web-dev-qa-db-ja.com

ビデオにエンコードされたウイルス

だから私はITセキュリティにまったく詳しくありませんが、何かに少し興味があります。私はテレビ番組を見ていましたが、ある時点でオフィスにウイルスが蔓延しました。彼らは調査し、ウイルスがビデオにエンコードされていて、ビデオが再生されたときに「活性化」されたことを発見しました。だから私の質問は、これは可能ですか?それは実際に起こりますか?繰り返しますが、私はITセキュリティやビデオのエンコード/コーデックにまったく精通していないので、無知を許してください。

編集:

あなたのすべての答えをありがとう。彼らはとても興味深く、洞察に満ちていました。興味があれば、参考にしたショーはホワイトカラーシーズン3エピソード7「アカウントを取得」でした。

53
pasawaya

はい、可能です。

マルウェアはおそらくビデオ自体に埋め込まれていませんが、ビデオファイルは、コーデックまたはメディアプレーヤーの脆弱性を悪用してコードを実行するように特別に細工されています。次にエクスプロイトはファイルをダウンロードして実行し、マシンに感染します。

これらのタイプのエクスプロイトは、一般的なドキュメント形式でよく見られます。 PDF。人々はそれらを頻繁に使用し、それらが安全であると想定しているため、それらの増殖はエクスプロイト作成者にとって良い標的になります。結局のところ、実行可能コードを実行するアプリケーションが何らかの時点で関与しているため、すべてのファイルタイプにエクスプロイトが含まれる可能性があります。

このようなエクスプロイトは通常、バッファの通常のメモリ範囲外のデータ構造を上書きすることによって制御フローを変更する バッファオーバーフロー 攻撃です。

より詳しい情報:

59
Polynomial

h-online (ドイツ語、発行者)に、これの実際の例のかなりいい演劇があります。この場合、それはビデオを表示しようとするコンピュータに感染するためのいくつかの異なる攻撃を含む目的のフラッシュビデオです

6
Nicktar

@Polynomialのバッファオーバーフローの可能性に加えて、「ビデオファイル」は実際にはトロイの木馬の実行ファイルである可能性があります。以下に簡単な例を示します。

  • 実行可能ファイルは、ビデオのように見えるような名前が付けられています。
    「movie.avi .exe」
  • 実行可能ファイルは、埋め込まれたビデオデータを抽出し、ビデオプレーヤーを起動し、その間に悪意のあるペイロードを展開します。

ユーザーには、ビデオファイルをクリックして、通常と同じようにビデオプレーヤーで開いたように見えます。代わりに、彼らはトロイの木馬を実行するようにだまされました。

追加して編集:これは質問のタイトルの逆です。ビデオにエンコードされたウイルスの代わりに、ビデオはウイルスにエンコードされます。

6
Simon

このウィンドウの掲示板 を調べてください。これは、jpegパーサーを修正するためのパッチを記述しています(jpeg画像を表示することで感染します)。

したがって、それは確かに可能です。カスタムコードを実行するための穴を見つけるだけのことです。これは通常、ある種のバッファオーバーフローによって行われます(たとえば here を参照)。

4
BЈовић
  • Flashランタイムは、Main Concept H.264/AACと同じ会社のMP4 demuxコンテナー形式を使用しています。非常に高度なメタデータを備えたfMP4形式もあります。これはかなり安全なソフトウェアです。
  • FlashもMP3オーディオ、VP6ビデオ、Nelly Moserオーディオ形式をFLV多重化で使用していますが、これもある程度安全ですが、これはテストしていません。
  • すべてのWindowsブラウザーとWindows Media Player OCXで使用されるWindows Media ASX/WMV/VC-1/WMAフォーマットもあります
  • Linuxでは、mplayerでVC-1プレーヤーを置き換えます
  • VLCプラグインは最も簡単なものの1つであり、ユーザーがプラグインを持っている場合、ブラウザーをクラッシュさせるのは簡単です
  • Microsoft H.264アドオンは、Windows 7 H264およびMPEG-2デコーダーを使用して、DVD、ブルーレイ、HDトランスポートストリームを再生します
  • Shoutcastプロトコルも広く使用されています
  • FirefoxにはオープンソースのTheoraビデオとOGGオーディオがあります。
  • OSX(MAC/iphone/ipad)は、MPEG-2 TSデコーダーをAppleによって実行され、Safariブラウザで動作します。
  • UK freeviewセットトップボックスはlibcurl/VLCを使用してビデオを再生しています
  • スマートTVは、さまざまなオープンソースライブラリを使用しているか、Sony PlayStation(Sony TV)と同じです
  • Android 4もブラウザ経由でMPEG-2デコーダを使用しています
  • SilverlightランタイムはWindows Media、MicrosoftのH.264デコーダーをWindowsおよびMicrosoft Phoneで使用しています

ウイルスを実行できるプレーヤーは他にもたくさんあります。一部のTVは、DVB-T地上波またはDVB-S衛星信号を介して注入できる完全なスクリプトを使用します。これは、海賊箱を取り出すために時々実行されます。

つまり、ビデオ形式をハッキングするだけで生計を立てることができます。それらのほとんどには深刻な穴があり、最も危険なのはVLCと最も安全なメインコンセプトです。

あなたが見たショーは本当である必要はありません、これをメインコンセプト自体で実際に実行することはおそらくありませんが、以前にいくつかのフォーマットにバグがあった可能性は低いですが、Adobeプレーヤーには自動更新があるので、問題は現時点で5年前よりはるかに優れています、ショーが撮影されたとき

3
Andrew Smith

はい、可能です。ビデオプレーヤーには、バッファオーバーフローを介して悪用可能な脆弱性が存在する可能性があります。

ハッカーによって作成された特定のビデオファイルがその特定のビデオプレーヤーで再生されると、プレーヤーはハングし、接続がホストに転送され、ハッカーはインターネットに接続するたびにリモートでシステムにアクセスできます。

1

実際のところ、それは可能であるだけでなく、それが「自然界に」存在していることが確認できます。

私は最近、自己解凍型/実行型ウイルスを含む.mp4形式の「テレビ番組」をダウンロードしました。私が(VLCで)それを再生したとき、それはバタバタし、私のAVは警告を発しました。幸いにも、私のAVは「厄介な」に介入して殺しましたが、それは自己抽出した(そして実行しようとした)後のことです。

その後の.mp4の再ダウンロードのスキャンでは、埋め込まれたself-xが示されました(そして殺されました)。

0
Bob S.