Могут ли быть вирусы в файлах avi

Обновлено: 03.07.2024

А бывают вирусы в видеофайлах (.mov, .avi ) ? Если да, то как их можно проверять - Нортон Антивирус вроде не проверяет. вирусы также есть в wmv
когда скачивает доп лицензию

Мне уже интересно..

Скажите пожалуйста,как настроить ослика..чтоб не пропускал вирусы, я месяц назад троян поймала, комп здох полностью.Теперь вот опять глючить начинает.

никак. Можно только ограничить риск заражения:
1)Всегда проверять файлы полученные мулом на наличие вирусов антивирусом с последними базами.
2)При использовании мулопоиска игнорировать файлы короче 50М и/или с кол-вом источников >1000
3)качать мулом только фильмы в формате avi и музыку в формате mp3(возможно в rar или (лучше)zip)
4)не качать мулом игры и любые другие программы(особенно с "лекарством")
5)работать в операционной системе, для которой написано мало вирусов(MacOS, Linux, Free(Open)BSD)
6)не пользоваться TCP/IP вообще и Internet в частности
7)не пользоваться компьютером.

Я абсолютно серьёзно.

PS: Напоминаю, что при использовании KAV и других антивирусов каталоги emule/temp & emule/incoming необходимо исключить из области мониторинга.

А точно Ослик виноват? И каким образом был пойман троян?

В дополнение: у меня Касперский проверяет обе папки, пока проблем не возникало.

Мне уже интересно..

Oleg1960 Когда у меня месяц назад сдох коп ,то востанавливала мне его DELL компания ,вот эти люди и сказали что осликом легко передаётся троян, о чём многие не знают.Сказали лучше воздержатся от скачивания ..но я не послушалась и на свой риск загрузила ослика опять, теперь опять комп глючит..

Да, действительно, осликом передаётся троян(даже не один), однако он не один такой. 95% вирусов попадают(и главное - заражают) в компьютер через ИнтернетЭксплоер. Что-бы не подхватить троян осликом достаточно не скачивать небольшие файлы(меньше 50М). В фильмах формата avi вирусов нет(пока нет), мало того, даже если и есть, они не смогут запуститься(пока таких вирусов не обнаружено).

По поводу Касперского: конечно надо периодически проверять все диски(в т.ч. и с файлами мула), причём желательно каждый день, однако, если у вас включен режим мониторинга(т.е. KAV проверяет каждый открытый/изменённый/перемещённый файл), то каталоги мула необходимо исключить от такой проверки.

Ну, всякий должен соблюдать элементарные правила безопасности: о вирусах
Ну, всякий должен соблюдать элементарные правила безопасности: о вирусах P2P-Worm — черви для файлообменных сетей
Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.
Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию. Да, действительно. Элементарные правила я привёл чуть выше, а здесь хочу обратить внимание на последний абзац в цитате.
К примеру на абсолютно бессмысленный запрос в поиск "риукрмлульдуьмульпототиеолеи" выдаётся много-много результатов:
риукрмлульдуьмульпототиеолеи (multilanguage).exe
риукрмлульдуьмульпототиеолеи crack(no cd).exe
риукрмлульдуьмульпототиеолеи keygen.exe
и так далее. Вот так вирусы и ловят.
По поводу Касперского: конечно надо периодически проверять все диски(в т.ч. и с файлами мула), причём желательно каждый день, однако, если у вас включен режим мониторинга(т.е. KAV проверяет каждый открытый/изменённый/перемещённый файл), то каталоги мула необходимо исключить от такой проверки. А можно узнать поподробнее - почему? Очень непонятно все-таки.

Дело в том, что мул не качает весь файл последовательно, начиная с байта 0, 1,2,3. Он качает кусками(примерно по 10М) в разное время , и из совершенно разных мест(из разных точек планеты). И ещё и в совершенно случайном порядке. После того, как все куски закачены, мул проверяет целостность всех кусков, это очень непростой процесс. Т.к. файлы очень большие, многие куски оказываются битыми(мул часто использует быстрый, но не надёжный протокол UDP), эти куски приходится качать по новой. Все эти процессы сборки/проверки/докачки/повторной сборки очень сильно загружают память компьютера(особенно жёсткий диск, ведь одновременно качается 5-20 файлов в среднем по 1G, используемый объём памяти 20-100Gb). Во первых, не надо лишний раз тормозить эти процессы антивирусом, и так не быстро, а во вторых, это можно будет проверить потом, например перед запуском(просмотром).

