マルウェア – AVIファイルはウイルスを含むことができますか?

avi malware virus

私はAVIファイルをトレント経由でダウンロードしていますが、私のアンチウイルスは何かを検出します。AVIファイルにウイルスが含まれている可能性はありますか?

トレントは多くの肯定的なレビューを持っているので、それはかなり奇妙です

  100  IMB  2012-07-05


ベストアンサー

TL;DR

.aviファイルはビデオですから、実行可能ではありません。そのため、それ自体はウイルスにはなりませんが、確かにウイルスを含むことができます

History

過去には、実行可能な(つまり「実行可能な」)ファイルだけがウイルスになっていましたが、その後、インターネットワームはソーシャルエンジニアリングを利用して、人々を騙してウイルスを実行させるようになりました。その後、インターネットワームは、人々を騙してウイルスを実行させるためにソーシャルエンジニアリングを使い始めました。よくあるトリックは、実行可能ファイルの名前を変更して、.avi.jpgのような他の拡張子を含むようにして、ユーザーを騙してメディアファイルだと思わせて実行させることです。例えば、電子メールクライアントは添付ファイルの最初の十数文字しか表示しない場合があるので、ファイルに偽の拡張子を与え、"FunnyAnimals.avi              .exe"のようにスペースを入れてパディングすることで、ユーザーはビデオのように見えるものを見て実行し、感染してしまいます

これはソーシャルエンジニアリング(ユーザーを騙す)だけでなく、初期のexploitでもありました。これは、メールクライアントのファイル名の限られた表示を悪用して、そのトリックを成功させました

Technical

その後、より高度なエクスプロイトが登場しました。マルウェア作者はプログラムを分解してソースコードを調べ、データ処理やエラー処理に問題がある部分を探し、それを悪用することができるようにしました。これらの指示は、多くの場合、ある種のユーザー入力の形をとっています。例えば、OSやウェブサイトのログインダイアログボックスは、エラーチェックやデータ検証を行わず、適切なデータのみを入力することを前提としています。そのため、ユーザが適切なデータのみを入力することを想定しているか、期待していないデータを入力した場合(あるいは、多くの悪用例では、データが多すぎる場合)、入力されたデータは、データを保持するために割り当てられていたメモリの外に出てしまいます。通常、ユーザデータは変数にのみ格納されるべきですが、エラーチェックやメモリ管理の悪さを悪用することで、実行可能なメモリの一部に格納することが可能になります。よくあるよく知られた方法は、buffer-overflowで、変数に保持できる以上のデータを入れてしまい、メモリの他の部分を上書きしてしまうというものです。入力を巧妙に細工することで、コード(命令)をオーバーランさせ、そのコードに制御を移すことが可能になります。この時点では、マルウェアが制御権を握った後に何ができるかは、通常制限されています

メディアファイルも同じです。それらのファイルは、少しのマシンコードを含むように作られ、マシンコードが実行されて終わるように、メディアプレイヤーを悪用することができます。例えば、メディアファイルのメタデータに多くのデータを入れすぎて、プレイヤーがファイルを開いて読もうとしたときに変数をオーバーフローさせて、いくつかのコードが実行されるようにすることが可能かもしれません。実際のデータでさえ、理論的にはプログラムを悪用するために細工される可能性があります

メディアファイルの何が悪いかというと、素人にも明らかに悪いログイン(username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)など)とは異なり、メディアファイルは、実際には破損すらしていない適切な正規のメディアを含むように作られているため、完全に正規のものに見え、感染の影響が出るまで全く検出されないということです。ステガノグラフィ (文字通り「隠蔽された書き込み」) は通常、他のデータの中にデータを隠すために使用されますが、マルウェアは合法的なメディアのように見えるものの中に隠されるので、これは本質的には同じことです

そうそう、メディアファイル(そしてそれに関しては、任意のファイル)は、ファイルを開く/表示するプログラムの脆弱性を悪用することで、ウイルスを含むことができます。問題は、多くの場合、ファイルを開いたり表示したりしなくても感染することがあるということです。ほとんどのファイルタイプは、意図的に開かなくてもプレビューしたり、メタデータを読み取ったりすることができます。例えば、Windowsエクスプローラでメディアファイルを選択するだけで、ファイルからメタデータ(寸法、長さなど)が自動的に読み込まれます。これは、マルウェアライターがエクスプローラのプレビュー/メタデータ機能の脆弱性を見つけ、それを悪用したメディアファイルを作成した場合、攻撃のベクトルとなる可能性があります

