我已经使用P2P下载了.wmv文件。尝试使用Media Player Classic(K-Lite编解码器包)播放时,只在播放窗口中给了我一个绿色方块:



我注意到该视频附带了但是,自述文件;我在里面找到了以下内容:


该视频已使用最新的DivX +软件进行编码,如果您在播放此视频时遇到问题,请尝试Windows Media Player
Media Player应该自动更新任何过期的编解码器


由于K-Lite编解码器包是我选择的媒体软件,因此我决定访问他们的站点以查看是否有可用的升级。实际上,撰写本文时的最新版本已于2015年11月19日发布(我使用的版本已于11月初安装在我的PC上,因为我购买了新硬盘并重新安装了操作系统)。我已经下载并安装了更新程序,但没有进行任何更改,我仍然得到相同的绿色方块。

现在,我为这部分感到羞耻;而不是变得可疑,我按照文件的建议进行操作,即在WMP中运行它,实际上表明我下载了一些编解码器。我这样做了,因为我的帐户是普通帐户,所以键入了管理员密码,然后发生了一些有趣的事情。


没有我做任何事,UAC已被禁用; Windows出现提示,告诉我需要重新启动才能禁用它,当我检查设置时,确实已将其关闭
已安装了Opera浏览器,并且在桌面上放置了快捷方式
NOD32 ,我正在使用的AV变得疯狂:两个HTTP请求被阻止,两个可执行文件被隔离,日志如下:

网络:


15/11 / 22 3:35:29
PM http://dl.tiressea.com/download/dwn/kmo422/us/setup_ospd_us.exe被内部IP阻止

黑名单C:\ Users \ admin \ AppData \ Local \ Temp \ beeibedcid.exe桌面\ admin 37.59.30.197
15/11/22 3:35:29 PM http://dl.tiressea.com/download/dwn/kmo422/us/setup_ospd_us.exe被内部IP阻止

黑名单C:\ Users \ admin \ AppData \ Local \ Temp \ beeibedcid.exe桌面\ admin 37.59.30.197


本地文件:


15/11/22 3 :35:38 PM实时文件系统
保护文件C:\ Users \ admin \ AppData \ Local \ Temp \ 81448202922 \ 1QVdFL1BTSQ == 0.exe一个Win32 / Adware.ConvertAd的变种。通过删除清除的ACN应用程序
-隔离的桌面\ admin该应用程序创建的新文件上发生了事件:C:\ Users \ admin \ AppData \ Local \ Temp \ beeibedcid.exe。
15/11/15 22:35:35 PM实时文件系统
保护文件C:\ Users \ admin \ AppData \ Local \ Microsoft \ Windows \ INetCache \ IE \ 51L9SWGF \ VOPackage1.exe a Win32的变种/Adware.ConvertAd.ACN应用程序,通过删除
(在下次重新启动后)进行清理-隔离的Desktop \ admin事件在应用程序创建的新文件上发生:
C:\ Users \ admin \ AppData \ Local \ Temp \ beeibedcid.exe。


beeibedcid.exe作为进程正在运行,然后我使用任务管理器手动将其杀死。即使ESET没碰到它,也不再出现在AppData\Local\Temp中。通过仔细检查,我意识到打开WMP提示以允许我“更新编解码器”看起来并不像WMP。组件:



UI在某些细微的方面有所不同,并且句子的组成/语法很差。不可否认,尽管最可疑的是左上角的域playrr.co;一个简单的whois查找显示该域已于今年11月17日(五天前)进行了注册,并且注册人是WhoisGuard,因此实际注册人显然想隐瞒其详细信息。

请注意,单击两者“下载修复”和“ Web帮助”具有相同的效果;弹出以下IE下载提示:



我要补充一点,我下载的视频已于格林尼治标准时间2015-11-22 13:29:23上传,大约是在下载前一个小时。操作系统为Windows 8.1 Pro x64,AV为ESET Nod32 AV 7.0.302.0,具有最新的签名。

我很生气,因为这是一个显而易见的陷阱,但同时我绝对不会考虑检查Windows Media Player对话框中是否存在明显的木马/广告软件!