PS: При прямой закачке файла всё просто:

Но если качать мулом, то таких красненьких ромбиков KAV добавляется сотни, и каждый из них жрёт память и время процессора. В итоге, обычно ОС просто падает :(

Я загружаю файл AVI через торрент, но мой антивирус обнаруживает что-то , Возможно ли, что файл AVI содержит вирус?

Это довольно странно, поскольку в торренте много положительных отзывов.

Файл .avi является видео и, следовательно, не является исполняемым, поэтому операционная система может /не будет запускать файл. Таким образом, он не может быть вирусом в своем собственном праве, но действительно может содержать вирус.

В прошлом только исполняемые файлы (т. е. «грозные») были бы вирусами. Позже интернет-черви начали использовать социальную инженерию, чтобы обмануть людей в запущенные вирусы. Популярным трюком было бы переименование исполняемого файла, чтобы включить другие расширения, такие как .avi или .jpg , чтобы обмануть пользователя, считая его медиа-файлом и запускать его. Например, клиент электронной почты может отображать только первые дюжины символов вложений, поэтому, давая файлу ложное расширение, затем заполняйте его пробелами, как в "FunnyAnimals.avi .exe" , пользователь видит, что выглядит как видео, запускает его и заражается.

Это была не только социальная инженерия (обманщик), но и ранняя использовать . Он использовал ограниченное отображение имен файлов почтовых клиентов, чтобы снять трюк.

Позже появились более продвинутые подвига. Вредоносные программы будут разбирать программу для изучения исходного кода и поиска определенных частей, которые имели бы плохую обработку данных и ошибок, которые они могли бы использовать. Эти инструкции часто принимают форму какого-либо пользовательского ввода. Например, диалоговое окно входа в систему на ОС или веб-сайт может не выполнять проверку ошибок или проверку данных и, таким образом, предположить /ожидать, что пользователь будет вводить только соответствующие данные. Если вы затем вводите данные, которых он не ожидает (или в случае большинства эксплойтов, слишком много данных), тогда вход будет за пределами памяти, которая была назначена для хранения данных. Обычно данные пользователя должны содержаться только в переменной, но, используя плохую проверку ошибок и управление памятью, можно поместить ее в часть памяти, которая может быть выполнена. Общим и общеизвестным методом является переполнение буфера , который помещает больше данных в переменную, чем он может удерживаться, тем самым перезаписывая другие части памяти. Умело обрабатывая ввод, можно вызвать превышение кода (инструкций), а затем передать управление этому коду. В этот момент небо обычно является пределом того, что можно сделать, когда вредоносное ПО контролирует.

Файлы мультимедиа совпадают. Они могут быть сделаны так, чтобы они содержали немного машинного кода и использовали медиаплеер, чтобы завершился запуск машинного кода. Например, можно было бы добавить слишком много данных в метаданные медиафайлов, чтобы, когда игрок пытается открыть файл и прочитать его, он переполняет переменные и вызывает запуск некоторого кода. Даже фактические данные теоретически могут быть использованы для использования программы.

Итак, медиа-файлы (и, если на то пошло, любой ) могут содержать вирус, используя уязвимости в программе, которые открывает /views em> файл. Проблема в том, что вам часто даже не нужно открывать или просматривать файл для заражения. Большинство типов файлов могут бытьпросматривать или читать свои метаданные без преднамеренного их открытия. Например, простой выбор медиафайла в Проводнике Windows будет автоматически считывать метаданные (размеры, длина и т. Д.) Из файла. Это потенциально может быть вектором атаки, если писатель вредоносных программ обнаружил уязвимость в функции предварительного просмотра /метаданных Explorer Explorer и создал файл мультимедиа, который его использует.

К счастью, эксплойты хрупки. Обычно они влияют только на один медиаплеер или другой, в отличие от всех игроков, и даже тогда они не гарантируют работу для разных версий одной и той же программы (поэтому операционные системы выпускают обновления для уязвимостей патча). Из-за этого разработчики вредоносных программ обычно только тратят свое время на взлом системы /программы в широком использовании или высокой ценности (например, Windows, банковские системы и т. Д.). Это особенно верно, поскольку хакинг приобрел популярность как бизнес с преступниками пытаясь получить деньги и уже не просто область кретинов, пытающихся получить славу.

