パスワードを忘れた? アカウント作成
4765 story

不正なMP3に隠れるトロイの木馬 46

ストーリー by Oliver
ひょんなところにバッファオーバーフロー 部門より

ncube2曰く、"このところ毎日のようにワシのWindowsマシンのアンチウイルスソフトが「アップデートしろー」と言ってくるこの頃であるが、日経新聞のWEB上の記事によると、Linuxのmpg123なるソフトで音楽ワイルを再生すると感染する「ジェイベルズ」なるウイルスが出回っているとのことだ。ちなみにコレ、WindowsやMacには感染しないらしい。
ここでふと気になったのが、「サーバーはともかく、デスクトップOSとしてLinuxを使っている人って、どの位アンチウイルスソフト入れてるの?」。Linuxでのセキュリティ対策ちゅーと、今まではクラッキングの類の方がメインなような気がするが、Linux自身に感染するウイルス対策も本気でやらないとマズイくなるのかな?"

感染活動を行わないので、ウィルスとはいえない。有用なMP3のフリをしているが、実態は不正なMP3ヘッダを利用してmpg123 0.59rおよび0.59sの開発ブランチのバッファオーバフローを利用してユーザのホームディレクトリを空にしてしまうので、トロイの木馬だ。特定のMP3プレーヤの特定のバージョンでのみ発生し、問題のファイルは他のプレーヤではゴミにしか聞こえないとはいえ、プレーヤのバグを狙って純粋なデータに潜む、というのは新鮮だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Mozilla では RBL [mail-abuse.org] に該当する メールのフィルタリング機能 [mozilla.org]が trunk で有効になり始めているようですが、オープンソースなアンチウィルスツールはないのでしょうか?

    こういうの [impress.co.jp]を購入するのも悪くはないでしょうけど、ウィルスデータベースの更新に継続的な金銭的コストを負担することが条件になってしまいますし。
    --

    - Ryuzi Kambe -
    • SPAMフィルタみたいなメールのフィルタリング系はちらほら見かけますけどウィルスデータベースを参照して検出、駆除、検疫ということを行ってくれる物はあまり見かけない気がしますね。(探し足りないのかも知れないケド)

      知ってる限りでは
      • OpenAntiVirus Project [openantivirus.org]

      • Clam AntiVirus [elektrapro.com]


      • かなぁ。後者は上のOpenAntiVirusProjectのウィルスデータベースを利用でしているようです。

        ただ、OpenAntiVirusのウィルスパターンで検出できるウィルスも少なく、ウィルスパターンの更新も遅いです。ここ [openantivirus.org]の通り最終更新が2002/10/29ですしね。

        やはり、新しいウィルスに対して解析してパターンを作る作業はちょっとやそっとでは出来ないのでは無いでしょうか。
      --
      ---Shogo Sato
      親コメント
    • by ncube2 (2864) on 2003年01月20日 22時27分 (#239331)
      ワシはここ [necture.co.jp]の8月22日のトコロにある内容をタレコンだのぢゃが、コレはどうなったがさっぱり判らんわい。
      確かIPA絡みぢゃ。
      親コメント
  • by tt (2867) on 2003年01月20日 21時04分 (#239273) 日記
    プレーヤのバグを狙って純粋なデータに潜む、というのは新鮮だ
    ちょっとまえのwinampとWMPの奴とかも同様のことが可能だったし、zlib周りのバグを使ってDoSを仕掛けるPNG画像なんてのもあったので、結構最近では普通になりつつあると思ってるんですが、どうなんでしょう。

    で、私が危惧しているのは、こういう「データにもぐりこむウィルス」と、コンピューターと家電がつながるとゆー、今時の家電・パソコンメーカー各社さまが頑張ってることが実現してしまうと、じきに

    1. ポータブルプレーヤーに転送した、正規に購入したEMDコンテンツがすべて消えてしまうmp3ファイル
    2. 一度見るとそのDVDレコーダーでは二度とタイマー録画が出来なくなるMPEGファイル
    なんてのが出てくるんだろうなと予想してます。

