Видео-вирус, или как я кино не посмотрел

    Предисловие


    Был обычный весенний день — во дворе шумели возвращающиеся домой школьники, где-то вдали гудел прямотоком несущийся вдаль водила. После сытного обеда организм находился в состоянии полудрёмы, а подходящая к концу закачка свежей серии «Теории Большого Взрыва» обещала приятное времяпрепровождение. Словом, ничто не нарушало идиллию, и уже привычная паранойя на тему безопасности перешла в режим ожидания. И, как показала практика, напрасно…

    Кина не будет


    На первый взгляд видео-файл выглядел совершенно нормально: размер, имя и время появления вполне соответствовали действительности. Разве что расширение было wmv вместо более привычного avi, но это не представлялось серьёзной проблемой. Проблемы же начались при попытке открыть файл — Light Alloy сразу заявил, что воспроизвести видео он не в состоянии, так что решено было скормить файл Windows Media Player'у. WMPlayer с честью справился с возложенной на него задачей и сразу определил проблему — необходимость проверки лицензии; и сразу же стал настойчиво проситься в сеть.

    Желание насладиться уже важнейшим из искусств уже пересиливало всё остальное и проигрывателю было дозволено решить уже проблему. Для её решения WMP предлагал скачать лицензию с сайта с вполне благозвучным именем license.compress.to, правда теперь лицензия называлась аудио-кодеком. И когда антивирус поднял тревогу при скачивании «кодека-лицензии» все надежды растаяли и стало окончательно ясно — кина не будет

    Механизм заражения


    Как вы уже поняли видео-файл на самом деле является пустышкой, предназначенной лишь для заражения компьютера руткитом, определяемым далеко не всеми антивирусами. Свежесть вредоносного кода вкупе с интересным и необычным способом заражения даёт высокую вероятность заражения. Кстати, на том же «сайте» лежит ещё несколько модификаций вредононого кода на разные случаи жизни — видимо, у автора действительно богатая фантазия.

    Так что не забывайте, что даже заслуживающие доверия программы могут предложить вам подцепить вирус — будьте бдительны и не забывайте предохраняться.

    Комментарии 85

      +2
      жесть какая!
        +19
        >программы могут предложить вам _подйепить_ вирус

        Лучше и не скажешь…
          +2
          Спасибо, буду внимательней
            +4
            Подскажите откуда тянули видеофайл, дабы кто-то еще не получил такой «сюрприз».
              +3
              С раздачи, найденной на torrentreactor. Наверняка это далеко не единственный способ распространения подобных пустышек.
            • НЛО прилетело и опубликовало эту надпись здесь
                +3
                Конечно я не открываю Америку, но подобный способ инфицирования мне не встречался. Так что я решил предупредить об этом других пользователей, которые могут не подозревая подхватить заразу и потом не вспомнить об этом. На мой взгляд, лучше перебдеть, чем недобдеть.
                  0
                  вы похоже пропустили последние лет 5.
                  0
                  Спасибо, что напомнили :)
                  Я как раз пытался вспомнить откуда я года 4 назад скачал пару видеофайлов, которые вели себя так же, как описано в статье.
                  +5
                  … РАО борется с пиратством…
                    –2
                    Этож надо так)) Совсем обнаглели! Ладно бы в порно вирусы пихали))
                      +2
                      Только порно не трогайте, XXX — это наше всё.
                        +1
                        Чем вам порно не угодило? Бобука на вас нет!
                          0
                          угадило конечно, просто обычно вирусы к порнухе вешали…
                        +1
                        Вирмейкеры уже давно используют технологию протроянивания через кодеки, но раньше использовалось порно. Теперь они переходят в сегмент всего_остального_медиа (((
                        • НЛО прилетело и опубликовало эту надпись здесь
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • НЛО прилетело и опубликовало эту надпись здесь
                            –12
                            Бред немного.

                            1. Пустышка видеофайл, кодируется кодеком, который можно скачать с инета и установить.
                            2. Для кодеков, есть возможность прописать откуда его надо скачать, что бы проигрывать файл.
                            3. При установки кодека — вы собственноручно устанавливаете троян и радуетесь жизни.

