FLV wird durch Adobe Flash Player angezeigt, und der hat wiederholt Sicherheitslücken, Adobe will Microsoft übertrumpfen ;)

Schön und gut, aber die eigentliche Frage war "Kann sich ein sauberes System infizieren, wenn infizierte FLV-Dateien abgespielt werden?"

;-)

Ja.

( bin in eile, habe das folgende nicht auf Fehler geprüft )

Also gut, der praktische Hintergrund meiner Frage ist folgender:

Ich habe einen Bekannten, der mir schon viel geholfen hat. Er hat einen alten PC mit Windows 98. Um sich über Wasser zu halten, macht er ein wenig Buchhaltungsarbeiten und besucht dabei seine Kunden. Dabei stört ihn immer, daß er seine Programme vor Ort nicht dabei hat.

Ich habe noch ein paar alte Notebooks im Schrank liegen. Weihnachten 2008 habe ich ihm also einen Thinkpads T23 mit XP geschenkt. Auch ein kleiner Reisedrucker war dabei.

Innerhalb von 24 Stunden hat es mein Bekannter fertig gebracht, den PC platt zu machen. Er hat einfach alles gelöscht, was er von Win98 nicht kannte. Gemerkt habe ich das, als er anrief und fragte, "wie er den Papierkorb löschen kann?" ... "er hätte es schon in der Registry versucht, doch nach dem Neustart sei der Papierkorb immer wieder da". Ich dachte ich höre nicht richtig. "Er bräuchte keinen Papierkorb, bei Win98 hätte er den auch gelöscht" ... iund "anderen Schnickschnack" hätte er auch gelöscht. Ich habe ihm gesagt, daß er "nicht ganz dicht" ist und habe aufgelegt. Abends rief er an "das Tinkpad ist Sch... und das Sch....XP läuft auch nicht"Da ist mir der Kragen geplatzt und ich habe alles wieder abgeholt

Lange Rede kurzer Sinn. Der Notebook steht seitdem hier rum. Gestern habe ich ihn dazu genutzt, ein paar vom Internet runtergeladene FLV-Dateien nach AVI zu wandeln. Das hat auch geklappt.

Beim anschließenden Verschieben der Dateien auf die ext. Festplatte kam es jedoch zu "merkwürdigen Effekten":
- Manche Dateien liesen sich nicht verschieben. Angeblich würde ein Prozess gerade darauf zugreifen"
- Dieselbe Datei, ein paar minuten später: Lies sich einwandfrei verschieben. Dafür waren andere Dateien "blockiert"
Das Verschieben war ein wahres Gedultsspiel.

Im Taskmanager waren nur wenige Einträge. Ein unbekanntes "RUNDLL" habe ich rausgekickt. Dann war nichts unbekannte mehr da (logisch, hat mein Bekannter ja alles schon platt gemacht ;)

Ich gehe davon aus, daß jemand, der mit seinen PCs solche einen Unsinn veranstaltet wie mein Bekannter, den PC voler Viren hat. Der "Effekt" daß ein unbekannter Prozess sporadisch auf Dateien zugreift, mißfiel mir. So ergab sich die Frage, ob meine FLV-Dateien "von irgendwas" infiziert werden können oder ob der Zugriff (wenn es einer war) seine Ursache in dem zerstörten System hatte. Er hat fast alles gelöscht was nicht zum Betrieb nötig war und mindestens 5 Registrycleaner darüber laufen lassen. Dass so ein System kaputt ist, ist keine Frage. Aber dass sich dadurch Dateien nicht mehr vershcieben lassen, ist mir so nicht bekannt, vor allem, wenn sie sich Minuten später dann doch verschieben lassen.

So, und nun hanbe ich Angst um meine AVI-Dateien. Wären die infiziert, hätte ich ein Problem. Es ist nicht mehr nachvollziehbar, WELCHE AVIs ich auf dem PC meines Bekannten konvertiert habe und welche "sauber" sind.

Daher die Frage, ob sich FLV / AVI Dateien überhaupt infizieren können.

Hoffe, ihr konntet mich verstehen.

Liebe Grüße

PS:

@AntiMs


Bitte, auf welche Weise?

Danke

In dem irgendwelche Fehler im FlashPlayer ausgenutzt werden.
Es gab(und gibt?) sogar JPEG Viren.
Theoretisch kann nichts passieren, aber du kannst ja nie wissen, ob es irgendwelche Programmfehler im Flaschplayer gibt.

Meistens werden dabei Puffer-Überläufe o.Ä. ausgenutzt.

Ich würde aber auf Adobes Fähigkeiten vertrauen und die Datei trotzdem ausführen.
Logischerweise nicht mit Administratorrechten ;-)

Zuerst fragst du ob FLV-Dateien Infiziert sein können UND ob diese den System schaden können:

Ja!

