我正在通过torrent 下载AVI文件，但是我的防病毒软件检测到某些东西。AVI文件是否可能包含病毒？

由于种子文件有很多正面评价，这很奇怪。

TL; DR

一个.avi文件是一个视频的，因此是不可执行的，所以操作系统可以/将不运行该文件。因此，它本身不可能是病毒，但实际上可以包含病毒。

历史

过去，只有可执行文件（即“可运行”）才是病毒。后来，Internet蠕虫开始使用社交工程诱骗人们运行病毒。一个流行的技巧是重命名可执行文件以包含其他扩展名，例如.avi或.jpg，以诱使用户认为它是媒体文件并运行它。例如，电子邮件客户端可能只显示附件的前十二个字符，因此通过给文件提供错误的扩展名，然后在其中填充空格（如中）"FunnyAnimals.avi              .exe"，用户可以看到看起来像视频的视频并运行它并被感染。

这不仅是社会工程（吸引用户），而且是早期的利用。它利用了电子邮件客户端文件名的有限显示来发挥作用。

技术

后来，出现了更多高级漏洞利用。恶意软件编写者会反汇编程序以检查其源代码，并寻找可以利用的某些数据和错误处理不佳的部分。这些指令通常采用某种用户输入的形式。例如，操作系统或网站上的登录对话框可能不会执行错误检查或数据验证，因此会假定/期望用户仅输入适当的数据。如果随后输入了意外的数据（或者对于大多数漏洞利用来说，数据太多），那么输入将最终位于分配用于保存数据的内存之外。通常，用户数据应仅包含在变量中，但是通过利用差劲的错误检查和内存管理，可以将其放在可以执行的一部分内存中。常见且众所周知的方法是缓冲区溢出会将更多的数据放入变量中，无法容纳，从而覆盖了内存的其他部分。通过巧妙地设计输入，可以使代码（指令）被溢出，然后将控制权转移给该代码。在这一点上，一旦恶意软件得到控制，通常只能做些限制。

媒体文件是相同的。可以使它们包含一些机器代码并利用媒体播放器，从而使机器代码最终运行。例如，可能有可能在媒体文件的元数据中放入太多数据，以便播放器尝试打开文件并读取文件时，它会使变量溢出并使某些代码运行。从理论上说，甚至实际数据都可以用来开发该程序。

媒体文件更糟糕的是，与显然是不好的登录（甚至对于外行用户）不同的是（例如，username: johndoe234AUI%#639u36906-q1236^<>3;'k7y637y63^L:l,763p,l7p,37po[33p[o7@#^@^089*(^#)360as][.;][.][.>{"{"#:6326^)可以制作一个媒体文件，使其实际上包含没有损坏的正确，合法媒体，因此看起来完全合法且直至感染的效果产生完全去未被发现。隐写术（字面意思是“覆盖书写”）通常被用来掩盖在其他数据资料，但是这基本上是相同的事情，因为恶意软件将被隐藏在看起来像合法的媒体。

因此，可以，媒体文件（以及任何文件）可以通过利用打开/查看文件的程序中的漏洞来包含病毒。问题是您通常甚至不需要打开或查看要感染的文件。可以预览大多数文件类型或读取其元数据，而无需故意打开它们。例如，只需在Windows资源管理器中选择一个媒体文件，即可自动从文件中读取元数据（尺寸，长度等）。如果恶意软件编写者恰巧在Explorer的预览/元数据功能中发现漏洞并制作利用该漏洞的媒体文件，则可能是攻击的载体。

幸运的是，漏洞利用非常脆弱。它们通常只影响一个媒体播放器，而不影响另一个媒体播放器，即使那样，也不能保证它们可用于同一程序的不同版本（这就是操作系统发行补丁漏洞更新的原因）。因此，恶意软件编写者通常只花时间花费在广泛使用或高价值（例如Windows，银行系统等）的系统/程序破解上，这尤其如此，因为黑客作为犯罪分子在企业中广受欢迎试图赚钱，而不再只是试图获得荣耀的书呆子的领域。

