Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Mp3 con sorpresa.

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Mp3 con sorpresa.

Messaggioda sampei.nihira » sab gen 01, 2011 2:49 pm

Mia figlia come tutti i ragazzini/e scarica qualche file mp3 con sw p2p.
Questa mattina mi ha interessato molto una serie di brani mp3 scaricati che "non si sentivano".
L'artista in questione è Shakira ed il titolo del brano è "Loca".

Mia figlia con il suo pc linux apre con rhythmbox il brano che non si sente che genera per giunta un avviso di codec mancante !!!
Altri brani hanno comportamento simile.

Analizzo al VT un file dei tanti reperibili ed ecco la sorpresa:

https://www.virustotal.com/file-scan/re ... 293887768#

E' interessante constatare che in un pc Windows il file se lanciato apre per un breve momento il lettore multimediale predefinito che avvisa l'utente a video del codec mancante ma poi anche la finestra di download sotto con il "rimedio":

Immagine

Inserisco su File Dropper sotto il file MP3 originale,quindi NON zippato con pass,di cui sopra (QUINDI ATTENZIONE) che ha un peso di 6.54 MB:

http://www.filedropper.com/shakira-loca_1

Se c'è qualche utente che vuole analizzarlo un po' meglio.

Le conclusioni sono le stesse per ogni files scaricato in rete.
ATTENZIONE sempre.
Anche se solitamente i brani MP3 non destano quasi mai i nostri sospetti latenti da oggi meglio aprire gli occhi !!! [;)]
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Mp3 con sorpresa.

Messaggioda Ale2695 » sab gen 01, 2011 2:58 pm

E' successo pure a me, su Windows, scaricato lo stesso brano, mi apriva una finestra di download...
Naturalmente non ci sono cascato, però sono piuttosto subdoli...
http://www.chimerarevo.com/
Avatar utente
Ale2695
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5927
Iscritto il: dom gen 18, 2009 10:39 am
Località: Novara

Re: Mp3 con sorpresa.

Messaggioda Berga95 » sab gen 01, 2011 3:06 pm

Sarebbe interessante studiare come è possibile costruire un file così ad hoc [:)] Penso sia un link inserito nei primi byte del file... [boh]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso


Re: Mp3 con sorpresa.

Messaggioda crazy.cat » sab gen 01, 2011 3:16 pm

Questo è mp3_codec_update.exe che si tira giù dal sito
http://www.virustotal.com/file-scan/rep ... 1293891501
a breve vediamo cosa combina e poi lo mettiamo in magazzino.

questo è il sito http://real.x3codec.info/
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Mp3 con sorpresa.

Messaggioda crazy.cat » sab gen 01, 2011 3:35 pm

Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Mp3 con sorpresa.

Messaggioda frash » sab gen 01, 2011 4:01 pm

fino a 2-3 mesi fa non avevo mai trovato mp3 infetti con emule, ma in questi ultimi tempi la situazione è cambiata e ormai un file su due è un virus
il file spesso è un video con sfondo nero e scritta rossa che ti dice che manca un codec e ti rimanda al sito infetto dove scaricarlo
Avatar utente
frash
Aficionado
Aficionado
 
Messaggi: 72
Iscritto il: lun set 20, 2010 5:07 pm

Re: Mp3 con sorpresa.

Messaggioda hashcat » dom gen 02, 2011 4:06 pm

Berga95 ha scritto:Sarebbe interessante studiare come è possibile costruire un file così ad hoc [:)] Penso sia un link inserito nei primi byte del file... [boh]

Suppongo solo:
Leggendo il log di virustotal.com di sampei.nihira ho notato nella sezione informazioni aggiuntive qualcosa d'interessante:
Magic incluso in virustotal identifica il file come ASF, leggendo da wikipedia scopro che ASF è un contenitore generico sia per file WMA sia per WMV, TRi infatti lo identifica così: TrID:
Windows Media Video (100.0%)

Leggendo la sezione ExifTool Alla riga MYMEType leggiamo: MIMEType: audio/mpeg
Mentre se fosse un file asf dovremmo leggere questo: video/x-ms-asf, application/vnd.ms-asf
Cito un passaggio da Wikipedia:
wikipedia ha scritto:Il formato ASF è basato su sequenze di byte identificati attraverso un identificatore globale (GUID).
Potrebbe essere che il file in questione è un file asf che possiede però l'estensione modificata in mp3, la pagina riguardante ASF su wikipedia riporta che un file ASF può contenere audio mp3 è possibile quindi, che quando il file venga riprodotto tramite il player multimediale leggendo l'intestazione del file ne riconosca malgrado l'estensione un file ASF contenente un file wmv e una traccia wma modificata utilizzando la tecnica sotto (Trojan wimad), in entrambi i casi si spiegherebbe la presenza di una traccia mp3 usata solo come pretesto e fasulla.

