código de su elección en su computadora, lo que podría dejar su computadora infectada.
  • Aquí hay un informe de vulnerabilidad que responde exactamente lo que está preguntando.

Es posible, sí, pero muy poco probable. Es más probable que intente ver un WMV y que cargue automáticamente una URL o le solicite que descargue una licencia, que a su vez abre una ventana del navegador que podría explotar su máquina si no está completamente parcheada.

El más popular de los virus 'AVI' que he escuchado ha sido,
something.avi.exearchivos descargados en una máquina Windows
que está configurada para ocultar las extensiones de archivo en el explorador.

El usuario generalmente olvida ese hecho posterior y asume que el archivo es AVI.
Junto con sus expectativas de un jugador asociado, un doble clic en realidad inicia el EXE.

Después de eso, se han transcodificado archivos AVI que requieren que descargues uno nuevo codec para verlos.
El llamado codecgeneralmente es el verdadero "virus" aquí.

También he oído hablar de las vulnerabilidades de desbordamiento del búfer de AVI, pero algunas buenas referencias serían útiles.

Mi conclusión: el culpable suele ser uno de los siguientes en lugar del archivo AVI en sí

• El codecinstalado en su sistema para manejar el AVI
• El jugador usado
• La herramienta para compartir archivos utilizada para obtener el archivo AVI

Una breve lectura de prevención de malware: P2P o uso compartido de archivos

.avi(o .mkvpara el caso) son contenedores y admiten la inclusión de una variedad de medios: múltiples transmisiones de audio / video, subtítulos, navegación de menú tipo DVD, etc. Tampoco hay nada que impida la inclusión de contenido ejecutable malicioso, pero no se ejecutará a menos que en escenarios que Synetech describió en su respuesta

Aún así, queda un ángulo explotado comúnmente. Dada la variedad de códecs disponibles y sin restricciones para incluirlos en los archivos contenedores, existen protocolos comunes para solicitar al usuario que instale el códec necesario y no ayuda que los reproductores multimedia puedan configurarse para intentar automáticamente la búsqueda e instalación de códecs. En última instancia, los códecs son ejecutables (menos una pequeña variedad de los que están basados ​​en complementos) y pueden contener código malicioso.

Técnicamente, no desde la descarga del archivo. Pero una vez que se abre el archivo, es un juego justo dependiendo del jugador y la implementación del códec.

Mi Avast Antivirus acaba de informarme que había un troyano incrustado en una de mis películas AVI descargadas. Cuando intenté ponerlo en cuarentena, dijo que el archivo es demasiado grande y no se puede mover, por lo que tuve que eliminarlo.

El virus se llama WMA.wimad [susp]y aparentemente es un virus de amenaza media que hace algún tipo de secuestro del navegador. No es exactamente una falla en el sistema, pero demuestra que puede obtener virus de archivos AVI.

Si la descarga aún no se ha completado, espere antes de que se complete antes de decidir qué hacer. Cuando la descarga se completa solo parcialmente, las partes que faltan en el archivo son esencialmente ruidosas y bastante propensas a producir falsos positivos cuando se comprueba si hay malware.

Como @Synetech explicó en detalle, es posible propagar malware a través de archivos de video, posiblemente incluso antes de que finalice la descarga. Pero que sea posible no significa que sea probable . Desde mi experiencia personal, las probabilidades de un falso positivo durante una descarga en curso son mucho mayores.

Después de pasar tiempo ayudando a los usuarios a resolver problemas de malware, puedo testificar que el mecanismo de explotación habitual utilizado por los estafadores es más social que técnico.

El archivo simplemente se denomina * .avi.exe y la configuración predeterminada en Windows no revela extensiones de archivo comunes. Al archivo ejecutable simplemente se le asigna un icono de archivo AVI. Esto es similar a las tácticas utilizadas para distribuir virus * .doc.exe donde el archivo tiene el icono de winword.

También he observado tácticas dudosas como el uso de nombres largos de archivos en la distribución p2p, por lo que el cliente muestra solo nombres parciales en la lista de archivos.

Usando archivos de mala calidad

Si necesita usar el archivo, use siempre un sandbox que esté configurado para detener las conexiones de Internet salientes. El firewall de Windows está mal configurado para permitir conexiones salientes de manera predeterminada. La explotación es una acción que, como cualquier acción, siempre tiene una motivación. Por lo general, se realiza para extraer las contraseñas o cookies del navegador, licenciar y transferir los contenidos a un recurso externo (como FTP) propiedad de un atacante. Por lo tanto, si usa una herramienta como sandboxie, deshabilite las conexiones de Internet salientes. Si utiliza una máquina virtual, asegúrese de que no contenga información confidencial y siempre bloquee el acceso saliente a Internet mediante una regla de firewall.

Si no sabe lo que está haciendo, no use el archivo. Esté seguro y no corra riesgos que no valen la pena.

Respuesta corta, si. Una respuesta más larga sigue el tutorial básico Tropical PC Solutions: ¡Cómo ocultar un virus! y haz uno para ti.

Los archivos AVI no se infectarán con virus. Cuando descarga películas desde un torrent, en lugar de AVI, si la película está en un paquete RAR o es como un archivo EXE, entonces seguramente hay una posibilidad de virus en ella.

Algunos de ellos le piden que descargue un códec adicional de algún sitio web para ver la película. Estos son los sospechosos. Pero si se trata de AVI, entonces seguramente puedes probarlo en tu reproductor de video. Nada pasará.

Los archivos AVI no pueden tener un virus si son archivos de video. Mientras descarga su navegador, mantiene la descarga en su propio formato, por eso el antivirus lo detecta como un virus. Al descargar el archivo AVI, asegúrese de que después de descargar el archivo se ejecute en un reproductor de video si es un archivo no válido, entonces no se reproducirá y no habrá precios por adivinar que será un virus.

Si intenta hacer doble clic y ejecutarlo directamente si hay una pequeña posibilidad de virus, entonces saldrá. Tome precauciones y no necesita software antivirus.