アカウント名:
パスワード:
「C で書かれていて,他のディストロで動作する様に書き換える事も可能であろう」とあるが,感染した mp3 からそのコードを抽出する事はそんなに簡単なのでしょうか?チョイと疑問に思ったので書いてみたり。
01-jinglebellz.cというのが、公開されています。これをコンパイルするとMP3を書き出す実行可能バイナリが出来上がります。01-jinglebellz.cのstruct xplのメンバーのaddrlocの値を調節すれば、他のLinuxディストロでも動作するようになるでしょう。MP3ファイルに埋め込まれるlinux_shellcodeですが、これはLinuxのシステムコールを使っているので、Linux以外に対応させるためには、linux_shellcodeの部分を新規に作る必要があるでしょう。(その作業が「簡単」と言えるかどうかはわかりませんが...)
現状では1つのMP3ファイルで複数の環境に対応させることはできず、環境ごとに専用のMP3ファイルを作る必要があります。また、私は最初は「./jinglebellz 1 evil.mp3」とか実行すれば、任意のMP3ファイルにコードを埋め込むことができると思ったのですが、そうではなくて作られるMP3ファイルは決まっています。
Windowsに比べてUNIX系では単一のバイナリが広く流通しないので、この種のセキュリティーホールを狙ったウイルスを流行らせるのは難しいです。
なお、出来上がった実行可能バイナリと、これを実行したときに作られるMP3ファイルはNortonでウイルスとして検出されました。
mpg123の独自仕様で任意のコードが実行できるようになっている 実はMP3自体、任意のコードが実行できる仕様だったりする ニュースソースが嘘、大袈裟、紛らわしい
全部違います。「mpg123のバグで任意のコードが実行できてしまう」というのが正解です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
何気な疑問点。 (スコア:1)
「C で書かれていて,他のディストロで動作する様に書き換える事も可能であろう」と
あるが,感染した mp3 からそのコードを抽出する事はそんなに簡単なのでしょうか?
チョイと疑問に思ったので書いてみたり。
あと発動すると「ホームディレクトリを削除する」との事ですが
root で動
儂も疑問 (スコア:0)
1. mpg123の独自仕様で任意のコードが実行できるようになっている
2. 実はMP3自体、任意のコードが実行できる仕様だったりする
3. ニュースソースが嘘、大袈裟、紛らわしい
どれが正しいんでしょうかね…
3.は論外として
Re:儂も疑問 (スコア:2, 興味深い)
01-jinglebellz.cというのが、公開されています。これをコンパイルするとMP3を書き出す実行可能バイナリが出来上がります。01-jinglebellz.cのstruct xplのメンバーのaddrlocの値を調節すれば、他のLinuxディストロでも動作するようになるでしょう。MP3ファイルに埋め込まれるlinux_shellcodeですが、これはLinuxのシステムコールを使っているので、Linux以外に対応させるためには、linux_shellcodeの部分を新規に作る必要があるでしょう。(その作業が「簡単」と言えるかどうかはわかりませんが...)
現状では1つのMP3ファイルで複数の環境に対応させることはできず、環境ごとに専用のMP3ファイルを作る必要があります。また、私は最初は「./jinglebellz 1 evil.mp3」とか実行すれば、任意のMP3ファイルにコードを埋め込むことができると思ったのですが、そうではなくて作られるMP3ファイルは決まっています。
Windowsに比べてUNIX系では単一のバイナリが広く流通しないので、この種のセキュリティーホールを狙ったウイルスを流行らせるのは難しいです。
なお、出来上がった実行可能バイナリと、これを実行したときに作られるMP3ファイルはNortonでウイルスとして検出されました。
全部違います。「mpg123のバグで任意のコードが実行できてしまう」というのが正解です。