Trojaner infiserer MP3-filer

[Wubbable]

Dette er, såvidt jeg vet ikke et WMP problem, du vil få det bildet som ber deg om å hente en codec fra en internett side uansett hvilken mediaplayer du kjører.

Sist jeg sjekket handlet dette om .mp3 filer, ikke .exe filer, altså må mediespilleren ha innebygd støtte for å hente ned denne codecen, noe kun WMP gjør. (Og sikkert noen andre drittspillere)

 

Glad jeg bruker Foobar2000

[josh909]

– Dette er ikke et Windows-problem, men et MP3-problem, og du må oppdatere ditt antivirusprogram for å være beskyttet, advarer Eric Krieger i ANZ Secure Computing.

Når en multimediafil på en maskin med trojaneren blir åpnet, får brukeren beskjed om at det mangler en nødvendig kodek som må lastes ned.

This does not compute. Det er jo playeren som trigger slike meldinger/nedlastingsforsøk.

[finnipinni]

Ja, det er playeren som trigger slike meldinger/nedlastingstilbud.

Hvis du vil at den skal gjøre det da !

Jeg bruker denne spilleren på noen av maskinene. Det er en invaderende drittspiller, det er vel fordi at gammel dame vond å benne eller no'sånnt.

Men jeg har fjerna hver eneste hake som har noe med internett å gjøre ! Og det er leeenge siden.

Så har jeg en harddisk med kun mp3filer i skuffen og det spørs vel når jeg tør å koble opp og oppdatere den.

Får legge nye fileri egen mappe så lenge vel.

[Sokkalf™]

En mp3-fil vil aldri spørre etter noen codec (eller gjøre noe som helst, den er bare en passiv samling med data), men en falsk mp3-fil kan utnytte svakheter i mediaplayeren den spilles av i. Noen andre mediaplayere enn WMP som er rammet av dette?

 

Edit: det eneste som er et "mp3-problem" med dette, er at mp3fila fortsatt kan fungere som en gyldig mp3-fil i andre, skikkelige avspillere etter å ha blitt infisert. Er dette også bekreftet? Dvs, at en infisert mp3-fil spiller uten problemer i samtlige avspillere på markedet?

Endret 15. juli 2008 av Sokkalf^

[Capa Barsavi]

En kompiss fikk samme meld. fra en .avi, i VLC, men da måtte du betale.

[Wubbable]

En kompiss fikk samme meld. fra en .avi, i VLC, men da måtte du betale.

Han gjorde nok ikke det du, VLC driter i det, og hvis filer er kryptert elns (krever noe nedlastet for å vises) vises de kryptert i VLC, altså vises det bare rot...

 

Slik ser det ut:

Endret 15. juli 2008 av Wubbable

[Sokkalf™]

Det sirkulerer jo enkelte filmer hvor innholdet kun er en tekst, f.eks "Du trenger en codec for å vise denne filmen, finn den på http://www.example.com"

 

Siden innholdet er visuelt, så funker det jo, men tror neppe at dette er samme greie, om det da ikke er en fyr på mp3-fila som leser opp en adresse for deg.

[Simen1]

Jeg ser for meg at infeksjonen består av en webadresse i metadataene til mp3-fila. Metadataen sier sikkert noe sånt som Codec: www.malware.now/download/WMP-plugin.exe og Windows MP er naiv nok til laste ned og installere dette.

 

Videre ser jeg for meg at alle mediefiler i spillelista til WMP etter infeksjonen vil få en tilsvarende Codec-henvisning i metadataene. Dersom brukeren sprer filene på egenhånd, f.eks over til andre PC-er, deler de via P2P osv så vil metadataene spre seg og infisere flere WMP-brukere.

 

Sånn jeg har skjønt dette så er dette et rent Windows-problem som kun rammer de som bruker Windows MP. Innholdet i filene tror jeg heldigvis ikke ødelegges, men filene må selvsagt renses av antivirus-programvare for å unngå videre spredning.

[JohndoeMAKT]

Slik jeg har forstått det:

 

-Filene har .mp3-etternavn som gjør at din standard avspiller prøver å åpne den når du dobbeltklikker på fila.

 

-Når spilleren leser headere i fila leser den ut at den er av type "ASDFSDF" eller noe annet den ikke vet hva er.

