Può un file .wmv canaglia "dirottare" Windows Media Player?

100

Ho scaricato un file .wmv utilizzando P2P. Il tentativo di riprodurlo con Media Player Classic (K-Lite Codec Pack) mi ha dato solo un quadrato verde nella finestra di riproduzione:

HonotatocheilvideoèstatofornitoconunfileLeggimi,tuttavia;Hotrovatoilseguenteall'interno:

ThisvideohasbeenencodedusingthelatestDivX+software,ifyouarehavingtroubleplayingthisvideopleasetrywindowsmediaplayerMediaPlayershouldautomaticallyupdateanyoutdatedcodecs

PoichéilK-LiteCodecPackèilmiosoftwaremultimedialepreferito,hodecisodivisitareillorositoperverificaresefossedisponibileunaggiornamento.Infatti,l'ultimaversionealmomentodellascritturaèstatarilasciatail19novembre2015(laversionechestavousandoerastatainstallatasulmioPCall'iniziodinovembreperchéavevoacquistatounnuovodiscorigidoereinstallatoilsistemaoperativo).Hoscaricatoeinstallatol'aggiornamento,manonècambiatonulla,hoancoralostessoquadratoverde.

Ora,questapartedicuimivergogno;invecedidiventaresospettoso,hofattociòcheilfilesuggeriva,cioèlohoeseguitoinWMP,cheineffettisuggerivadiscaricarealcunicodec.L'holasciatofare,hodigitatolapassworddell'amministratoreperchéilmioaccountèregolare,epoisonosuccessealcunecoseinteressanti.

  1. UACèstatodisabilitatosenzacheiofacessinulla;Windowshamostratounpromptchemidicevachehobisognodiriavviareperdisabilitarloe,quandohocontrollatoleimpostazioni,èstatoeffettivamentedisattivato
  2. OperaBrowserèstatoinstallatoeuncollegamentoèstatoinseritosulmiodesktop
  3. NOD32,l'AVchestousando,èdiventatopazzo:duerichiesteHTTPsonostatebloccateeduefileeseguibilimessiinquarantena,ilogseguono:

rete:

15/11/223:35:29PMhttp://dl.tiressea.com/download/dwn/kmo422/us/setup_ospd_us.exe Blocked by internal IP blacklist C:\Users\admin\AppData\Local\Temp\beeibedcid.exe desktop\admin 37.59.30.197
15/11/22 3:35:29 PM http://dl.tiressea.com/download/dwn/kmo422/us/setup_ospd_us.exe Blocked by internal IP blacklist C:\Users\admin\AppData\Local\Temp\beeibedcid.exe desktop\admin 37.59.30.197

File locali:

15/11/22 3:35:38 PM Real-time file system protection file C:\Users\admin\AppData\Local\Temp448202922QVdFL1BTSQ==0.exe a variant of Win32/Adware.ConvertAd.ACN application cleaned by deleting - quarantined desktop\admin Event occurred on a new file created by the application: C:\Users\admin\AppData\Local\Temp\beeibedcid.exe.

15/11/22 3:35:35 PM Real-time file system protection file C:\Users\admin\AppData\Local\Microsoft\Windows\INetCache\IEL9SWGF\VOPackage1.exe a variant of Win32/Adware.ConvertAd.ACN application cleaned by deleting (after the next restart) - quarantined desktop\admin Event occurred on a new file created by the application: C:\Users\admin\AppData\Local\Temp\beeibedcid.exe.

beeibedcid.exe era stato eseguito come processo prima di averlo ucciso manualmente utilizzando il task manager. Anche se ESET non l'ha toccato, non è più in AppData\Local\Temp .

