Thema anzeigen : Virus in einer AVI Datei ???

Niolente
hi,
letztens im Netz gefunden:

---------------------
<alien611> i have an ftp site as well but i closed it down coz some jackasses uploaded viruses to me
...
<alien611> but the virus i got messed up my mouse functions
<anonymous> why you execute the *.exe files without virus scanning ?
<alien611> somehow it wasnt an exe/com file but it was an embedded virus within an avi file
<anonymous> virus in avi ????
<alien611> the virus is released once u play the movie
<alien611> yup, i now know how to embed a virus into an avi file
<alien611> after that incident
<anonymous> windows media player ?
<alien611> any type of program that uses the div x decoders
<alien611> to play the divx avi movies
<anonymous> i never heard from that ...
<alien611> its new man, u should know more about it if u want to protect yerself
<anonymous> you have a site ?
<anonymous> with information ?
<alien611> umm.....sorry that is for members only...do searches in the internte...many will say its a hoax or BS but i do know it is true
<alien611> this also works with encoding a virus in picture files especially in BMP format
...
<alien611> many will say it but i dont really care coz if they ever get infected by viruses when playing movies they will understand how they got it.....
<anonymous> what is COZ ?
<alien611> because
----------------

Ist das wahr ???

cya, Nio
HyperGate
also einen virus kann man in ein avi einschleusen doch wird der nie aktiviert wenn man den nicht extrahiert und ausführt. ist das selbe wie wenn du einen virus in eine bild-datei einfügst oder ne email in eine bild-datei.

HOAX

doch der typ hat bestimmt eine "virus.avi.exe" datei aufgerufen <IMG SRC="smilies/powa.gif" border="0"> so ein schwachsinn. achja auch noch nur in divx möglich da es ja aus der warezszene stammt <IMG SRC="smilies/cwm4.gif" border="0">
Niolente
yo, denke ich zwar auch,

Aber er hat eben Stein und Bein geschworen das es doch eine .AVI war.

Jedenfalls indirekt kann man Viren aufrufen mit Videodateien.

Den es gibt sehr viele *.WMA - Dateien die angeblich videos sind, meist aber gar keinen Videostream enthalten sondern einfach nur eine Webseite aufrufen !!!

Es geht auch ein Videostream und eine Webseite.

Ich weis nicht ob man in dem WMA Format einen Link zu Hintergrundinfos ablegen kann welcher dann automatisch aufpoppt.

Aber denke mal es ist so.

Jedenfalls gibt es sehr viele Typen die das ausnuetzen um irgendwelche xxx oder Warez Seiten zu pushen.

Da koennte natuerlich auch irgenein Virus aktiviert werden oder sowas aehnlich beschissenes mit ausgeloest werden.

Ich loesche zwar jedesmal diese Dateien, aber bekomme aus allen moeglichen Ecken immer wieder mal eine rein...

cya, Nio
Funky
wma dateien rufen websites auf? viren in videos ?
nie davon gehört.
wenns das gäbe, wärs sicher schon öffentlich gemacht worden.
kaum ein programmierer ist so blöd und baut in nen videocodec ne routine ein, um "geheime-programmdaten" in ner video file auszuführen.

computer crash wegen avi file... lol n absturtz ok.. aber gleich das system zur sau. NE

Greetz, Funky

virus in video.. n schlechter witz
HyperGate
Original erstellt von Niolente:
<STRONG>yo, denke ich zwar auch,

Aber er hat eben Stein und Bein geschworen das es doch eine .AVI war.

Jedenfalls indirekt kann man Viren aufrufen mit Videodateien.

Den es gibt sehr viele *.WMA - Dateien die angeblich videos sind, meist aber gar keinen Videostream enthalten sondern einfach nur eine Webseite aufrufen !!!

Es geht auch ein Videostream und eine Webseite.

Ich weis nicht ob man in dem WMA Format einen Link zu Hintergrundinfos ablegen kann welcher dann automatisch aufpoppt.

Aber denke mal es ist so.

Jedenfalls gibt es sehr viele Typen die das ausnuetzen um irgendwelche xxx oder Warez Seiten zu pushen.

Da koennte natuerlich auch irgenein Virus aktiviert werden oder sowas aehnlich beschissenes mit ausgeloest werden.