    そんなわけで、バグはゼロには出来ないという事実を考えると、今後の家電製品はあらゆるファームウェア書き換え可能にしないと怖くて売れないな、そうなると確実に値上がってこのご時世にはさらに売れなくなるなあ、などと思ってしまうわけです。

    しかしどっちにせよ家電機器でファームウェアの書き換え、とかいうのはちょっといやーん。

    # 関係者だけど他人事っぽく思ってるのでID

    --
    -- Takehiro TOMINAGA // may the source be with you!
    • by kicchy (4711) on 2003年01月21日 4時07分 (#239553)
      > 1.ポータブルプレーヤーに転送した、正規に購入したEMDコンテンツがすべて消えてしまうmp3ファイル
      > 2.一度見るとそのDVDレコーダーでは二度とタイマー録画が出来なくなるMPEGファイル

      家電業界はこれを逆手にとって、

      「正規の手段以外で入手した音楽・映像を再生すると
       データが壊れてしまう恐れがあります」

      と宣伝するだけではないかと。
      親コメント
    • > しかしどっちにせよ家電機器でファームウェアの書き換え、とかいうのはちょっといやーん。

      AV機器だと、ソリッドオーディオを始めとして
      結構増えてきていると思います。

      いやーんな理由を教えていただければ幸い。
      まあ、生理的な感情ならば仕方ないで
      • by tt (2867) on 2003年01月20日 23時14分 (#239377) 日記
        先のコメントの下にも書いたとおり、ちょろっとは関係者でして。現時点でそれなりに完璧な技術が確立していない、ファームウェア書き換えという手法のためにQA項目他が大量に増えるのが嫌、というしょうもない理由でございます。

        ファームウェア書き換えが必要になってしまう機械というのは現状増えてきているし、自分はアレゲなので「おおまた新しいファーム出てる!」「これで機能が増えるといーなー」とかわくわくします。ユーザー啓蒙という意味でもいいものである、という点についても同意します。

        --
        -- Takehiro TOMINAGA // may the source be with you!
        親コメント
        • by Anonymous Coward on 2003年01月21日 1時30分 (#239491)
          私的には「ファームウェア書き換えができるから、この機能は出荷してから対応」なんてことが当たり前に行われるようになってきているのが嫌ですね~。
          #言い換えれば、「バグあるけど、出荷しちまえ~」なわけで(^^;;

          それはさておき、ファームウェア書き換え可能な機器ってどんどん増えてますよね~。
          単に
          (1)マスクROM(特に容量の大きいもの)を作ってくれるメーカーが激減した
          (2)フラッシュROMでも極端に高コストにはならない
          (3)内部にログやら設定情報を持つ機器が増えているのでどうせ不揮発メモリを持たなきゃならないなら安くなる場合もある
          (4)出荷直前までファームウェアデバッグができる(汗)
          (5)出荷してからもファームウェアデバッグができる(滝汗)
          というだけなんでしょうが・・・。
          #ちなみに、自分が関わる仕事では(1)だったりする・・。
          親コメント
          • by Abendrot (8840) on 2003年01月21日 10時15分 (#239638) 日記
            >(1)マスクROM(特に容量の大きいもの)を作ってくれるメーカーが激減した

            UV EPROMも仲間にいれてやってください。
            昔2732Aで十分な基板に27C128や27C256を実装しつつもったいないなあと思っていました。ひそかに複数バージョンを載せたROMを出荷したり、容量増を活用はしましたけど。

            ところで、NTTドコモの携帯電話もバグ発覚時に、端末交換からファームのみ書き換えに徐々に移行するようです。これからもソフトで機能を実現する機器が増える一方でしょうから、「ファーム書き換え」(あるいはそれにかわる4文字熟語がメディアによる流布)が日常会話で使われる日も近いと思います。

