JPEG画像に感染するウィルス登場 42
ストーリー by Oliver
ペイロード寄生 部門より
ペイロード寄生 部門より
skimsr曰く、"JPEG画像に感染するウィルスが登場したそうです(ZDnet,Internet Watch,NAIの記事)。ウィルスのデータを含むJPEG画像と,その画像からコードを取り出す抽出プログラムの2部構成となっています。
ZDnetの記事では,現状ではPCがウィルス抽出プログラムに感染していない限りは危険度は低いとしながらも,将来の危険性について警告されています。例えば,抽出プログラムを含むウィルスが自身をアップデートするためにJPEG画像を利用する,等です。他にも色々と応用例がありそうですが,/.Jの方々だとどのような応用例を考えつかれますか? そしてその対策は?"
コピープロテクトの「なれの果て」? (スコア:1)
インターネットで頒布する画像データなどにウォーターマーク (透かし)を入れ、これを検出することで課金処理をしようと いうのを 4 年くらい前に検討していたことあるんだけど、 「目的」は違うが「手段」は「同じ」かい(笑)
ウィルスとしての基本機能は従来のものと同じであり、「発症」 するトリガが外因性ということなのだから、こいつのために 新規な対策をしなけりゃならんということもないのでは?
--- Toshiboumi bugbird Ohta
つーかこれって話題性だけでブチアゲぎみっぽくないす (スコア:2, 参考になる)
つか感染原因も従来と同じっすよねぇ。
なのに見出しとかの書き方によっては、
「jpeg画像を見るだけで感染」
ってとれちゃうあたりはう~ん中京スポーツテイスト(東海地方)
しかし、最近思うんですけど、ウィルスのネタがこうやってメディアで踊った場合、
やっぱり対策関連会社(シマンテック、トレンドマイクロ、マカフィージェイド(←これって旧名だったっけ?))
の株価って上がるんすかね?
もしそうだとしたら、ウィルス作者は趣味と実益を兼ねられますね。笑い
あとこうやってウィルス報道を利用して
「今~~というウィルスが流行っています。
これはjpeg画像に感染(ここいらあやふやな報道を利用)する新しいものです。
未だにこれには大手からは有効な対策が出ていません。
しかし、ボランティアでイスラエル(スキル有りそうな国ならどこでも良い)の青年が対策ソフトを開発しました。
このメールに添付してある****です。(勿論これは他のウィルス)
少しでも早くこのウィルスに対抗するため、どんどんお知り合いの方にもお知らせください」
なんてのを10000通も送れば…
ここで騙されるような人は、チェーンメールも何も考えず流す人であると思われるので、
そこから新たに広まっていく…
根拠の無い妄想過ぎますか?笑い
Re:つーかこれって話題性だけでブチアゲぎみっぽくな (スコア:1)
いえそれは妄想ではなく、"Hoax"として知られる攻撃だったりします。
さらにそいつに virus がくっついてったりすると……(--;)
Re:コピープロテクトの「なれの果て」? (スコア:2, 興味深い)
-------- tear straight across --------
Re:コピープロテクトの「なれの果て」? (スコア:1)
それとも冗談?
いや、有り得ない話では無いなと思いつつ、画像フォーマットは
何か?とかOSと画像表示ソフトの組み合わせで?とかいろいろ
考えてしまうんです。
Re:コピープロテクトの「なれの果て」? (スコア:0)
というかデータの先頭かお尻に付加する
ことができるという仕様がありませんでしたっけ?
Re:コピープロテクトの「なれの果て」? (スコア:1)
Photoshopで保存すると余計なデータをこってり付けてくれます。
(7KBのファイルから不要な拡張データを取り除いたら2KBになってあきれかえりました)
「JPEGファイルに xx 独自のスクリプト書き込んで、
xx でファイルを開くと自動実行」
というのは現状でも不可能ではありません。
うじゃうじゃ
別にJPEGでなくても.... (スコア:1)
ローダーが対応すると対象となるファイルの種類が増える...(PNG,PDF,GIF,HTML,jar,.....)