Если ваш видеофайл заражен, он скорее всего заразит вас, только если вы используете медиаплеер (ы), который он специально предназначен для использования. Если нет, то он может потерпеть крах, не открыться, сыграть с коррупцией или даже сыграть просто отлично (это самый худший сценарий, потому что тогда его помещают как хорошо и распространяют на других, кто может заразиться).

Антивирусные программы обычно используют сигнатуры и /или эвристику для обнаружения вредоносных программ. Подписи ищут шаблоны байтов в файлах, которые обычно соответствуют инструкциям в известных вирусах. Проблема в том, что из-за полиморфных вирусов, которые могут меняться каждый раз, когда они воспроизводятся, подписи становятся менее эффективными. Эвристика наблюдает за поведением, например, редактированием определенных файлов или чтением конкретных данных. Они обычно применяются только после того, как вредоносная программа уже запущена, потому что статический анализ (проверка кода без его запуска) может быть чрезвычайно сложным благодаря методам обфускации и уклонения от вредоносных программ.

В обоих случаях программы защиты от вредоносных программ могут и сообщают о ложных срабатываниях.

Очевидно, что самым важным шагом в обеспечении безопасности вычислений является получение файлов из надежных источников. Если торрент, который вы используете, откуда-то вы доверяете, тогда предположительно все должно быть в порядке. Если нет, то вам может захотеть дважды подумать об этом (особенно потому, что существуют группы по борьбе с пиратством, которые преднамеренно выпускают торренты, содержащие подделки или даже вредоносное ПО).

Я не буду говорить, что это невозможно, но это будет сложно. Автору вируса придется обрабатывать AVI, чтобы вызвать ошибку в медиаплеере, а затем каким-то образом использовать это для запуска кода в вашей операционной системе - не зная, какой медиаплеер или ОС вы используете. Если вы постоянно обновляете свое программное обеспечение и /или если вы запускаете что-то отличное от Windows Media Player или iTunes (как самые большие платформы, они будут лучшими целями), вы должны быть в безопасности.

Однако существует очень рискованный риск. Фильмы в Интернете в наши дни используют множество кодеков, а широкая публика не понимает, что такое кодек, - все, что они знают, «это то, что мне иногда приходится скачивать, чтобы фильм играл». Это настоящий вектор атаки. Если вы что-то загрузите и сказали «чтобы просмотреть это, вам нужен кодек с [какого-нибудь веб-сайта]», то мы уверены, что вы знаете, что делаете, потому что можете заразить себя.

Расширение файла avi не является гарантией того, что файл является видео-файлом. Вы можете получить любой .exe-вирус и переименовать его в .avi (это заставляет вас скачать вирус, что наполовину пути заражения вашего компьютера). Если на вашем компьютере открыт какой-либо эксплойт, который позволяет вирусу запускаться, тогда вы будете затронуты.

Если вы считаете, что это вредоносное ПО, просто прекратите загружать и удалять его, никогда не выполнять его перед антивирусной проверкой.

Да, это возможно. Файлы AVI, как и каждый файл, могут быть специально созданы для использования известных ошибок в программном обеспечении, которое управляет этими файлами.

Антивирусное программное обеспечение обнаруживает ноу-хау в файлах, например исполняемый код в двоичных файлах, или конкретный JavaScript конструкции в страницах HTML , которые, возможно, являются вирусами.

Быстрый ответ: ДА .

Слегка длинный ответ:

Файл представляет собой контейнер для различных типов данных.
Файл AVI (Audio Video Interleave) предназначен для содержат перемеженные аудио- и видеоданные. Обычно он не должен содержать исполняемый код.
Если злоумышленник необычно определен, маловероятно, чтобы файл AVI с аудио-видео данными фактически содержал вирус

ОДНАКО .

Для файла AVI необходим декодер, чтобы сделать что-нибудь полезное. Например, вы уже можете использовать Windows Media Player для воспроизведения файлов AVI , чтобы просмотреть их содержимое.
Если декодер или файл-парсер имеют ошибки, которые может использовать злоумышленник, они будут продуманно создавать файл AVI , так что:
- при попытке открыть эти файлы (например, если вы дважды щелкните, чтобы начать воспроизведение видео) с помощью вашего багги-анализатора или декодера AVI, эти скрытые ошибки вызовут
- В результате он может позволить злоумышленнику выполнить код по своему выбору на вашем компьютере, что потенциально может привести к заражению вашего компьютера.
- Вот отчет об уязвимости, который отвечает именно тем, что вы спрашивают.
Возможно, да, но очень маловероятно. Вы, скорее всего, будете пытаться просматривать WMV и автоматически загружать URL-адрес или запрашивать у вас лицензию, которая, в свою очередь, открывает окно браузера, которое может использовать ваш компьютер, если он не полностью исправлен.

