パスワードを忘れた? アカウント作成
3201 story

JPEG画像に感染するウィルス登場 42

ストーリー by Oliver
ペイロード寄生 部門より

skimsr曰く、"JPEG画像に感染するウィルスが登場したそうです(ZDnetInternet WatchNAIの記事)。ウィルスのデータを含むJPEG画像と,その画像からコードを取り出す抽出プログラムの2部構成となっています。
ZDnetの記事では,現状ではPCがウィルス抽出プログラムに感染していない限りは危険度は低いとしながらも,将来の危険性について警告されています。例えば,抽出プログラムを含むウィルスが自身をアップデートするためにJPEG画像を利用する,等です。他にも色々と応用例がありそうですが,/.Jの方々だとどのような応用例を考えつかれますか? そしてその対策は?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • インターネットで頒布する画像データなどにウォーターマーク (透かし)を入れ、これを検出することで課金処理をしようと いうのを 4 年くらい前に検討していたことあるんだけど、 「目的」は違うが「手段」は「同じ」かい(笑)

    ウィルスとしての基本機能は従来のものと同じであり、「発症」 するトリガが外因性ということなのだから、こいつのために 新規な対策をしなけりゃならんということもないのでは?

    --
    --- Toshiboumi bugbird Ohta
    • >ウィルスとしての基本機能は従来のものと同じであり、

      つか感染原因も従来と同じっすよねぇ。
      なのに見出しとかの書き方によっては、
      「jpeg画像を見るだけで感染」
      ってとれちゃうあたりはう~ん中京スポーツテイスト(東海地方)

      しかし、最近思うんですけど、ウィルスのネタがこうやってメディアで踊った場合、
      やっぱり対策関連会社(シマンテック、トレンドマイクロ、マカフィージェイド(←これって旧名だったっけ?))
      の株価って上がるんすかね?
      もしそうだとしたら、ウィルス作者は趣味と実益を兼ねられますね。笑い

      あとこうやってウィルス報道を利用して
      「今~~というウィルスが流行っています。
      これはjpeg画像に感染(ここいらあやふやな報道を利用)する新しいものです。
      未だにこれには大手からは有効な対策が出ていません。
      しかし、ボランティアでイスラエル(スキル有りそうな国ならどこでも良い)の青年が対策ソフトを開発しました。
      このメールに添付してある****です。(勿論これは他のウィルス)
      少しでも早くこのウィルスに対抗するため、どんどんお知り合いの方にもお知らせください」
      なんてのを10000通も送れば…
      ここで騙されるような人は、チェーンメールも何も考えず流す人であると思われるので、
      そこから新たに広まっていく…

      根拠の無い妄想過ぎますか?笑い
      親コメント
    • 将来は画像データに「透かし」だけでなく「スクリプト」を埋め込んで、画像をロードした瞬間に著作権表示をポップアップ表示したり、音楽を演奏したり、関連サイトを自動オープンしたりといったことができるようになります。もちろん、Windowsの標準機能ですので、Windowsをご利用のお客様は、別途ソフトを購入することなくこのすばらしい機能をご利用になることができます。
      --
      -------- tear straight across --------
      親コメント
    • by Dobon (7495) on 2002年06月16日 0時01分 (#108276) 日記
      そのうち、ウィルスチェッカのディフォルトが、『全ファイルをチェック』になり誰も使わなくなる[笑]

      ローダーが対応すると対象となるファイルの種類が増える...(PNG,PDF,GIF,HTML,jar,.....)
        ↓
      チェッカが対象ファイルを検査するようになる
        ↓
      最終的にはディスクの全ファイルが検査対象になり処理が重くなる。
        ↓
      仕事にならんのでチェッカを止める[爆]

      職場でウィルスバスターを使ってますが、現状でも大きめのZIPファイルを開こうとするとマシンが固まります[笑]。
      これが全ファイルになったらマジで仕事になりません。

