Les fichiers AVI peuvent-ils contenir un virus?
Je télécharge un fichier AVI via un torrent, mais mon anti-virus détecte quelque chose. Est-il possible que le fichier AVI contient un virus?
C'est assez étrange car le torrent a de nombreuses critiques positives.
TL; DR
Un fichier .avi est une vidéo et n’est donc pas exécutable. Le système d’exploitation ne peut/ne veut pas exécuter le fichier. En tant que tel, il ne peut pas être un virus, mais il peut effectivement contenir un virus.
L'histoire
Auparavant, seuls les fichiers exécutables (c'est-à-dire «exécutables») étaient des virus. Plus tard, les vers Internet ont commencé à utiliser l'ingénierie sociale pour inciter les gens à exécuter des virus. Une astuce courante consisterait à renommer un fichier exécutable pour y inclure d’autres extensions telles que .avi ou .jpg, afin de tromper l’utilisateur en lui faisant croire qu’il s’agit d’un fichier multimédia et l’exécuter. Par exemple, un client de messagerie peut uniquement afficher la première douzaine de caractères de pièces jointes. Ainsi, en attribuant une fausse extension à un fichier, puis en le complétant d'espaces comme dans "FunnyAnimals.avi .exe", l'utilisateur voit ce qui ressemble à une vidéo et l'exécute, puis est infecté. .
Ce n'était pas seulement de l'ingénierie sociale (tromper l'utilisateur), mais aussi un début exploit . Il a exploité l'affichage limité des noms de fichiers des clients de messagerie pour réussir son tour.
Technique
Plus tard, des exploits plus avancés sont venus. Les auteurs de logiciels malveillants désassembleraient un programme pour examiner son code source et rechercheraient certaines parties présentant une mauvaise gestion des données et des erreurs qu’elles pourraient exploiter. Ces instructions prennent souvent la forme d'une sorte de saisie de l'utilisateur. Par exemple, une boîte de dialogue de connexion sur un système d'exploitation ou un site Web peut ne pas effectuer de vérification des erreurs ou de validation des données, et suppose donc/attend de l'utilisateur qu'il entre uniquement les données appropriées. Si vous saisissez ensuite des données inattendues (ou dans le cas de la plupart des exploits, trop de données), l’entrée se retrouvera en dehors de la mémoire qui a été affectée pour contenir les données. Normalement, les données utilisateur ne doivent être contenues que dans une variable, mais en exploitant une vérification des erreurs et une gestion de la mémoire médiocres, il est possible de les placer dans une partie de la mémoire pouvant être exécutée. Une méthode courante et bien connue est le buffer-overflow qui met plus de données dans la variable qu'elle ne peut en contenir, écrasant ainsi d'autres parties de la mémoire. En créant astucieusement l'entrée, il est possible de provoquer un dépassement du code (instructions), puis de transférer le contrôle sur ce code. À ce stade, le ciel est généralement la limite quant à ce qui peut être fait une fois que le malware a le contrôle.
Les fichiers multimédias sont les mêmes. Ils peuvent être conçus pour contenir un peu de code machine et exploiter le lecteur multimédia pour que le code machine finisse par s'exécuter. Par exemple, il peut être possible de mettre trop de données dans les méta-données du fichier multimédia. Ainsi, lorsque le lecteur essaie d’ouvrir le fichier et de le lire, il déborde des variables et entraîne l’exécution de code. Même les données réelles pourraient théoriquement être conçues pour exploiter le programme.
Ce qui est pire avec les fichiers multimédias, c'est que, contrairement à un identifiant clairement mauvais, même aux profanes (par exemple, username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^), un fichier multimédia peut être créé de manière à ce qu'il contienne un support approprié, légitime, même corrompu et ayant un aspect parfaitement légitime La stéganographie (littéralement «écriture masquée») est généralement utilisée pour dissimuler des données dans d'autres données, mais il s'agit essentiellement de la même chose, car le malware serait dissimulé dans ce qui ressemble à du mal médias légitimes.