Самые популярные из вирусов «AVI», которые я слышал, были, something.avi.exe файлы, загружаемые на Windows-машину
который настроен на скрывать расширения файлов в проводнике.

Пользователь обычно забывает об этом позже и предполагает, что файл является AVI.
В сочетании с ожиданием ассоциированного игрока двойной щелчок фактически запускает EXE.

Затем, это были необычно перекодированные AVI-файлы, для которых требуется загрузить новый codec , чтобы увидеть их.
Так называемый codec обычно является настоящим «вирусом» здесь.

Я также слышал об эксплойтах переполнения буфера AVI, но было бы полезно использовать несколько хороших ссылок.

Моя нижняя строка: преступник обычно является одним из следующих, а не только файлом AVI
- codec , установленный в вашей системе для обработки AVI
- Используемый проигрыватель
- Инструмент совместного использования файлов, используемый для получения файла AVI
Краткое предупреждение о предотвращении вредоносного ПО: P2P или общий доступ к файлам р>

.avi (или .mkv ) являются контейнерами и поддерживают включение разнообразия мультимедиа - несколько аудио /видеопотоков , субтитры, dvd-подобную навигацию по меню и т. д. Ничто не мешает включению вредоносного исполняемого содержимого, но оно не будет выполняться, если только в сценариях Synetech описанный в его ответе

Тем не менее, есть один часто распадающийся угол. Учитывая множество доступных кодеков и никаких ограничений на их включение в файлы контейнеров, существуют общие протоколы, предлагающие пользователю установить необходимый кодек, и это не помогает настроить медиаплееры для автоматической попытки поиска и установки кодеков. В конечном итоге кодеки исполняются (за вычетом небольшого массива из них, которые основаны на плагинах) и могут содержать вредоносный код.

Технически, не от загрузки файла. Но как только файл открывается, это честная игра в зависимости от игрока и реализации кодека.

My Avast Antivirus только что сообщил мне, что есть троянец, встроенный в один из моих загруженных AVI фильмов. Когда я попытался выполнить карантин, он сказал, что файл слишком большой и не может быть перемещен, поэтому мне пришлось его удалить.

Вирус называется WMA.wimad [susp] и является очевидным вирусом средней угрозы, который делает какой-то материал для захвата браузера. Не совсем нарушение системы, но это доказывает, что вы можете получать вирусы из файлов AVI.

Если загрузка еще не завершена, подождите, пока она не завершится, прежде чем вы решите, что делать. Когда загрузка только частично завершена, недостающие части файла по существу являются шумами и весьма склонны к созданию ложных срабатываний при проверке на наличие вредоносного ПО.

Как поясняет @Synetech подробно, можно распространять вредоносное ПО через видеофайлы, возможно, до того, как загрузка даже закончится. Но что возможно не означает, что это вероятность . Из моего личного опыта шансы ложного позитива во время текущей загрузки намного выше.

Проведя время, помогая пользователям разрешать проблемы с вредоносными программами, я могу показать, что обычный механизм использования, используемый мошенниками, более социальный, чем технический.

Файл просто называется *. avi.exe , а параметр по умолчанию в Windows не показывает общие расширения файлов. Исполняемому файлу просто присваивается значок файла AVI. Это похоже на тактику, используемую для распространения вирусов * .doc.exe , где файл имеет значок словаря.

Я также наблюдал хитроумные тактики, такие как длинные имена файлов, которые используются в дистрибутиве p2p, поэтому клиент отображает только частичные имена в списке файлов.

Использование дрянных файлов

Если вам нужно использовать файл, всегда используйте изолированную программу, которая настроена на остановку исходящих интернет-подключений. Брандмауэр Windows плохо настроен для разрешения исходящих подключений по умолчанию. Эксплуатация - это действие, которое, как и любое действие, всегда имеет мотивацию. Обычно это выполняется для синхронизации паролей браузера или файлов cookie, лицензии и передачи содержимого на внешний ресурс (например, FTP), принадлежащий злоумышленнику. Следовательно, если вы используете такой инструмент, как sandboxie, отключите исходящие интернет-соединения. Если вы используете виртуальную машину, убедитесь, что она не содержит конфиденциальной информации и всегда блокирует исходящий доступ в Интернет с использованием правила брандмауэра.

