Ho scaricato un file .wmv
utilizzando P2P. Il tentativo di riprodurlo con Media Player Classic (K-Lite Codec Pack) mi ha dato solo un quadrato verde nella finestra di riproduzione:
HonotatocheilvideoèstatofornitoconunfileLeggimi,tuttavia;Hotrovatoilseguenteall'interno:
ThisvideohasbeenencodedusingthelatestDivX+software,ifyouarehavingtroubleplayingthisvideopleasetrywindowsmediaplayerMediaPlayershouldautomaticallyupdateanyoutdatedcodecs
PoichéilK-LiteCodecPackèilmiosoftwaremultimedialepreferito,hodecisodivisitareillorositoperverificaresefossedisponibileunaggiornamento.Infatti,l'ultimaversionealmomentodellascritturaèstatarilasciatail19novembre2015(laversionechestavousandoerastatainstallatasulmioPCall'iniziodinovembreperchéavevoacquistatounnuovodiscorigidoereinstallatoilsistemaoperativo).Hoscaricatoeinstallatol'aggiornamento,manonècambiatonulla,hoancoralostessoquadratoverde.
Ora,questapartedicuimivergogno;invecedidiventaresospettoso,hofattociòcheilfilesuggeriva,cioèlohoeseguitoinWMP,cheineffettisuggerivadiscaricarealcunicodec.L'holasciatofare,hodigitatolapassworddell'amministratoreperchéilmioaccountèregolare,epoisonosuccessealcunecoseinteressanti.
- UACèstatodisabilitatosenzacheiofacessinulla;Windowshamostratounpromptchemidicevachehobisognodiriavviareperdisabilitarloe,quandohocontrollatoleimpostazioni,èstatoeffettivamentedisattivato
- OperaBrowserèstatoinstallatoeuncollegamentoèstatoinseritosulmiodesktop
- NOD32,l'AVchestousando,èdiventatopazzo:duerichiesteHTTPsonostatebloccateeduefileeseguibilimessiinquarantena,ilogseguono:
rete:
15/11/223:35:29PM
http://dl.tiressea.com/download/dwn/kmo422/us/setup_ospd_us.exe Blocked by internal IP blacklist C:\Users\admin\AppData\Local\Temp\beeibedcid.exe desktop\admin 37.59.30.197
15/11/22 3:35:29 PM http://dl.tiressea.com/download/dwn/kmo422/us/setup_ospd_us.exe Blocked by internal IP blacklist C:\Users\admin\AppData\Local\Temp\beeibedcid.exe desktop\admin 37.59.30.197
File locali:
15/11/22 3:35:38 PM Real-time file system protection file C:\Users\admin\AppData\Local\Temp448202922QVdFL1BTSQ==0.exe a variant of Win32/Adware.ConvertAd.ACN application cleaned by deleting - quarantined desktop\admin Event occurred on a new file created by the application: C:\Users\admin\AppData\Local\Temp\beeibedcid.exe.
15/11/22 3:35:35 PM Real-time file system protection file C:\Users\admin\AppData\Local\Microsoft\Windows\INetCache\IEL9SWGF\VOPackage1.exe a variant of Win32/Adware.ConvertAd.ACN application cleaned by deleting (after the next restart) - quarantined desktop\admin Event occurred on a new file created by the application: C:\Users\admin\AppData\Local\Temp\beeibedcid.exe.
beeibedcid.exe
era stato eseguito come processo prima di averlo ucciso manualmente utilizzando il task manager. Anche se ESET non l'ha toccato, non è più in AppData\Local\Temp
.
Dopo un'attenta ispezione, mi sono reso conto che il prompt che WMP apre per permettermi di "aggiornare i miei codec" non sembra un componente WMP:
L'interfacciautentedifferisceinalcunimodisottilielacomposizione/sintassidellafraseèscadente.Innegabilmente,ancheselacosapiùsospettaèildominionell'angoloinaltoasinistra,playrr.co
;unawhois
ricerca rivela che il dominio è stato registrato il 17 novembre di quest'anno - cinque giorni fa - e il dichiarante è WhoisGuard, quindi il dichiarante effettivo voleva chiaramente nascondere i loro dettagli.
Si noti che facendo clic su "Download corretto" e "Guida Web" si ottiene lo stesso effetto; viene visualizzata la seguente richiesta di download di IE:
Devo aggiungere che il video che ho scaricato è stato caricato il 2015-11-22 13:29:23 GMT, circa un'ora prima del download. Il sistema operativo è Windows 8.1 Pro x64 e AV è ESET Nod32 AV 7.0.302.0, con le ultime firme.
Sono seccato con me stesso perché questa è una trappola abbastanza ovvia, ma allo stesso tempo non penserei mai di controllare le finestre di dialogo di Windows Media Player per ovvi trojan / adware!
- Come funziona questa cosa? Non avrebbe potuto influire sul mio eseguibile di Windows Media Player prima che venisse riprodotto perché si tratta di un file multimediale. Si tratta di una vulnerabilità recente rilevata nel software? Perché dubito che Microsoft consentirebbe ai file multimediali di specificare un sito per scaricare i codec da ...
- Qualunque cosa sia, sembra essere una cosa relativamente nuova. Cosa posso fare per garantire che gli altri non cadano per questo? Non credo che nessun fornitore di AV possa permettermi di inviare un file
.wmv
di qualche centinaio di megabyte di dimensioni per l'analisi.
Grazie per il tuo tempo.