Alors oui, les fichiers multimédias (et d'ailleurs, any fichier) peuvent contenir un virus en exploitant les vulnérabilités du programme qui ouvre/vues le fichier. Le problème est que vous n'avez souvent même pas besoin d'ouvrir ou d'afficher le fichier à infecter. La plupart des types de fichiers peuvent être prévisualisés ou leurs métadonnées doivent être lues sans les ouvrir à dessein. Par exemple, il suffit de sélectionner un fichier multimédia dans l'Explorateur Windows pour lire automatiquement les métadonnées (dimensions, longueur, etc.) du fichier. Cela pourrait potentiellement constituer un vecteur d’attaque si un auteur de programmes malveillants découvrait une vulnérabilité dans la fonction de prévisualisation/métadonnées d’Explorer et créait un fichier multimédia qui l’exploite.
Heureusement, les exploits sont fragiles. Ils n'affectent généralement qu'un lecteur multimédia ou un autre, par opposition à tous les lecteurs, et même dans ce cas, leur fonctionnement ne fonctionne pas pour différentes versions du même programme (c'est pourquoi les systèmes d'exploitation publient des mises à jour pour corriger les vulnérabilités). Pour cette raison, les auteurs de programmes malveillants ne passent généralement que leur temps à craquer des systèmes/programmes largement utilisés ou de grande valeur (Windows, systèmes bancaires, etc.), ce qui est d'autant plus vrai que le piratage a gagné en popularité en tant qu'affaire criminelle. essayer d’obtenir de l’argent et ce n’est plus seulement le domaine des nerds qui essaient d’obtenir la gloire.
Application
Si votre fichier vidéo est infecté, il ne vous infectera probablement que si vous utilisez le ou les lecteurs multimédias pour lesquels il est spécifiquement conçu. Si ce n'est pas le cas, il peut se bloquer, ne pas s'ouvrir, jouer avec la corruption ou même très bien (ce qui est le pire des cas, car il est signalé comme étant correct et se propage à d'autres personnes susceptibles d'être infectées).
Les programmes anti-programmes malveillants utilisent généralement des signatures et/ou des méthodes heuristiques pour détecter les programmes malveillants. Les signatures recherchent des modèles d'octets dans les fichiers qui correspondent généralement aux instructions de virus connus. Le problème est qu’en raison des virus polymorphes qui peuvent changer chaque fois qu’ils se reproduisent, les signatures deviennent moins efficaces. Les heuristiques observent des comportements tels que l'édition de fichiers spécifiques ou la lecture de données spécifiques. Celles-ci ne s'appliquent généralement que lorsque le logiciel malveillant est déjà en cours d'exécution, car l'analyse statique (examiner le code sans l'exécuter) peut s'avérer extrêmement complexe grâce aux techniques d'obscurcissement et d'évasion des logiciels malveillants.
Dans les deux cas, les programmes anti-malware peuvent et doivent signaler des faux positifs.
Conclusion
De toute évidence, l’étape la plus importante en matière de sécurité informatique consiste à récupérer vos fichiers à partir de sources fiables. Si le torrent que vous utilisez provient d'un endroit en qui vous avez confiance, alors vraisemblablement ça devrait aller. Sinon, vous voudrez peut-être y réfléchir à deux fois (d'autant plus qu'il existe des groupes anti-piratage qui volontairement libèrent des torrents contenant des faux ou même des logiciels malveillants).
Je ne dirai pas que c'est impossible, mais ce serait difficile. Le rédacteur du virus devrait créer l’AVI pour déclencher un bogue dans votre lecteur multimédia, puis exploiter celui-ci pour exécuter du code sur votre système d’exploitation, sans savoir quel lecteur multimédia ou système d’exploitation vous utilisez. Si vous maintenez votre logiciel à jour et/ou si vous utilisez autre chose que Windows Media Player ou iTunes (en tant que plates-formes les plus grandes, ce seront les meilleures cibles), vous devriez être assez en sécurité.