幸いなことに、エクスプロイトは脆弱です。通常、すべてのプレイヤーに影響を与えるのではなく、1つのメディアプレイヤーや別のプレイヤーに影響を与えるだけで、同じプログラムの異なるバージョンでも動作することは保証されていません(OSが脆弱性にパッチを当てるために更新プログラムを発行するのはそのためです)。このため、マルウェアライターは通常、広く使用されているシステムや価値の高いプログラム(例: Windows、銀行システムなど)をクラッキングすることに時間を費やしています

Application

あなたのビデオファイルが感染している場合、それはあなたがそれを悪用するために特別に設計されているメディアプレーヤー(複数可)を使用することが起こる場合にのみ感染する可能性があります。そうでない場合は、それがクラッシュする可能性があります、開くことに失敗し、破損して再生、あるいは、ちょうどうまく再生(これは、その後大丈夫としてフラグが立てられ、感染する可能性があります他の人に広がってしまうので、最悪のシナリオです)

マルウェア対策プログラムは通常、シグネチャやヒューリスティックを使用してマルウェアを検出します。シグネチャは、通常、よく知られたウイルスの命令に対応するファイル内のバイトのパターンを探します。問題は、複製のたびに変化する可能性のある多形ウイルスのため、シグネチャの効果が低くなっていることです。ヒューリスティックは、特定のファイルを編集したり、特定のデータを読んだりといった行動パターンを観察します。これらは通常、マルウェアがすでに実行されている場合にのみ適用されますが、静的解析(実行せずにコードを調べること)は、マルウェアの難読化や回避技術のおかげで非常に複雑になる可能性があるため、これらは通常、マルウェアがすでに実行されている場合にのみ適用されます

どちらの場合も、マルウェア対策プログラムは偽陽性を報告することができます

Conclusion

コンピュータの安全性を考える上で最も重要なステップは、信頼できるソースからファイルを入手することです。使用しているトレントが信頼できる場所からのものであれば、おそらく大丈夫でしょう。そうでない場合は、それについて二度考えたくなるかもしれません (特に、偽物やマルウェアを含むトレントを意図的にリリースする著作権侵害対策グループがあるので)

194  Synetech  2012-07-05


不可能とは言わないが、難しいだろう。ウィルスライターは、メディアプレーヤーのバグをトリガーにAVIを作成し、その後、何らかの形でオペレーティングシステム上でコードを実行するためにそれを悪用する必要があります – あなたが実行しているメディアプレーヤーやOSを知らなくても。あなたのソフトウェアを最新の状態に保つ場合、および/またはあなたがWindows Media PlayerやiTunes以外のものを実行している場合(最大のプラットフォームとして、それらは最高のターゲットになります)、あなたはかなり安全でなければなりません

しかし、非常に現実的な関連するリスクがあります。最近のインターネット上の映画は様々なコーデックを使用しており、一般の人々はコーデックが何であるかを理解していません – 彼らが知っているのは、「映画が再生されるように、時々ダウンロードしなければならないものだ」ということだけです。これは正真正銘の攻撃のベクトルです。あなたが何かをダウンロードして、「これを表示するには、[いくつかのウェブサイト]からのコーデックが必要です」と言われた場合、あなた自身に感染する可能性があるので、私たちはあなたが何をしているかを知っていることを非常に確信しています

30  John Fouhy  2009-08-19


aviファイルの拡張子は、ファイルがビデオファイルであることを保証するものではありません。あなたは、任意の.exeウイルスを取得し、.avi(これはあなたのコンピュータに感染するパスの半分であるものを、ウイルスをダウンロードすることができます)に名前を変更することができます。ウイルスを実行することができますあなたのマシン上で開いている任意のエクスプロイトがある場合は、影響を受けるだろう

