動画ファイルに偽装したウイルスについて

最近、widows media player のアイコンで表示されているにもかかわらず、拡張子を見てみると『　○△■.exe　』となっているファイルを発見しました。
つまり、.exe ファイルであるのになぜかwmpにかんれんづけられていました。

実行はしていませんが、こんなファイル始めてみました。

ちなみにこのファイル　notonではウイルスではないと判定されます。

通常は.avi や　.mpg .wmv　など主要な動画形式の拡張子は動画プレーヤーに関連付けているため、アイコンを見ただけで「これは動画ファイルだから大丈夫だ」とおもって実行してましたが・・・

環境　winxp
メインプレーヤー　gom player
アーカイバ　　lhaplus

noton internet security 2010
もちろん、パターンファイルはいつも最新で、定期的に全スキャンを
かけています。

詳細、ご存知のかたご教授いただけませんか。

宜しくお願い致します。

No.5 ベストアンサー 回答者： redirect 回答日時： 2009/12/17 14:55

私はマルウェアを集めて対策ソフトのテストなどをしています。

クラッカーコミュニティーなども巡回しています。

アイコンの偽装は常套手段です。さらに、最近では○○○NERと言われるファイル情報をコピーするツールなどもあります。アイコン、ファイルサイズ、最終更新日、メーカー名、ディジタル署名等です。MSのファイルに偽装することも簡単に出来ます。

なお、掲示板などにVirus Totalのスキャン結果が貼られていることがよくありますが、鵜呑みにしないようにしましょう。結果を偽装するツールが存在します。個々のファイルを調べるときは自分でアップロードして調べて下さい。

No.4 回答者： hororo07 回答日時： 2009/12/14 11:06

EXEの拡張子なのに、他のアイコンを表示させる手法は、昔からある、単純な手法です。

別に高度な偽装ではありません。

うっかり開かせるのが目的ですから、偽装で、多いのは動画のアイコン、JPGのアイコン、フォルダーのアイコンですね。

問題は、誰でも作れるため、ものすごくマイナーなものが作れますので、ワクチンソフトが、まったく反応しない事が、多くある事です。

たとえば、実行すると、特定のファイルを自動削除する場合等を考えますと、悪意のソフトと、正規の自動削除ソフトとの違いはありません。どちらなのか、PC側では判断できません。

うっかり実行させる事を目的としていますので、ワクチンソフトをだます必要は無いという事です。

うっかりミス（感染）を防ぐため、VISTA以降では、EXEがクリックされると『実行しても良いか？、良いならボタンを押せ』というダイアログが出るようになりました。（XPでは出ません）

悪意のある有名なEXEは、ワクチンソフトに登録されていますので、うっかり実行してもワクチンソフトが防いでくれますが、マイナーなものは実行されてしましますので、注意が必要です。

参考までですが、少し前に猛威を振るった個人情報流出ウイルスは、この手法で作製されていました。

No.3 回答者： noname#154655 回答日時： 2009/12/13 15:51

私はまだ拡張子の偽装には出会っていませんが、

最近ではかなり進化してきているそうです。
「.exe」となっていなくてもマルウェアの可能性もありますし、
気をつけた方がいいです。

>ノートンもカスペルスキーもトレンドマイクロも全部セーフだったのに・・・
どんなにいいセキュリティソフトでも、全ての種類のマルウェアの検出が得意というわけではありません。
それぞれ独自の検出システムがあって、誤検出が多くなってでも検出しようというソフトもあります。
新種のマルウェアの事を考えればその方がいいのかもしれません。
ソフトに検出されないような対策をしてるマルウェアが多いので。

一番いいのはセキュリティソフトに全てを頼らないことです。
自分である程度の知識を持っておいた方がいいと思います。
基本的にファイルサイズが異常に大きいなども確かめた方がいいです。

この回答へのお礼

今回で思ったことは「.avi」であろうが拡張子にかかわらず、ウイルスでないと断定することは、プログラムを作った本人しかわからないということですね。

個人情報系はやはり隔離しておくのがベストということですね。

お礼日時：2009/12/13 16:03

No.2 回答者： SortaNerd_ 回答日時： 2009/12/12 16:33

これは非常に一般的な手口です。

そのファイルは動画ファイルではなく、したがってwmpに関連付けられているわけではありません。
「『wmpに関連付けられた動画ファイル』を模したアイコン」で表示されるように作られた、実行ファイルです。
実行ファイルのアイコンは自由に付けられるのは分かりますよね。

>.aviのファイル形式のウイルス
あると聞きますが、これとは全く別物です。
>こんな高度に偽装したウイルスがそんなに流れているとは
全く高度ではありませんので、非常に多く流通しています。

No.1 回答者： 123admin 回答日時： 2009/12/12 13:56

どこから拾ってきたファイルか知らないけど、気になるなら下記で調べてみる。

Virustotal
http://www.virustotal.com/jp/

複数の対策ソフトのエンジンで調べるからノートン先生では登録されていないのも検出できる可能性があります。

検出されたらノートンをアンインストして検出した対策ソフトの1ヶ月体験版で除去するのも方法。

ここにはノートンも参加しているからそのうちパターンファイルは作られるでしょう。

この回答への補足

123adminさん
ご回答ありがとうございます。

ショックです。。。。

20くらいのベンダーがウイルスと判定しました。

ノートンもカスペルスキーもトレンドマイクロも全部セーフだったのに・・・

少し、質問させてください。

もしかして、昔少しだけ聞いたことがあるのですが .avi　のファイル形式のウイルスがあると・・・

これは本当ですか、　またこんな高度に偽装したウイルスがそんなに流れているとはおもえないのですが

いままで　.avi で手持ちのセキュリティソフトがウイルスであると検知したことはなかったです。

123admin 他の方でも結構で

教えていただけないでしょうか。

補足日時：2009/12/12 14:57