 

-Spilleren informerer om at den ikke vet hva dette er og forteller hvor passende codec kan lastes ned fra, dette har den sannsynligvis lest fra en annen header i fila. Denne meldingen vil mange mediespillere vise, ikke bare WMP.

 

-Brukeren er dust og beveger seg til nettsiden opplyst og laster ned en codec i form av en .exe og installerer den. Installasjonsfilen består av en MP3-codec og blir i operativsystemet registrert til å dekode både "ASDFSDF" og "MP3", men når den dekoderen leser MP3-filer endrer den samtidig mediatypen i headeren til "ASDFSDF". Når denne dekoderen er installert vil trolig alle MP3-filer dekodet av DirectShow bli endret, uavhengig av avspiller. ( så lenge den bruker DS )

 

-Dersom en av disse endrede filene blir kopiert til et annet system som ikke kan dekode "ASDFSDF" repeterer historien seg.

 

---

Og løsningen er som den som vanlig er i 99% av tilfellene: Ikke vær dust.

[Wubbable]

men filene må selvsagt renses av antivirus-programvare for å unngå videre spredning.

Eller man kan bruke foobar2000 sin "Rebuild MP3 Stream" og "Remove tags from file"

[JohndoeMAKT]

Så Linux vil be om en codec og laste den ned? I think not!

Jeg vet ikke om Linux vil det, men Kaffeine vil.

[Drømmemannen]

Slik jeg har forstått det:

 

-Filene har .mp3-etternavn som gjør at din standard avspiller prøver å åpne den når du dobbeltklikker på fila.

 

-Når spilleren leser headere i fila leser den ut at den er av type "ASDFSDF" eller noe annet den ikke vet hva er.

 

-Spilleren informerer om at den ikke vet hva dette er og forteller hvor passende codec kan lastes ned fra, dette har den sannsynligvis lest fra en annen header i fila. Denne meldingen vil mange mediespillere vise, ikke bare WMP.

 

-Brukeren er dust og beveger seg til nettsiden opplyst og laster ned en codec i form av en .exe og installerer den. Installasjonsfilen består av en MP3-codec og blir i operativsystemet registrert til å dekode både "ASDFSDF" og "MP3", men når den dekoderen leser MP3-filer endrer den samtidig mediatypen i headeren til "ASDFSDF". Når denne dekoderen er installert vil trolig alle MP3-filer dekodet av DirectShow bli endret, uavhengig av avspiller. ( så lenge den bruker DS )

 

DirectShow - Så du mener dette gjelder kun Windows?

 

Er codecs plattformuavhengige?

[JohndoeMAKT]

Jeg regner med det bare gjelder Windows. Andre operativsystemer har vel heller codec-støtte mer eller mindre bakt inn i avspilleren som de basert på Xine eller VLC uten et felles avspillingsinterface som et del av operativsystemet. ( Arrester meg gjerne på dette om det er feil. )

 

Dekodingsalgoritmer i seg selv er ikke platformavhengige, men disse algoritmene er vanligvis i biblioteker, så programmet som skal bruke den må implementere bibliotekets interface. libavcodec f.eks er et kjekt standardbibliotek for dekoding av mange forskjellige typer lyd og bilde. libavcodec i seg selv er skrevet i C og er platformuavhengig og finnes f.eks i Kaffeine ( som bruker Xine til dekoding som igjen bruker libavcodec-biblioteket ) som jeg bruker under Kubuntu Linux og i ffdshow som er et DirectShow filter som også bruker libavcodec som brukes når jeg spiller av video i MediaPlayer Classic under Windows.

[Capa Barsavi]

En kompiss fikk samme meld. fra en .avi, i VLC, men da måtte du betale.

Han gjorde nok ikke det du, VLC driter i det, og hvis filer er kryptert elns (krever noe nedlastet for å vises) vises de kryptert i VLC, altså vises det bare rot...

 

Slik ser det ut:

 

Jeg så det jeg så ; ) er forsovidt ikke 100% at det VAR en avi fil, men fikk beskjed om å gå til den og den sida

[Carl Sagan]

Dette har jo vært gjort med porno-filmer i åresvis!

 

[masterboy]

Det er dette som kalles for FAKE filer!

 

Til .avi og .mpg filer skal en vel laste noe som heter Dom-x eller Domplayer!

[Sokkalf™]

Er det dette det er snakk om tro? Isåfall er det ihvertfall ikke et mp3-problem, men så absolutt et Windows/Microsoft-problem.