Если вы не знаете, что делаете, не используйте этот файл. Будьте в безопасности и не рискуйте, что не стоит принимать.

Короткий ответ, да. Более длинный ответ следует основному учебнику Tropical PC Решения: Как скрыть вирус! и сделать это для себя.

Я скачиваю файл AVI через торрент, но мой антивирус что-то обнаруживает. Возможно ли, что файл AVI содержит вирус?

Это довольно странно, так как у торрента есть много положительных отзывов.
@ user3183 VideoLAN использует свои собственные кодеки внутри. Ничто не мешает одному из его собственных кодеков иметь ошибку, которую может использовать злоумышленник. @ Soandos, это не обязательно так. Файл может быть разработан для использования торрент-клиента, когда он хэширует его, чтобы проверить, что он хорош; он также может быть разработан для использования операционной системы, когда он читает файл для создания эскиза или извлечения метаданных. @IMB, какой файл помечен антивирусом? Это положительные отзывы от реальных людей или они явно сгенерированы / скопированы?
.avi Файл видео, и , следовательно , не является исполняемым, так что операционная система может / не будет работать файл. Как таковой, он не может быть вирусом сам по себе, но он действительно может содержать вирус.

В прошлом вирусами были только исполняемые (то есть «запускаемые») файлы. Позже интернет-черви начали использовать социальную инженерию, чтобы обманом заставить людей запускать вирусы. Популярным приемом было бы переименовать исполняемый файл, включив в него другие расширения, например .avi или .jpg , чтобы заставить пользователя думать, что это медиафайл, и запускать его. Например, почтовый клиент может отображать только первые дюжину символов вложений, поэтому, присвоив файлу ложное расширение, а затем добавив в него пробелы, как в "FunnyAnimals.avi .exe" , пользователь видит то, что выглядит как видео, запускает его и заражается.

Это была не только социальная инженерия (обман пользователя), но и ранний подвиг . Он использовал ограниченное отображение имен файлов почтовых клиентов, чтобы осуществить свой трюк.

Позже появились более продвинутые эксплойты. Авторы вредоносных программ разбирали бы программу, чтобы изучить ее исходный код и найти определенные части, которые имели плохую обработку данных и ошибок, которые они могли бы использовать. Эти инструкции часто принимают форму какого-либо пользовательского ввода. Например, диалоговое окно входа в систему на ОС или веб-сайте может не выполнять проверку ошибок или проверку данных и, таким образом, предполагает / ожидает, что пользователь введет только соответствующие данные. Если затем вы вводите данные, которых он не ожидает (или, в случае большинства эксплойтов, слишком много данных), то этот ввод окажется вне памяти, которая была назначена для хранения данных. Обычно пользовательские данные должны содержаться только в переменной, но, используя плохую проверку ошибок и управление памятью, можно поместить их в часть памяти, которая может быть выполнена. Распространенным и хорошо известным методом являетсяпереполнение буфера, которое помещает в переменную больше данных, чем она может содержать, перезаписывая, таким образом, другие части памяти. Умело создавая входные данные, можно вызвать переполнение кода (инструкций) и затем передать управление этому коду. На этом этапе небо обычно является пределом того, что может быть сделано после того, как вредоносная программа получит контроль.

Медиа-файлы одинаковы. Их можно сделать так, чтобы они содержали немного машинного кода и использовали медиаплеер, чтобы машинный код в конечном итоге работал. Например, может быть возможно поместить слишком много данных в метаданные медиа-файла, чтобы при попытке проигрывателя открыть файл и прочитать его, он переполнил переменные и вызвал выполнение некоторого кода. Даже фактические данные могут быть теоретически созданы для использования программы.

Так что да, медиа-файлы (и, в любом случае , любой файл) могут содержать вирус, используя уязвимости в программе, которая открывает / просматривает файл. Проблема в том, что вам часто даже не нужно открывать или просматривать зараженный файл. Большинство типов файлов можно предварительно просмотреть или прочитать их метаданные, не открывая их преднамеренно. Например, простой выбор мультимедийного файла в проводнике Windows автоматически считывает метаданные (размеры, длину и т. Д.) Из файла. Это может быть потенциальным вектором атаки, если автор вредоносного ПО обнаружит уязвимость в функции предварительного просмотра / метаданных Explorer и создаст медиа-файл, который его использует.

