De kopieerbeveiliging in Windows Media Player wordt door criminelen gebruikt om Windows-gebruikers via kwaadaardige videobestanden met malware te infecteren. Het Advanced Systems Format (ASF) is een door Microsoft ontwikkeld formaat, waarin de structuur van een audio- en videostream wordt beschreven. Ook is er een framework voor digital right management (DRM) aanwezig.
Dit moet voorkomen dat de stream wordt gekopieerd. Bestanden die dit formaat gebruiken hebben vaak een wmv, wma of mp3 extensie. De Windows Media Rights Manager maakt het mogelijk om mediacontent op zo'n manier te beschermen dat als de gebruiker een bestand wil afspelen waarvoor een geldige licentie ontbreekt, Windows Media Player een URL van de contentaanbieder zal tonen.
Media
Dit maakt het echter mogelijk voor aanvallers om kwaadaardige mediabestanden te maken die vervolgens een kwaadaardige website laden zodra het bestand wordt geopend. Zo worden op Usnet en P2P-netwerken bestanden aangeboden die zich als populaire films voordoen, maar in werkelijkheid kwaadaardige URL's downloaden.
De tactiek wordt al lange tijd door cybercriminelen gebruikt, maar is nog steeds effectief, ook tegen de nieuwste versies van Media Player. Online virusscanner VirusTotal ontdekte onlangs weer een ASF-bestand dat gebruikers naar een website stuurt waar een video plug-in wordt aangeboden. In werkelijkheid is dit adware.
Check
VirusTotal testte de tactiek tegen Windows Media Player 11 en 12 en ontdekte dat de aanval nog steeds werkt. Er was na het openen van het bestand geen verdere interactie van de gebruiker nodig. Om internetgebruikers voor kwaadaardige ASF-bestanden te waarschuwen is de online virusscanner nu van een apart tabblad met ASF-informatie voorzien.
VirusTotal is een online scandienst die de 'engines' van zo'n 40 virusscanners gebruikt om bestanden te controleren. Het wordt dan ook vaak als 'second opinion' gebruikt. VirusTotal werd vorig jaar door Google overgenomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.