it-swarm.com.de

Ist VLC unter Linux anfällig für Angriffe von WMV-Dateien, mit denen Viren installiert werden sollen?

Ich war dumm und habe keine Videodatei überprüft, die ich von einer nicht vertrauenswürdigen Quelle heruntergeladen habe. Es war eine WMV-Datei ohne lesbare Eigenschaften des Videos. Ich weiß, dass . WMV-Videos können Viren herunterladen . Was ich nicht weiß ist, ob sie dies mit VLC unter Linux machen können (meine Vermutung ist es nicht).

Als ich die Datei öffnete, wurde sie nicht abgespielt, als ich auf die Wiedergabetaste klickte und mein System einfrierte (ich muss wiederholen, dass ich ein Idiot war). Ich habe einen harten Neustart durchgeführt.

Ich führe jetzt einen ClamAV-Scan durch (ich bin überhaupt nicht sicher, welche Fähigkeiten ein Antivirus besitzt). Ich rannte find -cmin -20 in meinem Home-Verzeichnis, um das Protokoll der geänderten Dateien zu durchsuchen (nichts Verdächtiges gefunden).

VLC hatte kein root und konnte daher nicht in /.

Sollte ich mir Sorgen machen und warum ist mein Computer eingefroren?

Edit: Es war mein Angriff . Ich entfernte die Polsterung und schickte sie an Cuckoo Sandbox . VLC unterstützt .wmv DRM nicht

21
user

Ja, VLC kann gehackt werden. Hier können Sie CVE Liste der VLC überprüfen.

Aber keine Panik, nur weil dein VLC einfriert, heißt das nicht unbedingt, dass dich jemand gehackt hat. Stellen Sie sicher, dass Ihr VLC auf dem neuesten Stand ist.

Können Sie diese Datei an diese Website senden Cuckoo Sandbox und dann den Bericht hier einfügen? Lassen Sie uns aus Neugier sehen, was passiert, wenn diese Datei in der Sandbox "abgefeuert" wird.

EDIT: Nach der Analyse mit Kuckucksandbox.

Ok, wir haben ein Problem, es gibt keinen VLC in dieser Sandbox, also würde ich gerne sehen, was in derselben Box mit VLC passieren wird, aber bisher gibt es eine verdächtige URL in dieser Datei:

LINKS NICHT ÖFFNEN!

h**p://aavid.xyz?id=&dlgx=200&dlgy=200&adv=0

Nach diesem wird es Sie auf einen neuen umleiten:

h**p://playbackerrormediaplayercodecrequiredtoplaythisfileinstallcodec.playbackerrormediaplayercodecrequiredtoplaythisfileinstallcodec.mediaplayerfix.tech/drm.php?id=&dlgx=200&dlgy=200&adv=0

Dann haben Sie die Möglichkeit, den Codec herunterzuladen:

h**p://alfafile.net/file/NfpC

und eine weitere Umleitung:

h**p://a5.alfafile.net/dl/8va8w/CodecFix.exe 

(enter image description here

und die gleiche Datei ist definitiv bösartig.

https://www.virustotal.com/de/file/8cabc36f1e3180de4a8e429b1a6cc7e2ad04243764033916486a22c80de2244f/analysis/

Für die Schließung; Ich habe diese Datei nicht alleine analysiert, aber ich habe nur einen kurzen Blick in die Zeichenfolgen geworfen, sodass ich nicht sicher sein kann, wie sich diese Datei auf dem realen System verhält, und auch nicht, wenn sie eine Sicherheitslücke von VLC verwendet.

13
Mirsad

Videodateien selbst können keinen "Virus" im klassischen Sinne enthalten, aber sie können verwendet werden, um Fehler in den Mediaplayern (oder manchmal sogar im Betriebssystem) beim Umgang mit Dateiformaten und Codecs auszunutzen. Mit diesen Exploits können sie dann Code ausführen.

Wie die meisten Videoplayer hat/hatte vlc auch viele Fehler, die ausgenutzt werden konnten, auch beim Umgang mit WMV-Dateien . Es ist jedoch unwahrscheinlich, dass Antivirenprogramme solche Exploits finden, da sie normalerweise nicht viel über Codecs wissen und nicht einmal Videodateien scannen. Da solche Exploits normalerweise betriebssystemspezifisch sind und sich aufgrund des Marktanteils am meisten um Windows kümmern, sind Sie mit Linux wahrscheinlich trotzdem sicher, es sei denn, Sie wurden gezielt angesprochen.

20
Steffen Ullrich

Der in der genannten Frage aufgeführte Angriff würde mit VLC oder Linux sicherlich nicht funktionieren. VLC unterstützt nicht das obskure Windows Media Player-DRM, das es verwendet (zumindest meines Wissens nicht), und selbst wenn dies der Fall ist, besteht der Zweck des Angriffs darin, Sie zum Herunterladen und Ausführen einiger ausführbarer Windows-Dateien zu verleiten.

Eine andere Art von Angriff ist theoretisch möglich, wenn in VLC selbst eine Sicherheitslücke gefunden wird, die ein böswillig hergestelltes WMV ausnutzen könnte. Aus Ihrer Beschreibung geht jedoch eher hervor, dass das böswillige WMV den früheren Angriff verwendet.

Wenn Sie bei diesen häufig vorkommenden böswilligen WMVs, die auf Windows Media Player abzielen, die WMV in einem Hex-Editor untersuchen, werden Sie nur sehr wenige tatsächliche Daten finden, die hauptsächlich aus einer URL bestehen, gefolgt von nichts als leerem Auffüllen, um die erwartete Dateigröße zu erreichen.

5