ファイルの種類を偽装したウイルスファイル

ウイルスファイルでファイルの種類を偽装して表示させることは可能でしょうか？

たとえば、エクセルのアイコンに偽装しているが、実際はexeで終わるウイルスファイルで、
偽装によってアイコンはエクセルファイルのままであるとしても、さらにファルダの詳細設定で表示されるファイルの種類も アプリケーション とはならず Microsoft Office Excel ワークシート として表示させてしまうようなことは果たして可能でしょうか？

No.6 回答者： rebind 回答日時： 2011/12/15 01:53

あの、申し訳ないですが、使い方に始まってひとつひとつ判定とかやってられないです。

サポセンの人間ではないので。悪しからず。

この回答への補足

rebindさんがyoutubeで紹介している危険な画像・音楽・動画ファイルであっても

http://d.hatena.ne.jp/hogem/20070918/1190124325

↑のように実行ファイルを禁止しておけば防ぐことが出来ますか？

補足日時：2011/12/16 14:53

この回答へのお礼

rebindさんのアドバイスのおかげで着実に解決の方向には向かっています。

最新のマルウェア事情に通じたrebindさんにひとつひとつアドバイスを頂ければ
恐らく問題は解決すると思うのですが、
rebindさんからすればセキュリティ素人の質問に対応するのはめんどくさいと思います。

申し訳ございません。


No.5のyoutube動画では、画像ファイルをTrIDNETで解析した動画でしたが
音楽ファイル・動画ファイルをTrIDNETで分析した場合も同じようにexeファイルが表示されるのか気になります。

http://www.youtube.com/watch?v=ylp1t_GfUJ4
http://www.youtube.com/watch?v=4XvyskF4EB0

お礼日時：2011/12/16 14:29

No.5 回答者： rebind 回答日時： 2011/12/13 23:56

>漠然でした数字で構わないので教えてください。

さあ、さすがに皆目見当もつかないです。

ちなみに、つい先ほどボクがやったファイル判別の一例を紹介してあげます。こういうの実際やって見せる人居ないんですよねここ。上っ面の知識しかない人がほとんど。ボクも含めたほんの一部の人は違いけど。



>データは結構な量ありますから、それらがまとめて変えられているとすると対処はかなり難しいところです。

すっぱりあきらめてしまうということも考えないといけないかも。やはり普段からデータやシステムの定期バックアップが大事。

この回答へのお礼

TrIDNETはいいですね！！

rebindさん、ありがとうございます。


TrIDNET を実際に使用してみて気になったことが5点あります。


1

Difinitions として triddefs_xml フォルダにある xmlファイルを指定しますが、
どのxmlファイルを使用すればよいでしょうか？

2

拡張子　txt と　拡張子 csv では

(Match) 0.0% (Ext) null (type) null (pts)null

となりますが、この表示が出た場合は、変なファイルではなく、txtファイル、csvファイルと考えてよいでしょうか？

3

フォルダのチェックでは、フォルダをTrIDNETにドラッグ&ドロップすると

Files not found!

と表示されます。

この表示が出たら普通のフォルダと考えてよいでしょうか？


またフォルダをひとつひとつTrIDNET上にドラッグ&ドロップするのはめんどくさいので
TrIDNETは使用せず、詳細設定でのファイルの種類が ファイル フォルダ と表示されていれば、普通のフォルダと考えてよいでしょうか？


4
　
ファルダの中に大量のファイルがあり、それをひとつずつTrIDNETでチェックするのはしんどいのですが
フォルダの中にあるファイルをまとめてチェックする方法はないでしょうか？


5

TrIDNETを使用してみて、以下の拡張子のファイルで 危険かもしれない(Ext)(type)をリストアップしてみました。


拡張子 jpg

(Ext)MP3 (type)MP3 audio (ID3 v1.x tag)

拡張子 jpg

(Ext)MP3 (type)MP3 audio

拡張子 gif

(Ext)BS/BIN (type)PrintFox (C64) bitmap

拡張子 mp3

(Ext)CEL (type)Lumena CEL bitmap

拡張子 mp3

(Ext)CPT (type)Corel Photo Paint

拡張子 mp3

(Ext)VXD (type)VXD Driver

拡張子 flv

(Ext)MP3 (type)Autodesk FLIC Image File (extensions: flc, fli, cel)

拡張子 mpg

(Ext) 空欄 (type)MacBinary 1 header

拡張子 avi

(Ext) 空欄 (type)Generic RIFF container

拡張子 avi

(Ext) OGM (type)OGG Media stream

拡張子 avi

(Ext) OGG (type)OGG stream (generic)

拡張子 avi

(Ext) CEL (type)Autodesk FLIC Image File (extensions: flc, fli, cel)

拡張子 mkv

(Ext) MKV (type)Matroska Video stream

拡張子 mkv

(Ext) 空欄 (type)Matroska stream (generic)

拡張子 mkv

(Ext) HSC (type)HSC music composer song

拡張子　wmv

(Ext)ABR (type)Adobe PhotoShop Brush

拡張子 wmv

(Ext)CAT (type)Microsoft Security Catalog

拡張子 mov

(Ext)ABR (type)Adobe PhotoShop Brush

拡張子 mov

(Ext) 空欄 (type)MacBinary 1 header

拡張子 mov

(Ext) 3G2 (type) 3GPP2 multimedia audio/video

拡張子 rmvb

(Ext)RM (type)Real Media stream

拡張子 mp4

(Ext) 3G2 (type) 3GPP2 multimedia audio/video

拡張子 mp4

(Ext)ABR (type)Adobe PhotoShop Brush

拡張子 mp4

(Ext) 空欄 (type)MacBinary 2 header

拡張子 ram

(Ext) RM (type) Real Media stream

拡張子 rar

(Ext) RBT (type) REALbasic Project

拡張子 zip

(Ext) CEL (type) Autodesk FLIC Image File (extensions: flc, fli, cel)

