Virus codificato nel video

52

Quindi non ho familiarità con IT Security, ma sono un po 'curioso di qualcosa. Stavo guardando un programma televisivo e ad un certo punto, un virus si diffonde attraverso un ufficio. Esaminano e scoprono che il virus è stato codificato in un video ed è stato "attivato" quando è stato riprodotto il video. Quindi la mia domanda è, è possibile? Potrebbe davvero succedere? Ancora una volta, non ho alcuna familiarità con IT Security o codifica / codec video, quindi perdona la mia ignoranza.

EDIT:

Grazie per tutte le tue risposte. Erano molto interessanti e perspicaci. Se sei interessato, lo show di riferimento era White Collar Season 3 Episode 7 "Taking Account".

    
posta pasawaya 03.08.2012 - 10:10
fonte

7 risposte

57

Sì, è possibile.

Probabilmente il malware non verrebbe incorporato nel video stesso, ma il file video sarebbe creato appositamente per sfruttare una vulnerabilità nel codec o nel lettore multimediale, per ottenere l'esecuzione del codice. L'exploit dovrebbe quindi scaricare un file ed eseguirlo, infettando la macchina.

Questi tipi di exploit sono stati comuni tra i formati di documenti più diffusi, ad es. PDF. La loro proliferazione li rende un buon bersaglio per gli scrittori di exploit, perché la gente li usa molto e si assume che siano al sicuro. Alla fine della giornata, qualsiasi tipo di file potrebbe potenzialmente contenere un exploit, poiché ad un certo punto è coinvolta un'applicazione che esegue codice eseguibile.

Gli exploit di questo tipo sono solitamente attacchi buffer overflow , che alterano il flusso di controllo sovrascrivendo strutture di dati al di fuori del normale intervallo di memoria di un buffer.

Altre informazioni:

risposta data 03.08.2012 - 10:15
fonte
6

C'è un bel gioco di un vero esempio di questo in h-online (tedesco editore). In questo caso si tratta di un video flash con obiettivi che contiene diversi attacchi per infettare il computer che tenta di visualizzare il video

    
risposta data 03.08.2012 - 11:56
fonte
6

Oltre alla possibilità di overflow del buffer di @ Polynomial, il "file video" potrebbe effettivamente essere un eseguibile di troiano. Ecco un semplice esempio:

  • Un file eseguibile è denominato in modo tale che sembra essere un video, ad esempio:
    "movie.avi                     .exe"
  • Il file eseguibile estrae i dati video incorporati in esso, avvia il lettore video e, nel frattempo, distribuisce il suo payload dannoso.

Per l'utente, sembra che abbia fatto clic su un file video e che sia stato aperto nel suo lettore video proprio come al solito. Invece, sono stati ingannati nell'esecuzione del trojan.

Modifica da aggiungere: questo è l'inverso del titolo della domanda. Invece di un virus codificato in un video, un video è codificato in un virus.

    
risposta data 03.08.2012 - 15:51
fonte
4

Dai un'occhiata al bollettino di questa finestra , che descrive una patch per risolvere il problema parser jpeg (infetto visualizzando un'immagine jpeg, ahi).

Quindi, certamente è possibile. È solo questione di trovare un buco per eseguire un codice personalizzato. Questo di solito viene eseguito da una sorta di overflow del buffer (vedi ad esempio qui ).

    
risposta data 04.08.2012 - 15:18
fonte
3
  • Flash runtime utilizza il Main Concept H.264 / AAC e il formato contenitore demux MP4 della stessa azienda. Esiste anche il formato fMP4 con meta-dati molto avanzati. Questo è praticamente un software sicuro.
  • Flash utilizza anche audio MP3, video VP6 e formati audio Nelly Moser con il muxing FLV, anche questo è un po 'sicuro, ma non ho provato questo.
  • Sono disponibili anche i formati Windows Media ASX / WMV / VC-1 / WMA utilizzati da tutti i browser Windows e Windows Media Player OCX
  • Su Linux c'è la sostituzione del lettore VC-1 con mplayer
  • Il plug-in VLC è uno dei più semplici, se l'utente ha un plug-in è facile bloccare il browser
  • Il componente aggiuntivo Microsoft H.264 utilizza il decoder H264 e MPEG-2 di Windows 7 per riprodurre DVD, i raggi blu e anche i flussi di trasporto HD
  • Il protocollo Shoutcast è anche ampiamente usato
  • Firefox ha il video di Theora e l'audio OGG, che è open source.
  • OSX (MAC / iphone / ipad) ha un decodificatore MPEG-2 TS fatto da Apple e funziona nel browser Safari
  • Impostazione gratuita del Regno Unito Set Top Box utilizza libcurl / VLC per riprodurre i video
  • Le Smart TV utilizzano varie librerie open source o le stesse della Sony Playstation (Sony TV)
  • Android 4 utilizza il decodificatore MPEG-2 anche tramite il browser
  • Il runtime di Silverlight utilizza Windows Media, decodificatore H.264 di Microsoft su Windows e Microsoft Phone

Ci sono molti altri giocatori che possono eseguire virus, alcuni TV utilizzano script completi che possono essere iniettati attraverso il segnale terrestre DVB-T o DVB-S, che a volte viene eseguito per eliminare le scatole dei pirati.

Quindi vedi, puoi guadagnarti da vivere semplicemente hackerando i formati video. La maggior parte di questi ha buchi seri, il più spiacevole è VLC e il concetto principale più sicuro.

Lo show che hai visto non deve essere vero, per eseguire effettivamente questo concetto principale non è probabile che alcuni formati avessero bug in precedenza, ma dal momento che il player di adobe ha l'aggiornamento automatico, il problema è molto meglio al momento di 5 anni fa, quando lo spettacolo è stato girato

    
risposta data 03.08.2012 - 13:17
fonte
1

Sì, è possibile. Il lettore video potrebbe presentare una vulnerabilità che può essere sfruttata tramite, ad esempio, un overflow del buffer.

Quando il particolare file video creato dall'hacker viene riprodotto su quel particolare lettore video, il lettore si bloccherà e la connessione verrà trasferita all'host e l'hacker potrà accedere al tuo sistema da remoto ogni volta che sarai connesso a Internet.

    
risposta data 03.08.2012 - 16:43
fonte
0

In realtà, non solo è possibile, ma posso confermare che esiste "in the wild".

Recentemente ho scaricato un "programma televisivo" in formato .mp4, che conteneva un virus autoestraente / in esecuzione. Quando l'ho suonato (con VLC), è saltato fuori e il mio AV ha presentato un avviso. Fortunatamente, il mio AV è intervenuto e ha ucciso il "cattivo", ma solo dopo essersi auto-estratto (e provato ad eseguire).

Una successiva scansione di un nuovo download di .mp4 ha mostrato (e ucciso) un self-x incorporato.

    
risposta data 21.12.2016 - 20:24
fonte

Leggi altre domande sui tag