Vlákno názorů k článku
Přes warez na Ulož.to se šíří vir Certishell napadající počítače Čechů a Slováků od kecut - Mám jen dotaz, tady tomu jsem nikdy nerozuměl....

Mám jen dotaz, tady tomu jsem nikdy nerozuměl. Když je na uloz.to film. Jen film, nějaký *.mkv formát a stáhnu si jen ten film, jen ten MKV soubor, tak může ten vir být "nějak" v něm? Vždycky jsem měl za to, že si musím stáhnout a spustit nějaký exe soubor, abych vir zaktivoval. Jak toto funguje? Omlouvám se, pokud to sem nepatří.

29. 4. 2022, 13:42 editováno autorem komentáře

Jsou to .exe, instalatory, cracky, “heslo.exe” k raru, “.mp3.exe”.. u tech cracku a instalatoru z uloz.to a torrentu je to asi nejlip udelany - odkliknes UAC prompt a antivir vypnes.. kdyz stahujes tohle.

Jenže ".mp3.exe" není hudba, ale aplikace...

Buď se to šíří v spustitelných souborech, které se *tváří* jako filmy a hudba, pak je to obyčejné sociální inženýrství a lidská hloupost, nebo opravdu reálně využívají chybu v nějakém formátu nebo spíš kodeku videa/hudby a pak je to velmi podstatně odlišná situace, která si jednoznačně žádá dovysvětlení - jaký kodek či jaké formáty mohou být napadeny a co chyba umožňuje.

teoreticky i v tom mkv může být nějaká kulišárna, umožňuje totiž načíst obsah z venku, stejně tak může být v samotném video/audio/sub­title obsahu nějaká záměrná chyba, na kterou přehrávač reaguje netradičně a dovolí to buď spustit obsah, něčo načíst atd.

Např. ffmpeg měl vloni takovou zranitelnost CVE-2021-38171, kdy speciálně upravené video jí umělo využít.

Připadá mi, že spoléhat se na to, že nějaké malé % uživatelů použije určitý přehrávač určité verze pod určitým OS, je pro škodiče trochu málo efektivní. Leda že by cílil na něco konkrétního.

určitý přehrávač? Drtivá většina přehrávačů používá knihovny ffmpeg, případně knihovnu pro mkv, tady nejde ani o jednotky procent, ale desítky. Však ty útoky nemusí přece postihnout každého, už jen 1% úspěšnost je obrovská. Stejně tak v jednom video souboru může být použito vícezranitelností pro více přehrávačů/kni­hoven, oni se ty exploity prodávají po balíčkách...

Ten vir tam být může. Je aktivován tak, že útočník odhalí nějakou chybu v programu, kterým ten nějaký soubor .mkv zpracováváte. Ta chyba může spočívat v tom, že v závislosti na datech program udělá chybu a neukončí ukládání dat na konci vyhrazené oblasti pro data a dojde k tzv. buffer overflow. A právě tato data zapsaná za datovou oblast obsahují virus a za datovou oblastí obyčejné bývá programová část a tak tam jednou program skočí. Tuto techniku buffer overflow mohou útočníci provést u zranitelností v programech, u kterých uživatel aktivně data nezpracovává, například u komunikačních programů jako Whatsapp atd. Pak uživatel vira koupí, aniž by něco aktivně podnikal, stačí, že mu někdo pošle "správný" soubor.

Temer ano, nemusi to byt ale jen spustitelny soubor, staci klidne nejaky, co spousti nejake skripty a tak, klidne .py .jar nebo i obycejny .bat

Taky to mohou ale byt i soubory, pres ktere nejaky program spousti skripty. Muzes do videa propasovat vir a pak ho nejakym programem spustit, ale pokud mas na pocitaci duveryhodne programy a spustis video treba pomoci VLC z duveryhodneho zdroje, tak v nejhorsim pripade to video nepujde jen spustit.