            BS/地上波デジタルTVでは放送規格でファームウェア書換ができるようなデータを送れる仕組みができていたりしますので、知らぬ間に書き換わって焦るという楽しみ(笑)も増えそうです。
            #実際にはメール等で告知するみたいです。
            親コメント
    • オフトピですが、過去にファームの更新に失敗してそのままメーカー送りにした事あります。ファーム更新はファームが死んでも出来るようにしてほしいとか思います。じゃないと怖くてファーム更新できなーい。
    • Acrobat readerのCIDフォント情報関連のローカルバッファオーバーフローがこの手の攻撃で公になった初物だったと思います。

      http://www.shadowpenguin.org/sc_advisories/advisory039.html

      3年前ですね。
  • by Average (3404) on 2003年01月20日 20時57分 (#239268) 日記
    やはり、ユーザー数が増えると、アタックする奴も増える、という事ではないか。
    となると、ウイルス業界(そんなものないです)のターゲットとしてLinuxも無視できない数がある、という認識の結果なのでしょう<ホントか、それ。

    こうなると一番安全なのはOS/2ですな、やっぱ(爆笑)
    なんてったって、ユーザー数が劇小ですし。あうあうあう(号泣)
    --
    -----------------
    #そんなワタシはOS/2ユーザー:-)
    • Re:本気にしちゃいやよ (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2003年01月20日 21時11分 (#239277)
      宣伝してユーザ数が増えると危険になるので宣伝しないでください。
      親コメント
    • by Anonymous Coward on 2003年01月21日 10時33分 (#239657)
      > やはり、ユーザー数が増えると、アタックする奴も増える、という事ではないか。
      残念ですが全く違います

      こいつはMP3プレイヤー多種に存在する脆弱性を指摘するためのコンセプトウイルスでして、被害が大きくならないようにマイナーなものを選んでexploit実装したんです。
      WindowsMediaPlayer対象のとか作ったら、マジで実行する奴出そうじゃん。
      # RIAAおちょくったり、ネタの部分も多々ある

      ユーザ数が少ないからLinuxにしたんです。残念(笑
      親コメント
      • 確かに、MediaPlayerを狙って、動画に埋め込んであげちゃったりすると、
        それこそ、あっという間に広まりそうですねぇ
    • by BNI (13271) on 2003年01月21日 15時43分 (#239888)
      >こうなると一番安全なのは

      超漢字 [chokanji.com]でしょう。

      --
      そんな私は超漢字ユーザー。

      --
      We are the keepers of the sacred words "ni"!
      親コメント
  • 最近の gnome とか kde の機能の豊富さを見ていると 同じような問題があちこちに潜んでいる気がします。 しかも、大量に。 これからは linux でも、デスクトップ環境として使うならば windows を馬鹿に出来ないぐらいの パッチあてが必要になるかもしれないですね。
  • by KAMUI (3084) on 2003年01月20日 21時18分 (#239282) 日記
    以前,自分でタレコんだコレ [srad.jp]の最終段落の話が発動されたかと思ったよ・・・

    「C で書かれていて,他のディストロで動作する様に書き換える事も可能であろう」と
    あるが,感染した mp3 からそのコードを抽出する事はそんなに簡単なのでしょうか?
    チョイと疑問に思ったので書いてみたり。

    あと発動すると「ホームディレクトリを削除する」との事ですが
    root で動かして無ければ最悪の自体は回避出来るって事?

    mpg123 動かすのに root権限要るとかだと話し終わっちゃうけど。


    それはさて置き「音楽ソフトを不正共有する利用者を狙った」って
    記事にあるけど,mp3 は「音楽データ」じゃないのでしょうか?(苦笑)
    • by nekopon (1483) on 2003年01月20日 22時20分 (#239318) 日記

      記事中の『音楽ソフト』という語は、『コンピュータ・ソフトウェア』の意味ではなく、『作品』という意味で使われていると思います。デイリー新語辞典の解説 [goo.ne.jp]の2つ目のほうね。