应用

如果您的视频文件被感染，则只有在您恰巧使用专门设计用于利用它的媒体播放器时，它才可能感染您。如果不是，那么它可能崩溃，无法打开，玩弄腐败甚至玩得还不错（这是最坏的情况，因为然后被标记为“还可以，并传播给了可能感染了病毒的其他人”）。

反恶意软件程序通常使用签名和/或试探法来检测恶意软件。签名在文件中查找通常与众所周知的病毒中的指令相对应的字节模式。问题在于，由于多态性病毒每次复制都会发生变化，因此签名的有效性降低。启发式观察行为模式，例如编辑特定文件或读取特定数据。这些通常仅在恶意软件已经运行后才适用，因为由于恶意软件的混淆和规避技术，静态分析（检查代码而不运行代码）可能非常复杂。

在这两种情况下，反恶意软件程序都可以并且确实报告错误的阳性结果。

结论

显然，计算安全性中最重要的步骤是从受信任的来源获取文件。如果您正在使用的洪流来自您信任的地方，那么大概应该没问题。如果不是这样，那么您可能需要三思而后行（尤其是因为有一些反盗版组织故意发布包含伪造品甚至是恶意软件的种子）。

我不会说这是不可能的，但是会很困难。病毒编写者必须制作AVI来触发媒体播放器中的错​​误，然后以某种方式利用该AVI在操作系统上运行代码-不知道您正在运行哪种媒体播放器或OS。如果您使软件保持最新状态，并且/或者运行Windows Media Player或iTunes以外的其他软件（作为最大的平台，它们将是最好的目标），那么您应该很安全。

但是，存在一个非常现实的相关风险。如今，互联网上的电影使用各种编解码器，而公众却不了解编解码器是什么-他们所知道的只是“有时我必须下载某些内容才能播放电影”。这是真正的攻击媒介。如果您下载了某些内容并被告知“要查看此内容，则需要[某个网站]的编解码器”，那么我们非常确定您知道自己在做什么，因为您可能会感染自己。

avi文件扩展名不能保证该文件是视频文件。您可以获取任何.exe病毒并将其重命名为.avi（这使您可以下载病毒，这是感染计算机的一半路径）。如果您的计算机上存在任何允许病毒运行的漏洞利用程序，那么您将受到影响。

如果您认为它是恶意软件，请停止下载并删除它，在进行防病毒扫描之前不要执行它。

对的，这是可能的。像每个文件一样，AVI文件也可以进行特殊设计，以利用管理这些文件的软件中的已知错误。

防病毒软件检测文件中的已知模式，例如二进制文件中的可执行代码或HTML页面中的特定JavaScript构造，它们可能是病毒。

快速回答：是。

答案略长：

• 文件是用于存储不同类型数据的容器。
• 的AVI（音频视频交错）文件应该是包含交错的音频和视频数据。通常，它不应包含任何可执行代码。
• 除非明确确定攻击者，否则AVI带有音频视频数据的文件实际上不太可能包含病毒。

但是...

• 一个AVI文件需要一个解码器做任何有用的东西。例如，您可能已经在使用Windows Media Player播放AVI文件以查看其内容
• 如果解码器或文件解析器具有攻击者可以利用的错误，则他们将巧妙地产生一个AVI文件，使得：
  • 尝试使用有问题的AVI解析器或解码器打开这些文件（例如，如果双击以开始播放视频）时，这些隐藏的错误将触发
  • 结果，它可能允许攻击者在您的计算机上执行其选择的代码，从而可能使您的计算机受到感染。
  • 这是一个漏洞报告，可以准确回答您的要求。

有可能，是的，但可能性很小。您更有可能尝试查看WMV并让其自动加载URL或要求您下载许可证，这反过来会弹出一个浏览器窗口，如果没有完全打补丁，则可能利用您的计算机。

在我听说过的“ AVI”病毒中，最受欢迎的
something.avi.exe文件是在Windows计算机上下载的文件，该计算机
配置为在资源管理器中隐藏文件扩展名。

用户通常会忘记以后的事实，并假定文件为AVI。
结合他们对关联播放器的期望，双击实际上会启动EXE。

之后，它被奇怪地转换为AVI文件，要求您下载一个新文件 codec才能看到它们。
所谓codec的通常是这里真正的“病毒”。

我也听说过AVI缓冲区溢出漏洞利用，但是一些很好的参考将很有用。

我的底线：罪魁祸首通常是以下内容之一，而不是AVI文件本身

• 该codec系统处理AVI上安装
• 正在使用的播放器
• 用于获取AVI文件的文件共享工具

简短的恶意软件防护阅读：P2P或文件共享

.avi（或.mkv就此而言）是容器，并支持包含多种媒体-多个音频/视频流，字幕，类似dvd的菜单导航等。也无法阻止包含恶意可执行内容，但除非在Synetech在他的回答中描述的场景

尽管如此，仍然有一个通常的分解角度。给定各种可用的编解码器，并且没有将它们包括在容器文件中的限制，存在一些通用协议来提示用户安装必要的编解码器，并且媒体播放器可能配置为自动尝试查找和安装编解码器也无济于事。最终，编解码器是可执行的（减去一小部分基于插件的编解码器），并且可能包含恶意代码。

从技术上讲，并非来自下载文件。但是一旦打开文件，就取决于播放器和编解码器的实现，这是公平的游戏。

我的Avast Antivirus刚刚通知我，我下载的一部电影AVI中嵌入了一个木马。当我尝试隔离该文件时，它说该文件太大并且无法移动，因此我不得不将其删除。

该病毒被称为WMA.wimad [susp]并且显然是一种中等威胁病毒，它会执行某种浏览器劫持行为。并非完全破坏系统，但这确实证明您可以从AVI文件中感染病毒。

如果下载尚未完成，请等待下载完成后再决定要做什么。当下载仅部分完成时，文件的缺失部分本质上是杂音，并且在检查恶意软件时很容易产生误报。

正如@Synetech详细解释的那样，有可能通过视频文件传播恶意软件，甚至可能在下载完成之前。但是，可能并不意味着就可能。根据我的个人经验，在正在进行的下载过程中出现误报的几率要高得多。

花了很多时间来帮助用户解决恶意软件问题后，我可以证明诈骗者使用的通常利用机制比技术上更具社交性。

该文件简称为* .avi.exe，Windows中的默认设置不会显示常见的文件扩展名。可执行文件仅分配了AVI文件图标。这类似于用于分发* .doc.exe病毒的策略，该文件带有Winword的图标。

我还观察到了狡猾的策略，例如在p2p分发中使用了长文件名，因此客户端在文件列表中仅显示部分名称。

使用伪劣文件

如果需要使用该文件，请始终使用配置为停止传出Internet连接的沙箱。Windows防火墙配置错误，默认情况下允许传出连接。剥削是一种行动，就像任何行动一样，总是有动机。通常，它是通过虹吸浏览器的密码或cookie，许可并将内容传输到攻击者拥有的外部资源（例如FTP）来执行的。因此，如果使用沙盒之类的工具，请禁用传出Internet连接。如果使用虚拟机，请确保该虚拟机不包含任何敏感信息，并始终使用防火墙规则阻止传出的Internet访问。

如果您不知道自己在做什么，请不要使用该文件。要安全，不要冒险不值得承担的风险。

简短的回答，是的。基本教程Tropical PC Solutions的答案更长：如何隐藏病毒！自己做一个

AVI文件不会感染病毒。当您从洪流而不是AVI下载电影时，如果该电影是RAR软件包或作为EXE文件，则肯定存在病毒的可能性。

他们中的一些人要求您从某个网站下载其他编解码器以观看电影。这些是可疑的。但是，如果是AVI，那么您肯定可以尝试在视频播放器中播放它。什么都不会发生。

如果AVI文件是视频文件，则不能感染病毒。在下载浏览器时，会将下载保持其自己的格式，这就是防病毒软件将其检测为病毒的原因。在下载AVI文件时，请确保下载后的文件在视频播放器中运行，如果它是无效文件，则它将无法播放，并且没有价格可猜测它会成为病毒。

如果您尝试双击并直接运行它（如果有少许病毒的机会），它将出来。采取预防措施，您不需要防病毒软件。