web-dev-qa-db-fra.com

Virus encodé en vidéo

Je ne connais donc pas du tout la sécurité informatique, mais je suis un peu curieux de savoir quelque chose. Je regardais une émission de télévision et à un moment donné, un virus s'est propagé dans un bureau. Ils enquêtent et découvrent que le virus a été encodé dans une vidéo et qu'il a été "activé" lors de la lecture de la vidéo. Donc ma question est, est-ce possible? Cela pourrait-il réellement arriver? Encore une fois, je ne suis pas du tout familier avec la sécurité informatique ou le codage/codecs vidéo, alors pardonnez mon ignorance.

ÉDITER:

Merci pour toutes vos réponses. Ils étaient très intéressants et perspicaces. Si vous êtes intéressé, l'émission en référence était White Collar Season 3 Episode 7 "Taking Account".

53
pasawaya

Oui, c'est possible.

Le malware ne serait probablement pas intégré à la vidéo elle-même, mais le fichier vidéo serait spécialement conçu pour exploiter une vulnérabilité dans le codec ou le lecteur multimédia, pour obtenir l'exécution de code. L'exploit téléchargerait alors un fichier et l'exécuterait, infectant la machine.

Ces types d'exploits sont courants parmi les formats de documents populaires, par ex. PDF. Leur prolifération en fait une bonne cible pour exploiter les écrivains, car les gens les utilisent beaucoup et supposent qu'ils sont en sécurité. À la fin de la journée, tout type de fichier pourrait potentiellement contenir un exploit, car une application qui exécute du code exécutable est impliquée à un moment donné.

Des exploits comme celui-ci sont généralement des attaques buffer overflow , qui modifient le flux de contrôle en écrasant les structures de données en dehors de la plage de mémoire normale d'un tampon.

Plus d'informations:

59
Polynomial

Il y a un joli Nice play-by-play d'un exemple réel de cela sur h-online (éditeur allemand). Dans ce cas, il s'agit d'une vidéo flash à des fins spécifiques qui contient plusieurs attaques différentes pour infecter l'ordinateur essayant d'afficher la vidéo

6
Nicktar

Outre la possibilité de débordement de tampon de @ Polynomial, le "fichier vidéo" pourrait en fait être un exécutable de cheval de Troie. Voici un exemple simple:

  • Un fichier exécutable est nommé de telle sorte qu'il semble être une vidéo, comme:
    "movie.avi .exe"
  • L'exécutable extrait les données vidéo intégrées, démarre votre lecteur vidéo et déploie sa charge utile malveillante.

Pour l'utilisateur, il apparaît qu'il a cliqué sur un fichier vidéo et qu'il s'est ouvert dans son lecteur vidéo comme d'habitude. Au lieu de cela, ils ont été amenés à diriger le cheval de Troie.

Modifier pour ajouter: c'est l'inverse du titre de votre question. Au lieu d'un virus encodé dans une vidéo, une vidéo est encodée dans un virus.

6
Simon

Jetez un œil à le bulletin de cette fenêtre , qui décrit un correctif pour corriger l'analyseur jpeg (infecté en affichant une image jpeg, aïe).

Donc, c'est certainement possible. Il s'agit juste de trouver un trou pour exécuter un code personnalisé. Cela se fait généralement par une sorte de débordement de tampon (voir par exemple ici ).

4
BЈовић
  • Le runtime Flash utilise Main Concept H.264/AAC ainsi que le format de conteneur de démultiplexage MP4 de la même société. Il existe également le format fMP4 avec des métadonnées très avancées. Il s'agit d'un logiciel à peu près sécurisé.
  • Flash utilise également l'audio MP3, la vidéo VP6 et les formats audio Nelly Moser avec le multiplexage FLV, c'est également un peu sécurisé, mais je n'ai pas testé celui-ci.
  • Il existe également des formats Windows Media ASX/WMV/VC-1/WMA utilisés par tous les navigateurs Windows et Windows Media Player OCX
  • Sous Linux, il y a remplacement du lecteur VC-1 avec mplayer
  • Le plugin VLC est l'un des plus faciles, si l'utilisateur a un plugin, il est facile de planter le navigateur
  • Le module complémentaire Microsoft H.264 utilise le décodeur Windows 7 H264 et MPEG-2 pour lire des DVD, des rayons bleus ainsi que des flux de transport HD
  • Le protocole Shoutcast est également largement utilisé
  • Firefox a la vidéo Theora et l'audio OGG, qui est open source.
  • OSX (MAC/iphone/ipad) a un décodeur MPEG-2 TS fait par Apple et fonctionne dans le navigateur Safari
  • UK Freeview Set Top Box utilise libcurl/VLC pour lire les vidéos
  • Les téléviseurs intelligents utilisent diverses bibliothèques open source ou les mêmes que sur Sony PlayStation (Sony TV)
  • Android 4 utilise également le décodeur MPEG-2 via un navigateur
  • Le runtime Silverlight utilise Windows Media, le décodeur H.264 de Microsoft sur Windows et Microsoft Phone

Il existe de nombreux autres joueurs qui peuvent exécuter des virus, certains téléviseurs utilisent un script complet qui peut être injecté via le signal satellite DVB-T terrestre ou DVB-S, qui est parfois effectué pour éliminer les boîtes de pirates.

Vous voyez, vous pouvez gagner votre vie simplement en piratant les formats vidéo. La plupart d'entre eux ont de sérieux trous, le plus douteux étant le VLC et le concept principal le plus sécurisé.

Le spectacle que vous avez vu n'a pas besoin d'être vrai, pour effectuer cela sur le concept principal lui-même, il est peu probable cependant que certains formats aient eu des bogues auparavant, mais puisque le lecteur Adobe a une mise à jour automatique, le problème est bien meilleur pour le moment qu'il y a 5 ans, quand le spectacle a été tourné

3
Andrew Smith

Oui c'est possible. Le lecteur vidéo peut présenter une vulnérabilité qui peut être exploitée via, c'est-à-dire un débordement de tampon.

Lorsque le fichier vidéo particulier créé par le pirate est lu sur ce lecteur vidéo particulier, le lecteur se bloque et la connexion est transférée à l'hôte et le pirate peut accéder à votre système à distance chaque fois que vous êtes connecté à Internet.

1
VIvek Srivastava

En fait, ce n'est pas seulement possible, mais je peux confirmer qu'il existe "à l'état sauvage".

J'ai récemment téléchargé une "émission de télévision" au format .mp4, qui contenait un virus auto-extractible/exécutable. Quand je l'ai joué (avec VLC), il a craqué et mon AV a présenté une alerte. Heureusement, mon AV est intervenu et a tué le "méchant", mais seulement après s'être auto-extrait (et tenté d'exécuter).

Une analyse ultérieure d'un nouveau téléchargement du fichier .mp4 a montré (et tué) un self-x intégré.

0
Bob S.