К счастью, подвиги хрупки. Они обычно влияют только на один медиаплеер или другой, в отличие от всех плееров, и даже в этом случае они не гарантированно работают для разных версий одной и той же программы (поэтому операционные системы выпускают обновления для исправлений уязвимостей). Из-за этого авторы вредоносных программ, как правило, пытаются потратить время на взлом систем / программ, которые широко используются или имеют большую ценность (например, Windows, банковские системы и т. Д.). Это особенно верно, поскольку хакерская деятельность приобрела популярность как бизнес с преступниками. пытаясь получить деньги и больше не является областью ботаников, пытающихся получить славу.

Если ваше видео файл будет заражен, то он, вероятно , только заразить вас , если вы решили использовать медиа - плеер (ы) , что он разработан специально для использования. Если нет, то он может аварийно завершить работу, не открыться, не сыграть с коррупцией или даже просто отлично сыграть (что является наихудшим сценарием, потому что затем помечается как «все в порядке» и распространяется другим лицам, которые могут заразиться).

Антивирусные программы обычно используют сигнатуры и / или эвристику для обнаружения вредоносных программ. Сигнатуры ищут шаблоны байтов в файлах, которые обычно соответствуют инструкциям для известных вирусов. Проблема в том, что из-за полиморфных вирусов, которые могут изменяться при каждом размножении, сигнатуры становятся менее эффективными. Эвристика наблюдает такие паттерны поведения, как редактирование определенных файлов или чтение определенных данных. Обычно они применяются только после того, как вредоносное ПО уже запущено, потому что статический анализ (проверка кода без его запуска) может быть чрезвычайно сложным благодаря методам запутывания и уклонения от вредоносного ПО.

В обоих случаях антивирусные программы могут и сообщать о ложных срабатываниях.

Очевидно, что самый важный шаг в компьютерной безопасности - это получить ваши файлы из надежных источников. Если используемый вами торрент откуда-то, которому вы доверяете, то, вероятно, все должно быть в порядке. Если нет, то вы можете подумать об этом дважды (особенно если учесть, что существуют группы по борьбе с пиратством, которые преднамеренно выпускают торренты, содержащие фальшивые или даже вредоносные программы).

После того, как я прочитал пост о том, как TipTop не смог посмотреть кино, я сразу же вспомнил аналогичный случай. Как-то открыв обычный mp3 файл, вместо того, чтобы началось воспроизведение, к моему удивлению, открылась неизвестная веб-страница. Самое интересное, что страница была открыта в Internet Explorer'е (несмотря на то, что по умолчанию был установлен другой браузер), а ведь на той странице, автор файла мог бы добавить и какой-нибудь специальный эксплоит для IE.

В тот момент я не думал о странице с эксплоитом и вместо того, чтобы внимательно проанализировать файл и разобраться в чём проблема я просто его удалил. Единственное о чем я подумал, увидев необычное поведение системы это то, что кто-то довольно оригинально раскручивает свой сайт. Прошло уже несколько лет, но c тех пор такие случаи я не встречал. Прочитав статью о видео-вирусе я решил, что хотя бы на этот раз не упустить возможность узнать насколько безопасны являются одни из самых безобидных и распространенных файлов во всём мире.

Видео-Файл

И так как уважаемый TipTop, оставил комментарий, указав ссылку на файл, я не стал терять время даром и быстренько скачал торрент-файл. Но я был не один — одновременно со мной этот же видео-файл скачали ещё около 15 человек которые, подумал я, тоже хотят анализировать его. Но сейчас понял, что скорее всего у большинства из них были другие намерения и не знали они, что сегодня кина не будет ©.

DRM защита
После этого, первое что пришло в голову, было "запустить сниффер", но воздержался (и правильно сделал) — решив открыть файл в Hex-редакторе. Открыл в Hex-редакторе файл, который весил 150 MB и к моему счастью, всё было очень просто, так как уже на 20-ой строке нашел вот такой кусок текста:

Пока всё шло хорошо и желая немножко поэкспериментировать, решил изменить ссылку из видео-файла на своё. Но, увидев что после изменения строки даже WMP не может открыть файл и не зная что делать, спросил Google'а, не может ли он рассказать, что это за строка, WRMHEADER version='2.0.0.0', которую (помимо многих других) нашёл с помощью Hex-редактора?

