top of page
  • Foto del escritorInternational IT

¿Puede un archivo de vídeo contener un virus?

Los archivos de video generalmente no se consideran tipos de archivos potencialmente maliciosos o infectados, pero es posible que el malware se incruste o se disfrace como un archivo de video. Debido a este concepto erróneo común, los archivos de audio y video son vectores de amenazas interesantes para los creadores de malware.



¿Por qué la preocupación por los archivos de video?

  • Los reproductores de medios son software de uso frecuente, los usuarios tienden a usarlos durante un largo período de tiempo, dejándolos abiertos durante otras tareas y cambiando los flujos de medios con frecuencia.

  • Muchas vulnerabilidades se encuentran en los reproductores multimedia. NIST muestra más de 1200 vulnerabilidades entre 2000 y 2014 . A principios de 2020, NIST registró una nueva vulnerabilidad de alta gravedad, CVE-2020-0002, en Android Media Framework.

  • El contenido de video atractivo y el Internet de alta velocidad impulsan a los usuarios a descargar y compartir sin pensar, y dado que estos archivos se perciben como relativamente inofensivos, es probable que los usuarios reproduzcan los archivos que se les proporcionan.

  • Los formatos de archivo involucrados son flujos binarios y tienden a ser bastante complejos. Se necesita mucho análisis para manipularlos, y los cálculos de reproducción pueden dar lugar fácilmente a errores.

  • El archivo suele ser grande; Es probable que los usuarios se salten las soluciones de escaneo para evitar el impacto en el rendimiento.

  • Se perciben como relativamente inofensivos: es probable que los usuarios reproduzcan los archivos que se les proporcionan.

  • Hay una amplia variedad de diferentes reproductores de audio y muchos códecs y complementos, todos escritos por personas que generalmente no se enfocan en la seguridad.

  • Los usuarios descargan videos de muchas fuentes no confiables y los videos se reproducen con privilegios y prioridad bastante altos.

  • Los videos a menudo se reproducen sin el reconocimiento explícito del usuario (es decir, incrustados en una página web).


Vectores de vulnerabilidad


Fuzzing el reproductor multimedia con un archivo de video modificado


Fuzzing es un método genérico para obligar a un programa a comportarse de manera inesperada al proporcionar datos no válidos o aleatorios para las entradas.



Fuzzing está diseñado para encontrar errores profundos y los desarrolladores lo utilizan para garantizar la solidez del código; sin embargo, la mejor herramienta de un desarrollador también se puede usar para explotar al usuario. Para los reproductores multimedia, que se supone que son de "formato estricto", un archivo de video corrupto real puede exponer muchos errores, la mayoría causados ​​por punteros nulos sin referencia. Esto da como resultado un acceso inadecuado a la memoria, lo que brinda la posibilidad de escribir en la memoria algo que no está destinado a ser escrito .


Incrustar hipervínculos en un archivo de video


Un método más directo es incrustar una URL en archivos multimedia modernos.


Por ejemplo, el formato de sistema avanzado (ASF) de Microsoft permite ejecutar comandos de secuencias de comandos simples. En este caso, "URLANDEXIT" se coloca en una dirección específica y después de cualquier URL. Cuando se ejecuta este código, se indica al usuario que descargue un archivo ejecutable, a menudo disfrazado como un códec, y se le solicita que lo descargue para reproducir los medios.



MetaDefender Cloud, la herramienta de análisis de malware múltiple de OPSWAT, tiene un ejemplo de dicho archivo: https://metadefender.opswat.com/results#!/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information .


El nombre de la amenaza es "GetCodec". En este ejemplo, el reproductor multimedia fue redirigido a un enlace para descargar un troyano. Vea el troyano escaneado aquí .



Ejemplos de exploits de tipo de archivo


A continuación, se muestra una tabla que enumera los formatos de archivos de medios populares que se han explotado para reenviar al usuario a sitios web maliciosos o ejecutar código arbitrario de forma remota en los sistemas.

​Formato de archivo

Detección

Descripción

Windows

.wma/.wmv​

​Downloader-UA.b

Explore las fallas en la gestión de derechos digitales

Real Media

.rmvb​

W32/Realor.worm

Infecta archivos Real Media para anexar enlaces a sitios web maliciosos

Mídia real

.rm/.rmvb

Hecho por humanos

Lanzar páginas web maliciosas sin previo aviso

​QucikTime.mov

Hecho por humanos

Lanza hiperlinks anexados a sitios web pornográficos

​Adobe Flash.swf

Exploit-CVE-2007-0071

Vulnerabilidad en la etiqueta DefineSceneAndFrameLabelData

Windows.asf

W32/GetCodec.worm

Infecta arquivos .asf para anexar links para páginas Web maliciosas

Adobe Flash.swf

Exploit-SWF.c

Vulnerabilidad en el codigo de operación de "nueva función" de AVM2​

QuickTime.mov

Hecha por humanos

Ejecutar código arbitrário en el sistema del usuário de destino

Adobe Flash.swf

Exploit-CVE-2010-2885

Vulnerabilidad en ActionScript Virtual Machine 2

Adobe Flash.swf

Exploit-CVE2010-3654

Vulnerabilidad en la clase de botón AVM2 MultiName

Windows .wmv

Exploit CVE-2013-3127​

Vulnerabilidad en la ejecución remota de código del decodificador de vídeo WMV

Matroska Video .mkv

Exploit-CVE2019-14438

Vulnerabilidad en el VLC, ejecuta código arbitrário con privilégios en el sistema del usuário de destino​


Soluciones



Muchos proveedores de antimalware ahora han agregado detección al buscar firmas de URL dentro de archivos de tipo de medios. La tecnología OPSWAT MetaDefender Multiscanning aprovecha más de 35 motores antimalware y mejora significativamente la detección de amenazas conocidas y desconocidas. Deep CDR también admite formatos de archivos de video y audio y puede ayudar a prevenir ataques de Día Cero.La tecnología de evaluación de vulnerabilidades basada en archivos de MetaDefender puede detectar vulnerabilidades en los instaladores de reproductores multimedia antes de instalarlos.


Si no tiene soluciones OPSWAT, debe prestar más atención a los archivos multimedia, no ver archivos que no sean de confianza, nunca ejecutar reproductores multimedia con privilegios elevados y no aceptar descargas de códecs desconocidos o licencias extrañas. Mantenga siempre actualizado el software de su reproductor multimedia para evitar vulnerabilidades.


Fuente: OPSWAT

 

Cuente con International IT para proteger a su empresa de ciberataques con lo mejor del mercado.

3998 visualizaciones

Entradas Recientes

Ver todo

Yorumlar


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page