Oppure questo (definizione trojan wimad):
Trojan.Wimad is a Trojan that downloads remote files from remote Web sites by exploiting the Digital Rights Management (DRM) technology available in Windows. The Trojan arrives on the compromised computer as a license-protected multimedia file.

N.B.: Sampei, il file presente su filedropper non me lo fa scaricare, gentilmente potresti caricarlo da qualche altra parte così posso vederlo con più attenzione, grazie [grazie]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Mp3 con sorpresa.

Messaggioda Berga95 » dom gen 02, 2011 4:22 pm

[^] Ottimo ragionamento!

hashcat ha scritto:Trojan.Wimad is a Trojan that downloads remote files from remote Web sites by exploiting the Digital Rights Management (DRM) technology available in Windows. The Trojan arrives on the compromised computer as a license-protected multimedia file.

Anche su una distro Linux viene chiesto il download... (da quanto ho capito)

Possiamo provare ad analizzare il file con un editor esadecimale... adesso non posso perché sto per andare via... [ciao]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Mp3 con sorpresa.

Messaggioda sampei.nihira » dom gen 02, 2011 5:18 pm

Io invece purtroppo sono a casa causa un brutto raffreddore..... [cry]
Comunque è vero che qualche volta filedropper è off.
Prova sotto:

http://www.mediafire.com/?4evb3sh1zk87230


Sotto Linux per la verità ho usato 2 lettori multimediali con l'effetto solo dell'avvertenza codec mancante già descritta.
Anche sotto Windows il lettore multimendiale che ho usato cioè WMP evidenzia un messaggio di non corrispondenza MP3, file che si stà aprendo.
Che è altresì significativa. [^]

Quindi rispondendo no alla richiesta tutto finisce lì.
Solo rispondendo sì, si evidenzia il pop-up di download che ho inserito nell'immagine del topic di apertura.
釣りキチ三平
Avatar utente
sampei.nihira
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3527
Iscritto il: dom ott 03, 2010 8:18 am

Re: Mp3 con sorpresa.

Messaggioda ssjx » dom gen 02, 2011 8:18 pm

E' da qualche tempo che queste bestiacce hanno infettato di brutto il mulo... Avast li riconosce all'istante con la prote<ione in realtime, Avira, MBAM e Outpost free invece non trovano nulla nemmeno facendo la scansione manuale [:p]


PS
da quando ho formttato il PC ho sostituito la vecchia coppia Avast free + Outpost firewall free con la nuova suite Outpost free ... qualcun altro l'ha già provata?

Il firewall lo conoscevo già bene e per me è perfetto (leggerissimo e fa esattamente quello che deve), la protezione antivirus invece mi sembra scarsuccia [uhm] .... mi piacerebbe vedere un test con i vostri campioni per vedere quanto è scarsa [^]
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Mp3 con sorpresa.

Messaggioda crazy.cat » dom gen 02, 2011 8:23 pm

ssjx ha scritto:la protezione antivirus invece mi sembra scarsuccia [uhm] ....

Che motore di scansione l'antivirus utilizza?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Mp3 con sorpresa.

Messaggioda CRYPAX » dom gen 02, 2011 8:44 pm

crazy.cat ha scritto:
ssjx ha scritto:la protezione antivirus invece mi sembra scarsuccia [uhm] ....

Che motore di scansione l'antivirus utilizza?


se non sbaglio le firme antivirus sono quelle del software house VirusBuster il motore di scansione però è stato rielaborato dal team di Agnitum.
Ogni uomo vive governato dalle proprie opinioni cui dà il nome fallace di realtà.
Avatar utente
CRYPAX
Bronze Member
Bronze Member
 
Messaggi: 994
Iscritto il: sab lug 24, 2010 5:01 pm
Località: K-PAX

Re: Mp3 con sorpresa.

Messaggioda hashcat » dom gen 02, 2011 10:31 pm

Buona sera, nuove news relative al file "mp3" in questione, dopo qualche ricerca ecco quello che ho trovato:

Descrizioni del malware Wimad:
Analisi malware da parte di Bitdefender
Analisi malware da parte di Sophos
Analisi malware da parte di F-Secure
Analisi malware da parte di Avira
Analisi della tecnica di Exploit tramite file asf di Avira
Analisi malware da parte di Microsoft (variante a caso)
Analisi malware da parte di Spyware Doctor
Analisi del malware da parte di Symantec (decisamente vecchia, ma piuttosto dettagliata)

Ecco le mie personali deduzioni:

Prima di tutto ringrazio sampei.nihira per la disponibilità, grazie al file da lui caricato su mediafire ho potuto analizzare il file in questione:

Per prima cosa ho provato a far riprodurre il file da windows media player su windwos 7 usando i settaggi di Default:
Provando a riprodurre il file wmp mi segnala che l'estensione del file che sto provando a riprodurre non corrisponde con il formato del file:
Immagine
Se clicco su Si, il file viene riprodotto, se clicco su no il file non viene riprodotto (già questo avviso dovrebbe far insospettire un utente privo di sospetti).
Riproduco il file e succede quanto spiegato da sampei su windows.