Ответ был короткий и ясный как дневной свет — я имею дело с DRM-защитой видео-файлов. То есть, обнаружил как с помощью легальных и довольно убедительных методов, злоумышленники успешно и с уверенностью могут распространять вредоносные файлы, так как: во-первых, ни один антивирус не обнаружит, что видео-файл заражён, а во-вторых, большинство пользователей доверяют Microsoft и однозначно будут запускать такие файлы.

Более того, WMP не единственный плеер, который может открыть DRM защищенные файлы. Полный список плееров я не нашёл, но могу с уверенностью сказать что Nero ShowTime поддерживает DRM, только в отличие от WMP он реагирует более осторожно. только если подтвердить скачивание лицензии, веб-страница открывается в IE (несмотря на то, что он не является браузером по умолчанию).

А сейчас самое интересное: если изменить расширение файла из .wmv в .asf или в .wma, ничего не измениться, то есть плееры всё равно будет воспроизводить медиа-файл и что самое опасное, в большинстве случаев .wma-файлы будут открыты в Windows Media Player. Кстати, забыл сказать, после того как открыл видео-файл в Hex-редакторе, для удобства, удалил ненужные байты и в итоге размер файла стал равен 5.31KB.

Internet Explorer

Наверно, многие думают что "Опасности в этом нет! Никакие лицензии не буду скачивать! Да и вообще, причём тут Internet Explorer, WMP и видео-файлы?". Сначала я тоже так думал, ведь там есть кнопочка «Cancel», но как оказалось, опасность есть и не маленькая, а «Cancel» никого не спасет, если файл открылся в WMP. А Internet Explorer — это же браузер, программное обеспечение для просмотра веб-сайтов.

Я нашёл информацию о том что можно взломать DRM-защиту, но делать этого не стал. Во-первых, не знал удастся ли изменить ссылку, а во-вторых, выбрал более легкий путь. В файле hosts добавил строку:

Как Вы поняли, пытаясь воспроизвести видео-файл, WMP принудительно отключился, а это значит, что он уязвим к эксплоиту предназначенному для MSIE. Я проверил только один эксплоит, но этого было достаточно, чтобы изменились мои представления о безопасности медиа-файлов.

Защита
Чтобы существенно снизить риск возможных атак, рекомендую отключить в WMP автоматическое получение лицензии для DRM-защищенных файлов. Для этого, открываем Параметры (Options) и во вкладке Конфиденциальность (Privacy) снимаем галочку с пункта 'Получать лицензии автоматически для защищенного содержимого' (Download usage right automatically when I play or sync a file):

Теперь, при открытии файла, WMP будет спросить, если 'Вы действительно хотите открыть веб-страницу, чтобы получить лицензию':

Несмотря на то что, разработчики предупреждают об опасности и знают что 'веб-страницы могут содержать элементы, которые могут представлять опасность для компьютера' — они всё-таки по умолчанию отключили данную опцию. Странно, не правда ли?

Вместо постскриптума

Я почти был уверен, что всё будет также как и с Nero ShowTime, но любопытство заставило мена нажать на кнопку 'Yes'. Вместо запуска IE, я увидел следующее:

Правда, в отличие от Windows Media Player, Winamp не предупреждает откуда будет скачан файл лицензии, но разрешает использовать правый клик и посмотреть исходный код страницы. а также для него срабатывают алерты:

Заключение

С первого взгляда, не всё так страшно как кажется, но хочу обратить Ваше внимание на то, что открывая такой файл, пользователь никак не сможет остановить запуск эксплоита, а антивирусная программа помочь не в состоянии, так как, если это новый эксплоит, то, скорее всего, он не ещё добавлен в базу антивируса.

Просто, не забывайте о том, что не у всех пользователей установлены другие аудио и видео проигрыватели. А ещё, я далеко не верю, что пользователь, который ждал 2 часа (в лучшем случае) чтобы скачать долгожданный файл, увидев что он не проигрывается, просто так удалит его, и никакое "не открывайте файлы в этом плеере!"— не поможет.

Примечание: (Большое спасибо хабраюзеру Dragonizer за замечание)

Читайте также: