Pull to refresh

Comments 63

Жесть, я и так WMP недолюбливаю, но теперь особенно. Тут спасёт только правильно сконфигурированный firewall.
с большой долей вероятности не спасет, у зверушки будет большой простор для деятельности, оно сможет выкачать все что нужно от имени IE.
Поможет… только смотря какой firewall. В своё время пользлвался jetico. Отличная чтка, вылавливает все обращения в сеть. Показывает кто и куда и по какому порту лезет…
Да, но проблема в том, что по умолчанию, большинство брандмауэров доверяют программам имеющим сертификат от Microsoft.
А насчёт того как можно защитится, смотрите чуть выше — я обновил хабратопик.
UFO landed and left these words here
Далеко не все такие аккуратные как Вы
Сппешу заверить, что даже убрав все пунктики, WMP всё равно лезет в сеть. Как писал выше, jetico мне это в своё время показал. Не то чтобы удвился, но всё же…
> Перевод — я фанатег и ненавижу WMP

Дальше ваш коммент читать не стал, ясно что ничего ценного он содержать не будет
UFO landed and left these words here
Если вы не догадались, комментарий был для вас. Неужели вы думаете, кому-то интересны ваши религиозные взгляды? Люди в комментариях хотят увидеть мышление (чем объективнее, тем лучше) а не перечень во что вы верите, а во что нет.
UFO landed and left these words here
Товарисч — это паранойя!
Не только WMP уязвим к подобным атакам.
Вот к чему привит ДРМ головного мозга издателей. Мало того что сделали какую то неработающую убогость, так еще и дыр в ней наделали.
а с чего вы взяли что у них есть вообще этот ДРМ, ну или как минимум есть к чему его прививать? Издатели обычно думают кошельком, нежели головой =)
как это с чего. Они и инициировали его разработку для того чтобы ты не воровал а денюжку платил за каждую песню. А WMP (и микрософт естественно ) ето уг поддерживает.
Ну вы шутник однако… конечно на кошерных трекерах не встречаеться контент с ДРМ ;-)
Пользуйтесь свободными и открытыми форматами и технологиями — будет меньше головной боли. Давно уже понятно, что DRM сделан не для удобства конечных пользователей.
Еще в линукс этот ДРМ, прости господи, протащить пытались… совсем обнаглели, свободным людям на плечи лезут уже…
Причем тут «открытые и свободные технологии»? То, что линукс не сможет проиграть видео/музыку, защищенную DRM — это скорее всего минус, а не плюс. Здесь речь идет о конкретной дыре в технологии DRM, и надеюсь, что господа из MSFT обратят на это внимание и примут соответствующие меры.
В принципе, самая главная мера — что в открытых и свободных, что в закрытых и проприетарных технологиях — та же самая: не работать под учетной записью с админскими правами, и прежде чем кликать — думать и читать.
Здесь речь идет о принципиально неустранимой дыре в технологии DRM. Точнее, даже не так. Речь о принципиально неустранимой дыре, которой является сама технология DRM.
Аналогичная дыра есть и в технологии E-Mail (письма I LOVE YOU все помнят?), тем не менее о закрытии e-mail никто не кричит на каждом углу.
Все-таки мыло непосредственно нужно конечным пользователям, в отличие от ДеРьМа. Однако если проводить аналогии, то у потребителя есть право блокировать почту, которую ему навязывают, и даже преследовать в суде тех, кто это делает в промышленных масштабах (т. е. спамеров).
Ну так ведь с тем же успехом можно не качать контент, защищенный DRM. Ну разве что в суд на них не подашь… Хотя нет, были прецеденты — когда кажется Sony в свои аудиодиски встроила защиту на базе какого-то руткита, и на них подали в суд и таки заставили эту защиту убрать. Подробностей, к сожалению, не помню, а гуглить лень.

Хотя я согласен, что все DRM больше приносят проблем легальным пользователям — вспомним хотя бы iPod'ы, в которые можно закачать музыку, а выкачать ее оттуда обратно — нельзя, или защита игр StarForce, которая иногда работает криво, особенно — в Win7. Пиратам, по сути, будет пофигу — они и так скачают музыку в mp3 без DRM, или же найдут NoDVD к игре. А вот купившие лицензионную музыку или диск — получат некоторые неудобства.

Так что я так и не понял, за что меня минусанули ;)
+1
никогда не качаю wma
а в wmv разве что порнуху, да и ту с порнолаба
Я фапом не очень увлекаюсь, а вот вебкасты с TechDays.ru качаю, да и записываю. И там все WMV, правда никакой DRM там не используется.

Проблема в том, что как раз в порнуху и могут зашить такую «лицензию» с трояном инсайд, правда надеюсь на порнолабе этого не допустят. Ну и кибердрочеры всегда были легкой добычей троянщиков)))
Это несомненно очень полезный и мощный пост, благодарю.
Что касается mp3, то это, скорей всего, была одна из ранних версий винампа, подверженная stack overflow. Да и сейчас находят в нем дырки, только в нынишние времена софт апдейтится куда быстрее.
Что касается mp3
Вообще-то mp3 тут не причём.