↓
チェッカが対象ファイルを検査するようになる
↓
最終的にはディスクの全ファイルが検査対象になり処理が重くなる。
↓
仕事にならんのでチェッカを止める[爆]
職場でウィルスバスターを使ってますが、現状でも大きめのZIPファイルを開こうとするとマシンが固まります[笑]。
これが全ファイルになったらマジで仕事になりません。
#そもそも、HTMLに暗号化されて埋め込まれたら対策できるんだろうか?
notice : I ignore an anonymous contribution.
Re:別にJPEGでなくても.... (スコア:0)
あるのですが、操作する時はネットワークから切り離して
更に ServerProtect を止めて (w 操作します。
どっちかというと (スコア:1)
のような印象を受けますが、実際は「抽出プログラム」
の方がウイルスなのでは?
なぜ感染、潜伏、発病の動作全てを司どっていると
見られるプログラムを「抽出プログラム」と呼ぶの
だろう?
taka4
Re:表現として微妙ですが (スコア:2, 参考になる)
そういう構造であれば感染や発病の機能自体がJPEG内のコードに依存するわけで、場合によっては感染や発病の機能のないコードを実行すること(それをウィルスと呼ぶんか?という議論はともかく)も可能だと思われます。
そう考えるとあながち間違った表現ではないでしょう。
Re:表現として微妙ですが (スコア:1)
# ちょっと偏った発言ギミ
-- やさいはけんこうにいちば〜ん!
なるほど… (スコア:0)
Re:なるほど… (スコア:1)
そうするとですね、記事にあるような電子迷彩が使われたjpeg
ファイルが将来出てきたときに、いつの間にか多くのクライアント
中に(キャッシュとしてなど)存在することになるわけで、
ローダのバリエーションを変える事で、いつそのコードが実行さ
れるか分からないような状況になったりしないですかね。
拡張子jpegなファイルを片っ端から検索、実行すればいいわけで。
ローダ部分の実行が防げなければあらゆるウイルスが防げないと
いえるかもしれませんが、抜け道があるかもしれないし。
Re:どっちかというと (スコア:1)
この場合、JPEG file はウイルスというより カタリシス [nii.ac.jp]とでも呼んでおいた方がいいかも。
Re:どっちかというと (スコア:1)
世間一般では。(/.Jでは呼んでる人も結構いるかもしれない)
昔から似たようなのはありますよね (スコア:1)
に悪意のあるコードを埋め込んでおいて、makeするとそれが取り込
まれるとかいうやつ。
結局JPEGだけでは何もできないわけで、へんに怖がることはないか
と思います。もっとも自己更新型の一形式としては興味はひかれま
すね。
これに対するレスとしては不謹慎ですかね (スコア:1)
所謂Warezと見せかけて、
setup.exeをトロイの木馬をインストールするプログラムにしたらどうですかね。
途中で「不正な処理で終了しました」が出るようにしておけば、
「なんだこれ?クソッ!偽者つかまされたか!」
くらいに思って、まさかトロイの木馬を送り込まれてるとは思わないだろうし。
パクりもんのwarezをインストールする時に、
一々ウィルスチェックをする奴って少ないと思うんすよねー。
これも数当たればカモは絶対いると思うな。
つか本来、何の保証も無いバイナリを動作させるのは、
危ないと思わないと駄目ですよね。
というかこの場合は、保証が無いとかそういった以前の問題なんですが。笑い
Re:これに対するレスとしては不謹慎ですかね (スコア:1)
Warez自体がTrojanやVirusの媒体にされているので、インストールしたらウィルススキャンなどでチェックすると言うのは、Warezを扱う人間の間では初心者級の注意事項になっています。
どっちかと言うと社内等でサイトライセンスを取って、共有サーバに置いてあるソフトや(コピー)CD-Rの使い回しの方が危ないと思うのですが。
サーバ共有の場合は、サーバの管理の甘さやサーバ自体の脆弱性を使ってインストール対象ソフトに感染させられるでしょうし、
CD-Rの使い回しの場合は、CD-R作成の段階で容易に感染させられる。
特に、CD-RがOSだった場合は発見や除染に相当手間取るでしょう。
逆手に取ろう (スコア:1)