      #そもそも、HTMLに暗号化されて埋め込まれたら対策できるんだろうか?
      --
      notice : I ignore an anonymous contribution.
      親コメント
      • 私もたまに 3GB, 11000files な圧縮ファイルを扱うことが
        あるのですが、操作する時はネットワークから切り離して
        更に ServerProtect を止めて (w 操作します。
  • by nisi (6390) on 2002年06月15日 9時09分 (#108032) 日記
    この記事内容では感染したjpeg画像がウイルスであるか
    のような印象を受けますが、実際は「抽出プログラム」
    の方がウイルスなのでは?
    なぜ感染、潜伏、発病の動作全てを司どっていると
    見られるプログラムを「抽出プログラム」と呼ぶの
    だろう?
    --
    taka4
    • by NO DATA (7774) on 2002年06月15日 10時55分 (#108051)
      要するにプログラム側は単なるローダで、悪意あるコードの実体はJPEG画像内に隠蔽されている、という事でしょう。
          そういう構造であれば感染や発病の機能自体がJPEG内のコードに依存するわけで、場合によっては感染や発病の機能のないコードを実行すること(それをウィルスと呼ぶんか?という議論はともかく)も可能だと思われます。
        そう考えるとあながち間違った表現ではないでしょう。
      親コメント
      • いずれにしても、マスコミ(特にスポーツ新聞)の手にかかれば、「アダルト画像に感染して広まるウィルス出現」とか書かれそうな。

        # ちょっと偏った発言ギミ
        --
        -- やさいはけんこうにいちば〜ん!
        親コメント
      • by Anonymous Coward
        ただし、画像データ単体では無害であることも確かなので、ウィルスパターンを作る側からすれば、画像の方は無視してローダの方を"トロイの木馬"として扱うんではないかとみた。
        • by rio (2333) on 2002年06月15日 14時46分 (#108114)
          > 画像の方は無視してローダの方を"トロイの木馬"として扱うんではないかとみた。

          そうするとですね、記事にあるような電子迷彩が使われたjpeg
          ファイルが将来出てきたときに、いつの間にか多くのクライアント
          中に(キャッシュとしてなど)存在することになるわけで、
          ローダのバリエーションを変える事で、いつそのコードが実行さ
          れるか分からないような状況になったりしないですかね。
          拡張子jpegなファイルを片っ端から検索、実行すればいいわけで。

          ローダ部分の実行が防げなければあらゆるウイルスが防げないと
          いえるかもしれませんが、抜け道があるかもしれないし。
          親コメント
    • by mice (7607) on 2002年06月15日 10時30分 (#108047)
      確かに。
      この場合、JPEG file はウイルスというより カタリシス [nii.ac.jp]とでも呼んでおいた方がいいかも。
      親コメント
    • by seldon (5637) on 2002年06月15日 16時32分 (#108155)
      実際は「抽出プログラム」の方がウイルスなのでは?
      なぜ感染、潜伏、発病の動作全てを司どっていると見られるプログラムを「抽出プログラム」と呼ぶのだろう?
      とりあえず現時点では、IEやOutlookをウィルスと呼ぶ人はあまりおりません。
      世間一般では。(/.Jでは呼んでる人も結構いるかもしれない)
      親コメント
  • オープンソースのソフトに見せかけて配布して、JPEGのヘッダ部分
    に悪意のあるコードを埋め込んでおいて、makeするとそれが取り込
    まれるとかいうやつ。

    結局JPEGだけでは何もできないわけで、へんに怖がることはないか
    と思います。もっとも自己更新型の一形式としては興味はひかれま
    すね。
    • 見せかけてネタということで…

      所謂Warezと見せかけて、
      setup.exeをトロイの木馬をインストールするプログラムにしたらどうですかね。
      途中で「不正な処理で終了しました」が出るようにしておけば、
      「なんだこれ?クソッ!偽者つかまされたか!」
      くらいに思って、まさかトロイの木馬を送り込まれてるとは思わないだろうし。

