Przytrafiła się mi właśnie taka dziwna historia jak w temacie. Miałem okazje przetestować jedno z łącz więc pierwszym odruchem było uruchomienie programu do protokołu BitTorrent, wybranie jakiegoś nośnego filmu dla nastolatków granego akurat w kinie, znalezienie .torrenta z sensowną liczbą udostępniających i próba rozpędzenia łącza. Po chwili zobaczyłem listę adresów IP, od których zacząłem pobierać dane. Pierwsza rzecz, która mnie zaciekawiła to dziwna zbieżność adresów IP. Wszystkie były z tej samej klasy adresów /24 i wszystkie miały ustawione takie same co do joty wersje klienta (kliknijcie w screenshot aby powiększyć). Postanowiłem poczekać i zobaczyć co wydarzy się dalej. Drugą dziwnością było to, że pobierało się powoli. Tak jakby udostępniające specjalne komputery miały skonfigurowane odpowiednie limity na przepływnościach per IP. Film miał mieć około 700 MB, za kilkanaście godzin miałem doczekać się finału więc stwierdziłem, że na pewno warto.
Następnego dnia radośnie postanowiłem sprawdzić co otrzymałem w prezencie. Plik został rozpoznany jako film:
test.avi: Microsoft ASF
714M test.avi
Wykazywał cechy prawdziwego filmu:
ID_DEMUXER=asf
ID_VIDEO_FORMAT=WMV3
ID_VIDEO_BITRATE=1372000
ID_VIDEO_WIDTH=640
ID_VIDEO_HEIGHT=480
ID_VIDEO_FPS=1000.000
ID_VIDEO_ASPECT=0.0000
ID_AUDIO_FORMAT=353
ID_AUDIO_BITRATE=128040
ID_AUDIO_RATE=44100
ID_AUDIO_NCH=2
Postanowiłem więc odtworzyć film i zobaczyć co jest w środku. Pojawiło się logo wytwórni Universal (Ziemia i kręcący się napis) oraz napis nagrany na filmie:
Codec Error: Use Windows Media Player. Aborting Video, Redirecting to Microsoft Codec Download Page
W tym momencie oczywiście zgłupiałem bo pod systemem Linuksowym nie miałem Windows Media Playera i oczywiście film nie przekierował mnie na stronę internetową. Domyśliłem się, że teoretycznie powinienem zostać przekierowany na stronę, która będzie próbowała wcisnąć mi, że pobierane kodeki to nie trojan a wymagana do obejrzenia filmu biblioteka :] Postanowiłem uruchomić film pod systemem Windows i takowo zrobiłem, a oto wynik:
Okazało się, że uruchamiając film w Windows Media Playerze zostaje uruchomiony Internet Explorer, w którego jest wpisywany adres strony WWW, na którą zostałem przekierowany! Dla tych, którzy nie wiedzą, format ASF to swoisty kontener, w którym takie właśnie sztuczki można wykonywać. Na moje nieszczęście strona była już nieaktywna więc nie dowiedziałem się co miało wydarzyć się później. Z samą metodyką uruchamiania przeglądarki bezpośrednio z filmu można się już było spotkać rok temu i poczytać o takim przypadku choćby tutaj. Ale żeby ktoś postawił wirtualne zapewne systemy i na nich masowo rozsyłał torrenty i w ten sposób infekował to już przechodzi ludzkie pojęcie ;]]] Film pobierał się 24 godziny co w zasadzie byłoby swoistym rekordem czasu na zakażenie trojanem swojego systemu :]
Poniżej garść informacji technicznych takich jak zrzut komunikacji przeglądarki internetowej, aktualne dane WHOIS dla domeny itp.
freaktorrents info: type A, class IN, addr 208.53.138.77
GET /locked/1?embedded=false HTTP/1.1
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: freaktorrents info
Connection: Keep-AliveHTTP/1.1 302 Found
Date: Tue, 08 Dec 2009 13:44:17 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.9
X-Powered-By: PHP/5.2.9
Location: http://91.121.84.215/error/1/
Content-Length: 0
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: text/htmlHTTP/1.1 301 Moved Permanently
Date: Tue, 08 Dec 2009 13:44:17 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.9
Location: http://freaktorrents info/locked/1/?embedded=false
Content-Length: 455
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1<!DOCTYPE HTML PUBLIC „-//IETF//DTD HTML 2.0//EN”>
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href=”http://freaktorrents info/locked/1/?embedded=false”>here</a>.</p>
<hr>
<address>Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.9 Server at freaktorrents info Port 80</address>
</body></html>
GET /locked/1/?embedded=false HTTP/1.1
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: freaktorrents info
Connection: Keep-Alive
Wpis WHOIS dla domeny: FREAKTORRENTS INFO
Domain ID:D28151764-LRMS
Domain Name:FREAKTORRENTS INFO
Created On:27-Mar-2009 06:13:21 UTC
Last Updated On:26-May-2009 20:36:03 UTC
Expiration Date:27-Mar-2010 06:13:21 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:8b82657dcfc
Tech ID:8b82657dcfc
Tech Name:Jake Ferrer
Tech Organization:Jake
Tech State/Province:Region 12
Tech Postal Code:8000
Tech Country:PH
Tech Phone:+63.9266779680
Tech Email:anallima2000@yahoo.com
Name Server:NS1.FDCHOST.COM
Name Server:NS2.FDCHOST.COM
WHOIS dla adresu IP 208.53.138.77
OrgName: FDCservers.net
OrgID: FDCSE
Address: 141 w jackson blvd.
Address: suite #1135
City: Chicago
StateProv: IL
PostalCode: 60098
Country: US
NetRange: 208.53.128.0 – 208.53.191.255
CIDR: 208.53.128.0/18
NetName: FDCSERVERS
NetHandle: NET-208-53-128-0-1
Parent: NET-208-0-0-0-0
NetType: Direct Allocation
NameServer: NS3.FDCSERVERS.NET
NameServer: NS4.FDCSERVERS.NET
RegDate: 2004-07-07
Updated: 2005-10-14
WHOIS dla adresu IP: 91.121.84.215
inetnum: 91.121.64.0 – 91.121.127.255
netname: OVH
descr: OVH SAS
descr: Dedicated Servers
descr: http://www.ovh.com
country: FR
16 komentarzy do
11 grudnia, 2009 o godzinie 09:29
Stronka już nieaktywna ?? Dałem się nabrać … ale po zainstalowaniu „kodeków” coś mi podpadło .. i pojechałem system skanem antywirusowym .. i znalazł. Mam nadzieję, że wszystko.
Pzdr.
11 grudnia, 2009 o godzinie 13:32
Ciekawe, ja widząc tyle komputerów tej samej podsieci pomyślałbym, że to raczej RIAA ;-)
11 grudnia, 2009 o godzinie 19:35
To był mój pierwszy pomysł, który raczej odpadł jak zobaczyłem dziwy w filmie :]
8 stycznia, 2010 o godzinie 17:10
Hehe, ściągnąłem właśnie taki film :):) Po odpaleniu w WMP odpala IE i przekierowuje na http://freaktorrents.info/unlock/8/ i naszym oczom ukasuje się taki oto tekst:
„You are trying to play a High Quality Video.
Due to server Costs, etc, we decided to protect our Movie Releases
and can only be played by our sponsor’s custom player. Dont worry
as it is still 100% Free. Just download the player to
play the video file. We hope you understand this hassle.
Click Here to Download”
Skubańce :P:P:P
29 marca, 2010 o godzinie 21:44
film Inception z ISOHUNTA axx ma to samo ciekawe..bo axx nie toleruje fałszywek
30 marca, 2010 o godzinie 00:04
Może nie zauważyli :}
5 kwietnia, 2010 o godzinie 19:45
czy jeżeli nie zainstalowałem „koderków” to mam wiruska ? pobiera się coś w tle lub coś w tym stylu ?
5 kwietnia, 2010 o godzinie 19:59
Raczej nie.
7 kwietnia, 2010 o godzinie 23:47
Strona i torrenty mają się dobrze, ciągle gdzieś wstawiane – „Kick-Ass 2010 DVDRip XviD aAF.avi” – Przekierowanie na http://freaktorrents.info/locked/14/
2 maja, 2010 o godzinie 13:14
Taaa… Bardzo dobrze się ma ta stronka. Nawet wejściówkę z Universal Studios wstawili dla zachęty… I tak miałam na ten fim iść do kina, ale chciałam najpierw zobaczyć czy warto… No i jest jeszcze pełno takich naiwniaków co się nabierają z całego świata….
16 sierpnia, 2010 o godzinie 19:11
Rewelacja, tez sie dalem nabrac na te torenty z Isohunta. Sprobuje potraktowac system antyvirem, oby pomoglo.
2 września, 2010 o godzinie 18:30
ja wolalem sie upewnic i sprawdzilem w google, no i prosze, oplacilo sie :)
11 września, 2010 o godzinie 22:34
koszmar z ulicy wiazow 2010 tez to ma
You are trying to play a High Quality Video.
Due to server Costs, etc, we decided to protect our Movie Releases
and can only be played by our sponsor’s custom player. Dont worry
as it is still 100% Free. Just download the player to
play the video file. We hope you understand this hassle.
Skurczyczyki:P
13 września, 2010 o godzinie 16:27
to samo jest z 1szym torrentem Resident Evil Afterlife na TNT
14 września, 2010 o godzinie 23:00
[…] iż temat opisywałem w grudniu zeszłego roku, okazuje się, że temat jest wciąż aktualny. Widzę po świeżych komentarzach (dzięki!) w tym […]
2 stycznia, 2011 o godzinie 21:55
A ja ściągałem z CHOMIKA (!!!) film Hereafter i też takie coś mi wyskoczyło. Nawet pobrałem proponowany przez nich vlc player ale nie z ich strony która przekierowywała na stronę z downloadem.
Niestety vlc nie pomógł i jedynie mogę stwierdzić że prawie 800 mb transferu poszło w *****