- Apocalipsa dupa Nemessis
- Cand dorinta de afirmare depaseste granitele bunului simt – PaxNwo un leecher ordinar
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac?
- Experiment social II – andimoisescu.ro
- Pentru posteritate
- In curand…
- “Hot” de id-uri messenger
- Chiar ca sunteti retardati
- Ce nu se invata la scoala – Vendetta (6)
- Apocalipsa dupa Nemessis in (103 Visits)
- Ce servicii de mail folositi? in (42 Visits)
- This is the end in (28 Visits)
- Hackersblog.org is now blog.rstcenter.com in (27 Visits)
- Short news in (22 Visits)
- La multi ani România, la multi ani românilor in (22 Visits)
- Azi este ziua userilor hackersblog.org in (15 Visits)
- Raportare vulnerabilitati in (14 Visits)
- Inca o pierdere de timp in (14 Visits)
- Update in (11 Visits)
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac? in (313 Visits)
- Hi5.com coders read this in (37 Visits)
- SMS scam (1) in (28 Visits)
- Phishing Bancpost in (12 Visits)
- Dezinformare sau proasta informare? in (10 Visits)
- Si tentativele de phishing pot fi amuzante in (9 Visits)
- Phishing Raiffeisen cu atasament html in (6 Visits)
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta in (96 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (54 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (49 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (42 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (34 Visits)
- Virusi in clipuri video [how to] in (32 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (29 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (24 Visits)
- Yahoo! redirects - a big issue (with video) in (14 Visits)
- Ca musca in... in (12 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (173 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (113 Visits)
- Yahoo! epic fail - permanent xss unleashed in (90 Visits)
- Telegraph.co.uk hacked, sql injection in (66 Visits)
- RedTube.com ... The Free Sex Video Community in (59 Visits)
- Kaspersky Thailand hacked by TinKode in (48 Visits)
- Conquiztador Hacked Again in (48 Visits)
- Telegraph.co.uk hacked - when will they learn? in (43 Visits)
- Simona Sensual si profilul ei de hi5 in (40 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (39 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (33 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (29 Visits)
- Digital Photocopiers Loaded With Secrets in (26 Visits)
- Hacker Uses XSS and Google Street View Data to Determine Physical Location in (16 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (11 Visits)
- [Video] The History Of Hacking in (9 Visits)
- OWASP Phishing demo in (9 Visits)
- Christopher "moot" Poole: The case for anonymity online in (9 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (8 Visits)
- Owasp5005 Part1 - New zero-day browser exploits - ClickJacking in (8 Visits)
- Se poate sparge parola de Yahoo? in (344 Visits)
- phpBB.ro hacked in (105 Visits)
- Experiment social in (70 Visits)
- Cand dorinta de afirmare depaseste granitele bunului simt - PaxNwo un leecher ordinar in (61 Visits)
- Oare cum e pana la urma? in (57 Visits)
- "Hot" de id-uri messenger in (52 Visits)
- Concurs fara premii in (51 Visits)
- Forumul Andreei Balan spart in (47 Visits)
- Ce nu se invata la scoala – Vendetta (6) in (45 Visits)
- Experiment social II - andimoisescu.ro in (44 Visits)
Posted on August 9th, 2010
Articol preluat cuvant cu cuvant de la adresa http://rstcenter.com/forum/24854-video-virus.rst
Autor: B7ackAnge7z
Prefață:
Acest articol trebuia să apară pe RST la începutul lunii aprilie, dar cu părere de rău, tot nu găseam timp să-l scriu, iar la un moment dat am crezut ca nici nu mai are rost să o fac. Însă astăzi, observând că eroarea găsită de mine încă e valabilă, am decis ca să public articolul, sperând ca mulți dintre cei care-l vor citi, să găsească ceva interesant, nou, neobișnuit… Mai întâi de toate, vreau să precizez, că articolul a fost scris în limba rusă și publicat pe un site rusesc pe data de 1 aprilie, dar necătînd la faptul că au trecut deja câteva luni, eroarea persistă.