Ich loesche zwar jedesmal diese Dateien, aber bekomme aus allen moeglichen Ecken immer wieder mal eine rein...

cya, Nio</STRONG>

nun gut du schreibst was von WMA und nicht von AVI. habe bis jetzt keine WMA datei gehabt die etwas aufgerufen hat <IMG SRC="smilies/wink.gif" border="0"> du bist dir auch im klaren das man durch das bloße aufrufen einer website sich einen trojaner einfangen kann oder? (ohne firewall wohlgemerkt <IMG SRC="smilies/wink.gif" border="0">)
Devastator23
Hi !

Also grundsächlich gilt, dass Viren nur in Programmen (eben die ausführbaren code enthalten) gefährlich werden können.

Deshalb können keine Viren z.B. in bmp-Dateien ausgeführt werden (wie z.B. bei Sophos (http://www.sophos.de/virusinfo/whitepapers/vfiles.html) nachlesbar).
Dassselbe gilt eigentlich für avi-Dateien.

Ich vermute mal eher, dass es sich dabei um Dateien mit einer anderen Endung als tatsächlich zu sehen war gehandelt habe, wie z.B. Video.AVI.PIF, da Windows die .pif Endungen nicht anzeigt.

Andererseits habe ich eine Seite (http://www.neverness.net/news/newsboard.pl?read=33) gefunden, die, wenn ich das recht verstehe, doch einen Virus ein einer avi-Datei meldete.

Hier ein Auszug:

---

The malicious code is transported within a .avi file, according to Netsec.
When a user attempts to play the .avi file, the malicious executable
decompresses and installs itself on the hard drive. When the computer is next
rebooted, the code randomly renames itself, modifies the system.ini and
win.ini files and the Windows Registry, and attempts to make a connection to
one of two modified IRC (Internet Relay Chat) servers. Once this connection is
established, it sends the compromised computer's IP address, and then listens
for further instructions. The Trojan can give hackers "full control" of the
compromised machine, according to Netsec.

---

Ob das jetzt wahr ist und ob dies technisch tatsächlich sein kann, da werde ich noch nachhaken und dies prüfen.
HyperGate
Original erstellt von Devastator:
<STRONG>...
Hier ein Auszug:

---

The malicious code is transported within a .avi file, according to Netsec.
When a user attempts to play the .avi file, the malicious executable
decompresses and installs itself on the hard drive. When the computer is next
rebooted, the code randomly renames itself, modifies the system.ini and
win.ini files and the Windows Registry, and attempts to make a connection to
one of two modified IRC (Internet Relay Chat) servers. Once this connection is
established, it sends the compromised computer's IP address, and then listens
for further instructions. The Trojan can give hackers "full control" of the
compromised machine, according to Netsec.

---
...</STRONG>

man braucht sich nur mal vorstellen wie eine avi-datei aufgebaut ist.

der header hat die benötigten informationen wie auflösung, bitrate, frames/s, und die audiospur.
nun was macht der player? der liest diesen header und gibt den datenstrom dann schön brav nach den spezifikationen aus. die bilder und den ton. mehr nicht!!! der divx-codec soll davon betroffen sein? ja wieso? weil es den film produzenten auf den sack geht, das die filme per divx übers web den gewinn mindert. also kommt so eine panikmache damit sich die ahnungslosen kunden schön brav von der filmindustrie bedienen lassen.

eine möglichkeit gibt es. einen player der extra dafür ausgelegt ist aus xy-dateien den CODE zu extrahieren und dann ausführen. der media player von windows könnte für microsoft so eine funktion haben. (traue ich denen zu, die wollen aber bestimmt nicht mehr ihren ruf schädigen als es schon der fall ist)

ist nicht möglich!!! und wer sind die schon? "NEVERNESS.NET"??? VIRENEXPERTEN???

mag sein dass leute sowas melden, aber niemand hat eine probe von dem virus <IMG SRC="smilies/wink.gif" border="0">
ausserdem gibt es keine nähere informationen darüber wie der virus heissen soll, sonder wie er angeblich funktioniert.