Cependant, il existe un risque connexe très réel. De nos jours, les films sur Internet utilisent une variété de codecs, et le grand public ne comprend pas ce qu'est un codec. Tout ce qu'ils savent, c'est "c'est quelque chose que je dois parfois télécharger pour que le film soit lu". C'est un véritable vecteur d'attaque. Si vous téléchargez quelque chose et que vous recevez le message "Pour voir ceci, vous avez besoin du codec de [un site Web]", nous sommes alors certains de savoir ce que vous faites car vous pourriez vous infecter.
Oui c'est possible. Les fichiers AVI, comme tous les fichiers, peuvent être spécialement conçus pour tirer parti des bogues connus du logiciel qui les gère.
Les logiciels antivirus détectent des modèles connus dans les fichiers, tels que du code exécutable dans des fichiers binaires, ou des constructions spécifiques JavaScript dans HTML , potentiellement virus.
Une extension de fichier avi ne garantit pas que le fichier est un fichier vidéo. Vous pouvez obtenir n'importe quel virus .exe et le renommer en .avi (cela vous oblige à télécharger le virus, soit la moitié du chemin pour infecter votre ordinateur). Si un exploit permettant d'ouvrir le virus sur votre ordinateur est ouvert, vous seriez affecté.
Si vous pensez qu'il s'agit d'un malware, arrêtez simplement le téléchargement et supprimez-le, ne l'exécutez jamais avant une analyse antivirus.
Réponse rapide:OUI.
Réponse légèrement plus longue:
- Un fichier est un conteneur pour différents types de données.
- Un fichier
AVI(Entrelacement audio-vidéo) est conçu pour contenir des données audio et vidéo entrelacées. Normalement, il ne devrait contenir aucun code exécutable. - À moins que l'attaquant ne soit déterminé de manière inhabituelle, il est peu probable qu'un fichier
AVIcontenant des données audio-vidéo contienne un virus
CEPENDANT ...
- Un fichier
AVIa besoin d’un décodeur pour faire quoi que ce soit d’utile. Par exemple, vous utilisez peut-être déjà Windows Media Player pour lire les fichiersAVIet voir leur contenu. - Si le décodeur ou l'analyseur de fichiers ont des bogues que l'attaquant peut exploiter, ils produiront intelligemment un fichier
AVItel que:- lors de votre tentative d'ouverture de ces fichiers (par exemple si vous double-cliquez pour démarrer la lecture de la vidéo) avec votre analyseur AVI ou décodeur buggy, ces bogues cachés se déclencheront
- En conséquence, il peut permettre à l’attaquant d’exécuter le code de son choix sur votre ordinateur, en laissant éventuellement votre ordinateur infecté.
- Voici un rapport de vulnérabilité qui répond exactement à ce que vous demandez.
C'est possible, oui, mais très peu probable. Vous êtes plus susceptible d’essayer d’afficher un fichier WMV et de le charger automatiquement ou de vous demander de télécharger une licence, ce qui fait apparaître une fenêtre du navigateur qui pourrait exploiter votre ordinateur s’il n’est pas entièrement patché.
Le plus populaire des virus 'AVI' que j'ai entendu dire a été,something.avi.exefichiers téléchargés sur un ordinateur Windows
configuré pour masquer les extensions de fichier dans l'explorateur.
L'utilisateur oublie généralement ce fait plus tard et suppose que le fichier est AVI.
Couplé à l'attente d'un joueur associé, un double-clic lance réellement le fichier EXE.
Après cela, ses fichiers AVI ont été étrangement transcodés et vous obligent à télécharger un nouveaucodec pour les visualiser.
La soi-disant codec est généralement le véritable «virus» ici.
J'ai également entendu parler des exploits de dépassement de tampon AVI, mais quelques bonnes références seraient utiles.