Amintiri:
Totul a început la sfârșitul lunii martie, după ce am citit un post, în care autorul spunea, că dorind să privească una din seriile sitcom-ului american ”The Big Bang Theory”, a descărcat un fișier WMV, și dat fiind faptul ca Light Alloy nu putea reda filmulețul, a încercat să-l deschidă în Windows Media Player, care, l-a rândul lui avea nevoie de o oarecare ”licență”. A acceptat, și… norocul lui a fost, că antivirusul instalat, era unul dintre cele 3 sau 4 programe care putea detecta acel fișier ca fiind un Rootkit TDSS.
Ok. Autorul a avertizat cititorii, într-un comentariu a lăsat link-ul de unde a descărcat fișierul, și, practic au uitat toți de acea întâmplare. Eu însă, citind acel post, mi-am adus aminte de un caz similar, când într-o bună zi, deschizând un fișier de tip MP3, în loc să înceapă redarea fișierului, s-a deschis o pagină WEB pe care o vedeam pentru prima dată. Cel mai interesant este, că pagina a fost deschisă în Internet Explorer (necătînd la faptul ca nu era setat ca browser implicit), și autorul acelei ”compoziții” cu ușurință putea să insereze pe pagină un exploit special pentru IE.
Sincer, în acel moment nu mă gândeam la o pagină exploit-uri, și în loc sa analizez fișierul, pur și simplu l-am șters, iar unicul lucră la care mă gândeam, era că cineva își promovează site-ul într-un mod extrem de original. Au trecut deja câțiva ani de atunci, dar astfel de cazuri nu am mai întâlnit. Iată de ce, citind acel avertisment despre fișierul WMV si Rootkit-ul TDSS, am decis ca măcar de data asta să nu ratez șansa de a afla cît de sigure sunt cele mai inofensive și cele mai răspândite fișiere din lumea virtuală.
Fișierul video:
Așa cum am mai spus, autorul postului a lăsat adresa de unde puteam descărca acel fișier video, un .torrent, care împreună cu mine, era descărcat și de alți ~15 utilizatori, cărora, la sigur nici nu le trecea prin gând ce lecție de securitate îi așteaptă…
Eu însă, după ce am descărcat fișierul, știind ca nici un alt media-player nu-l poate reda, l-am deschis în Windows Media Player, iar primul lucru pe care l-am văzut, a fost mesajul «Download media usage rights»
După aceea, a apărut un mesaj mult mai convingător, propunându-mi să descarc un oarecare fișier de tip ”License-Installer” , care printre altele, a fost deja verificat de un program Antivirus:
Privind cu atenție mesajul, am apăsat pe butonul «Download Now», și în așteptarea vreo unei reacții din partea programului Antivirus, am văzut un mesaj ”des întâlnit”, care se oferea să descarce fișierul Setup.exe, de pe serverul license.compress.to:
Și iată în acest moment, a apărut prima întrebare, dacă primul mesaj spunea că fișierul se descarcă de pe serverul free-license.imgpop.com, atunci de ce fișierul se afla pe serverul license.compress.to? Pentru a găsi răspuns la această întrebare, am analizat ambele site-uri, dar, așa și cum era de așteptat, nu am găsit nimic interesant.
