こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

画像、動画ファイルからのマルウェア感染

動画、画像ファイルから感染することありますよね?

1:
exeファイルでは検知できるマルウェアも動画、画像ファイルの拡張子(wmv,mp4,mpg,jpg,jpeg,gif...)のファイル名に変えられてPCに置かれている場合(このファイルはファイルAとする)、拡張子が変えられているためアンチウイルスソフトが検知できず(未確認でまちがってるかも)他のexeファイル(このファイルはファイルBとする)を実行するとこの拡張子が動画、画像ファイルの物に変えられたファイル(ファイルA)を再びexeファイルに戻し実行され感染
2:
画像、動画ファイルの中に他のファイルを隠すフリーソフトがあるが、そんなソフトウェアでマルウェアを画像、動画ファイルの中に忍ばせ(このファイルはファイルAとする)アンチウイルスソフトの検知を回避。
他のexeファイル(このファイルはファイルBとする)を実行するとその隠されたマルウェアが画像、動画ファイルの中から(ファイルAから)取り出され実行され感染

こんな1,2のような場合アンチウイルスソフトで画像、動画ファイルを検査しても検知されませんよね?マルウェアの入った画像、動画ファイルがPCに保存されてると気持ちわるいんで。

投稿日時 - 2008-12-04 01:49:35

QNo.4528254

困ってます

質問者が選んだベストアンサー

#3です。

参考までにオーディオファイル再生をトリガにして悪意のあるコードが仕組まれたサイトにアクセスさせる例をご紹介します。これはとあるクラッカーサイトで紹介されてた方法をそのまま私がやってみた実験です。

投稿日時 - 2008-12-17 21:16:04

お礼

じゃあインターネットにつないでない状態でなら再生してしまってもブラウザ立ち上がっても大丈夫ですね。
ありがとうございます。

投稿日時 - 2008-12-18 16:36:41

このQ&Aは役に立ちましたか?

5人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(5)

ANo.4

#3です。

まあ、はっきり言って埋め込もうとどうしようと、ファイルAを実行するときにはファイルシステムを経由しますので対応してるものなら検知できますね。対応していないものでも対策ソフトによってはBehavior BlockerないしはHIPS等でブロックできる余地はありますね。

で、クラッカーが一番使う手法は埋め込みとかじゃなく結合ですね。他の正常なファイルと結合させる。この手のツールはそれこそゴロゴロ転がってます。

>インターネット上からダウンロードしてPCに保存した動画、画像ファイルはウイルス、スパイウェア対策ソフトでスキャンする意味はあるかです。

意味はありますよ。VirusTotal等を利用するのは常識ですし。私なんかはVTも利用しますけど、実行するときはやはりバーチャルマシンを使いますね。あと、Write Filterを使ったシステム保護を行ってます。

ちなみに、最近のMalwareはVTでのスキャンを効かないようにしていたり、VM上では動作しないようにしていたり、バイナリ解析サービスを回避
するようになっていることもあります。Malwareのアンチリバースエンジニアリングは強化されてきてますね。

投稿日時 - 2008-12-15 23:16:16

お礼

ありがとうございます。

投稿日時 - 2008-12-16 16:10:43

ANo.3

こんにちは。

私はクラッカーサイト巡りや対策ソフトの性能テストなどをしておりま
す。

えー、基本的には対策ソフトは含まれるバイトコードで判別してます。

A1:

http://www.itmedia.co.jp/enterprise/articles/0712/27/news019.html

http://japan.cnet.com/news/sec/story/0,2000056024,20377521,00.htm

A2:

確かに埋め込みの手法はMalwareの拡散に使われてるようです。だだし、私自身は取り出して実行するものはこれまで見聞きしたことは無いです。

なお、WMAやWMV、RM これらのファイルをトリガとして悪意のあるコードが配布されてるサイトにアクセスさせる手法があります。

投稿日時 - 2008-12-05 22:45:40

補足

ありがとうございます。
動画、画像ファイルに他のファイルを隠すソフトウェア


http://www.vector.co.jp/soft/win95/util/se182630.html

FileCapsule
http://www.vector.co.jp/magazine/softnews/040908/n0409081.html

など。

>確かに埋め込みの手法はMalwareの拡散に使われてるようです。だだし、私自身は取り出して実行するものはこれまで見聞きしたことは無いです。

私の2番目の質問のファイルB自体はマルウェアではないので怪しいですけどアンチウイルスソフトは検知しない(害のない普通のプログラムと判断される)と思いますが。だから聞いたことないのでは?存在はします(紹介したフリーソフトにもファイルを埋め込む機能と取り出す機能があります。この取り出す機能を持ったのがファイルBで検知はされません)。

私の質問の1,2の場合をまとめると、インターネット上からダウンロードしてPCに保存した動画、画像ファイルはウイルス、スパイウェア対策ソフトでスキャンする意味はあるかです。

>なお、WMAやWMV、RM これらのファイルをトリガとして悪意のあるコードが配布されてるサイトにアクセスさせる手法があります。

このような手口も含めた質問です。

余談----------------------------------------
spybot S&D 1.6
の免疫機能でもfirefox用の免疫でimages(画像)のブラックリスト(現在約10000)があるということはスキャンは必要かな?

投稿日時 - 2008-12-06 10:36:49

ANo.2

こんにちは。
NO1.の方が言われるように、あなたの疑問に一つ一つ回答すると、とてもとても・・・。

まず、言えることは、
マルウェアに感染したからといって、動画、画像ファイルの拡張子(wmv,mp4,mpg,jpg,jpeg,gif...)がexeの拡張子に変更されることはありません。
マルウェアはマルウェアで「新しいファイル?」を作成します。

投稿日時 - 2008-12-05 11:14:29

補足

ありがとうございます。
動画、画像ファイルに他のファイルを隠すソフトウェア


http://www.vector.co.jp/soft/win95/util/se182630.html

FileCapsule
http://www.vector.co.jp/magazine/softnews/040908/n0409081.html

など。

拡張子をかえるようなプログラムファイルはあります。回答番号no.3さんのURL
http://www.itmedia.co.jp/enterprise/articles/0712/27/news019.html
のようなものです。だから動画、画像ファイルをexeファイルに変えられることもあります。
私の質問の1,2の場合をまとめると、インターネット上からダウンロードしてPCに保存した動画、画像ファイルはウイルス、スパイウェア対策ソフトでスキャンする意味はあるかです。

余談----------------------------------------
spybot S&D 1.6
の免疫機能でもfirefox用の免疫でimages(画像)のブラックリスト(現在約10000)があるということはスキャンは必要かな?

投稿日時 - 2008-12-06 10:39:29

ANo.1

質問者さんは、アンチウィルスソフトが単に拡張子でウィルスプログラムを検知していると思われているようですね。残念ながら、それは大きな間違いです。
一般的なウィルス検知の仕組みを勉強してみてください。そうすれば、今お持ちの疑問のほとんどは解消されるはずです。ウェブ検索すると山のように関係情報が見つかりますよ。

投稿日時 - 2008-12-04 20:31:53

補足

ありがとうございます。
動画、画像ファイルに他のファイルを隠すソフトウェア


http://www.vector.co.jp/soft/win95/util/se182630.html

FileCapsule
http://www.vector.co.jp/magazine/softnews/040908/n0409081.html

など。

アンチウイルスソフトの検査方法を検索してみたけどちょっとありませんでした。
キーワード(拡張子 アンチウイルス)
キーワード(拡張子 アンチウイルス 検査 方法)
など。
でも他の人もそう言っているので(バイトコード検査とか)もういいです。
私の質問の1,2の場合をまとめると、インターネット上からダウンロードしてPCに保存した動画、画像ファイルはウイルス、スパイウェア対策ソフトでスキャンする意味はあるかです。

余談----------------------------------------
spybot S&D 1.6
の免疫機能でもfirefox用の免疫でimages(画像)のブラックリスト(現在約10000)があるということはスキャンは必要かな?

投稿日時 - 2008-12-06 10:40:11

-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-