                            В данном случае кодек может быть просто немного изменённый DivX или Xvid. В принципе кодек для просмотра видео, может давать доступ к просмотру коммерческого видео у вас на компе. Скачивая файлы с сайта — и установленным платным кодеком Вы можете просмотреть это видео, другой человек без кодека нет.
                            Мошенники же работаю по принципу — «ой, а у меня кодека нету, надо установить. О! Вот он уже и закачивается». Очень часто такая схема применяется для просмотра порно роликов.
                              0
                              Да уж, игла в яйце, яйцо в утке, утка в зайце и заяц в шоке…
                              Хитрая схема, вы порушили мои представления о безопасности видео-файлов. :)
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  +1
                                  хотите. реквестую пост =)
                            • НЛО прилетело и опубликовало эту надпись здесь
                              • НЛО прилетело и опубликовало эту надпись здесь
                                • НЛО прилетело и опубликовало эту надпись здесь
                                  +4
                                  linux forever =) давно перестал боятся вирусов :)
                                    +2
                                    я слышал, Волга впадает в Каспийское море?
                                      –10
                                      Не панацея linux. Я на линукс вирус тоже получал. ssh взломали и подсунули рутки.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            +2
                                            При чём тут «взломали ssh» и «вирус»?
                                          +9
                                          Настолько я помню, особо параноидальные люди вообще сидят на виртуалбоксвинде под линуксом :D
                                          Чтоб ничего не подхватить.

                                          А вообще сейчас этим не удивишь. Я все жду новостей, когда будет типа «появился первый вирус на rfid»
                                          Закуплю валенки, консервы, винтовку и подальше от зараженной цивилизации. В тайгу :D
                                            +5
                                            в консервах тоже бывает живут вирусы
                                              +1
                                              добавлю что в тайге тоеж очень много вирусов :-)
                                                +3
                                                FUUUUu… :(
                                              –7
                                              Кроме как всякого рода говна типа того что ты качнул в WMV ничего не выкладывают…
                                                +1
                                                Надо качать с проверенных торрентов, а не с варезников. Но все же, спасибо за инфу.
                                                  +1
                                                  Всегда качаю с проверенных сайтов.
                                                  –6
                                                  Логика прямо сверкает. Файла не проигрался в Light Alloy (я думал уже мертво лет 5-10 как). Обычный человек попробовал бы в разных KMplayer, MPC и других. Откуда возникла гениальная мысль открываться самым убогим плеером, который ничего не умеет, непонятно.
                                                    +4
                                                    оттуда, что это его нативный формат?
                                                      –7
                                                      и что теперь?
                                                    +2
                                                    Старый способ. Скажите спасибо компании M$, которая поддерживает подобные радости в своем формате данных.
                                                      +1
                                                      Вывод: не пользоваться WMP, есть куча альтернатив.
                                                      Я предпочитаю MPC HE, особенно приятно(для моей лени) что он идет в наборе кодеков K-Lite
                                                        +1
                                                        И действительно.
                                                        Либо всё те же портативные KMPlayer да VLC…
                                                        0
                                                        Примерно неделю назад, с толкнулся с такой же ситуацией, но при запросе лицензии паранойя пересилила и нажав «нет» удалил к чертям.
                                                          –1
                                                          Желание насладиться уже важнейшим из искусств уже пересиливало всё остальное и проигрывателю было дозволено решить уже проблему

                                                          Эта пять!
                                                            0
                                                            license.compress.to мне не кажется благозвучным названием сайта, особенно после его посещения.
                                                              +2
                                                              AntiVir палит — можно спать спокойно. :)
                                                                0
                                                                А можно поинтересоваться: какой у вас антивирус?
                                                                  +1
                                                                  ESET Smart Security 4 (лицензионный)
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                      0
                                                                      Отличный антивирус.
                                                                  0
                                                                  Я использую только Mplayer (Windows Media Player удален начисто), так что мне эта проблема вообще не грозит :)
                                                                    –1
                                                                    WMP предлагал скачать лицензию с сайта с вполне благозвучным именем license.compress.to — хех, наивно как то, когда для просмотра видео вам предлагают скачать лицензию, можно смело закрывать проигрыватель и удалять файл ко всем чертям. не ошибитесь… тут и к гадалке не ходи…
                                                                      +1
                                                                      Вывод: качайте с закрытых трекеров, на которых строго следят за качеством.
                                                                        0
                                                                        Так как схема работает-то? Все поняли или никому неинтересно?

