“Amenaza: WMA: Wimad [Susp]] en el archivo .avi, ¿es posible eliminar la amenaza y mantener el archivo?

La familia "Wimad" de ataques de caballos de Troya opera utilizando una característica normal del formato de contenedor "ASF" de una manera inesperada pero no válida. En consecuencia, el software de Windows cualquiera capaz de operar con estos archivos puede ser vulnerable si utiliza las bibliotecas estándar de Windows para manipularlos. Esto puede incluir el freno de mano, no sé los detalles de cómo funciona.

La buena noticia es que el ataque es específico de ASF. Si convierte el archivo multimedia para usar un formato de contenedor diferente, elimina el ataque.

Yo diría que la única forma verdadera de estar seguro de que ha eliminado la parte maliciosa del archivo (suponiendo que es una parte legítima), sería examinar y desensamblar los valores hexadecimales del archivo de forma forense.

Es casi imposible saber qué tipo de 'virus' (o si es realmente un virus) sin más detalles de usted, por lo que lo mejor que puede hacer es examinar el archivo de forma forense y luego extraer lo que Usted quiere (o eliminar el malware). Nota: debe hacer todo este trabajo dentro de una Máquina Virtual aislada.

Es posible obtener la firma de malware exacta de su antivirus y limitar su búsqueda forense para encontrar y eliminar solo eso.

Alternativamente, si conoce la firma del archivo real , podría intentar simplemente eliminar todo el extra. El conocimiento de los sistemas de archivos será necesario aquí.

Sin embargo, me gustaría evitar hacer algo con él (a menos que realmente posea las habilidades necesarias). Si solo tienes curiosidad, entonces haz todo tu trabajo en el 'laboratorio' (VM) y déjalo ahí, nunca lo saques. Recomiendo simplemente obtener una copia no infectada del archivo (si es posible) o si no, abrirlo en una máquina virtual aislada (o ir a una tienda de segunda mano y comprar una computadora vieja y barata y simplemente ejecutarla allí) luego tira la vieja PC).

Algunas otras consideraciones:

• ¡Un verdadero examen puede llevar mucho tiempo!
• Digo puede porque muchos niños se llaman a sí mismos "hackers" simplemente agregando basura al final de un archivo (también conocido como espacio vacío). Esto es muy fácil de detectar y eliminar.
• Haga todo el trabajo en una máquina virtual adecuada.

En lo que respecta a su pregunta sobre si volver a codificarlo anula el virus, eso simplemente depende del virus. En primer lugar, es muy improbable que un virus pueda ejecutarse desde el archivo de la película de todos modos, pero podría almacenarse y desencadenarse por otra cosa, por lo que el virus puede activarse nuevamente si usted vuelve a codificar el archivo inactivo. ! (Otra razón para hacer esto en una máquina virtual). Además, simplemente la recodificación no puede eliminar el código malicioso en cualquier caso, simplemente no puede saberlo sin determinar los detalles del virus ...