这是如何工作的?在播放之前,它可能不会影响我的Windows Media Player可执行文件,因为它是媒体文件。这是软件中最近发现的漏洞吗?因为我怀疑Microsoft会允许媒体文件指定一个站点来从...下载编解码器...
不管它是什么,这似乎都是相对较新的东西。我该怎么做才能确保其他人不会因此而陷入困境?我认为没有任何AV供应商会允许我提交几百兆大小的.wmv文件进行分析。

谢谢您的时间。

评论

这东西是怎么工作的?在播放之前,它可能不会影响我的Windows Media Player可执行文件,因为它是媒体文件。错了尽管在这种情况下它在播放之前做了一些操作,但是并不能保证以任何方式。因为我怀疑Microsoft是否允许媒体文件指定站点以从中下载编解码器,如果网站可以指定要在IE中运行的二进制文件...

无论如何,是的,这可能是所使用软件中的问题(不一定是媒体播放器,可能是Windows本身,等等)。关于视音频:询问他们是否想要。关于您的计算机:不再信任任何东西,擦拭它,然后重新安装干净。关于未来:不再使用任何可疑的文件源...

如果不阅读其他答案,我可以告诉您:也许。编解码器是可写的东西,因为它们基本上是(LL(1))解析器,状态机,并且很容易变得懒惰,只使用指针+偏移量-读取文件等,因为我们看不到源代码任何有漏洞利用的人(谁是坏人)都希望知道自己已经这样做了,我们所能做的就是通过找到一个案例来确认它是否已经被利用,是否存在案例尚无定论。

分析链接的文件:virustotal.com/en/file/…

#1 楼

该视频文件使用了Windows Media Player的DRM功能(滥用),该功能使内容提供商可以在受保护的内容中嵌入URL,该URL将显示在Windows Media Player窗口中,以允许用户获得播放该内容的许可证。其合法用法如下:


用户在在线音乐商店上注册并下载一些受DRM保护的文件,这些文件的实际媒体内容已加密
用户在Windows中打开它们Media Player,它将打开一个带有媒体文件中指定的URL的窗口,在这种情况下,来自音乐商店的合法URL要求用户登录
用户输入其凭据,音乐商店对其进行身份验证并为WMP提供解密密钥,然后将其缓存并可以播放文件

在这种情况下,该功能已被滥用以显示有关缺少编解码器的虚假WMP错误(实际上是网页,作为域名)顶栏中的建议,如果确实存在,则窗口会小得多),以使您单击(伪)按钮,该按钮指向伪装成编解码器的恶意软件。

有更多信息Wikipedia上的DRM系统,似乎已弃用了PlayReady。尚不清楚此新迭代是否将允许这种滥用。

评论


因此,让我直接讲一下,WMP允许打开媒体文件并向用户显示任何网站吗?如果是,那么,哇,微软...

–user4520
15年11月22日在19:32

如果我没记错的话,@ szczurcio不会立即打开网站,但是会显示错误消息,提示您没有播放文件的必要权限,并带有获取权限的按钮。该按钮显示网站。

–AndréBorie
2015年11月22日19:38

@szczurcio:所有DRM本质上都是恶意软件;您为什么如此惊讶,以至于有人想出了一种在Microsoft上piggy带自己的恶意软件的方法?

–梅森·惠勒
15年11月23日在12:48

@ Compro01有趣的是,Netflix,Amazon Instant Video和几乎所有基于Silverlight的视频流服务都使用与该文件相同的DRM基础设施,因此实际上已被广泛使用。

–billc.cn
2015年11月23日14:57

Celeritas-DRM完全无法打击盗版。完全使用它的唯一原因是音乐和视频行业的大型公司仍然拥有很大的力量。它使他们赚钱-根本不能阻止盗版!

–Rory Alsop♦
15年11月24日在17:54

#2 楼

有问题的WMV文件可能旨在利用Windows Media Player中的漏洞。使用Windows Media Player播放的明确请求指向该方向。

然后利用此漏洞来请求下载伪装成编解码器安装程序包的恶意软件程序,该程序很受欢迎。之所以采用这种方式,是因为用户在播放媒体文件时会期望安装编解码器。