Analizzo il file per valutare la mia tesi:

Prima di tutto scarico il gratuito e ottimo Gspot per vedere i codec e il formato utilizzato nel file:
Immagine
Così scopro che i mie sospetti erano fondati, se notate bene, infatti, nella sezione "Container" come tipo di file Gspot riconosce un file asf (video/x-ms-asf) che come ricordiamo e ce lo ricorda anche Gspot può incorporare vari formati, tra cui file Windows media audio (WMA) e file Windows media video (WMV) .
Infatti sempre Gspot nella sezione "User Data / Metadata" ci mostra che la traccia audio è codicficats con WMA v2 e la traccia video usando WMV v9.
Già arrivati a questo punto una parte del mistero è risolta, per approfondire l'analisi e per cercare altre informazioni sul file uso Mediainfo. Ecco i dati raccolti grazie a questo:
Immagine
Possiamo notare che anche da Mediainfo il file è riconosciuto come file Windows media, quindi conferma la rilevazione di Gspot. Inoltre come dettagli in più sappiamo che la traccia video (credo) è stata creata tramite windows movie maker (effettivamente lo stile di scrittura e l'effetto zoom ricordano molto quelli predefiniti presenti in windows movie maker.

Supposizione finale:

Se leggete Analisi della tecnica di Exploit tramite file asf di Avira Potete avere un idea di come avviene il procedimento del download del file tramite il file incriminato.
avira ha scritto:EXP/ASF.GetCodec.Gen è un rilevamento di file multimediali che contengono un comando speciale per scaricare nuovi codec. Di solito, i codec sono necessari per riprodurre formati video o audio. Questo meccanismo ha subito un attacco dal malware, che semplicemente scarica trojan anziché un nuovo vero codec. I file ASF, WMA e WMV ne sono interessati. Un trojan recente converte i file MP3 in formato di file ASF e aggiunge un comando per scaricare codice dannoso. Anche la famiglia di trojan Wimad utilizza questo metodo.

Quanto detto da avira viene riconfermato da Symantec:
symantec ha scritto:The Trojan arrives on the compromised computer as a license-protected multimedia file.

The Trojan exploits the Windows Media Digital Rights Management technology in Microsoft Windows Media Player.

When executed, the Trojan sends a POST request to the following URL:
[http://xxxxxx.xxxxx.xxx

The server replies by sending an .htm file, which opens a browser window and loads an .htm file from the following domain:
xxxxx.xxxxxx.xxx

The .htm file from xxxxx.xxxxxx.xxx loads another .htm file from the following domain:
xxxxx.xxxxxx.xxx

The Trojan then displays one of the following messages:
Message:
xxxxxxxx

If the user clicks Yes or Play, the Trojan will download and execute the following files.


Nel test effettuato da me su windows media player riproducendo il falso file mp3 non mi avverte nemmeno della mancanza di un codec ma parte automaticamente la finestra che mi chiede dove salvare il file:
Immagine

La mia analisi è terminata, purtroppo non ho avuto tempo a sufficienza per analizzare il file con un editor esadecimale.
[weponed] [weponed]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Mp3 con sorpresa.

Messaggioda Ale2695 » lun gen 03, 2011 11:51 am

E' davvero un analisi eccezionale del malware! [applauso+]
perché non ci fai un articolo, hashcat?
http://www.chimerarevo.com/
Avatar utente
Ale2695
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5927
Iscritto il: dom gen 18, 2009 10:39 am
Località: Novara

Re: Mp3 con sorpresa.

Messaggioda Berga95 » lun gen 03, 2011 2:03 pm

Eccomi qua!

Effettivamente, si può benissimo "modificare" quel file per far indirizzare l'utente in qualsivoglia sito...
Ho utilizzato HxD portable... ecco gli screenshot più rilevanti:

Immagine
Immagine
Aprendo l'mp3 in questione, si confermano le supposizioni di hashcat:
  • il file è stato creato con Windows Movie Maker (offset 57 - 7A);
  • i formati WMAudio e WMVideo sono presenti (offset 8A5-8CA e 92F-953);
  • dopo qualche ricerca, ho scoperto che gli offset 0-7 (30 26 B2 75 8E 66 CF 11) identificano, appunto, i files ASF -> http://www.garykessler.net/library/file_sigs.html
Immagine
Negli offset AB0-B3A viene salvato il sito da dove scaricare il codec (real[dot]x3[dot]code[dot]info)...
Virus writer più "spietati" avrebbero potuto camuffare il codec da rootikit, bootkit, o qualsiasi altra bestiaccia in rete, invece che da qualche semplice toolbar [;)]
Conclusioni personali:
La minaccia che comincino a circolare mp3 "infetti" (perché, in sé è infetto mp3_codec_update.exe) è sempre più concreta: cercare di informare l'utenza internauta di questo fatto dovrebbe diventare una priorità!
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Re: Mp3 con sorpresa.