Mon résultat: le coupable est généralement l'un des éléments suivants plutôt que le fichier AVI lui-même
- La
codecinstallée sur votre système pour gérer le fichier AVI - Le joueur utilisé
- L'outil de partage de fichiers utilisé pour obtenir le fichier AVI
Une courte lecture sur la prévention des programmes malveillants: P2P ou partage de fichiers
.avi (ou .mkv d'ailleurs) sont containers et prennent en charge l'inclusion d'une variété de supports - plusieurs flux audio/vidéo, sous-titres, navigation dans les menus de type dvd, etc. Rien n'empêche l'inclusion de contenu exécutable malveillant mais il ne sera exécuté que dans scénarios décrits par Synetech dans sa réponse }
Cependant, il existe un angle communément expliqué qui est laissé de côté. Compte tenu de la variété de codecs disponibles et de l'absence de restriction quant à leur inclusion dans les fichiers de conteneur, il existe des protocoles communs permettant d'inviter un utilisateur à installer le codec nécessaire. De plus, les lecteurs multimédias peuvent être configurés pour tenter automatiquement la recherche et l'installation de codecs. En fin de compte, les codecs sont exécutables (moins un petit tableau de plugins) et peuvent contenir du code malveillant.
Techniquement, pas de télécharger le fichier. Mais une fois que le fichier est ouvert, tout dépend du joueur et de l’implémentation du codec.
Mon antivirus Avast vient de m'annoncer qu'un cheval de Troie était intégré à l'un de mes AVI de films téléchargés. Lorsque j'ai essayé de le mettre en quarantaine, il a été déclaré que le fichier était trop volumineux et qu'il ne pouvait pas être déplacé. J'ai donc dû le supprimer.
Le virus s'appelle WMA.wimad [susp] et est apparemment un virus de menace moyenne qui effectue une sorte de piratage du navigateur. Ce n'est pas exactement une panne de système, mais cela prouve que vous pouvez contracter des virus à partir de fichiers AVI.
Si le téléchargement n'est pas encore terminé, attendez avant de terminer avant de décider quoi faire. Lorsque le téléchargement n'est que partiellement terminé, les parties manquantes du fichier sont essentiellement du bruit et sont assez susceptibles de produire des faux positifs lors de la recherche de logiciels malveillants.
Comme @Synetech l'a expliqué en détail, il est possible de propager des programmes malveillants via des fichiers vidéo, éventuellement avant même la fin du téléchargement. Mais que ce soit possible ne signifie pas que c'est probable . D'après mon expérience personnelle, les risques de faux positifs lors d'un téléchargement en cours sont beaucoup plus élevés.
Ayant passé du temps à aider les utilisateurs à résoudre les problèmes liés aux logiciels malveillants, je peux témoigner que le mécanisme d'exploitation habituel utilisé par les fraudeurs est plus social que technique.
Le fichier est simplement nommé * .avi.exe et le paramètre par défaut de Windows ne révèle pas les extensions de fichier courantes. Le fichier exécutable se voit simplement attribuer une icône de fichier AVI. Ceci est similaire à la tactique utilisée pour distribuer * .doc.exe virus où le fichier a l’icône winword.
J'ai également observé des tactiques douteuses telles que l'utilisation de noms de fichiers longs dans la distribution P2P, de sorte que le client n'affiche que les noms partiels dans la liste des fichiers.
Utiliser des fichiers de mauvaise qualité
Si vous devez utiliser le fichier, utilisez toujours un bac à sable configuré pour arrêter les connexions Internet sortantes. Le pare-feu Windows est mal configuré pour autoriser les connexions sortantes par défaut. L'exploitation est une action qui, comme toute action, a toujours une motivation. Généralement, il siphonne les mots de passe du navigateur ou les cookies, octroie une licence et transfère le contenu à une ressource externe (telle que FTP) détenue par un attaquant. Par conséquent, si vous utilisez un outil tel que sandboxie, désactivez les connexions Internet sortantes. Si vous utilisez une machine virtuelle, assurez-vous qu'elle ne contient aucune information sensible et bloquez toujours les accès Internet sortants à l'aide d'une règle de pare-feu.
Si vous ne savez pas ce que vous faites, n'utilisez pas le fichier. Soyez prudent et ne prenez pas de risques qui ne valent pas la peine d'être pris.
Réponse courte, oui. Une réponse plus longue suit le didacticiel de baseTropical PC Solutions: comment cacher un virus!et en créer un pour vous-même.