Virus codificado en video

52

Así que no estoy familiarizado con la seguridad de TI, pero tengo algo de curiosidad por algo. Estaba viendo un programa de televisión y en un momento dado, un virus se propaga a través de una oficina. Ellos investigan y descubren que el virus fue codificado en un video y que se "activó" cuando el video fue reproducido. Entonces mi pregunta es, ¿es esto posible? ¿Podría eso realmente suceder? Una vez más, no estoy familiarizado con la seguridad de TI ni con los codificadores / codificadores de video, así que perdona mi ignorancia.

EDITAR:

Gracias por todas sus respuestas. Fueron muy interesantes y perspicaz. Si está interesado, el programa de referencia fue White Collar Season 3 Episode 7 "Taking Account".

    
pregunta pasawaya 03.08.2012 - 10:10
fuente

7 respuestas

57

Sí, eso es posible.

Probablemente, el malware no se incrustaría en el video, pero el archivo de video estaría especialmente diseñado para explotar una vulnerabilidad en el códec o el reproductor de medios, para obtener la ejecución del código. El exploit luego descargaría un archivo y lo ejecutaría, infectando la máquina.

Estos tipos de explotaciones han sido comunes entre los formatos de documentos populares, por ejemplo, PDF. Su proliferación los convierte en un buen objetivo para los escritores de exploits, porque la gente los usa mucho y asume que están seguros. Al final del día, cualquier tipo de archivo podría contener una vulnerabilidad, ya que una aplicación que ejecuta código ejecutable está involucrada en algún momento.

Explotaciones de este tipo suelen ser desbordamiento de búfer , que alteran el flujo de control al sobrescribir las estructuras de datos fuera del rango de memoria normal un búfer.

Más información:

respondido por el Polynomial 03.08.2012 - 10:15
fuente
6

Hay un bonito ejemplo de este ejemplo en la vida real en h-online (editor alemán). En este caso, es un video flash propuesto que contiene varios ataques diferentes para infectar la computadora que intenta mostrar el video

    
respondido por el Nicktar 03.08.2012 - 11:56
fuente
6

Además de la posibilidad de desbordamiento de búfer de @ Polynomial, el "archivo de video" podría ser un troyano ejecutable. Aquí hay un ejemplo simple:

  • Un archivo ejecutable se nombra de tal manera que parece ser un video, como:
    "movie.avi                     .exe"
  • El ejecutable extrae los datos de video incrustados en él, inicia su reproductor de video y mientras tanto implementa su carga maliciosa.

Para el usuario, parece que han hecho clic en un archivo de video y se abrió en su reproductor de video como de costumbre. En su lugar, han sido engañados para ejecutar el troyano.

Editar para agregar: Esta es la inversa del título de su pregunta. En lugar de un virus codificado en un video, un video está codificado en un virus.

    
respondido por el Simon 03.08.2012 - 15:51
fuente
4

Eche un vistazo a el boletín de esta ventana , que describe un parche para corregir el jpeg parser (infectado al ver una imagen jpeg, ouch).

Entonces, ciertamente es posible. Es solo una cuestión de encontrar un agujero para ejecutar un código personalizado. Esto generalmente se realiza mediante algún tipo de desbordamiento de búfer (consulte, por ejemplo, aquí ).

    
respondido por el BЈовић 04.08.2012 - 15:18
fuente
3
  • El tiempo de ejecución de Flash utiliza el concepto principal H.264 / AAC y el formato de contenedor de demux MP4 de la misma compañía. También existe el formato fMP4 con metadatos muy avanzados. Este es un software bastante seguro.
  • Flash también usa audio MP3, video VP6 y formatos de audio Nelly Moser con FLV muxing, esto también es seguro, sin embargo, no he probado este.
  • También hay formatos ASX / WMV / VC-1 / WMA de Windows Media utilizados por todos los navegadores de Windows y OCX de Windows Media Player
  • En linux hay un reemplazo del reproductor VC-1 con mplayer
  • El complemento VLC es uno de los más fáciles, si el usuario tiene un complemento, es fácil bloquear el navegador
  • El complemento Microsoft H.264 usa el decodificador de Windows 7 H264 y MPEG-2 para reproducir DVD, rayos azules y transmisiones de transporte de alta definición
  • El protocolo de Shoutcast también se usa ampliamente
  • Firefox tiene video Theora y audio OGG, que es de código abierto.
  • OSX (MAC / iphone / ipad) tiene un decodificador MPEG-2 TS realizado por Apple y funciona en el navegador Safari
  • El set top box de Reino Unido está utilizando libcurl / VLC para reproducir los videos
  • Los televisores inteligentes utilizan varias bibliotecas de código abierto o las mismas que en Sony Playstation (Sony TV)
  • Android 4 también está utilizando el decodificador MPEG-2 a través del navegador
  • El tiempo de ejecución de Silverlight está utilizando Windows Media, decodificador H.264 de Microsoft en Windows y Microsoft Phone

Hay muchos otros jugadores que pueden ejecutar virus, algunos televisores utilizan secuencias de comandos completas que pueden inyectarse a través de la señal satelital DVB-T terrestre o DVB-S, que a veces se realiza para sacar las cajas piratas.

Para que veas, puedes ganarte la vida con solo piratear formatos de video. La mayoría de ellos tiene agujeros serios, siendo el más dudoso VLC y el concepto principal más seguro.

El programa que has visto no necesita ser cierto, para realizar esto en el concepto principal en sí mismo, no es probable, sin embargo, algunos formatos tenían errores anteriormente, pero como el reproductor de adobe tiene actualización automática, el problema es mucho mejor en este momento que 5 Hace años, cuando el espectáculo fue filmado

    
respondido por el Andrew Smith 03.08.2012 - 13:17
fuente
1

Sí, es posible. El reproductor de video puede tener una vulnerabilidad que puede ser explotada a través de, por ejemplo, un desbordamiento de búfer.

Cuando el archivo de video en particular creado por el pirata informático se reproduce en ese reproductor de video en particular, el reproductor se bloqueará y la conexión se transferirá al host y el pirata informático podrá acceder a su sistema de forma remota cada vez que se conecte a Internet.

    
respondido por el VIvek Srivastava 03.08.2012 - 16:43
fuente
0

De hecho, no solo es posible, sino que puedo confirmar que existe "en la naturaleza".

Hace poco descargué un "programa de televisión" en formato .mp4, que contenía un virus autoextraíble / ejecutable. Cuando lo jugué (con VLC), desapareció y mi AV presentó una alerta. Afortunadamente, mi AV intervino y mató a la "desagradable", pero solo después de que se extrajera (y trató de ejecutar).

Una exploración posterior de una nueva descarga del .mp4 mostró (y eliminó) un self-x incrustado.

    
respondido por el Bob S. 21.12.2016 - 20:24
fuente

Lea otras preguntas en las etiquetas