拡張子 zip

(Ext) KMZ (type) Google Earth saved working session

拡張子 zip

(Ext) XPI (type) Mozilla Firefox browser extension

拡張子 xls

(Ext) 空欄 (type) Generic OLE2 / Multistream Compound File

拡張子 xlsx

(Ext) ZIP (type) ZIP compressed archive

拡張子 docx

(Ext) ZIP (type) ZIP compressed archive

拡張子 txt

(Ext) MP3 (type) MP3 audio

拡張子 txt

(Ext) CEL (type) Lumena CEL bitmap

拡張子 txt

(Ext) CPT (type) Corel Photo Paint

拡張子 txt

(Ext) HTML (type) HyperText Markup Language

拡張子 txt

(Ext) PVA (type) PVA video


↑のケースで危険なものはどれでしょうか？

お礼日時：2011/12/14 23:23

No.4 回答者： rebind 回答日時： 2011/12/12 23:56

見抜くといっても難しいですね。

対策ソフトによるスキャン、オンラインスキャンサービス、ハッシュチェック。あとバイナリ解析サービスなんかもありますけど。せいぜいそれぐらいじゃないですか。

この回答へのお礼

パソコンがウイルスに感染すれば、普通のファイルでも[ファイルの種類はそのまま、拡張子もそのまま]でファイルの中身を変えることが出来るということですね。

データは結構な量ありますから、それらがまとめて変えられているとすると対処はかなり難しいところです。


対策ソフトによるスキャン、オンラインスキャンサービスでは何も出てこなかったのですが
ハッシュチェックでは、自前のhtmlファイルやoffice関連ファイルが多いので元のハッシュ自体がそもそもなにであったのか今では確認できないものが多く、バイナリ解析は私のセキュリティ知識では無理です。


感染すると、普通のファイルでも[ファイルの種類はそのまま、拡張子もそのまま]でファイルの中身を変えるウイルスというのはどのぐらい出回っているものなのでしょうか？


感染して他のファイルの中身を変えてしまうウイルスの場合、

1　ファイルの種類はそのまま、拡張子もそのまま
2　ファイルの種類はそのまま、拡張子は変更
3　ファイルの種類は変更、拡張子はそのまま
4　ファイルの種類は変更、拡張子も変更

の4パターンあると思いますが、

rebindさん、ウイルスが出回っているそれぞれの割合はどのくらいか、もし可能であれば漠然でした数字で構わないので教えてください。

1 の場合は対処しようがありませんが、2,3,4はフォルダの詳細表示設定で見抜くことが出来ます。

お礼日時：2011/12/13 02:10

No.3 回答者： rebind 回答日時： 2011/12/12 17:04

どうぞ

ボクがやってみたやつ

この回答へのお礼

rebindさん、教えてくださりありがとうございます。

外付けHDD内のファイルがウイルス感染して、中身が変わっている可能性があるので
ウイルス感染ファイルと感染していないファイルの判断方法として
ファイルの種類を確認して、その種類が変わっていればそのファイルはアウト、ファイルの種類がかわっていなければセーフだと考えていました。


パソコンがウイルスに感染すれば、普通のファイルが[ファイルの種類はそのまま、拡張子もそのまま]でファイルの中身を変えることが出来るのでしょうか？

普通のjpgファイルが、パソコン内のウイルス感染により中身が変わり(ただし、ファイルの種類はそのまま、拡張子もそのままで)、ブラウザを起動させてウイルスを呼び込むjpg画像になるということもできるということですか？


rebindさん、元は普通のファイルだったのに、ファイルの種類はそのまま、拡張子もそのままで中身が変わってしまったファイルを見抜く方法があれば教えてください。

お礼日時：2011/12/12 20:11

No.2 回答者： noname#146898 回答日時： 2011/12/10 13:17

Excelのマクロウィルスは別として、ご質問のようにアイコンも込みですと、当該実行ファイルに仕込みが必要になりますが、不可能ではなさそうです。

http://itpro.nikkeibp.co.jp/article/NEWS/2011110 …
http://pc.nikkeibp.co.jp/article/news/20110822/1 …

この回答への補足

RLOはファイルの種類できちんと アプリケーション と表示されるようなので大丈夫そうです。

ウイルスファイルでファイルの種類を偽装して表示させるケースはないでしょうか？

補足日時：2011/12/10 23:57

No.1 回答者： BellBell 回答日時： 2011/12/10 12:44

そもそも、Excelファイルにウィルスを仕込む事ができますからね…

『実際はexeで終わるウイルスファイル』ではなく、『xlsの拡張子のままでウィルスファイル』があり得る。

その場合は当然『Microsoft Office Excel ワークシート として表示させてしまうようなこと』になりますね。

この回答へのお礼

>そもそも、Excelファイルにウィルスを仕込む事ができますからね…

これはマクロを無効にしておけば大丈夫でしょうか？

また、画像・音楽・動画ファイルに関しては、最後が jpg、mp3、avi という拡張になっていても
それらのファイルにウイルスを埋め込んでウイルスを実行させることはできますでしょうか？

お礼日時：2011/12/10 23:53