1. Dator och IT
  2. IT-säkerhet

Trojaner i WMV-fil?

Svara
  • 1
  • 2
2006-11-27, 14:39
  #1
CrazyDog
Medlem
Hei!

Jeg ser ofte at det finnes beskyttede WMV-filer som installerer spyware ved avspilling (bruker blir bedt om å hente lisens/oppdatering).

Er det noen som vet hvordan jeg kan lage en slik fil med egen trojaner-server??
Citera
2006-11-27, 15:18
  #2
darild
Medlem
Citat:
Ursprungligen postat av CrazyDog
Hei!

Jeg ser ofte at det finnes beskyttede WMV-filer som installerer spyware ved avspilling (bruker blir bedt om å hente lisens/oppdatering).

Er det noen som vet hvordan jeg kan lage en slik fil med egen trojaner-server??

Det är inte spyware, utan licenser för DRM-skyddet. Inget att oroa sig för mao. Mig veterligen så går det inte att komma runt.
Citera
2006-11-27, 15:39
  #3
AngelHacker
Medlem
AngelHackers avatar
Citat:
Ursprungligen postat av CrazyDog
Hei!
Jeg ser ofte at det finnes beskyttede WMV-filer som installerer spyware ved avspilling (bruker blir bedt om å hente lisens/oppdatering).
Er det noen som vet hvordan jeg kan lage en slik fil med egen trojaner-server??


Kan någon översätta? Är inte säker på att jag förstår allt.
Hur som hellst vet jag inte om det går att "lägga in" en trojan i en wmv-fil. Där emot har jag hört att det ska gå att bind en exe-fil på något sätt. Men jag tvivlar på att det går. Sen vet jag även att det finns Buffer Overflow attacker och Remote Code Execution till windows media player. På så sätt kan man ju få in en "server/trojan" i offrets dator.
Citera
2006-11-28, 01:08
  #4
CrazyDog
Medlem
Sorry, seems like you guys don't understand Norwegian very well... Let me try in English:

I have seen that there are some WMV-files (usually xxx...) on various P2P-networks which asks for installing a license when played. This license is installed automatically when the user accepts it, but it also installs spyware on the computer.

I am wondering whether I can use this method to embed my own server.exe into an WMV-file...
Citera
2006-11-28, 07:36
  #5
AngelHacker
Medlem
AngelHackers avatar
Citat:
Ursprungligen postat av CrazyDog
Sorry, seems like you guys don't understand Norwegian very well...

Sorry about that.
Well, i think this is some kind of vulnerability in windows media player. Can you upload a file? So i can have a look at it?
It sounds like a Remote Code Execution attack.
http://www.theregister.co.uk/2005/01/13/drm_trojan/
Dont think there is a public exploit out yet.
Citera
2006-11-28, 12:02
  #6
CrazyDog
Medlem
Here's an example:

http://www.home.no/brestrup/xxx.wmv

Warning: Windows Media Player will ask you to install an update to play this. Do not accept unless you know what you're doing, or it will install a trojan...
Citera
2006-11-28, 13:06
  #7
Ajajaj
Medlem
Ajajajs avatar
Det här undrar jag också om.

Hur funkar egentligen de här wmv-trojan-spyware eller vad det är för något?


Jag har haft problem med Error-safe, dock inte själva programmet utan något annat, som vill att jag ska installera error-safe!

Jag kan inte minnas något sätt jag kan ha fått den här adware installerad?

Det enda jag vet är att jag vid ett par tillfällen tackat ja till att installera ny codec på WM-player, men filmen funkade inte för det.

Är det så jag fick det här addware-programmet för Error-Safe på datorn?

Någon som vet?
Citera
2006-11-28, 14:33
  #8
CrazyDog
Medlem
OK, I have been investigating further, and technically it is not a vulnerability, but a "feature" in Windows Media Player. A WMV/A file can have a DRM flag. If this is set, Windows Media Player goes to a specified location (programmed in the WMV-file) and downloads and executes a program from there...

So the question is, which tools are used to make DRM-protected media files? If we had that, maybe we could make our own files... I have searched on Google a lot, but all I can find is tools to remove DRM, not embed DRM...
Citera
2006-11-28, 16:35
  #9
AngelHacker
Medlem
AngelHackers avatar
Citat:
Ursprungligen postat av CrazyDog
OK, I have been investigating further, and technically it is not a vulnerability, but a "feature" in Windows Media Player. A WMV/A file can have a DRM flag. If this is set, Windows Media Player goes to a specified location (programmed in the WMV-file) and downloads and executes a program from there...

So the question is, which tools are used to make DRM-protected media files? If we had that, maybe we could make our own files... I have searched on Google a lot, but all I can find is tools to remove DRM, not embed DRM...


Okay. Here is what i think we have here.
The wmv-fil has a link in it that we are being redirceted to.
http://licenseserver.smutlounge.com/license/index.php(?) (A link i pulled out of the wmv-file above)
And its not the wmv-file that holds the vulnerability. Its the web-page that uses a vulnerability in the web-browser probably in Internet explorer.

Edit: This is just my theory

I think windows media player has a option that allows you to put a DRM on a file. But i dont know.
Citera
2006-11-29, 12:00
  #10
CrazyDog
Medlem
Citat:
Ursprungligen postat av AngelHacker
And its not the wmv-file that holds the vulnerability. Its the web-page that uses a vulnerability in the web-browser probably in Internet explorer.

Well, I think it can download and execute a file specified in the WMV-file. Ideally, the idea is to install codecs, pay with credit card etc., but obviously this functionality can be used to install malicious software.

Citat:
Ursprungligen postat av AngelHacker
I think windows media player has a option that allows you to put a DRM on a file. But i dont know.

Well, not Media Player itself, but there must be some tools for the merchants who want to protect their media files with DRM.
Citera
2006-11-29, 12:09
  #11
Aph3x3d
Bannlyst
..
Good/smart idea, and it should be possible to change the site in the DRM and install an trojan But i cant say for sure yet, will do research in a couple of days...
Then post what i found.
Citera
2006-11-29, 12:19
  #12
hnZ
Medlem
Du kan encoda WMV-filer med DRM med windows media encoder.
Det verkar dock som du behöver registrera hos någon third party license provider för att kunna göra det, men borde inte vara alltför knepigt att kringgå.

Men värför ni tror att mediaplayer har en funktion som exekverar en fil i bakgrunden förstår jag inte. När filen vill att du ska tanka en licens så hamnar du på en websida som sedan utnyttjar nått hål i IE (verkar vara ActiveX i dethär fallet) för att installera spyware.

Edit:
Funkar väl som dethär --> http://www.gnucitizen.org/blog/backdooring-mp3-files/ , som diskuteras i någon annan tråd här.
Dvs du behöver en bra browser-exploit för att komma någon vart, och har du det kan du lika gärna trycka på länken till sidan direkt istället för att öppna en fil som öppnar webbsidan.
Citera
Svara
  • 1
  • 2

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in