ワクチンプログラムを忍び込ませて、
Yahooの広告バナー(/.だと、ほぼ意味なし)にすればよい。
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
Re:逆手に取ろう (スコア:1)
(・_・;)。o0(新しい広告ビジネス形態の予感…)
それほど目新しいとは思えませんが (スコア:0)
勘違いしてるよ。 (スコア:0)
プログラムを偽装しているんじゃなくて、画像ファイルのデータ部分にウィルスプログラムを埋め込んであるの。
>プログラムや圧縮ファイルをJPEGやGIFなどに偽装するのは、珍しいことではないでしょ。以前からあったと思いますけど。
このウィルスって抽出するウィルスと画像ファイルのデータ部に埋め込まれたウィルスの二つのウィルスが連携して動くってところが新しいんでしょ。
つまり、抽出するウィルスは単にウィルスの触媒(:上スレッド参
Re:勘違いしてるよ。 (スコア:2, おもしろおかしい)
#やっぱり、一方をカーネルと呼ぶんだろうか?(笑)
>#どういう風に危険かを述べちゃうとやばいだろうなやっぱ…。
#それ言いだしたらウイルス系話題のタレコミや記事は殆ど一切書けなくなっちゃうだけですよ(^^;
re:機能分担というか (スコア:1)
・ローダー本体 (ホントに起動するだけの機能しかない)
・パーツ統合 (各機能をくっつける部分:カーネル[笑])
・言語エンジン (パーツを実行するインタプリタ[笑])
・感染元ファイル検索&抽出 (JPEGとは限らない...)
・感染先ファイル検索&書込 (感染先の種類と格納フォーマット情報など)
・増殖 (ローダと各パーツをばらまく部分)
・悪意あるコード
ウィルスチェックが大変でしょうね…。
パーツ単位では一般的なコードばかりですから。
# 誤警報にユーザが慣れて「ああ、またか」で見過ごされるようでは困りますし。
# たぶん、ローダーが一番チェックしやすいでしょうが、
# これってプログラムラウンチャやシェル統合プログラムと
# ほとんど同じ機能ですので誤警報が出やすいような…。
notice : I ignore an anonymous contribution.
Re:勘違いしてるよ。 (スコア:2, 興味深い)
そうでしょうか?
>マクロウィルスのデータを含むワープロ文書と,その文書からコードを取り出 すMicrosoft Officeの2部構成となっています。 ZDnetの記事では,現状ではPCがMicrosoft Officeに感染していない限りは危 険度は低いとしながらも,将来の危険性について警告されています…
>スクリプトのデータを含むHTMLメールと,そのHTMLメールからコードを取 り出すOutlook Expressの2部構成となっています。 ZDnetの記事では,現状ではPCがOutlook Expressに感染していない限りは危険 度は低いとしながらも,将来の危険性について警告されています…
単に、データを取り扱うプログラムが危険ならば危険である、 というだけのことだと思うのですが、私も勘違いしてますかねえ…
コメント元じゃないけど (スコア:0)
Re:勘違いしてるよ。 (スコア:0)
>プログラムを偽装しているんじゃなくて、画像ファイルのデータ部分にウィルスプログラムを埋め込んであるの。
ZDNetの記事読んだけど、いまいち違いがわかりません。
warezなんかでよく使われているJPEGへのデータ埋め込みと今回のウィルス
Re:勘違いしてるよ。 (スコア:1)
JPEGのベンダー依存のタグ(というのかな?要するに、JPEGの規格ではベンダなどでの拡張用に用意されているタグで、通常のデコードプログラムでは読み飛ばすハズなので、画像としては成り立つと思う)を使って、任意データをJPEGのデータストリームに埋め込んでるだけのような気がするんですけど。
これだと、JPEGの仕様(規格のドキュメント)を読めば誰でも思いつきそうな方法のような気がしますが・・・。
(そして、JPEGの標準で使い方が決まっていないタグを削除するようなプログラムを作れば、危険なコードは削除できそうな気がします)
それとも、本当にDCT⇒ハフマン符号化された符号データもしくは電子透かしのように展開したビットマップ画像データの中にプログラムが埋め込まれているのでしょうか??