<FONT size="4">HOAX</FONT s>


achtung ein schecklicher virus ist im anmarsch. es ist der "ULTRA.IP.OWNER" dieser virus wird durch das bloße aufrufen von infizierten Homepages auf der festplatte installiert. ein javascript ruft eine ACTIVE-X komponente auf die dann den code aus dem internetcache ausführt. dadurch wird eure IP-Adresse verbreitet und jeder hacker kann dann durch ein Loopinfiniteverfahren mit eurer IP-Adresse illegale aktivitäten ausüben. der vorgang geht so. der hacker benutzt euren rechner quasi als proxyserver der dann keine log-dateien speichert und ihr für die straftaten bestraft werden könnt. aber keine panik die lösung wurde von der telekom ag gefunden sie arbeiten wie die verrückten an diesem problem und es gibt leider zur zeit nur eine zwischen lösung. so sind sie eionigermassen sicherer--&gt;je kürzer ihr euren internetaufenthalt gestaltet desto schwieriger haben es die hacker euch als proxy zu benutzen. also ganz einfach: mit der flatrate maximal 1 min online bleiben und am tag nicht mehr als 30 mal verbinden. bis die hacker die verbindung zu euch etabliert haben und damit unsinn anstellen können seit ihr ja wieder offline. die telekom arbeitet mit maxmimalem tempo an diesem problem und nutzt die ganzen ressourcen der welt, aber vorraussichtlich wird das problem so in ca. 30 jahren gelöst sein da die telekom neue virenfreie kabel verlegt.

sorry könnte es mir nicht verkneifen <IMG SRC="smilies/biggrin.gif" border="0"> <IMG SRC="smilies/biggrin.gif" border="0"> <IMG SRC="smilies/biggrin.gif" border="0">
Devastator23
Also eigentlich wollte ich erst wieder zu dem Thema schreiben, wenn ich alle Antworten bekommen habe.
Da sich aber einige Firmen recht viel Zeit lassen, schreibe ich schon einmal was ich bis jetzt erfahren habe:

Ich habe inzwischen mit Sophos gesprochen und die halten es sehr wohl möglich das sich Viren in Avi-Dateien befinden können.
Viren hängen sich an Dateien und es spreche nichts dagegen, dass dies auch mit Avi-Dateien möglich sei.
Das war wohl auch auf das Beispiel mit Mpeg4 bezogen, da DivX normalerweise die .avi Endung hat.

Videodateien könnte man als eine Art "passiver Code" bezeichnen, der von dem Player, z.B. Mediaplayer, ausgeführt werde.
Vielleicht kennt ihr Videodateien, wo am Ende eines Videos der Browser gestartet und eine URL aufgerufen wird.
Dahinter kann sich Code verbergen, in dem auch ein Virus sitzen könnte.

Das Thema ist nur nicht so weit verbreitet, da wohl noch kein Avi-Virus bekannt geworden ist. Vielleicht haben sich die Leute, die sonst Viren verbreiten, sich einfach noch nicht richtig damit auseinandergesetzt und noch kein Virus speziell für Videodateien geschrieben.

Die Meldung auf der genannten Seite von mir, hielte Sophos eher für ein Hoax, aber wie gesagt generell sei das ganze schon möglich.

Wenn ich noch mehr erfahre, werde ich das Ganze wieder ergänzen!

<FONT COLOR="#a62a2a" SIZE="1">[ 25. Februar 2002 16:22: Beitrag 1 mal editiert, zuletzt von Devastator ]</font>
HyperGate
es ist auch möglich um die ecke zu pinkeln <IMG SRC="smilies/wink.gif" border="0">
Devastator23
@HyperGate

Ich weiss gar nicht was du hast!?
Hast du jetzt Bedenken niemand könnte dir glauben?
Diese Leute verstehen jedenfalls mehr von der Sache als du. Du bist kein Spezialist, wie kannst du dir da so sicher sein?


<STRONG>es ist auch möglich um die ecke zu pinkeln <IMG SRC="smilies/wink.gif" border="0"></STRONG>

Du wirst es nicht glauben, aber selbst das ist möglich! <IMG SRC="smilies/wink.gif" border="0"> <IMG SRC="smilies/biggrin.gif" border="0">
HyperGate
Original erstellt von Devastator:
<STRONG>@HyperGate

Ich weiss gar nicht was du hast!?
Hast du jetzt Bedenken niemand könnte dir glauben?
Diese Leute verstehen jedenfalls mehr von der Sache als du. Du bist kein Spezialist, wie kannst du dir da so sicher sein?

Du wirst es nicht glauben, aber selbst das ist möglich! <IMG SRC="smilies/wink.gif" border="0"> <IMG SRC="smilies/biggrin.gif" border="0"></STRONG>

ich weiß nicht was DU hast!?! ich sag doch es ist auch möglich um die ecke zu pinkel <IMG SRC="smilies/wink.gif" border="0"> so wie es möglich ist in avi dateien viren einzubauen.

es ist auch möglich auf dem mars eine kolonie aufzubauen und und und. nur ist die letztere sache viel zu teuer <IMG SRC="smilies/wink.gif" border="0">

nun der script der eine internetseite aufruft ist nichts. da müsste man ja auch angst haben einen link anzuklicken, weil da was auf den rechner kommen könnte...