      パクりもんのwarezをインストールする時に、
      一々ウィルスチェックをする奴って少ないと思うんすよねー。
      これも数当たればカモは絶対いると思うな。

      つか本来、何の保証も無いバイナリを動作させるのは、
      危ないと思わないと駄目ですよね。

      というかこの場合は、保証が無いとかそういった以前の問題なんですが。笑い
      親コメント
      • Warezを意識的に使うような人はふつー、厳重なウィルスチェックをやると思いますが。
        Warez自体がTrojanやVirusの媒体にされているので、インストールしたらウィルススキャンなどでチェックすると言うのは、Warezを扱う人間の間では初心者級の注意事項になっています。

        どっちかと言うと社内等でサイトライセンスを取って、共有サーバに置いてあるソフトや(コピー)CD-Rの使い回しの方が危ないと思うのですが。

        サーバ共有の場合は、サーバの管理の甘さやサーバ自体の脆弱性を使ってインストール対象ソフトに感染させられるでしょうし、
        CD-Rの使い回しの場合は、CD-R作成の段階で容易に感染させられる。
        特に、CD-RがOSだった場合は発見や除染に相当手間取るでしょう

        親コメント
  • 画像にウィルスを忍び込ますことが可能==任意のコードを忍び込ますことが可能

    ワクチンプログラムを忍び込ませて、
    Yahooの広告バナー(/.だと、ほぼ意味なし)にすればよい。
    --


    .::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
    I 1 2 B H4[keR. :-)
    • by xaa (7978) on 2002年06月15日 14時45分 (#108113)
      広告バナーにウィルス仕込んでおいて、クリックして飛んだ先のバナーにワクチンが用意されている罠。

      (・_・;)。o0(新しい広告ビジネス形態の予感…)
      親コメント
  • by Anonymous Coward on 2002年06月15日 9時15分 (#108033)
    プログラムや圧縮ファイルをJPEGやGIFなどに 偽装するのは、珍しいことではないでしょ。 以前からあったと思いますけど。
    • by Anonymous Coward
      元記事読もうよ、勘違いしてるよ。
      プログラムを偽装しているんじゃなくて、画像ファイルのデータ部分にウィルスプログラムを埋め込んであるの。

      >プログラムや圧縮ファイルをJPEGやGIFなどに偽装するのは、珍しいことではないでしょ。以前からあったと思いますけど。

      このウィルスって抽出するウィルスと画像ファイルのデータ部に埋め込まれたウィルスの二つのウィルスが連携して動くってところが新しいんでしょ。
      つまり、抽出するウィルスは単にウィルスの触媒(:上スレッド参
      • Re:勘違いしてるよ。 (スコア:2, おもしろおかしい)

        by G7 (3009) on 2002年06月15日 12時25分 (#108076)
        機能分担というか、動的リンクみたいな感じですね。
        #やっぱり、一方をカーネルと呼ぶんだろうか?(笑)

        >#どういう風に危険かを述べちゃうとやばいだろうなやっぱ…。

        #それ言いだしたらウイルス系話題のタレコミや記事は殆ど一切書けなくなっちゃうだけですよ(^^;
        親コメント
        • by Dobon (7495) on 2002年06月16日 0時41分 (#108291) 日記
          こんな風に?

          ・ローダー本体        (ホントに起動するだけの機能しかない)
          ・パーツ統合         (各機能をくっつける部分:カーネル[笑])
          ・言語エンジン        (パーツを実行するインタプリタ[笑])
          ・感染元ファイル検索&抽出  (JPEGとは限らない...)
          ・感染先ファイル検索&書込  (感染先の種類と格納フォーマット情報など)
          ・増殖            (ローダと各パーツをばらまく部分)
          ・悪意あるコード

          ウィルスチェックが大変でしょうね…。
          パーツ単位では一般的なコードばかりですから。
          # 誤警報にユーザが慣れて「ああ、またか」で見過ごされるようでは困りますし。

