Identificare malware mascherato da AVI

fasteagle · 02-03-2016, 14:49

Sto scaricando un video con estensione AVI tramite torrent, arrivato al 25% circa. Ho provato a riprodurlo con VLC: il cursore del tempo avanza ma non si vede nè sente nulla, inoltre è errato il tempo totale del video (25h quando dovrebbe essere poco meno di 2h).
Ho analizzato il file dopo aver chiuso utorrent sia con gspot che mediainfo ed in entrambi i casi risulterebbe essere un EXE. In particolare questi sono i dati di mediainfo:

Codice:

General
Complete name                            : C:\[...].avi
Format                                   : MZ
Format profile                           : Executable / Intel i386
File size                                : 1.46 GiB
Encoded date                             : UTC 2016-01-29 06:34:42

Ho effettuato una ricerca e sembrerebbe che esistano file AVI che, analizzati con maediainfo e a causa di imperfezioni nella codifica, risultano Executable; almeno così ho letto qui.

Allora vi chiedo: come si fa per avere certezza che non si sta scaricando un virus/malware exe con estensione AVI?

Grazie in anticipo e a presto

x_Master_x · 05-03-2016, 11:45

Usa questo piccolo programma, IsEXE

Password:

Spoiler:

hwupgrade.it

Aprilo e carica un file, ti dirà se è un eseguibile oppure no. Quello che stai scaricando sembra proprio un EXE rinominato come AVI, si capisce da MZ, sempre se MediaInfo riporta informazioni corrette.

Quote:

The DOS MZ executable format is the executable file format used for .EXE files in DOS.

The file can be identified by the ASCII string "MZ" (hexadecimal: 4D 5A) at the beginning of the file (the "magic number"). "MZ" are the initials of Mark Zbikowski, one of the developers of MS-DOS

nn020 · 06-03-2016, 12:22

Quindi mi volete dire che un banale file AVI può nascondere codice malevolo al suo interno? Avvio l'AVI con mpc e parte il malware?

x_Master_x · 06-03-2016, 12:58

Sì improbabile ma non impossibile, potrebbe sfruttare una vulnerabilità/exploit/bug del lettore per eseguire il codice malevolo e vale per ogni tipo di file come immagini, musica, dati e così via. E' più probabile che il virus rimanga un .exe con l'affisso .xyz.exe ma in questo caso è facile da capire se si hanno le estensioni visualizzate.

02-03-2016, 14:49	#1
fasteagle Senior Member Iscritto dal: Oct 2013 Messaggi: 525	Identificare malware mascherato da AVI Sto scaricando un video con estensione AVI tramite torrent, arrivato al 25% circa. Ho provato a riprodurlo con VLC: il cursore del tempo avanza ma non si vede nè sente nulla, inoltre è errato il tempo totale del video (25h quando dovrebbe essere poco meno di 2h). Ho analizzato il file dopo aver chiuso utorrent sia con gspot che mediainfo ed in entrambi i casi risulterebbe essere un EXE. In particolare questi sono i dati di mediainfo: Codice: General Complete name : C:\[...].avi Format : MZ Format profile : Executable / Intel i386 File size : 1.46 GiB Encoded date : UTC 2016-01-29 06:34:42 Ho effettuato una ricerca e sembrerebbe che esistano file AVI che, analizzati con maediainfo e a causa di imperfezioni nella codifica, risultano Executable; almeno così ho letto qui. Allora vi chiedo: come si fa per avere certezza che non si sta scaricando un virus/malware exe con estensione AVI? Grazie in anticipo e a presto

06-03-2016, 12:22	#3
nn020 Senior Member Iscritto dal: Aug 2009 Messaggi: 709	Quindi mi volete dire che un banale file AVI può nascondere codice malevolo al suo interno? Avvio l'AVI con mpc e parte il malware? __________________ Ryzen 5600x \| MSI B550-M Mortar wifi \| MSI RTX 3060Ti OC 8GB \| 2x8GB DDR4 3200Mhz

06-03-2016, 12:58	#4
x_Master_x Senior Member Iscritto dal: May 2005 Messaggi: 8699	Sì improbabile ma non impossibile, potrebbe sfruttare una vulnerabilità/exploit/bug del lettore per eseguire il codice malevolo e vale per ogni tipo di file come immagini, musica, dati e così via. E' più probabile che il virus rimanga un .exe con l'affisso .xyz.exe ma in questo caso è facile da capire se si hanno le estensioni visualizzate. __________________ . Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend .

Strumenti
Mostra una versione stampabile Invia questa pagina per email