web-dev-qa-db-ja.com

LinuxのVLCは、ウイルスをインストールするように設計された.wmvファイルからの攻撃に対して脆弱ですか?

私は愚かで、信頼できないソースからダウンロードしたビデオファイルをチェックしませんでした。ビデオの読み取り可能なプロパティのない.wmvファイルでした。 。wmvビデオはウイルスをダウンロードできる であることは知っています。私が知らないのは、彼らがLinux上のVLCに対してこれを実行できるかどうかです(私の推測はそうではありません)。

ファイルを開いたときに、[再生]ボタンをクリックしてもファイルが再生されず、システムがフリーズしました(馬鹿だったことを繰り返し説明する必要があります)。ハード再起動を行いました。

現在、ClamAVスキャンを実行しています(ウイルス対策の能力にまったく自信がありません)。ホームディレクトリでfind -cmin -20を実行して、変更されたファイルのログを確認しました(疑わしいものは見つかりませんでした)。

VLCにはルートがないため、/に書き込むことができませんでした。

私は心配する必要がありますか?なぜ私のコンピュータはフリーズしましたか?

編集:私のこれは attack です。パディングを削除してから、 Cuckoo Sandbox に送信しました。 VLCは.wmv DRMをサポートしていません

linuxvirustrojanfile-typesvideo
21
user

はい、VLCはハッキングされる可能性があります。 [〜#〜] cve [〜#〜] VLCのリストを確認できます。

ただし、VLCがフリーズしたからといって、慌てないでください。必ずしも誰かがあなたをハッキングしたわけではありません。 VLCが最新であることを確認してください。

このファイルをこのWebサイトに送信できますか Cuckoo Sandbox 次に、ここにレポートを貼り付けます。好奇心から、サンドボックスでファイルが「発砲」されたときに何が起こるか見てみましょう。

EDIT:カッコウサンドボックスで分析された後。

さて、問題が1つあります。そのサンドボックス内にVLCがないため、VLCと同じボックスで何が起こるかを確認したいのですが、これまでのところ、そのファイル内に疑わしいURLがあります。

リンクを開かないでください!

h**p://aavid.xyz?id=&dlgx=200&dlgy=200&adv=0

この後、新しいものにリダイレクトされます:

h**p://playbackerrormediaplayercodecrequiredtoplaythisfileinstallcodec.playbackerrormediaplayercodecrequiredtoplaythisfileinstallcodec.mediaplayerfix.tech/drm.php?id=&dlgx=200&dlgy=200&adv=0

次に、コーデックをダウンロードするオプションが表示されます。

h**p://alfafile.net/file/NfpC

そして別のリダイレクト:

h**p://a5.alfafile.net/dl/8va8w/CodecFix.exe

enter image description here

そして同じファイルは間違いなく悪意があります。

https://www.virustotal.com/en/file/8cabc36f1e3180de4a8e429b1a6cc7e2ad04243764033916486a22c80de2244f/analysis/

閉鎖のため;私は自分でそのファイルを分析しませんでしたが、私が行ったのは文字列をざっと見ただけなので、VLCの脆弱性を使用している場合でも、このファイルが実際のシステムでどのように機能しているかはわかりません。

13
Mirsad

ビデオファイル自体には、古典的な意味での「ウイルス」を含めることはできませんが、ファイル形式やコーデックを処理する際に、メディアプレーヤー(場合によってはOS)のバグを悪用するために使用できます。これらのエクスプロイトを使用することで、コードを実行できます。

ほとんどのビデオプレーヤーと同様に、vlcには、悪用される可能性のある多くのバグがあります。 WMVファイルの処理に含まれる 。しかし、通常ウイルス対策はコーデックについてあまり知らず、ビデオファイルもスキャンしないため、アンチウイルスがそのようなエクスプロイトを見つける可能性は低いです。そのようなエクスプロイトは通常OS固有であり、市場シェアがあるため、ほとんどがWindowsにのみ注意を払っているので、特にターゲットを絞らない限り、Linuxを使用してもおそらく安全です。

20
Steffen Ullrich

参照されている質問に記載されている攻撃は、VLCまたはLinuxでは機能しません。 VLCはそれが利用するあいまいなWindows Media Player DRMをサポートしていません(少なくとも私の知る限りでは)、そうであったとしても、攻撃の目的は、いくつかのWindows実行可能ファイルをダウンロードして実行するように仕向けることです。

とはいえ、悪意を持って作成されたWMVが悪用できるVLC自体にセキュリティの脆弱性が見つかった場合、理論的には別の種類の攻撃が可能です。あなたの説明から、悪意のあるWMVは前者の攻撃を使用している可能性が高いです。

Windows Media Playerを標的とする一般的な悪意のあるWMVの場合、16進エディターでWMVを検査すると、主にURLで構成された実際のデータがほとんどなく、その後に空のパディングのみが続くため、期待されるファイルサイズになります。

5
Alexander O'Mara