Ezúttal is kicsit hasonló a helyzet, viszont a támadók a Microsoft által kifejlesztett ASF (Advanced Systems Format) állományokat használják fel támadásra. Az ASF konténer kiterjesztés audio és videó állományokat jelenthet, amelyben az objektumok mind a hang kódolásában, mind pedig a videó kodekekben különfélék lehetnek, pl. AVI, MPEG, 3GP, WMV, WMA, MP3. A formátum egyik előnye egyébként, hogy a lejátszás még a teljes letöltődés befejezése előtt elkezdődhet, ám van az ASF-ekben egy további érdekesség is, amit most felismert gyengepontként a kártevőterjesztők el is kezdtek szépen kihasználni.
A Windows Media Rights Manager eredetileg azt teszi lehetővé, hogy egy DRM (Digital Rights Management) által védett ASF lejátszása közben ellenőrizhesse, vajon van-e a felhasználónak érvényes engedélye a konkrét média felhasználására, és ha nincs neki, úgy a lejátszás helyett egy előre meghatározott - fájlba bedrótozott - tartalomszolgáltató URL-jét jeleníti meg neki.
Pontosan ennek a sémának a manipulálása vezetett odáig, hogy preparált, szándékosan kártékony linket tartalmazó médiafájlok révén tulajdonképpen tetszőleges oldalra átterelhető a felhasználó, és ha még a végén sem fog gyanút, örömmel kattint is a megfelelő plugin reményében. A mellékelt képek a VirusTotal blogról származnak, és jól mutatják, hogy egy ilyen WMV állomány hogyan visz minket például a xvidprox.com-ra, vagy akárhová, hogy a "kötelező" bővítményt letölthessük.
A vírusvédelmi alkalmazások egy része már sikeresen felismeri az ilyen típusú kártevőket, ennél például ez "WMA/TrojanDownloader.Wimad.D" trójaiként került az ESET által detektálásra. És hogy még hatékonyabb legyen maga a VirusTotal vizsgálat is, a készítők létrehoztak az ASF állományoknál új "File detail" füleket is, ahol további izgalmas részleteket lehet megnézni, többek közt éppen a korábban említett tartalom formátumához és DRM védelméhez rendelt külső URL sztringek tartalmát.
Megtévesztés + DRM védett fájlok = fertőzés
Egy klasszikus social engineering trükk bukkant fel új köntösben. Arra még mindenki emlékezhet, hogy a korábbi klasszikus Windows-os átverést, amely egy videó előtt/helyett állítólagos hiányzó kodekre figyelmeztet, még a Macintosh rendszerekre is elkészítették 2007-ben. Most pedig kifejezetten az .ASF médiafájlokra jár rá a rúd, mindjárt megmutatjuk azt is, hogyan és miképp.
Hozzászólások
A hozzászóláshoz bejelentkezés szükséges.