Protecția DRM:
Următorul pas pe care l-am făcut, a fost deschiderea fișierului de 150 MB, într-un HEX-redactor, dar nici nu mă așteptam ca va fi atât de simplu. În primele rânduri am găsit următorul text:
Am deschis pagina http://free-license.imgpop.com/venuf.php?id=Movie_0001.wmv, care automat m-a redirecționat (HTTP/1.1 302) spre pagina http://free-license.imgpop.com/venuf/index.htm, unde, am văzut o imagine cunoscută deja, doar că era ”puțin” mai mare, și plus la aceasta… era o pagină WEB:
Apoi, dorind să experimentez puțin, am încercat să editez adresa URL din fișier, dar — fără succes, căci, nici WMP nu mai dorea să deschidă fișierul video. Așa că, ”l-am întrebat” pe Google, dacă nu știe ce reprezintă această linie de cod: [I]WRMHEADER version=’2.0.0.0′[/I], care pe lângă multe altele, am găsit-o cu ajutorului HEX-redactorului:
Răspunsul de la Google, a fost scurt și clar ca lumina zilei — aveam de-a face cu Protecția DRM a fișierelor video. Astfel, mi-am dat seama că cu ajutorul unor metode legale și destul de convingătoare, un atacator poate răspândi cu succes fișiere malware fără teama de a da greș: deoarece, în primul rând nici un program Antivirus nu v-a detecta malware-ul, iar în al doilea rând, majoritatea utilizatorilor au încredere in programele Microsoft și cu siguranță vor rula astfel de fișiere.
Plus la aceasta, Windows Media Player nu este singurul player care poate reda fișiere protejate cu ajutorul DRM. Nu am găsit lista tuturor programelor care pot reda astfel de fișiere, însă știu cu exactitate că Nero ShowTime suportă DRM, doar că spre deosebire de WMP, e mai prudent,si preîntâmpină utilizatorul despre pericol (problema totuși, persistă, dacă se acceptă, pagina v-a fi deschisă în IE și nu se v-a ține cont de faptul, că alt browser e setat ca implicit):
Trebuie de remarcat faptul, ca dacă se schimbă extensia fișierului din .wma în .asf sau .wma, nimic nu se schimbă, fișierul în continuare e redat cu succes, și ce e cel mai periculos, este că în majoritatea cazurilor, fișierele .wma, vor fi automat deschise în WMP. Și apropo, am uitat să spun, după ce am deschis fișierul în HEX-redactor, am eliminat octeții ”inutili” — și am obținut un fișier ce avea mărimea egală cu 5.31KB.
Internet Explorer:
Probabil mulți cred că: «Nu există nici un pericol! Pur și simplu nu o să descarc nici o licență! Și apoi, ce legătură există între Internet Explorer, Windows Media Player și fișierele WMV?». La început, și eu credeam la fel, doar este butonul «Cancel» cu care poți anula descărcarea fișierului. Dar, cum acuși o să vă dați seama, acest buton nu va salva pe nimeni dacă fișierul a fost deschis în WMP. Cât despre IE — e o aplicație software, cu ajutorul căreia se poate de navigat pe internet… 
Am găsit informație precum că Protecția DRM poate fi compromisă, însă eu nu am făcut acest lucru. În primul rând nu eram sigur că o să pot modifica adresa URL, iar în al doilea — am ales o cale mult mai ușoară: în fișierul hosts din folder-ul \Windows\System32\drivers\etc\, am adăugat următoarea linie: 127.0.0.1 free-license.imgpop.com
Pe serverul local, am creat fișierul venuf.php, am adăugat renumita frază «hello world» și cu ajutorul WMP, am deschis filmulețul — peste câteva secunde am văzut următoarea imagine:
Mai departe, cu ajutorul funcției alert(), am încercat să testez dacă suportă Javascript și redeschizând fișierul am primit o pagină ”goală”. Credeam că aici se termină experimentul, dar, am hotărât sa fac o ultimă încercare, înlocuind alert() cu document.write(). Rezultatul mi-a readus zâmbetul pe față: pagina nu mai era ”goală”, deci WMP suportă JavaScript.