können alle avis, aber die viren kommen "nur" in DIVX vor <IMG SRC="smilies/biggrin.gif" border="0"> <IMG SRC="smilies/biggrin.gif" border="0"> <IMG SRC="smilies/biggrin.gif" border="0">
Devastator23
Du kannst mir doch nichts vormachen.
Sag bloss du willst mir erzählen, dass du mit dem Satz oben gemeint hast, dass du die Sache auf einmal für möglich hältst?
Das glaube ich dir nicht, wobei du doch zuerst alles für einen Hoax gehalten hast.


nun der script der eine internetseite aufruft ist nichts. da müsste man ja auch angst haben einen link anzuklicken, weil da was auf den rechner kommen könnte...


Ich glaube du hast hierbei nicht verstanden worum es geht. Es geht nicht mehr darum was auf der Site los ist, sondern das ein Video diese URL aufrufen kann.

Es gibt noch zu wenig Infos über die Sache, also macht es noch keinen Sinn darüber zu streiten.
Am warte ich ab bis ich die Meinungen anderer erhalten habe.

CU!
HyperGate
Original erstellt von Devastator:
<STRONG>...Die Meldung auf der genannten Seite von mir, hielte Sophos eher für ein Hoax...</STRONG>

also das haben die spezialisten doch auch gesagt. ein hoax. doch es ist ja fast alles möglich <IMG SRC="smilies/wink.gif" border="0"> nun eine internetseite aufrufen ist nicht gleich virus aktivieren. wie das funktioniert kann ich nicht sagen, da ich mit dem zeugs nicht auskenne. aber einen internetlink aufrufen muß nicht unbedingt bedeuten, dass es z.b eine *.exe ausführen kann.

der himmel ist blau, das wasser ist naß und ein programmierer so ziehmlich schlau! <IMG SRC="smilies/wink.gif" border="0">
canXun
Also wenn man den Befehl geben kann eine Inetsite aufzurufen, dann muss man vorher auch ein Programm aufrufen (ie). Also kann man logischerweise auch ein anderes Programm aufrufen...jedoch wird dies auch nich viel bringen, da man dann ne avi und den virus in ner exe schicken müsste. Also wird logischerweise der code direkt in ne avi gespeist, was aber sicher noch lange dauert, bis das jemand knackt -&gt; Meine Meinung <IMG SRC="smilies/wink.gif" border="0">
HyperGate
Original erstellt von canXun:
<STRONG>Also wenn man den Befehl geben kann eine Inetsite aufzurufen, dann muss man vorher auch ein Programm aufrufen (ie). Also kann man logischerweise auch ein anderes Programm aufrufen...jedoch wird dies auch nich viel bringen, da man dann ne avi und den virus in ner exe schicken müsste. Also wird logischerweise der code direkt in ne avi gespeist, was aber sicher noch lange dauert, bis das jemand knackt -&gt; Meine Meinung <IMG SRC="smilies/wink.gif" border="0"></STRONG>

ja klar, wenn ich mit dem explorer eine htmldatei anklicke wir ein code ausgeführt der einen virus aktivieren könnte.

wenn ich einen link im internet anklicke wir ein neues fenster geöffnet könnte auch ein virus aktivieren...

der script der den ie aufruft ist doch in windows schon eingestellt. nun es wird nach einer webpage verlangt und windows leitet die nötigen schritte ein <IMG SRC="smilies/wink.gif" border="0">

ich glaube nicht dass eine avidatei direkt den ie aufrufen kann. <IMG SRC="smilies/wink.gif" border="0">

also ist die frage wie kommt es dazu das eine webpage aufgerufen wird? da ich nicht weiß was dort gemacht wird kann ich auch nicht genau sagen was sache ist.

sicher ist es so, dass in der avi datei die webpage eingestellt ist und der mediaplayer checkt ob es eine seite gibt und ob sie aufgerufen werden soll. mehr nicht!!!

sonst würde auch bestimmt mit virtualdub die webpage aufgerufen werden.

es ist der mediaplayer selbst nicht die AVIDATEI <IMG SRC="smilies/biggrin.gif" border="0"> <IMG SRC="smilies/biggrin.gif" border="0"> <IMG SRC="smilies/biggrin.gif" border="0">

also wenn jemand eine avi hat die eine webpage aufruft einfach in virtualdub testen und man weiss bescheid. oder man soll sich mit der materie von mediastreams und struktur befassen <IMG SRC="smilies/powa.gif" border="0">