      # そのほかは1番目の意味と思われるのでまぎらわしい

      親コメント
    • by Anonymous Coward
      ニュースソース説明不足で詳細キボンヌって感じなんですが…

        1. mpg123の独自仕様で任意のコードが実行できるようになっている
        2. 実はMP3自体、任意のコードが実行できる仕様だったりする
        3. ニュースソースが嘘、大袈裟、紛らわしい

      どれが正しいんでしょうかね…
      3.は論外として
      • Re:儂も疑問 (スコア:2, 興味深い)

        by kenston (12394) on 2003年01月20日 23時37分 (#239398)
        「C で書かれていて,他のディストロで動作する様に書き換える事も可能であろう」とあるが,感染した mp3 からそのコードを抽出する事はそんなに簡単なのでしょうか?チョイと疑問に思ったので書いてみたり。

        01-jinglebellz.cというのが、公開されています。これをコンパイルするとMP3を書き出す実行可能バイナリが出来上がります。01-jinglebellz.cのstruct xplのメンバーのaddrlocの値を調節すれば、他のLinuxディストロでも動作するようになるでしょう。MP3ファイルに埋め込まれるlinux_shellcodeですが、これはLinuxのシステムコールを使っているので、Linux以外に対応させるためには、linux_shellcodeの部分を新規に作る必要があるでしょう。(その作業が「簡単」と言えるかどうかはわかりませんが...)

        現状では1つのMP3ファイルで複数の環境に対応させることはできず、環境ごとに専用のMP3ファイルを作る必要があります。また、私は最初は「./jinglebellz 1 evil.mp3」とか実行すれば、任意のMP3ファイルにコードを埋め込むことができると思ったのですが、そうではなくて作られるMP3ファイルは決まっています。

        Windowsに比べてUNIX系では単一のバイナリが広く流通しないので、この種のセキュリティーホールを狙ったウイルスを流行らせるのは難しいです。

        なお、出来上がった実行可能バイナリと、これを実行したときに作られるMP3ファイルはNortonでウイルスとして検出されました。

        1. mpg123の独自仕様で任意のコードが実行できるようになっている
        2. 実はMP3自体、任意のコードが実行できる仕様だったりする
        3. ニュースソースが嘘、大袈裟、紛らわしい

        全部違います。「mpg123のバグで任意のコードが実行できてしまう」というのが正解です。

        親コメント
      • Re:儂も疑問 (スコア:1, 参考になる)

        by Anonymous Coward on 2003年01月21日 10時29分 (#239651)
        > 2. 実はMP3自体、任意のコードが実行できる仕様だったりする
        これが一番近いかな。
        WindowsMediaPlayer、Winamp、mpg123、xmmsに対して同種の脆弱性が見つかっており、そのうちmpg123実装をやってみたのがこいつ。

        参照:音楽業界がP2P感染のワーム作成? [zdnet.co.jp]
        親コメント
        • by Anonymous Coward
          参照記事には
          この脆弱性は、Gobblesが名指ししているWindows Media Player、WinAMP、Xmmsといった主要ソフトでは見つかっておらず、比較的無名のオープンソースソフトMPG123に発見された。

          と書いてありますが???
          • by Anonymous Coward
            しまった、読み損ねたか。
            SecurityFocusの方の投稿を流し読みしたのが敗因くさい。

            Windows Media Player、WinAMP、Xmms、MPG123で演奏即発動なexploitを実現したが、ひとまずMPG123のコードだけ公開した

            が正解で、手法や理論が共通って訳ではない、って事かな?
            くう、英語....
    • by Anonymous Coward
      あと発動すると「ホームディレクトリを削除する」との事ですが root で動かして無ければ最悪の自体は回避出来るって事?

