Přes warez na Ulož.to se šíří vir Certishell napadající počítače Čechů a Slováků

Koukám, strýcové z Avastu už neumí česky? Škoda, ty jejich informace mohly být o něco užitečnější.
Mohl by prosím někdo vysvětlit, jak se podle odborníků z Avastu šíří viry s kopiemi hudby a filmů?

Mám jen dotaz, tady tomu jsem nikdy nerozuměl. Když je na uloz.to film. Jen film, nějaký *.mkv formát a stáhnu si jen ten film, jen ten MKV soubor, tak může ten vir být "nějak" v něm? Vždycky jsem měl za to, že si musím stáhnout a spustit nějaký exe soubor, abych vir zaktivoval. Jak toto funguje? Omlouvám se, pokud to sem nepatří.

29. 4. 2022, 13:42 editováno autorem komentáře

Jenže ".mp3.exe" není hudba, ale aplikace...

Buď se to šíří v spustitelných souborech, které se *tváří* jako filmy a hudba, pak je to obyčejné sociální inženýrství a lidská hloupost, nebo opravdu reálně využívají chybu v nějakém formátu nebo spíš kodeku videa/hudby a pak je to velmi podstatně odlišná situace, která si jednoznačně žádá dovysvětlení - jaký kodek či jaké formáty mohou být napadeny a co chyba umožňuje.

Tak BFU uživatele to třeba odradí :-)))
Třeba to BFU ani neřeší a v dychtivosti vidět film by klidně odklikli i hlášku: "Do you want to install Certishell?" :-)

Tak BFU uživatele to třeba odradí :-)))

trochu výš jsem to popisoval, mrkni třeba na zranitelnosti ffmpeg CVE-2021-38171, mkv CVE-2015-8789. Oblíbený přehrávač VLC měl třeba CVE-2020-13428, který umožňoval na MacOS spustit kód při přehrávání videa.

Těch zranitelností a chyb napříč video dekodéry je velké množství. Stačí ti tohle vysvětlení, ikdyž nejsem z Avastu?

No nevím. Myslím, že pokud to napadá tak, že si člověk na warezovém serveru dobrovolně stáhne soubor "heslo.exe", tak by to stejně dobře mohlo napadnout podobně bezduchého linuxáka, který by stahoval "heslo.sh" s návodem "sudo chmod a+x heslo.sh; sudo ./heslo.sh" nebo jobsíkáře, který bezhlavě odkliká instalaci "heslo.dmg".

Tohle není o kvalitě operačního systému, ale hlouposti uživatele.

teoreticky i v tom mkv může být nějaká kulišárna, umožňuje totiž načíst obsah z venku, stejně tak může být v samotném video/audio/sub­title obsahu nějaká záměrná chyba, na kterou přehrávač reaguje netradičně a dovolí to buď spustit obsah, něčo načíst atd.

Např. ffmpeg měl vloni takovou zranitelnost CVE-2021-38171, kdy speciálně upravené video jí umělo využít.

Připadá mi, že spoléhat se na to, že nějaké malé % uživatelů použije určitý přehrávač určité verze pod určitým OS, je pro škodiče trochu málo efektivní. Leda že by cílil na něco konkrétního.

Ten vir tam být může. Je aktivován tak, že útočník odhalí nějakou chybu v programu, kterým ten nějaký soubor .mkv zpracováváte. Ta chyba může spočívat v tom, že v závislosti na datech program udělá chybu a neukončí ukládání dat na konci vyhrazené oblasti pro data a dojde k tzv. buffer overflow. A právě tato data zapsaná za datovou oblast obsahují virus a za datovou oblastí obyčejné bývá programová část a tak tam jednou program skočí. Tuto techniku buffer overflow mohou útočníci provést u zranitelností v programech, u kterých uživatel aktivně data nezpracovává, například u komunikačních programů jako Whatsapp atd. Pak uživatel vira koupí, aniž by něco aktivně podnikal, stačí, že mu někdo pošle "správný" soubor.

souhlas, linux je v tomhle parodie a uživatelé by měli používat bezpečnější systém.

Jsou to .exe, instalatory, cracky, “heslo.exe” k raru, “.mp3.exe”.. u tech cracku a instalatoru z uloz.to a torrentu je to asi nejlip udelany - odkliknes UAC prompt a antivir vypnes.. kdyz stahujes tohle.

Stačí udržovat přehrávač v poslední verzi (ideálně automatický update check při každém spuštění). Pravděpodobnost, že narazíš na nějaký "zlý" filmový soubor před tím, než tvůrci svůj přehrávač zazáplatují, je pak prakticky rovna výhře ve Sportce.

určitý přehrávač? Drtivá většina přehrávačů používá knihovny ffmpeg, případně knihovnu pro mkv, tady nejde ani o jednotky procent, ale desítky. Však ty útoky nemusí přece postihnout každého, už jen 1% úspěšnost je obrovská. Stejně tak v jednom video souboru může být použito vícezranitelností pro více přehrávačů/kni­hoven, oni se ty exploity prodávají po balíčkách...