скорей всего, была одна из ранних версий винампа
DRM-защищенный файл (.wmv) был открыт в Winamp 5.572, то есть, последняя версия.
вы бы прочитали свои же пару абзацев :))
Так как в своём хабратопике я упоминал о Winamp'е лишь в абзаце 'Вместо постскриптума', я подумал, что Вы неправильно поняли какой файл был открыт и какая версия Winamp'а была использована.
То, что у файла расширение mp3, еще не значит. что он в формате MPEG 3-layer. В винде медиафайлы можно переименовывать хоть в mp3, хоть в avi, все равно как правило тип определяется по заголовкам файла.
UFO landed and left these words here
Да, примерно это я и хотел сказать, многие плееры определяют тип файла по содержимому :)
Я недавно точно так же скачал Avatar с каких-то левых торрентов… Сам файл занимал 2 гигабайта, при запуске (кстати тоже открывается только через WMP) проигрывается 20-секундная демо-версия отрывка фильма в поганом качестве. И потом открывается страница из инета с предложение скачать супер-мега проигрыватель для этого файла… Я побоялся и удалил фильм.
Не надо качать из левых торрентов, качайте из нормальных.
Нужно юзать плееры, не умеющие drm =) Вообще да. Интересная дыра…
Дальше, используя переменную $HTTP_USER_AGENT выяснил, что также как и WMP для своих целях Winamp использует MSIE 7:
Вы это неправильно поняли. В ие8 есть режим совместимости, в котором он представляется как ие7. Будучи встроенным в какое-либо приложение, ие8 включает режим совместимости со всеми вытекающими.

Сам столкнулся с подобным поведением в дельфи, — кидаешь на формочку браузер, запускаешь, заходишь проверить юзерагент — оп-па — ие7, а в системе 8ой. Куки, кстати, синхронизируются после выхода, так что это одно и то же.
Как же я счастлив, что на моем арче подобные выкрутасы не пройдут)
Спасибо что продолжили тему. Честно говоря, я на такой исход особо не надеялся когда выкладывал ссылку…
А Вам спасибо за ссылку, благодаря который я смог: скачать и анализировать файл, найти брешь, написать статью, опубликовать топик, получить инвайт и уведомлять всех о 'видео-вирусе'. Спасибо!!!
А у меня в системе Windows Media Player изначально удален (хехе, такие радости пользователям лицензионной винды небось недроступны!). Использую только Mplayer, в котром, уверен, никакой пакости нет, и експлорер он не откроет.

А вообще трюк с прописыванием сайта в медиафайле старый, вроде уж давно используется.
Windows Media Player можно в любой момент удалить/поставить. В панели управления — Программы и компоненты. Там можно включать и отключать компоненты, хотя в нелицензионной WMP может просто отсутствовать на диске.
у меня он отключен именно таким способом. а сам пользуюсь KMP :)
Похоже, пора валить и с винампа. Новость хорошая, пусть будет побольше таких DRM-вирусов — люди начнут обходить любые DRM десятой дорогой и, разумеется, станут меньше их покупать. Ну а «DRM-защищенные» файлы уже можно смело именовать DRM-зараженными.
Прочитав пост сразу подумал о порно-роликах, ворующих адреса, пароли и явки)

А вообще весьма интересная статья, я всегда подозревал что windows media в частности может открывать нехорошие страницы, помнится я даже на вконтакт как-то умудрялся из виндовс медиа плеера заходить (но было это давно и ещё на win Xp), но вот всё не знал я как самому подобные вещи делать а выяснить руки не доходили.

Теперь надо будет поковырятся на досуге.
Как страшно жить!
Попробую сегодня на хардварном плеере этот файл открыть. (TVIX-500)
А сейчас самое интересное: если изменить расширение файла из .wmv в .asf или в .wma, ничего не измениться, то есть плееры всё равно будет воспроизводить медиа-файл
И что же тут интересного?
Вы разве не знаете, что независимо от расшинения (.asf, .wmv, .wma) — все эти контейнерные медиафайлы имеют общий формат ASF (Microsoft Advanced Systems Format). И просто для визуального удобства файлы с видеопотоком Windows Video именуют *.wmv, а файлы только с аудиопотоком Windows Audio именуют *.wma.
А раз это один формат, то неудивительно, что и медиаплееры его обрабатывают одинаково.

И вообще этой уязвимости ASF-файлов, связанной с DRM и загрузкой сторонних компонентов, уже сто лет в обед. Про неё уже не раз писалось.
И что же тут интересного?
Интересно то, что даже если Вы установили на компьютере другой плеер, вероятность того, что DRM-защищённый файл откроется в WMP, очень высока.