Re:勘違いしてるよ。 (スコア:0)
ウィルスに応用するってことが新しいのでは?
画像は (スコア:0)
いやこれは危険度大か?(笑)
Re:画像は (スコア:1, おもしろおかしい)
そういう人が出れば勝ちですな。
ウイルス型萌系キャラ、いたずら小娘タイプなんてどうだ。
「うふ、間違えて削除しちゃいましたぁ。ごめんね。てへ。」
「もぅ!えっちぃ画像はダメですよ、めっ。アドレス帳のみなさんに送っちゃいましたからね。」
Re:画像は (スコア:0)
憎めない・・・
Re:画像は (スコア:0)
間違ってドライブフォーマットしちゃいましたぁ~☆
ごめんにゃさいですぅ~」
とか、
「はわわ~、ご主人様の萌え系ブックマークを
知り合い全員にメールで送信しちゃいましたぁ~」
これでも憎めない・・のか?
Re:画像は (スコア:0)
などと言いつつ越谷博士@ドクター秩父山が出てくる・・・
と立派なウィルスでしょう:P
Re:画像は (スコア:0)
「えっちなのはいけないと思います」byまほろ [mahoro-matic.com]
とかいって画像ファイルをすべて消したり・・・
応用で
「えっぢなのはいけないと思います」といって
AirH゛のドライバ消したりして・・・
Re:画像は (スコア:1)
有効なウィルス媒体になりそうですね。
特に、仕事場でも使えるような、単純に可愛い女の子(男の子)が微笑んでいるような画像は社会的許容範囲が範囲が広目な分、広い対象に種を撒ける。
これらの画像に仕込んだウィルス(スクリプト?)を、発芽させ、コンパイラなどに別のウィルスを仕込まれたら相当な社会的なダメージを期待できる。
発芽は、特定のWEBページやメールなどへのアクセスでブラウザやメーラを感染・発動させたり、スクリプトを走らせる方法が一般的になるでしょう。その手の脆弱性情報は非常に多く出回っている。
敢えてウィルスを仕掛ける側に立って思考演習してみましたが、こんな感じでしょうか?
IEのmime無視 (スコア:0)
実体は悪意のあるhtmlファイル、という場合の方が危険性
が高いような気がします…。
Re:IEのmime無視 (スコア:2, 参考になる)
以前出た [srad.jp]のは、サーバが Content-type: text/plain と指示しても IE がそれを無視する、という話です。
いつかの修正プログラム(たしか MS01-058 [microsoft.com])以降、サーバの名乗る MIME type とファイル名から推定される MIME type が一致しない場合の扱いが変わりました(「開く」ボタンが使用不能になる)。それ以前だといろいろあると思いますが。とくに、 MS01-020 [microsoft.com] 以前なら、 Nimda や Klez などが使った弱点も残っているので、もう何でもありですが。
鵜呑みにしてみる?
Re:IEのmime無視 (スコア:1)
情報のコンテナー (スコア:0)
White Phracking (Re:情報のコンテナー) (スコア:1)
暗号化した情報をJPEGやaviやmpegの中に仕込むのは、現在でも良く使われている情報偽装手段ですが、
特定の暴露などの、社会的に重要だがストレートには出せない情報の媒体にカプセル化とロジック時限爆弾を応用するのは、Phrackingの社会的地位を変えかねないような革命的な手法になるようにも予測出来るのですが。
勿論、除染の名を借りた情報潰しもあるでしょうから、いたちごっこの宿命からは逃れられないでしょうけど。