Dann aber bist du plötzlich auf AVI! AVI infiziert bis heute keine Systeme! -> Nein.


FLV beim lokalen abspielen genereiert einen Datei der dazu zuständig ist andere Daten zu infizieren. Für das Beweis habe ich einen "harmlose" version gesehen der nichts anderes macht als andere FLV Dateien befällt. Einen ganzen System zu infizieren ist nicht weiter als .EXE Dateien zu infizieren.

Wenn der entsprechende Codec unsauber programmiert ist und z.B. Werte in der Datei nicht auf Plausibilität prüft, kann jede Videodatei eine potentielle Sicherheitslücke ausnutzen, im "besten" Fall kommt es nur zu einem Absturz, im schlimmsten Fall wird Schadcode mit den Rechten des gerade eingeloggten Users ausgeführt und kann z.B. Trojaner nachladen, Virenscanner aushebeln oder ein rootkit installieren.

Das kann bei FLV genauso der Fall sein wie bei AVI (das ja nur ein Container für verschiedene Audio- und Videoformate), QuickTime oder auch Open Source Formaten.

und ich finde das FLV/AVI "nix" beim einem Buchhalter zusuchen haben,
insbesondere wenn er noch für "andere" arbeitet

OFFTOPIC
ich frage mich wie viele Windows XP Rechner nonstop als Admin im NETZ
unterwegs ist/sind 80% ?

bye

Dann identifiziere den Prozess, z.B. damit:

http://www.dr-hoiby.com/WhoLockMe/index.php


Den Effekt haben Tausende User täglich. Meist bei Multimedia-Kram. Und zwar meist, weil irgendein (Multimedia-)Programm oder Explorer-Erweiterung (siehe Kontextmenü) auf die Datei zugreift.

Yossarian

Das ist ein Standardverhalten des Explorers - von der aktuell fokussierten Datei versucht er immer Metainformationen herauszulesen. Je nach Dateityp (z.B. AVI) kann das etwas länger dauern - und da er immernoch lesend drauf zugreift kann die Datei folglicherweise (noch) nicht verschoben/gelöscht werden. Da läuft also nichts falsch bei dir.

Und nochmal zur Sache mit den Viren in Dateien: mehrere vor mir haben es bereits erwähnt: die Datei selbst ist nie das Problem, sondern immer das Endprogramm, welches mit dieser Datei umgeht.

Bei einer FLV ist es der FlashPlayer, der nicht zwangsweise von Adobe kommen muss. Wenn sich diese Software darauf verlässt, dass das die Datei 100%ig dem erwarteten Format entspricht, dann ist sie sehr anfällig.

Bei einer EXE ist es genauso: erst wenn sie ungeprüft ausgeführt wird, können böse Aktionen beginnen. Der FlashPlayer ist ja auch eine EXE, die längst läuft wenn sie die FLV-Datei ausliest.

Genauso könnte es auch einen Texteditor geben, der bei einer ganz bestimmten Zeichenfolge sich entsprechend "speziell" verhält, weil es eigentlich als Feature gedacht war (z.B. Links im Text erkennen, damit der Nutzer gleich einen Doppelklick drauf machen kann).


Daher sollte man auch ein Auge drauf haben, ob es neue Versionen der am häufigsten genutzten Software gibt. Wichtige Punkte hierfür wären:
- Internet Browser (der reagiert schließlich auf eine Unzahl von Dateien bereits vollautomatisch)
- Player jeglicher Art (die sich meist in den Browser integrieren)
- Clients jeglicher Art (E-Mail, FTP, Telnet... und HTTP ist ja der Internet Browser)
- Textbearbeitung
...

Ich bedanke mich erst mal bei allen für die vielen Antworten. Wirklich ganz toll.



Das hatte ich mir schon überlegt, vor allem weil einige Multimedia spalten (wie "Dauer") eingeblendet waren. Diese habe ich aber ausgeblendet, hat jedoch amm "Effekt" nichts geändert. Bei den anderen PCs (meinen) ist der Effekt noch NIE aufgetreten. Ich gabe mich aber jetzt damit zufrieden, daß am Windows Explorer irgendwas kaputt ist und daher Fehlverhalten sowieso zu erwarten ist.

Also nochmal vielen Dank

( und schenkt keinem Buchhalter je einen Notebook ;-)

Liebe Grüße

Wobei ja normalerweise Buchhalter nicht als sehr experimentierfreudige Menschen gelten.

Yossarian

@ Yossarian,

behaupte nicht sowas, du kennst ja mich nicht. ;0)

Aber den Thinkpad hätte ich natürlich nicht so behandelt.

Gruß
Kalle