マルウェアだと思ったら、ダウンロードを止めて削除するだけで、ウイルス対策スキャンの前には絶対に実行しないでください

12  Diogo  2012-07-05


はい、それは可能です。AVIファイルは、すべてのファイルのように、それらのファイルを管理するソフトウェアの既知のバグを利用するために特別に細工することができます

ウイルス対策ソフトは、バイナリファイル内の実行コードや、JavaScriptの構造など、ファイル内の既知のパターンを検出し、HTMLページ内でウイルスの可能性があるものを検出します

12  fmanco  2012-07-05


即答だYESです

少し長めの回答

  • ファイルは、さまざまなタイプのデータを格納するための容器です
  • AVI (Audio Video Interleave) ファイルは、インターリーブされたオーディオとビデオのデータを含むことを意味します。通常、実行可能なコードを含むべきではありません
  • 攻撃者が異常なまでに決めつけない限り、AVデータを含むAVIファイルに実際にウイルスが含まれている可能性はかなり低い

HOWEVER …

  • AVI ファイルは、何か役に立つことをするためにデコーダを必要とします。例えば、すでにWindows Media Playerを使ってAVIファイルを再生してコンテンツを見ているかもしれません
  • デコーダやファイルパーサに攻撃者が悪用できるバグがある場合、攻撃者は以下のような AVI ファイルを巧妙に生成します
    • 例えば、ダブルクリックしてビデオを再生し始めた場合など)、バグだらけのAVIパーサーやデコーダーでこれらのファイルを開こうとすると、これらの隠れたバグが発生します
    • その結果、攻撃者がコンピュータ上で任意のコードを実行し、コンピュータが感染したままになる可能性があります
    • お尋ねの内容に正確にお答えする脆弱性レポートはこちらです

9  gsbabil  2012-07-06


可能性はありますが、可能性は低いです。あなたは、WMVを表示しようとすると、URLを自動でロードしたり、ライセンスのダウンロードを要求したりする可能性が高くなります

8  Nicholas  2009-08-19


私が聞いた’AVI’ウイルスの中で最も人気のあるものは、エクスプローラーでファイル拡張子を隠すように設定されているWindowsマシン上でダウンロードされたsomething.avi.exeファイルです

ユーザーは通常、後になってその事実を忘れ、ファイルがAVIだと思い込んでしまいます。 関連するプレーヤーを期待していることと相まって、ダブルクリックすると実際にEXEが起動します


その後、それは奇妙にトランスコードされたAVIファイルで、それらを見るために新しいcodecをダウンロードする必要があります。 いわゆる codec がここでの本当の「ウイルス」です


私はまた、AVIのバッファオーバーフローの悪用について聞いたことがありますが、いくつかの良い参考文献が役に立つでしょう

私の結論:犯人は通常、AVIファイル自体ではなく、以下のいずれかです

  • AVIを扱うためにシステムにインストールされているcodec
  • 使われている選手
  • AVIファイルを取得するために使用するファイル共有ツール

マルウェア対策のちょっとした読み物。P2Pまたはファイルの共有

7  nik  2009-08-19


.avi (あるいは .mkv) はコンテナであり、複数のオーディオ/ビデオストリーム、字幕、DVD のようなメニューナビゲーションなど、さまざまなメディアのインクルードをサポートしています。悪意のある実行可能なコンテンツが含まれていることを妨げるものは何もありませんが、シナリオでSynetech氏が回答の中で説明しているような場合を除いては実行されません

それでも、一般的に爆発的に利用されている1つの角度が残されています。様々なコーデックが利用可能であり、コンテナファイルに含めることに制限がないことを考えると、必要なコーデックをインストールするためにユーザーを促す共通のプロトコルがあり、メディアプレイヤーが自動的にコーデックの検索とインストールを試みるように設定されている可能性があることは助けになりません。最終的にコーデックは実行可能であり(プラグインベースのものを除いて)、悪意のあるコードを含む可能性があります

6  o.v.  2012-07-06


技術的には、ファイルのダウンロードからではありません。しかし、一度ファイルが開かれると、プレイヤーとコーデックの実装に応じてフェアゲームになります

5  Jimmy  2009-08-19


私のAvast Antivirusは、ダウンロードした映画のAVIにトロイの木馬が埋め込まれていることを私に知らせてくれました。隔離しようとすると、ファイルが大きすぎて移動できないと言われたので、代わりに削除しなければなりませんでした