                                                                        Обычно по первым байтам (FOURCC, кажется) определяется тип файла и по нему плеер лезет в свою базу и предлагает скачать кодек, но не любой, а забитый в базу. Соответственно, узкое место — онлайн-база плеера. И всяко MS абы какие кодеки не пропустит. Или там адрес кодека.exe прямо в файле прошита? :-)

                                                                        Ну так как?
                                                                          0
                                                                          В файле нашёл только ссылку на www.microsoft.com/isapi/redir.dll?prd=wmdrm&pver=2&os=win&sbp=newclient
                                                                          Если есть желание позабавиться с файлом (а может и написать статью с более детальным разбором использования проверки лицензии злоумышленниками), то взять его можно здесь
                                                                            +1
                                                                            там вся соль в лицензии, кодек тут вообще ни при чём.
                                                                              0
                                                                              Используют переполнение лицензии в WMP?
                                                                                0
                                                                                Типа того (: Ну а вообще полезную ссылку дали выше.
                                                                            0
                                                                            А при при чём тут «Информационная безопасность»?
                                                                            Скачать с какой-то помойки файл и ещё удивляться что там вирус? Для таки вот людей как раз и нужен антивирус :)
                                                                              0
                                                                              А при при чём тут «Информационная безопасность»?

                                                                              Данный термин подразумевает не только атаки на далёкие сервера не менее далёких хакеров. Это также и безопасность личной информации на собственном компьютере, уязвимости распространённого ПО и возможный способ формирования ботнетов, о которых потом сюда же и напишут.

                                                                              Учитывая то, что хабр читают не только гуру ИТ, но и обычные люди (общий тренд сайта к увеличению доли рекламы компаний и гаджетов явно на это указывает), которым подобная информация будет весьма полезна если придётся столкнуться с подобной ситуацией. Данный пост не противоречит ни тематике хабра, ни тематике блога. Кроме того, он прошёл через песочницу и НЛО с этим согласно.

                                                                              Скачать с какой-то помойки файл и ещё удивляться что там вирус?

                                                                              Похоже, Вы невнимательно прочитали топик — файл не содержит в себе вирус; только механизм, позволяющий использовать WMP для загрузки и установки вируса. Возможно, я не приметил Вашего белого коня и Вы расскажете где «не на помойке» брать свежие серии сериалов, которые я смотрю. Идеальным вариантом будет подписка как на подкасты — автоматические обновление и загрузка с уведомлением пользователя о том, что файл скачался и его можно просмотреть.

                                                                              Для таки вот людей как раз и нужен антивирус :)

                                                                              Вы не поверите, но «такие люди» являются основными пользователями подавляющего большинство программ, и «такие люди» готовы даже платить за качественный софт, обладающий простым интерфейсом и позволяющий пользователю человеческие слабости. Ведь мы всего лишь люди. Понимание данного принципа в сочетании с грамотным маркетингом сделало, например, Стива Джобса богаче на несколько миллиардов долларов.
                                                                                0
                                                                                Предлагаю тему следующей статьи: «Как вирус удалил все файлы с диска». Содержание: «Намедни, на почту пришло письмо, предлагающее увеличить пинус. Я очень обрадовался, так как он у меня довольно маленький и доктора ничего поделать с этим не могли. В письме предлагалось для этого запустить консоль, ввести sudo su и потом rm -rf /. Утверждалось, что после этого мне скачается инструкция по увеличению пинуса. Итог плачевный — все файлы удалились, а скотина ClamAV даже ничего и не заподозрил и вирус этот не поймал.
                                                                                  0
                                                                                  жжешь чувак :D
                                                                              0
                                                                              не новая новость, чтобы избежать надо:
                                                                              1) лучше качать файлы со знакомыми тагами(то есть в конце названия еще есть что-то вроде «HDTV.XviD-FQM» или «HDTV.XviD-NoTV»), которые говорят о качестве, кодеке и релиз группе. Кстати эти файлы или в avi или mkv, второй кстати добавляет к тагам так «x264» или «h264».
                                                                              2) Читать комментарии к торренту (хотя бы бегло)
                                                                              3)если интересуют сериалы, советую thepiratebay.org/tv/, там по сериалам ->сезонов все упорядочено.
                                                                                0
                                                                                Совет из серии «если упавший бутерброд поднять быстрее, чем за 3 секунды, то микробы не успеют на него попасть»
                                                                                  +1
                                                                                  то есть, ваш ответ вообще не качать? я так скачиваю уже не один год и не один сериал, и не разу вируса не попалось. кроме как написать коммент без смылса, объясните, что вы имели ввиду
                                                                                    +1
                                                                                    (пожал плечами) Вам везло :)