Ale jo, stačí, dík. Zranitelnosti kodeků se tedy stále dají použít.
Škoda že ten člověk neřekl konkrétněji co našli, loutat to z té angličtiny se mi nechce, na zběžný pohled tam byly detaily jiného druhu. Reálně použitelných zranitelností v hudbě nebo videu asi nebude až zas tak moc, takže ochrana by neměla být složitá.
U cracků apod. je to celkem jasný, tohle je ale pro mě horší. Mělo by tedy stačit, když přehrávači zakážu používat internet?

Ne, argument proti automatické aktualizaci je jiný: nejistá kvalita a potenciální zabugovanost aktualizací, díky které přinejmenším stojí za úvahu, zda neaktualizovat vždy teprve po čase, kdy se ukáže, zda se novější verze (čehokoliv) povedla či ne. Nikdy jsem neměl automatické aktualizace povolené, nezdá se mi to jako správná cesta, i když váš argument také nerozporuji - teoretické zvýšení bezpečnosti tím dosáhnete, ovšem má to svou cenu.

Může být třeba spleten s tzv. samoextrahujícím se archivem (přípona .exe, po kliknutí se rozbalí) s názvem "Avengers Endgame 2019 CZ EN Dabing CZ EN SK Titulky RAR.exe", který se dušuje, že v něm jsou zabaleny patřičné soubory s titulkama. Zaheslujte ho a ani antivirák nepozná obsah. Zbytek není nutné popisovat. Vždycky se někdo chytí.

Uhehhhe : bulharsky virus: zip soubor s vnorenym film.mkv.zip2 a desifruj.exe
Nepripomina vam to hipsteske navody cool projektiku "curl hipstercloud.i­o/install.sh | sudo bash"

Stejny vsadim boty ze vtom skriptu bude Heslo="abcd";base64 -d film.zip2 > film .mkv & rm-rf ;

Jde o to, co uživateli vyhovuje pro účel, ke kterému to má sloužit, ne o to, co si myslí marketér výrobce, že je to prostě tohle a nic jinýho, jako třeba sekta nakousnutýho jablka... :-)

Mělo by stačit to po stažení prohnat nějakým (spolehlivým) re-kodérem.
Proti přibalení škodlivin do .mkv by asi atačilo to "přebalit" (a nechat jen potřebné streamy), pro chyby v přehrávání v audio/video streamu pak překódovat (což se odrazí na kvalitě obrazu, ale pokud je zdrojem něco z uloz.to, tak to buď nebude tak hrozné, nebo je naopak mizerný už ten zdroj a tak se to moc neprojeví).

Asi by bylo vhodne zminit ze napadaji pocitace pouze slabsich jedincu, kteri pouzivaji parodie na operacni system. Ten kdo pouziva operacni system je v bezpečí.

to asi ano, ale lepší je, když ten neřád v tom videu nebude, než spoléhat na to, že se nepotká se zranitelným přehrávačem.

Jenže který?

Temer ano, nemusi to byt ale jen spustitelny soubor, staci klidne nejaky, co spousti nejake skripty a tak, klidne .py .jar nebo i obycejny .bat

Taky to mohou ale byt i soubory, pres ktere nejaky program spousti skripty. Muzes do videa propasovat vir a pak ho nejakym programem spustit, ale pokud mas na pocitaci duveryhodne programy a spustis video treba pomoci VLC z duveryhodneho zdroje, tak v nejhorsim pripade to video nepujde jen spustit.

Ale jelikoz je to psane na parodie systemu, tak operacni systemy jsou v bezpeci i s bezmozkem.

Samozřejmě, to nijak nerozporuji. Nicméně to není argument proti udržování prohlížeče v poslední verzi.

argument proti automatické aktualizaci je jiný: nejistá kvalita a potenciální zabugovanost aktualizací

Tuhle jsem si aktualizoval VLC v mobilu a zase se mu změnilo uživatelské rozhraní :-( Jinak jsem s ním spokojen, ale bohužel nemám čas sledovat kolik chyb opravili a kolik nových přidali. Nezbývá než důvěřovat... :-)

Ty hlavní jako Mac OS, Windows na tom nejsou zase tak špatně, aktualizovat, instalovat minimum aplikací s vysokými právy, zálohovat. Spousta problémů (bezpečnostních) vzniká v instalovaných aplikacích, chce to pečlivě vybírat. Je také dobré se vyhnout počítačům, kde výrobce cpou neskutečně bordelu či si systém nainstalovat na čisto.

Linux nemá UAC, neumí oddělit aplikace pod jedním uživatelem. Když chci bezpečný linux, musím mít spuštěnou každou aplikaci pod jiným uživatelem a nepoužívat X server na kompozici oken.

Na bezpečnost OS Windows mám pouze laický názor. Každopádně by bylo dobré, aby se na tom systému ještě také dalo efektivně pracovat. Aby uživatel nemusel každou chvíli hledat kam se poděla ta která funkce a nemusel řešit, co se mu zase v nové aktualizaci pos...o a jak se toho zbavit.