Messaggioda hashcat » lun gen 03, 2011 2:28 pm

Berga95 ha scritto:Eccomi qua!

Effettivamente, si può benissimo "modificare" quel file per far indirizzare l'utente in qualsivoglia sito...
Ho utilizzato HxD portable... ecco gli screenshot più rilevanti:

Aprendo l'mp3 in questione, si confermano le supposizioni di hashcat:
  • il file è stato creato con Windows Movie Maker (offset 57 - 7A);
  • i formati WMAudio e WMVideo sono presenti (offset 8A5-8CA e 92F-953);
  • dopo qualche ricerca, ho scoperto che gli offset 0-7 (30 26 B2 75 8E 66 CF 11) identificano, appunto, i files ASF -> http://www.garykessler.net/library/file_sigs.html
Negli offset AB0-B3A viene salvato il sito da dove scaricare il codec (real[dot]x3[dot]code[dot]info)...
Virus writer più "spietati" avrebbero potuto camuffare il codec da rootikit, bootkit, o qualsiasi altra bestiaccia in rete, invece che da qualche semplice toolbar [;)]
Conclusioni personali:
La minaccia che comincino a circolare mp3 "infetti" (perché, in sé è infetto mp3_codec_update.exe) è sempre più concreta: cercare di informare l'utenza internauta di questo fatto dovrebbe diventare una priorità!


Perfetto, ora che possediamo anche gli Screenshot dell'analisi esadecimale, abbiamo chiarito tutti i dubbi (credo). Anch'io nel frattempo stavo provando ad analizzare il file con Ultraedit ed ero giunto a conclusioni simili, ma Berga ha spiegato il tutto con una chiarezza ineccepibile, quindi lo ringrazio per il suo contributo.

Per quanto riguarda l'articolo ci penso, comunque vi farò sapere presto.
[grazie]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Mp3 con sorpresa.

Messaggioda ssjx » lun gen 03, 2011 2:48 pm

CRY >< PAX ha scritto:se non sbaglio le firme antivirus sono quelle del software house VirusBuster il motore di scansione però è stato rielaborato dal team di Agnitum.

Uhmm... quindi come starebbe messo? [uhm]
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Mp3 con sorpresa.

Messaggioda CRYPAX » lun gen 03, 2011 3:46 pm

ssjx ha scritto:
CRY >< PAX ha scritto:se non sbaglio le firme antivirus sono quelle del software house VirusBuster il motore di scansione però è stato rielaborato dal team di Agnitum.

Uhmm... quindi come starebbe messo? [uhm]


non tra i migliori , anche perché VirusBuster è sconosciuto(parlo in generale [fischio] ) , la software house è ungherese
certo poi non saprei che tipo di miglioramenti ci sono stati da parte del team di Agnitum
potrei anche sbagliare e che invece risulti tra i migliori.. ma ne dubito fortemente [sh]
il punto di forza rimane il firewall [^]
Ogni uomo vive governato dalle proprie opinioni cui dà il nome fallace di realtà.
Avatar utente
CRYPAX
Bronze Member
Bronze Member
 
Messaggi: 994
Iscritto il: sab lug 24, 2010 5:01 pm
Località: K-PAX

Re: Mp3 con sorpresa.

Messaggioda ssjx » lun gen 03, 2011 4:11 pm

Immaginavo... mi rimane il dilemma se affiancargli Avast o tenermi un sistema praticamente al 100% delle prestazioni.... mi sa che resto così va [std]
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Mp3 con sorpresa.

Messaggioda Berga95 » lun gen 03, 2011 6:31 pm

hashcat ha scritto:
Per quanto riguarda l'articolo ci penso, comunque vi farò sapere presto.
[grazie]

Se vuoi, puoi mettermi come co-editore (si dice così? [bleh] )
[ciao]
Non è morto ciò che in eterno può attendere - e col passare di strani eoni - anche la morte può morire.
~ H.P. Lovecraft
Avatar utente
Berga95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3342
Iscritto il: sab set 12, 2009 12:56 pm
Località: C:\Python27 | C:\Dev-Cpp | Treviso

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising