Mimo, iż temat opisywałem w grudniu zeszłego roku, okazuje się, że temat jest wciąż aktualny. Widzę po świeżych komentarzach (dzięki!) w tym temacie, że filmy takie jak koszmar z ulicy wiązów 2010 czy Resident Evil Afterlife (na TNT) zawierają tę samą metodę infekcji. Teoria, że ktoś robi interesujące badanie raczej się nie sprawdzi, chyba że faktycznie chce mieć dużą próbkę i raczej wydaje mi się, że jest to dość skuteczna metoda infekowania użytkowników. Dla leniwych lub nie dość pamiętliwych zacytuję część ostatniego wpisu:
Przytrafiła się mi właśnie taka dziwna historia jak w temacie. Miałem okazje przetestować jedno z łącz więc pierwszym odruchem było uruchomienie programu do protokołu BitTorrent, wybranie jakiegoś nośnego filmu dla nastolatków granego akurat w kinie, znalezienie .torrenta z sensowną liczbą udostępniających i próba rozpędzenia łącza. Po chwili zobaczyłem listę adresów IP, od których zacząłem pobierać dane. Pierwsza rzecz, która mnie zaciekawiła to dziwna zbieżność adresów IP. Wszystkie były z tej samej klasy adresów /24 i wszystkie miały ustawione takie same co do joty wersje klienta (kliknijcie w screenshot aby powiększyć). Postanowiłem poczekać i zobaczyć co wydarzy się dalej. Drugą dziwnością było to, że pobierało się powoli. Tak jakby udostępniające specjalne komputery miały skonfigurowane odpowiednie limity na przepływnościach per IP. Film miał mieć około 700 MB, za kilkanaście godzin miałem doczekać się finału więc stwierdziłem, że na pewno warto.
Następnego dnia radośnie postanowiłem sprawdzić co otrzymałem w prezencie. Plik został rozpoznany jako film:
test.avi: Microsoft ASF
714M test.avi
Wykazywał cechy prawdziwego filmu:
ID_DEMUXER=asf
ID_VIDEO_FORMAT=WMV3
ID_VIDEO_BITRATE=1372000
ID_VIDEO_WIDTH=640
ID_VIDEO_HEIGHT=480
ID_VIDEO_FPS=1000.000
ID_VIDEO_ASPECT=0.0000
ID_AUDIO_FORMAT=353
ID_AUDIO_BITRATE=128040
ID_AUDIO_RATE=44100
ID_AUDIO_NCH=2
Postanowiłem więc odtworzyć film i zobaczyć co jest w środku. Pojawiło się logo wytwórni Universal (Ziemia i kręcący się napis) oraz napis nagrany na filmie:
Codec Error: Use Windows Media Player. Aborting Video, Redirecting to Microsoft Codec Download Page
W tym momencie oczywiście zgłupiałem bo pod systemem Linuksowym nie miałem Windows Media Playera i oczywiście film nie przekierował mnie na stronę internetową. Domyśliłem się, że teoretycznie powinienem zostać przekierowany na stronę, która będzie próbowała wcisnąć mi, że pobierane kodeki to nie trojan a wymagana do obejrzenia filmu biblioteka :] Postanowiłem uruchomić film pod systemem Windows i takowo zrobiłem, a oto wynik:
Okazało się, że uruchamiając film w Windows Media Playerze zostaje uruchomiony Internet Explorer, w którego jest wpisywany adres strony WWW, na którą zostałem przekierowany! Dla tych, którzy nie wiedzą, format ASF to swoisty kontener, w którym takie właśnie sztuczki można wykonywać. Na moje nieszczęście strona była już nieaktywna więc nie dowiedziałem się co miało wydarzyć się później. Z samą metodyką uruchamiania przeglądarki bezpośrednio z filmu można się już było spotkać rok temu i poczytać o takim przypadku choćby tutaj. Ale żeby ktoś postawił wirtualne zapewne systemy i na nich masowo rozsyłał torrenty i w ten sposób infekował to już przechodzi ludzkie pojęcie ;]]] Film pobierał się 24 godziny co w zasadzie byłoby swoistym rekordem czasu na zakażenie trojanem swojego systemu :]
4 komentarze do
14 września, 2010 o godzinie 23:04
„i próba rozpędzenia łącza”. Jasne, chyba tak kazdy sie tlumaczy ze sprawdza szybkosc lacza i wogole. Zwyczajne piracenie.
15 września, 2010 o godzinie 00:16
Widać niektórym należy ironię podkreślać by zrozumieli. Oczywiście, że nie każdy się tak tłumaczy. Większość ma wszystko w d. i się w ogóle nie tłumaczy twierdząc, że nie kradnie. Przemyśl co w kontekście prawa polskiego oznacza „zwyczajne piracenie”?
Swoją drogą jeśli przyjrzysz się uważnie zrzutowi ekranu i zakładasz, że faktycznie byłem zainteresowany Zmierzchem i jeszcze w wersji kinowej to niestety ten przykład „zwyczajnym piraceniem” nie był.
Pomijając fakt, że skoro to nie był film objęty prawami autorskimi to w jaki sposób mogłem to piracić? ;]
5 stycznia, 2011 o godzinie 12:21
@Abc – weż wyluzuj.
„zwyczajne piracenie” to wysiadywanie godzinami i ściąganie „nośnych filmów dla nastolatków”.
Pisanie artykułów na podstawie drążenia tematu (analiza połączeń, itd) a następnie zaprezentowanie go nam. Zamiast być zadowolony źe ktoś tą robótkę odwalił, jęczysz.
19 stycznia, 2011 o godzinie 14:06
[…] nie. I tak jak w sieciach torrent pojawiają się fałszywe pliki (z wirusami i trojanami: http://bothunters.pl/2010/09/14/wciaz-zywy-temat-falszywych-torrentow-z-filmami-zawierajacymi-przeki…) tak samo pojawiają się tam spreparowane pliki wpuszczone do sieci przez policję czy […]