Acum, gândul că un media-player poate deschide pagini WEB, și plus la asta suportă JavsScript, nu mă lăsa în pace. Astfel, dorind să aflu ce se ascunde sub masca acestui player neobișnuit, în fișierul venuf.php, am adăugat următoarea linie de cod: echo $_SERVER['HTTP_USER_AGENT'];
Și, spre marea mea mirare, am obținut următorul mesaj:
În cele din urmă, am decis să testez un Crash Exploit destinat pentru Internet Explorer, ca să văd cum se va comporta WMP. Astfel, când ce am încercat să deschid fișierul video, Windows-ul m-a anunțat că «Windows Media Player has stopped working»:
După cum vă dați seama, încercând să redea filmulețul, WMP a fost oprit forțat, deci e vulnerabil la un exploit pentru IE. Am testat doar un singur exploit, dar a fost suficient ca să-mi schimb ideile mele despre securitatea fișierelor media.
În loc de post-scriptum:
Scriind ultimele rânduri ale acestui articol, mi-a venit o mică idee: să descarc, să instalez și să testez unul dintre cele mai populare media-playere: Winamp. Ceea ce am și făcut… Dar când am încercat să deschid fișierul-video, am primit următorul mesaj:
Eram aproape sigur că va fi exact ca și în cazul cu Nero ShowTime, dar curiozitatea m-a determinat să apăs pe butonul «Yes», dar în loc să ruleze IE, am văzut doar mesajele:
Nu mi-am dat seama ce s-a întâmplat, crezând că multe se pot întâmpla, dar peste câteva secunde mi-am adus aminte că în fișierul venuf.php a rămas codul exploit-ului pentru IE… Apoi, folosind variabila $HTTP_USER_AGENT am aflat, că asemeni WMP, pentru scopurile ”personale”, Winamp folosește browser-ul Internet Explorer:
Spre deosebire de Windows Media Player, Winamp nu preîntâmpină utilizatorul de pe ce server v-a fi descărcat fișierul ”licenței”, în schimb permite utilizarea click-ului de dreapta și vizualizarea codului sursă a paginii WEB… și, pentru Winamp merg alert()-urile:
Concluzie:
La prima vedere, pentru unii, situația nu e așa de gravă precum pare, de aceea vreau să atrag atenția la faptul, că odată rulat un astfel de fișier, procesul nu va mai putea fi oprit. Și încă ceva, nu uitați că majoritatea utilizatorilor, folosesc programele standard ale sistemului de operare, inclusiv Windows Media Player, iar chiar dacă se va folosi un alt player, fișierele .asf sau .wma la sigur vor fi deschise cu WMP.
Și plus la acesta, eu nici pe departe nu cred, că un utilizator care a așteptat poate și câteva ore pentru a descărca multașteptatul fișier și văzând că nu-l poate deschide, o să-l șteargă fără să încerce toate modalitățile posibile, iar sfaturi precum «Niciodată să nu folosiți aceste media-playere!» — la sigur, pur și simplu vor fi ignorate…
De asemenea nu doar WMP, ci și Winamp, Nero ShowTime sau oricare alt player ce suportă DRM poate expune sistemul de operare la diferite exploit-uri.
August 9th, 2010 at 1:50 pm
Traducere din rusa?
Sursa: http://m.habrahabr.ru/post/89676/
August 9th, 2010 at 7:13 pm
@copypasta
Scuze, dar tu ai citit articolul? Nu de alta, dar în primul aliniat scrie ”ceva” în legătură cu limba rusă.
August 10th, 2010 at 11:41 am
Foarte interesant…
Il pot pune si eu pe blogul meu articolul?
August 17th, 2010 at 4:48 pm
@Axu,
Dacă nu mă greșesc, Staff-ul RST permite copierea articolelor doar dacă indici sursa de unde ai copiat articolul
August 23rd, 2010 at 11:39 am
“deoarece, în primul rând nici un program Antivirus nu v-a detecta malware-ul”. Nu va gasi virus in fisierul video dar va gasi in .exe
August 24th, 2010 at 6:08 am
Interesant acelasi lucru la-m patit si eu.Din Windows media player mi-a deschis o pagina web in internet explorer care imi spunea ca trebuie sa cumpar licenta la windows media player cred.