                                                                                    да нет, все ok, просто мне кажется необходимым соблюдать определенные правила гигиены — вроде антивируса (если windows) — и осторожности — вроде отказа устанавливаться подозрительные кодеки. Потому что иначе Вы нарветесь однажды на HDTV.XviD-FQM с вирусом.
                                                                                      +1
                                                                                      ну я расширение смотрю, комменты читаю, размер файла почти всегда одинаковый (хотя щас стал больше у некоторых). Антивируса нет, так как линукс. Но даже если мне шансов вирус подхватить почти нет, то все равно не хотелось бы ждать минут 20 до скачки серии и обнаружить это.
                                                                                        +1
                                                                                        Короче, у нас, кажется, получился теоретический спор, потому что у меня Mac OS X :)
                                                                                          0
                                                                                          но и пустышку вместо сериала получить не приятно
                                                                                  –1
                                                                                  1) т.е. злоумышленник переименовать видео файл из назваие.wmv в название.HDTV.XviD-FQM.wmv не может? :)
                                                                                    0
                                                                                    1)т.е. ты не дочитал до конца, а уже ответил. читай внимательнее.

                                                                                    >> Кстати эти файлы или в avi или mkv, второй кстати добавляет к тагам так «x264» или «h264».
                                                                                  0
                                                                                  Примерно месяца два назад столкнулся с фейковыми сериями TBB. Только они представляли из себя видео файл, нормального размера, вместо видео который содержал текст, предлагающий скачать кодек. Пару раз попадался скачивая такие релизы. Однако прогрессируют нехорошие люди. Спасибо за предупреждение.
                                                                                    0
                                                                                    www.securitylab.ru/news/307562.php

                                                                                    Я к сожалению не нашел более подробного описания процесса заражения, но нашел одно из упоминаний о данной уязвимости, смотрим на дату новости…
                                                                                      0
                                                                                      Получается, из бесплатных его обнаружил только AntiVir?
                                                                                      +1
                                                                                      +1 один повод перейти на Linux
                                                                                        +1
                                                                                        а что, весьма стоящая идея от малваростроителей :)
                                                                                        мораль: ни в коем случае не пользоваться WMP
                                                                                          0
                                                                                          >После сытного обеда организм
                                                                                          Прочитал «после сытного оргазма». Пора выходить из-за компа.
                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                              0
                                                                                              6 лет прошло, а схема живет) Уже не первый раз замечаю на пиратской бухте раздачи сериала, появляется как правило в день выхода серии, где-то за день до выхода обычных раздач. Внутри .wmv и текстовик, намекающий, что неплохо бы WMP открыть:

                                                                                              [Open With WindowsMediaPlayer.txt]

                                                                                              This video has been encoded using the latest DivX+ software, if you are having trouble playing this video please try windows media player
                                                                                              Media Player should automatically update any out dated codecs

                                                                                              Если открыть его линуксовым SMPlayer, будет невнятная картинка из разноцветных квадратов.

                                                                                              Только удалили предыдущую раздачу, сразу появилась новая от другого юзера, но с полностью аналогичным содержанием, разве что файлик назывался ReadMe.txt. Забавно наблюдать за этой вечной войной.

                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                              Самое читаемое