web-dev-qa-db-fra.com

VLC sur Linux est-il vulnérable à une attaque à partir de fichiers .wmv conçus pour installer des virus?

J'étais stupide et je n'ai pas vérifié un fichier vidéo que j'ai téléchargé à partir d'une source non fiable. C'était un fichier .wmv sans propriétés lisibles de la vidéo. Je sais que . Les vidéos wmv peuvent télécharger des virus . Ce que je ne sais pas, c'est s'ils peuvent faire cela à VLC sur Linux (je suppose que non).

Lorsque j'ai ouvert le fichier, il n'a pas été lu lorsque j'ai cliqué sur le bouton Lecture et mon système s'est figé (je dois répéter que j'étais un idiot). J'ai fait un redémarrage difficile.

J'exécute maintenant une analyse ClamAV (je ne suis pas du tout confiant dans les capacités d'un antivirus). L'Iran find -cmin -20 dans mon répertoire personnel pour consulter le journal des fichiers modifiés (rien de suspect trouvé).

VLC n'avait pas de racine donc il n'aurait pas pu écrire dans /.

Dois-je m'inquiéter et pourquoi mon ordinateur a-t-il gelé?

Edit: Ça peut être ça attaque . J'ai supprimé le rembourrage puis l'ai envoyé à Cuckoo Sandbox . VLC ne prend pas en charge .wmv DRM

21
user

Oui, VLC peut être piraté. Ici, vous pouvez vérifier CVE liste de VLC.

Mais ne paniquez pas, juste parce que votre gel VLC, cela ne signifie pas nécessairement que quelqu'un vous a piraté. Assurez-vous que votre VLC est à jour.

Pouvez-vous soumettre ce fichier à ce site Web Cuckoo Sandbox puis collez le rapport ici, juste par curiosité, voyons ce qui se passera lorsque ce fichier sera "viré" dans le bac à sable.

EDIT: Après avoir été analysé avec un bac à sable coucou.

Ok, nous avons un problème, il n'y a pas de VLC dans ce bac à sable, donc j'aimerais voir ce qui se passera dans la même boîte avec VLC, mais jusqu'à présent, il y a une URL suspecte à l'intérieur de ce fichier:

N'OUVREZ PAS LES LIENS!

h**p://aavid.xyz?id=&dlgx=200&dlgy=200&adv=0

Après celui-ci, il vous redirigera vers un nouveau:

h**p://playbackerrormediaplayercodecrequiredtoplaythisfileinstallcodec.playbackerrormediaplayercodecrequiredtoplaythisfileinstallcodec.mediaplayerfix.tech/drm.php?id=&dlgx=200&dlgy=200&adv=0

Ensuite, il vous donnera la possibilité de télécharger le codec:

h**p://alfafile.net/file/NfpC

et une autre redirection:

h**p://a5.alfafile.net/dl/8va8w/CodecFix.exe 

enter image description here

et ce même fichier est définitivement malveillant.

https://www.virustotal.com/en/file/8cabc36f1e3180de4a8e429b1a6cc7e2ad04243764033916486a22c80de2244f/analysis/

Pour la fermeture; Je n'ai pas analysé ce fichier par moi-même, mais ce que j'ai fait n'est qu'un bref aperçu des chaînes, donc je ne peux pas être sûr de la façon dont ce fichier agit sur le système réel, ni s'il utilise la vulnérabilité de VLC.

13
Mirsad

Les fichiers vidéo en eux-mêmes ne peuvent pas contenir un "virus" au sens classique mais ils peuvent être utilisés pour exploiter des bogues dans les lecteurs multimédias (ou parfois même l'OS) lors de la manipulation des formats de fichiers et des codecs. En utilisant ces exploits, ils peuvent ensuite exécuter du code.

Comme la plupart des lecteurs vidéo, vlc a/a également eu beaucoup de bugs qui pourraient être exploités, y compris dans la gestion des fichiers WMV . Mais il est peu probable que l'antivirus trouve de tels exploits car ils ne connaissent généralement pas grand-chose aux codecs et ne scannent même pas les fichiers vidéo. Étant donné que de tels exploits sont généralement spécifiques au système d'exploitation et ne se soucient que de Windows en raison de la part de marché, vous êtes probablement en sécurité avec Linux, sauf si vous êtes spécifiquement ciblé.

20
Steffen Ullrich

L'attaque répertoriée dans la question référencée ne fonctionnerait certainement pas avec VLC ou Linux. VLC ne prend pas en charge l'obscur DRM Windows Media Player qu'il utilise (du moins pas à ma connaissance), et même si c'était le cas, le but de l'attaque est de vous inciter à télécharger et à exécuter certains fichiers exécutables Windows.

Cela étant dit, un autre type d'attaque est théoriquement possible, si une vulnérabilité de sécurité était trouvée dans VLC lui-même qu'un WMV conçu de manière malveillante pourrait exploiter. Il est plus probable que d'après votre description, le WMV malveillant utilise l'ancienne attaque.

Dans le cas de ces WMV malveillants courants ciblant Windows Media Player, si vous inspectez le WMV dans un éditeur hexadécimal, vous ne trouveriez que très peu de données réelles composées principalement d'une URL, suivies de rien, mais d'un remplissage vide pour lui donner la taille de fichier attendue.

5