このウイルスはWMA.wimad [susp]と呼ばれ、ブラウザのハイジャックを行う中程度の脅威のウイルスであることは明らかです。正確にはシステムが壊れるわけではありませんが、AVIファイルからウイルスを取得できることを証明しています

5  James Mason  2011-01-05


ダウンロードがまだ完了していない場合は、ダウンロードが完了するまで待ってから対処するようにしてください。ダウンロードが部分的にしか完了していない場合、ファイルの欠落している部分は基本的にノイズであり、マルウェアをチェックした際に誤検出が発生しやすくなります

Synetech氏が詳しく説明しているように、動画ファイルを介してマルウェアを拡散させることは可能であり、ダウンロードが終了する前に拡散される可能性もあります。しかし、可能性があるということは、可能性があるということではありません。私の個人的な経験では、進行中のダウンロード中に誤検出される確率の方がはるかに高いです

3  Dennis  2012-07-05


ユーザーがマルウェアの問題を解決するための支援に時間を費やしてきた私は、詐欺師が使用する通常の搾取メカニズムが技術的なものよりも社会的なものであることを証言することができます

ファイル名は単純に*.avi.exeで、Windowsのデフォルト設定では一般的なファイル拡張子は表示されません。実行ファイルには単にAVIファイルのアイコンが割り当てられています。これは、ファイルがwinwordのアイコンを持つ*.doc.exeウイルスを配布するために使用される戦術に似ています

また、p2p配信では長いファイル名が使われているため、クライアントはファイルリストの中の部分的な名前だけを表示しているというようないかがわしい手口も見受けられます

粗悪なファイルの使用

どうしても使いたい場合は、必ずインターネットの発信接続を停止するように設定されているサンドボックスを使用してください。Windowsファイアウォールはデフォルトで発信接続を許可するように設定されているのが悪い。搾取は行為であり、どんな行為でもそうですが、常に動機があります。通常、ブラウザのパスワードやクッキーを盗み出したり、ライセンスを取得したり、攻撃者が所有する外部リソース(FTPなど)にコンテンツを転送したりするために行われます。したがって、サンドボクシーのようなツールを使用する場合は、インターネット接続を無効にしてください。仮想マシンを使用する場合は、そのマシンに機密情報が含まれていないことを確認し、ファイアウォールルールを使用して常に外部からのインターネットアクセスをブロックしてください

わからないことがあれば、ファイルを使わないようにしましょう。安全に気をつけて、取るに値しないリスクは取らないようにしましょう

2  R..  2012-07-06


短い答えは、「はい」です。長い答えは、基本的なチュートリアル Tropical PC Solutions に続きます。ウイルスを隠す方法!

2  pyCthon  2012-07-06


AVIファイルはウイルスに感染することはありません。あなたがtorrentから映画をダウンロードするときは、AVIの代わりに、映画はRARパッケージ内にあるか、またはそれがEXEファイルとしてある場合は、確かにそれにウイルスの可能性があります

中には、動画を見るためにどこかのサイトから追加のコーデックをダウンロードするように要求してくるものもあります。これらは疑わしいものです。しかし、それがAVIであれば、あなたは確かにあなたのビデオプレーヤーでそれを再生しようとするiyを与えることができます。何も起こらないでしょう

-2  ahmedmzl  2009-08-19


AVIファイルは、彼らがビデオファイルである場合、ウイルスを持っていることはできません。あなたのブラウザは、ウイルス対策がウイルスとして検出する理由は、それが独自の形式でダウンロードを保持している間。AVIファイルをダウンロードするときは、ファイルをダウンロードした後、それが無効なファイルである場合は、ビデオプレーヤーで実行されていることを確認してください、それは再生されませんし、それがウイルスであることを推測するための価格はありません

ダブルクリックして直接実行しようとすると、少しでもウイルスの可能性があれば出てきます。対策をしておけば、ウイルス対策ソフトは必要ありません

-3  Sreejit  2012-07-06


タイトルとURLをコピーしました