          # たぶん、ローダーが一番チェックしやすいでしょうが、
          # これってプログラムラウンチャやシェル統合プログラムと
          # ほとんど同じ機能ですので誤警報が出やすいような…。

          --
          notice : I ignore an anonymous contribution.
          親コメント
      • by card_captor (1513) on 2002年06月15日 13時07分 (#108093) ホームページ 日記
        たしかに個々の技術は既存だけど、考え方は斬新だよなー。 今は危険度の評価低いけど、潜在的にはかなり危険なにおいがするよこのウィルス

        そうでしょうか?

        >マクロウィルスのデータを含むワープロ文書と,その文書からコードを取り出 すMicrosoft Officeの2部構成となっています。 ZDnetの記事では,現状ではPCがMicrosoft Officeに感染していない限りは危 険度は低いとしながらも,将来の危険性について警告されています…

        >スクリプトのデータを含むHTMLメールと,そのHTMLメールからコードを取 り出すOutlook Expressの2部構成となっています。 ZDnetの記事では,現状ではPCがOutlook Expressに感染していない限りは危険 度は低いとしながらも,将来の危険性について警告されています…

        単に、データを取り扱うプログラムが危険ならば危険である、 というだけのことだと思うのですが、私も勘違いしてますかねえ…

        親コメント
      • それもUGではたいして珍しくない。
      • #別ACですけど。
        >プログラムを偽装しているんじゃなくて、画像ファイルのデータ部分にウィルスプログラムを埋め込んであるの。

        ZDNetの記事読んだけど、いまいち違いがわかりません。
        warezなんかでよく使われているJPEGへのデータ埋め込みと今回のウィルス
        • by tomyu (2589) on 2002年06月15日 15時22分 (#108131)
          私もJPEGへの埋め込み方がよくわからないんですけど・・・。

          JPEGのベンダー依存のタグ(というのかな?要するに、JPEGの規格ではベンダなどでの拡張用に用意されているタグで、通常のデコードプログラムでは読み飛ばすハズなので、画像としては成り立つと思う)を使って、任意データをJPEGのデータストリームに埋め込んでるだけのような気がするんですけど。

          これだと、JPEGの仕様(規格のドキュメント)を読めば誰でも思いつきそうな方法のような気がしますが・・・。
          (そして、JPEGの標準で使い方が決まっていないタグを削除するようなプログラムを作れば、危険なコードは削除できそうな気がします)

          それとも、本当にDCT⇒ハフマン符号化された符号データもしくは電子透かしのように展開したビットマップ画像データの中にプログラムが埋め込まれているのでしょうか??
          親コメント
        • JPEGへのデータ埋め込み自体は既存の技術なんだけど, その技術を
          ウィルスに応用するってことが新しいのでは?
  • by Anonymous Coward on 2002年06月15日 12時17分 (#108070)
    萌系にインプラントするのでしょうか?
    いやこれは危険度大か?(笑)
    • Re:画像は (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2002年06月15日 12時37分 (#108085)
      あえて感染したいっ!

      そういう人が出れば勝ちですな。

      ウイルス型萌系キャラ、いたずら小娘タイプなんてどうだ。

      「うふ、間違えて削除しちゃいましたぁ。ごめんね。てへ。」
      「もぅ!えっちぃ画像はダメですよ、めっ。アドレス帳のみなさんに送っちゃいましたからね。」
      親コメント
      • by Anonymous Coward
        > 「もぅ!えっちぃ画像はダメですよ、めっ。アドレス帳のみなさんに送っちゃいましたからね。」

        憎めない・・・
        • by Anonymous Coward
          「はにゃ~ん、ご主人さまぁ~~
          間違ってドライブフォーマットしちゃいましたぁ~☆
          ごめんにゃさいですぅ~」
          とか、
          「はわわ~、ご主人様の萌え系ブックマークを
          知り合い全員にメールで送信しちゃいましたぁ~」

