我很愚蠢,没有检查从不可靠来源下载的视频文件。它是 .wmv 文件,没有视频的可读属性。我知道.wmv 视频可以下载病毒。我不知道他们是否可以在 Linux 上对 VLC 执行此操作(我猜不是)。
当我打开文件时,当我单击播放按钮时它没有播放,我的系统死机了(我必须重申我是个白痴)。我进行了硬重启。
我现在正在运行 ClamAV 扫描(我对防病毒软件的能力完全没有信心)。我find -cmin -20在我的主目录中运行以查看修改文件的日志(未发现任何可疑内容)。
VLC 没有 root 权限,因此无法写入/.
我应该担心吗,为什么我的电脑死机了?
编辑:这是我的攻击。我删除了填充,然后将其发送到Cuckoo Sandbox。 VLC 不支持 .wmv DRM
视频文件本身不能包含传统意义上的“病毒”,但它们可用于在处理文件格式和编解码器时利用媒体播放器(有时甚至是操作系统)中的错误。通过使用这些漏洞,他们可以执行代码。
像大多数视频播放器一样,vlc 也有/有很多可以被利用的错误,包括处理 WMV 文件。但是防病毒软件不太可能发现此类漏洞,因为它们通常对编解码器了解不多,甚至不扫描视频文件。由于此类攻击通常是特定于操作系统的,并且由于市场份额的原因,大多数人只关心 Windows,因此除非您被专门针对,否则使用 Linux 可能是安全的。
是的,VLC 可以被黑客入侵。在这里您可以查看VLC 的CVE列表。
但是不要惊慌,仅仅因为你的 VLC 冻结,这并不一定意味着有人黑了你。确保您的 VLC 是最新的。
您能否将该文件提交到该网站Cuckoo Sandbox,然后将报告粘贴到此处,出于好奇让我们看看,当该文件在沙盒中“触发”时会发生什么。
编辑:用杜鹃沙箱分析后。
好的,我们有一个问题,那个沙箱里没有 VLC,所以我想看看在 VLC 的同一个盒子里会发生什么,但到目前为止,该文件中有一个可疑的 URL:
不要打开链接!
h**p://aavid.xyz?id=&dlgx=200&dlgy=200&adv=0
在此之后,它会将您重定向到新的:
h**p://playbackerrormediaplayercodecrequiredtoplaythisfileinstallcodec.playbackerrormediaplayercodecrequiredtoplaythisfileinstallcodec.mediaplayerfix.tech/drm.php?id=&dlgx=200&dlgy=200&adv=0
然后它将为您提供下载编解码器的选项:
h**p://alfafile.net/file/NfpC
和另一个重定向:
h**p://a5.alfafile.net/dl/8va8w/CodecFix.exe
并且同一个文件肯定是恶意的。
对于关闭;我没有自己分析该文件,但我所做的只是快速查看字符串,因此如果该文件使用 VLC 的漏洞,我也无法确定该文件在真实系统上的作用。
引用问题中列出的攻击肯定不适用于 VLC 或 Linux。VLC 不支持它使用的晦涩难懂的 Windows Media Player DRM(至少据我所知不支持),即使支持,攻击的目的也是诱骗您下载和运行一些 Windows 可执行文件。
话虽如此,如果在 VLC 本身中发现恶意制作的 WMV 可以利用的安全漏洞,则理论上可能存在不同类型的攻击。从您的描述来看,恶意 WMV 更有可能使用前一种攻击。
在那些针对 Windows Media Player 的常见恶意 WMV 的情况下,如果您在十六进制编辑器中检查 WMV,您会发现非常少的实际数据,主要由 URL 组成,后面只有空填充以使其达到预期的文件大小。
作为程序员,答案很简单:“不”。
视频文件不包含可执行代码。即使他们这样做了,Windows 在设计上也与 Linux 大不相同。两者对不兼容的操作系统使用不同的二进制格式。在 Windows 上有效的漏洞通常在 Linux 上无效。
被篡改的视频文件唯一能做的就是在 VLC 或其他视频播放器或您的网络浏览器(如果它设置为自动跟随链接)中触发错误。这样一个错误允许他们使用视频文件“破解”Linux 的可能性是如此遥远,以至于不值得一提。
你有更大的机会被车撞到你的报纸。
我还认为 Linux 下的 WMV 编解码器是可用的,但大多是不受支持的格式。微软甚至很少再使用它们,将它们放在一边,支持微软拥有专利权的 MP4。坦率地说,你也不应该使用它们——而是将其转换为 MP4 或 VP8。
如果您使用的是 Ubuntu 或 Arch Linux 之类的东西,那么您也在使用尚未完全调试的程序。你应该预料到问题。