этой уязвимости уже сто лет в обед. Про неё уже не раз писалось
Если честно, анализируя этот файл, я впервые узнал о том, что эксплоит для уязвимости MSIE, 'работает' на ура и в WMP/Winamp. Если можете, оставьте, пожалуйста, ссылку на материал.
Интересно то, что даже если Вы установили на компьютере другой плеер
Причём тут другой плеер? Вы вообще видели, на что я ответил?
Во фрагменте, который я процитировал, речь шла про переименование между *.asf, *.wmv, *.wma. И было написано, что это «самое интересное». Я же ответил, что ничего интересного в этом нет, потому как это и так файлы одного формата ASF.

Это всё равно, что написать: «А самое интересное, что если переименовать файл с расширением *.JPEG в файл с расширением *.JPG, то ничего не изменится, все просмотрщики картинок его будут обрабатывать точно так же, как и файл с расширением *.JPEG». По-моему, это и так очевидно, т.к. формат-то один и тот же.
Читайте внимательнее комментарии (и здесь тоже), ведь многие пользователи предлагают установить другой плеер для того чтобы открыть видео-файлы. А сейчас самое интересное, например, устанавливая другой видеоплеер, вероятность того, что wma-файлы откроются в WMP, очень высока.

И ещё, будьте любезны, дайте пожалуйста ссылку на устаревший материал.
Стоп.
То, что, по-вашему, независимо от ассоциированного с расширением wma приложением, эти файлы будут открываться в Windows Media Player, вы в статье называете самым опасным.
А самым интересным вы называете то, что независимо от расширения ASF-файла (*.asf, *.wmv, *.wma) он всё равно представляет одинаковую опасность для уязвимых приложений. И вот именно это, по-моему, совершенно очевидно и потому неинтересно.

Если хотите, чтобы вас правильно понимали, выражайте свои мысли яснее.
Ещё раз:
А сейчас самое интересное: если изменить расширение файла из .wmv в .asf или в .wma, ничего не измениться, то есть плееры всё равно будет воспроизводить медиа-файл
Если все эти расширения ассоциированы с уязвимыми приложениями (WMP, Winamp и др.), то очевидно, как не переименовывай файл, уязвимость останется.
и что самое опасное, в большинстве случаев .wma-файлы будут открыты в Windows Media Player.
Расскажите мне как? Вот если у меня .wma-файлы ассоциированы с MPlayer, VLC media player или foobar2000, то каким чудом они вдруг откроются в WMP или вызовут IE? Такое будет только если авторы выбранного мной плеера оставили такую уязвимость или передают вдруг такие файлы на обработку уязвимым плеерам типа WMP. А если плеер написан нормально и без уязвимостей, то такого не будет.
И чтобы говорить про большинство случаев, когда такое произойдёт, нужно владеть хоть какими-то достоверными статистическими данными. Где цифры?
И ещё, будьте любезны, дайте пожалуйста ссылку на устаревший материал.
Многократно встречал на securitylab.ru статьи про уязвимости ASF. Не уверен, что сейчас нашёл в точности это, но вроде похоже:
www.securitylab.ru/vulnerability/200446.php
www.securitylab.ru/vulnerability/384905.php
www.securitylab.ru/vulnerability/202018.php
www.securitylab.ru/vulnerability/386525.php
Покажите первые 32 байта файла в HEX редакторе. У меня есть смутные сомнения, что ни разу не DRM.
Пожалуйста:
30 26 B2 75 8E 66 CF 11 A6 D9 00 AA 00 62 CE 6C D6 11 00 00 00 00 00 00 0C 00 00 00 01 02 40 A4

Кстати, думаю, Вам будет интересно посмотреть и на остальные байты.
Ну в общем мои подозрения все больше усиливаются :-) Это WMA, а судя по тому что я про него читал, в нем нет DRM. Зато есть возможность привязать посещение URL'a к определенному моменту ролика. Это довольно старая техника для распространения троянов, но сделать общий детект для них не так просто: даже в некоторых файлах от самой M$ прописан переход на URL'ы.

Хотя, я могу и ошибаться и у вас какой-нибудь друго формат с DRM, который инкапсулирован в WMA :-)
Думаю следующий код, который начинается на 504-й байт, может помочь:
<WRMHEADER version="2000">
  <DATA>
    <RID>1</RID><CID>500</CID><LAINFO>%URL%</LAINFO><KID>%HASH1%</KID><CHECKSUM>%HASH2%</CHECKSUM>
  </DATA>
  <SIGNATURE>
    <HASHALGORITHM type="SHA"></HASHALGORITHM>
    <SIGNALGORITHM type="MSDRM"></SIGNALGORITHM><VALUE>%HASH3%</VALUE>
  </SIGNATURE>
</WRMHEADER>
UFO landed and left these words here
Случайно решил зайти в настройки Silverlight. Там есть вкладка «Воспроизведение»:



Это оно самое?
Only those users with full accounts are able to leave comments. Log in, please.