Dopo un'attenta ispezione, mi sono reso conto che il prompt che WMP apre per permettermi di "aggiornare i miei codec" non sembra un componente WMP:

L'interfacciautentedifferisceinalcunimodisottilielacomposizione/sintassidellafraseèscadente.Innegabilmente,ancheselacosapiùsospettaèildominionell'angoloinaltoasinistra,playrr.co;una semplice whois ricerca rivela che il dominio è stato registrato il 17 novembre di quest'anno - cinque giorni fa - e il dichiarante è WhoisGuard, quindi il dichiarante effettivo voleva chiaramente nascondere i loro dettagli.

Si noti che facendo clic su "Download corretto" e "Guida Web" si ottiene lo stesso effetto; viene visualizzata la seguente richiesta di download di IE:

Devo aggiungere che il video che ho scaricato è stato caricato il 2015-11-22 13:29:23 GMT, circa un'ora prima del download. Il sistema operativo è Windows 8.1 Pro x64 e AV è ESET Nod32 AV 7.0.302.0, con le ultime firme.

Sono seccato con me stesso perché questa è una trappola abbastanza ovvia, ma allo stesso tempo non penserei mai di controllare le finestre di dialogo di Windows Media Player per ovvi trojan / adware!

  • Come funziona questa cosa? Non avrebbe potuto influire sul mio eseguibile di Windows Media Player prima che venisse riprodotto perché si tratta di un file multimediale. Si tratta di una vulnerabilità recente rilevata nel software? Perché dubito che Microsoft consentirebbe ai file multimediali di specificare un sito per scaricare i codec da ...
  • Qualunque cosa sia, sembra essere una cosa relativamente nuova. Cosa posso fare per garantire che gli altri non cadano per questo? Non credo che nessun fornitore di AV possa permettermi di inviare un file .wmv di qualche centinaio di megabyte di dimensioni per l'analisi.

Grazie per il tuo tempo.

    
posta szczurcio 22.11.2015 - 16:27
fonte

2 risposte

107

Questo file video utilizza (e abusa) le funzionalità DRM di Windows Media Player che consentono ai provider di contenuti di incorporare un URL nel loro contenuto protetto che verrà visualizzato in una finestra di Windows Media Player per consentire all'utente di acquisire una licenza per riprodurre il contenuto . Il suo uso legittimo va così:

  • l'utente si registra su un negozio di musica online e scarica alcuni file protetti da DRM, che hanno crittografato il loro contenuto multimediale effettivo
  • l'utente li apre in Windows Media Player, apre una finestra con l'URL specificato nel file multimediale, in questo caso un URL legittimo dal negozio di musica che richiede l'accesso dell'utente
  • l'utente inserisce le sue credenziali, l'archivio musicale le autentica e fornisce a WMP la chiave di decodifica che viene quindi memorizzata nella cache e il file può ora essere riprodotto

In questo caso, la funzione è stata abusata per mostrare un errore WMP falso sui codec mancanti (in realtà è una pagina web, come suggerisce il nome di dominio nella barra in alto, e se fosse reale la finestra sarebbe stata molto più piccolo) per farti fare clic su un pulsante (falso) che punta al malware mascherato da codec.

Ci sono altre informazioni su questo sistema DRM su Wikipedia , e sembra essere deprecato a favore di PlayReady. Se questa nuova iterazione consentirà tale abuso non è ancora noto.

    
risposta data 22.11.2015 - 18:21
fonte
3

Il file WMV in questione era probabilmente creato per sfruttare una vulnerabilità in Windows Media Player. La richiesta esplicita di utilizzare Windows Media Player per riprodurla punta in quella direzione. Probabilmente è stato pensato per allontanare le vittime da altri giocatori che non sarebbero vulnerabili allo sfruttamento.

La vulnerabilità è stata quindi sfruttata per richiedere il download di un programma malware mascherato da un pacchetto di installazione di codec, uno stratagemma diffuso poiché gli utenti si aspettavano l'installazione del codec durante la riproduzione di un file multimediale.

    
risposta data 22.11.2015 - 17:00
fonte

Leggi altre domande sui tag