Открыть список
Как стать автором
Обновить

Комментарии 63

Жесть, я и так WMP недолюбливаю, но теперь особенно. Тут спасёт только правильно сконфигурированный firewall.
с большой долей вероятности не спасет, у зверушки будет большой простор для деятельности, оно сможет выкачать все что нужно от имени IE.
Поможет… только смотря какой firewall. В своё время пользлвался jetico. Отличная чтка, вылавливает все обращения в сеть. Показывает кто и куда и по какому порту лезет…
хомячки такие хомячки
Да, но проблема в том, что по умолчанию, большинство брандмауэров доверяют программам имеющим сертификат от Microsoft.
А насчёт того как можно защитится, смотрите чуть выше — я обновил хабратопик.
НЛО прилетело и опубликовало эту надпись здесь
Далеко не все такие аккуратные как Вы
Сппешу заверить, что даже убрав все пунктики, WMP всё равно лезет в сеть. Как писал выше, jetico мне это в своё время показал. Не то чтобы удвился, но всё же…
> Перевод — я фанатег и ненавижу WMP

Дальше ваш коммент читать не стал, ясно что ничего ценного он содержать не будет
НЛО прилетело и опубликовало эту надпись здесь
Если вы не догадались, комментарий был для вас. Неужели вы думаете, кому-то интересны ваши религиозные взгляды? Люди в комментариях хотят увидеть мышление (чем объективнее, тем лучше) а не перечень во что вы верите, а во что нет.
НЛО прилетело и опубликовало эту надпись здесь
Товарисч — это паранойя!
Не только WMP уязвим к подобным атакам.
Вот к чему привит ДРМ головного мозга издателей. Мало того что сделали какую то неработающую убогость, так еще и дыр в ней наделали.
а с чего вы взяли что у них есть вообще этот ДРМ, ну или как минимум есть к чему его прививать? Издатели обычно думают кошельком, нежели головой =)
как это с чего. Они и инициировали его разработку для того чтобы ты не воровал а денюжку платил за каждую песню. А WMP (и микрософт естественно ) ето уг поддерживает.
Ну вы шутник однако… конечно на кошерных трекерах не встречаеться контент с ДРМ ;-)
Пользуйтесь свободными и открытыми форматами и технологиями — будет меньше головной боли. Давно уже понятно, что DRM сделан не для удобства конечных пользователей.
Еще в линукс этот ДРМ, прости господи, протащить пытались… совсем обнаглели, свободным людям на плечи лезут уже…
Причем тут «открытые и свободные технологии»? То, что линукс не сможет проиграть видео/музыку, защищенную DRM — это скорее всего минус, а не плюс. Здесь речь идет о конкретной дыре в технологии DRM, и надеюсь, что господа из MSFT обратят на это внимание и примут соответствующие меры.
В принципе, самая главная мера — что в открытых и свободных, что в закрытых и проприетарных технологиях — та же самая: не работать под учетной записью с админскими правами, и прежде чем кликать — думать и читать.
Здесь речь идет о принципиально неустранимой дыре в технологии DRM. Точнее, даже не так. Речь о принципиально неустранимой дыре, которой является сама технология DRM.
Аналогичная дыра есть и в технологии E-Mail (письма I LOVE YOU все помнят?), тем не менее о закрытии e-mail никто не кричит на каждом углу.
Все-таки мыло непосредственно нужно конечным пользователям, в отличие от ДеРьМа. Однако если проводить аналогии, то у потребителя есть право блокировать почту, которую ему навязывают, и даже преследовать в суде тех, кто это делает в промышленных масштабах (т. е. спамеров).
Ну так ведь с тем же успехом можно не качать контент, защищенный DRM. Ну разве что в суд на них не подашь… Хотя нет, были прецеденты — когда кажется Sony в свои аудиодиски встроила защиту на базе какого-то руткита, и на них подали в суд и таки заставили эту защиту убрать. Подробностей, к сожалению, не помню, а гуглить лень.

Хотя я согласен, что все DRM больше приносят проблем легальным пользователям — вспомним хотя бы iPod'ы, в которые можно закачать музыку, а выкачать ее оттуда обратно — нельзя, или защита игр StarForce, которая иногда работает криво, особенно — в Win7. Пиратам, по сути, будет пофигу — они и так скачают музыку в mp3 без DRM, или же найдут NoDVD к игре. А вот купившие лицензионную музыку или диск — получат некоторые неудобства.

Так что я так и не понял, за что меня минусанули ;)
+1
никогда не качаю wma
а в wmv разве что порнуху, да и ту с порнолаба
Я фапом не очень увлекаюсь, а вот вебкасты с TechDays.ru качаю, да и записываю. И там все WMV, правда никакой DRM там не используется.

Проблема в том, что как раз в порнуху и могут зашить такую «лицензию» с трояном инсайд, правда надеюсь на порнолабе этого не допустят. Ну и кибердрочеры всегда были легкой добычей троянщиков)))
Это несомненно очень полезный и мощный пост, благодарю.
Что касается mp3, то это, скорей всего, была одна из ранних версий винампа, подверженная stack overflow. Да и сейчас находят в нем дырки, только в нынишние времена софт апдейтится куда быстрее.
Что касается mp3
Вообще-то mp3 тут не причём.

скорей всего, была одна из ранних версий винампа
DRM-защищенный файл (.wmv) был открыт в Winamp 5.572, то есть, последняя версия.
вы бы прочитали свои же пару абзацев :))
всмысле первые пару
Так как в своём хабратопике я упоминал о Winamp'е лишь в абзаце 'Вместо постскриптума', я подумал, что Вы неправильно поняли какой файл был открыт и какая версия Winamp'а была использована.
То, что у файла расширение mp3, еще не значит. что он в формате MPEG 3-layer. В винде медиафайлы можно переименовывать хоть в mp3, хоть в avi, все равно как правило тип определяется по заголовкам файла.
НЛО прилетело и опубликовало эту надпись здесь
Да, примерно это я и хотел сказать, многие плееры определяют тип файла по содержимому :)
Я недавно точно так же скачал Avatar с каких-то левых торрентов… Сам файл занимал 2 гигабайта, при запуске (кстати тоже открывается только через WMP) проигрывается 20-секундная демо-версия отрывка фильма в поганом качестве. И потом открывается страница из инета с предложение скачать супер-мега проигрыватель для этого файла… Я побоялся и удалил фильм.
Не надо качать из левых торрентов, качайте из нормальных.
Нужно юзать плееры, не умеющие drm =) Вообще да. Интересная дыра…
Дальше, используя переменную $HTTP_USER_AGENT выяснил, что также как и WMP для своих целях Winamp использует MSIE 7:
Вы это неправильно поняли. В ие8 есть режим совместимости, в котором он представляется как ие7. Будучи встроенным в какое-либо приложение, ие8 включает режим совместимости со всеми вытекающими.

Сам столкнулся с подобным поведением в дельфи, — кидаешь на формочку браузер, запускаешь, заходишь проверить юзерагент — оп-па — ие7, а в системе 8ой. Куки, кстати, синхронизируются после выхода, так что это одно и то же.
Как же я счастлив, что на моем арче подобные выкрутасы не пройдут)
Спасибо что продолжили тему. Честно говоря, я на такой исход особо не надеялся когда выкладывал ссылку…
А Вам спасибо за ссылку, благодаря который я смог: скачать и анализировать файл, найти брешь, написать статью, опубликовать топик, получить инвайт и уведомлять всех о 'видео-вирусе'. Спасибо!!!
А у меня в системе Windows Media Player изначально удален (хехе, такие радости пользователям лицензионной винды небось недроступны!). Использую только Mplayer, в котром, уверен, никакой пакости нет, и експлорер он не откроет.

А вообще трюк с прописыванием сайта в медиафайле старый, вроде уж давно используется.
Windows Media Player можно в любой момент удалить/поставить. В панели управления — Программы и компоненты. Там можно включать и отключать компоненты, хотя в нелицензионной WMP может просто отсутствовать на диске.
у меня он отключен именно таким способом. а сам пользуюсь KMP :)
Похоже, пора валить и с винампа. Новость хорошая, пусть будет побольше таких DRM-вирусов — люди начнут обходить любые DRM десятой дорогой и, разумеется, станут меньше их покупать. Ну а «DRM-защищенные» файлы уже можно смело именовать DRM-зараженными.
Прочитав пост сразу подумал о порно-роликах, ворующих адреса, пароли и явки)

А вообще весьма интересная статья, я всегда подозревал что windows media в частности может открывать нехорошие страницы, помнится я даже на вконтакт как-то умудрялся из виндовс медиа плеера заходить (но было это давно и ещё на win Xp), но вот всё не знал я как самому подобные вещи делать а выяснить руки не доходили.

Теперь надо будет поковырятся на досуге.
Как страшно жить!
Попробую сегодня на хардварном плеере этот файл открыть. (TVIX-500)
А сейчас самое интересное: если изменить расширение файла из .wmv в .asf или в .wma, ничего не измениться, то есть плееры всё равно будет воспроизводить медиа-файл
И что же тут интересного?
Вы разве не знаете, что независимо от расшинения (.asf, .wmv, .wma) — все эти контейнерные медиафайлы имеют общий формат ASF (Microsoft Advanced Systems Format). И просто для визуального удобства файлы с видеопотоком Windows Video именуют *.wmv, а файлы только с аудиопотоком Windows Audio именуют *.wma.
А раз это один формат, то неудивительно, что и медиаплееры его обрабатывают одинаково.

И вообще этой уязвимости ASF-файлов, связанной с DRM и загрузкой сторонних компонентов, уже сто лет в обед. Про неё уже не раз писалось.
И что же тут интересного?
Интересно то, что даже если Вы установили на компьютере другой плеер, вероятность того, что DRM-защищённый файл откроется в WMP, очень высока.

этой уязвимости уже сто лет в обед. Про неё уже не раз писалось
Если честно, анализируя этот файл, я впервые узнал о том, что эксплоит для уязвимости MSIE, 'работает' на ура и в WMP/Winamp. Если можете, оставьте, пожалуйста, ссылку на материал.
Интересно то, что даже если Вы установили на компьютере другой плеер
Причём тут другой плеер? Вы вообще видели, на что я ответил?
Во фрагменте, который я процитировал, речь шла про переименование между *.asf, *.wmv, *.wma. И было написано, что это «самое интересное». Я же ответил, что ничего интересного в этом нет, потому как это и так файлы одного формата ASF.

Это всё равно, что написать: «А самое интересное, что если переименовать файл с расширением *.JPEG в файл с расширением *.JPG, то ничего не изменится, все просмотрщики картинок его будут обрабатывать точно так же, как и файл с расширением *.JPEG». По-моему, это и так очевидно, т.к. формат-то один и тот же.
Читайте внимательнее комментарии (и здесь тоже), ведь многие пользователи предлагают установить другой плеер для того чтобы открыть видео-файлы. А сейчас самое интересное, например, устанавливая другой видеоплеер, вероятность того, что wma-файлы откроются в WMP, очень высока.

И ещё, будьте любезны, дайте пожалуйста ссылку на устаревший материал.
Стоп.
То, что, по-вашему, независимо от ассоциированного с расширением wma приложением, эти файлы будут открываться в Windows Media Player, вы в статье называете самым опасным.
А самым интересным вы называете то, что независимо от расширения ASF-файла (*.asf, *.wmv, *.wma) он всё равно представляет одинаковую опасность для уязвимых приложений. И вот именно это, по-моему, совершенно очевидно и потому неинтересно.

Если хотите, чтобы вас правильно понимали, выражайте свои мысли яснее.
Ещё раз:
А сейчас самое интересное: если изменить расширение файла из .wmv в .asf или в .wma, ничего не измениться, то есть плееры всё равно будет воспроизводить медиа-файл
Если все эти расширения ассоциированы с уязвимыми приложениями (WMP, Winamp и др.), то очевидно, как не переименовывай файл, уязвимость останется.
и что самое опасное, в большинстве случаев .wma-файлы будут открыты в Windows Media Player.
Расскажите мне как? Вот если у меня .wma-файлы ассоциированы с MPlayer, VLC media player или foobar2000, то каким чудом они вдруг откроются в WMP или вызовут IE? Такое будет только если авторы выбранного мной плеера оставили такую уязвимость или передают вдруг такие файлы на обработку уязвимым плеерам типа WMP. А если плеер написан нормально и без уязвимостей, то такого не будет.
И чтобы говорить про большинство случаев, когда такое произойдёт, нужно владеть хоть какими-то достоверными статистическими данными. Где цифры?
И ещё, будьте любезны, дайте пожалуйста ссылку на устаревший материал.
Многократно встречал на securitylab.ru статьи про уязвимости ASF. Не уверен, что сейчас нашёл в точности это, но вроде похоже:
www.securitylab.ru/vulnerability/200446.php
www.securitylab.ru/vulnerability/384905.php
www.securitylab.ru/vulnerability/202018.php
www.securitylab.ru/vulnerability/386525.php
Покажите первые 32 байта файла в HEX редакторе. У меня есть смутные сомнения, что ни разу не DRM.
Пожалуйста:
30 26 B2 75 8E 66 CF 11 A6 D9 00 AA 00 62 CE 6C D6 11 00 00 00 00 00 00 0C 00 00 00 01 02 40 A4

Кстати, думаю, Вам будет интересно посмотреть и на остальные байты.
Ну в общем мои подозрения все больше усиливаются :-) Это WMA, а судя по тому что я про него читал, в нем нет DRM. Зато есть возможность привязать посещение URL'a к определенному моменту ролика. Это довольно старая техника для распространения троянов, но сделать общий детект для них не так просто: даже в некоторых файлах от самой M$ прописан переход на URL'ы.

Хотя, я могу и ошибаться и у вас какой-нибудь друго формат с DRM, который инкапсулирован в WMA :-)
Думаю следующий код, который начинается на 504-й байт, может помочь:
<WRMHEADER version="2000">
  <DATA>
    <RID>1</RID><CID>500</CID><LAINFO>%URL%</LAINFO><KID>%HASH1%</KID><CHECKSUM>%HASH2%</CHECKSUM>
  </DATA>
  <SIGNATURE>
    <HASHALGORITHM type="SHA"></HASHALGORITHM>
    <SIGNALGORITHM type="MSDRM"></SIGNALGORITHM><VALUE>%HASH3%</VALUE>
  </SIGNATURE>
</WRMHEADER>
НЛО прилетело и опубликовало эту надпись здесь
Случайно решил зайти в настройки Silverlight. Там есть вкладка «Воспроизведение»:



Это оно самое?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.