      個人的には root でなくてもホームディレクトリがふっ飛んだらかなり最悪に近い状況かと思います。

      # 何をもって『最悪の事態』とするかにもよりますが。

      • by Anonymous Coward
        >> 個人的には root でなくてもホームディレクトリがふっ飛んだらかなり最悪に近い状況かと思います。

        私の手元のFreeBSDマシンだとrootのホーム "/root" には.cshrcとか以外は何も置いて無いんですけど、昔なつかしSunOS4.xだとrootのホームが "/" だったりしましたね。Linuxだとどんな感じなんでしょうか?
        • by Anonymous Coward

          一般的な Linux ディストリビューションでは、 root のホームは /root ですね。(そうなっていないのって、あるんでしょうか?)通常は最低限の dot ファイルぐらいしか無いと思います。ただ、一般ユーザアカウントを作らずに普段から root を使っている人もいたりするかとは思います。

      • by Anonymous Coward
        ルートとホームを間違えているのではないかと。
        > 元の人が
    • by Anonymous Coward
      うぉ。今何気にxmmsをroot権限で動かしていた、、と猛省
      どきっとするコメントありがとう、と関係ないのに感謝。

      最近rootでいるときのポリシーがヅンヅン劣化してます、
      ドライバ書いてるときにKDEのセッションにいたりすると
      そのままゴテゴテしたこと
  • by pee02674 (7296) on 2003年01月20日 21時39分 (#239288) 日記
    どうしても著作権法的に不正な状態を想像してしまいます。
    「再生ソフトmpg123を狙ったトロイの木馬」でLinux Topicなり、
    より正しい情報を伝える見出しにするべきではなかったでしょうか?
    スポーツ新聞的なあざとい見出しは好きになれません・・・
  • by wabix (3594) on 2003年01月20日 21時43分 (#239291) ホームページ
    日経新聞のWEB上の記事によると、Linuxのmpg123なるソフトで音楽ワイルを再生すると感染する「ジェイベルズ」なるウイルスが出回っているとのことだ。
    なにっ!? mpg123 [mpg123.de] がダメだって??
    じゃあ、 mpg321 [sourceforge.net] 使えばいいや。(違
    • Slackware では、 mpg321 のシンボリックリンクで mpg123 があります。
      コマンドラインオプションなどは 123 の互換です。

      which mpg123 で答えが返ってきたから、と、慌てずに。
      間違えないようにしなきゃ。

      親コメント
      • by rug (55) on 2003年01月21日 0時17分 (#239431) 日記
        Red Hatも今ではmpg321のsymlinkになっていますね。freeな代替が入手できるので、もはやnon-freeなmpg123を配布に含める理由はないということなのでしょう。
        親コメント
      • by Anonymous Coward
        テストしようとして見事に引っかかりました(^^;
  • by blackcat (13318) on 2003年01月20日 22時09分 (#239308)
    update直後

    ravav -RP /usr/local/rav8/rave -VIRLIST |grep -i 'bell'

    Bell.286

    Bell.337

    HellBell

    (重複省略)どれも違うらしい.う~む,お金払ってるのにこれでは..名前違うのかな?

  • インターネットからダウンロードした mp3 ファイルは持っていないので安心、と思っていたら今度はエンコーダソフトのソースコードが不正に書き換えられ、トロイの木馬入り mp3 を作成するようにされていたことが判明、とか。

    --
    The Only Nerd Thing To Do
    -たったひとつのアレゲなやりかた-
  • by cocoa (11855) on 2003年01月20日 22時21分 (#239321)
    ここ [securityfocus.com]には mpg123 0.59r は not vulnerable だと書かれているのですが、
    mpg123 0.59rおよび0.59sの開発ブランチのバッファオーバフローを利用してユーザのホームディレクトリを空にしてしまうので、トロイの木馬だ。
    とあります。
    mpg123 0.59r も影響を受けるのですか?
  • by Anonymous Coward on 2003年01月20日 21時00分 (#239269)
    http://www.faireal.net/#d30115 [faireal.net] 背後にRIAAの影?
  • by Anonymous Coward on 2003年01月21日 4時31分 (#239555)
    どっちかってーとワルイ音楽?
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...