          これでも憎めない・・のか?
          • by Anonymous Coward
            「どうした? 可愛いから許すんだろ?」
            などと言いつつ越谷博士@ドクター秩父山が出てくる・・・

            と立派なウィルスでしょう:P
      • by Anonymous Coward
        メイド姿で
        「えっちなのはいけないと思います」byまほろ [mahoro-matic.com]
        とかいって画像ファイルをすべて消したり・・・

        応用で
        「えっぢなのはいけないと思います」といって
        AirH゛のドライバ消したりして・・・
    • by Artane. (1042) on 2002年06月16日 15時16分 (#108427) ホームページ 日記
      >萌系にインプラントするのでしょうか?

      有効なウィルス媒体になりそうですね。
      特に、仕事場でも使えるような、単純に可愛い女の子(男の子)が微笑んでいるような画像は社会的許容範囲が範囲が広目な分、広い対象に種を撒ける

      これらの画像に仕込んだウィルス(スクリプト?)を、発芽させ、コンパイラなどに別のウィルスを仕込まれたら相当な社会的なダメージを期待できる。

      発芽は、特定のWEBページやメールなどへのアクセスでブラウザやメーラを感染・発動させたり、スクリプトを走らせる方法が一般的になるでしょう。その手の脆弱性情報は非常に多く出回っている。

      敢えてウィルスを仕掛ける側に立って思考演習してみましたが、こんな感じでしょうか?

      親コメント
  • by Anonymous Coward on 2002年06月15日 14時48分 (#108116)
    現実的には、IEがmimeを無視するため、拡張子が.jpgで
    実体は悪意のあるhtmlファイル、という場合の方が危険性
    が高いような気がします…。
    • Re:IEのmime無視 (スコア:2, 参考になる)

      by tix (7637) on 2002年06月15日 19時45分 (#108207) ホームページ
      IEがmimeを無視するため
      最新の IE に重要な更新をすべて適用していれば、 text/plain と application/octet-stream 以外の MIME type を「無視」することはないと思います。

      以前出た [srad.jp]のは、サーバが Content-type: text/plain と指示しても IE がそれを無視する、という話です。

      いつかの修正プログラム(たしか MS01-058 [microsoft.com])以降、サーバの名乗る MIME type とファイル名から推定される MIME type が一致しない場合の扱いが変わりました(「開く」ボタンが使用不能になる)。それ以前だといろいろあると思いますが。とくに、 MS01-020 [microsoft.com] 以前なら、 Nimda や Klez などが使った弱点も残っているので、もう何でもありですが。
      --
      鵜呑みにしてみる?
      親コメント
    • えーウィルスのデータ(=ActiveX,JavaScript,EXE)と,コードを取り出す抽出プログラム(=InternetExplorer,Outlook,Windows)ということで、結局何も目新しいことは無いということでよろしいでしょうか?
      親コメント
  • by Anonymous Coward on 2002年06月15日 17時34分 (#108178)
    ウィルスの自己アップデートのコード以外にも、ウィルス駆除ソフトを回避する為の自己スクランブルの為のヒント情報とか、DDoS のトリガー情報とか、感染しているマシンについての情報(セキュリティーホール情報!?)とか、色々な情報を伝える為のチャネルになるんじゃないでしょうかね。色々と使い手があるかもしれませんよ。
    • 確かに、この方法は善意で使えば非常に使える方法ですね。

      暗号化した情報をJPEGやaviやmpegの中に仕込むのは、現在でも良く使われている情報偽装手段ですが、
      特定の暴露などの、社会的に重要だがストレートには出せない情報の媒体にカプセル化とロジック時限爆弾を応用するのは、Phrackingの社会的地位を変えかねないような革命的な手法になるようにも予測出来るのですが。

      勿論、除染の名を借りた情報潰しもあるでしょうから、いたちごっこの宿命からは逃れられないでしょうけど。

      親コメント
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...