VirusTotal

Malware-Links in DRM-geschützten ASF-Dateien

Googles Online-Virenscanner VirusTotal will künftig auch DRM-geschützte ASF-Dateien prüfen. Diese können URLs enthalten, um Lizenzen zu beziehen, was auch zum Einschleusen von Malware missbraucht werden kann.

Malware-Links in DRM-geschützten ASF-Dateien

© Google

Malware-Links in DRM-geschützten ASF-Dateien

Microsofts Dateiformat ASF (Advanced Systems Format) kommt für Video- und Audiodaten zum Einsatz. Es kann DRM-geschützte Inhalte aufnehmen, sodass diese nur abgespielt werden, wenn eine passende Lizenz vorhanden ist. Für die Durchsetzung dieses Schutz sorgt der Windows Media Rights Manager, den zumindest der Windows Media Player abfragt. Diese Funktionalität kann jedoch auch missbraucht werden. Typischerweise kommt ASF etwa bei WMV- und WMA-Dateien zum Einsatz.

Im VirusTotal Blog berichtet Francisco Santos, dass der Dienst nun auch weitere Datei-Informationen für ASF-Dateien anzeigt. Hintergrund ist der Missbrauch des ASF-Format zur Verbreitung von Malware. Findet der Windows Media Player in der Rechteverwaltung keine Lizenz für eine DRM-geschützte ASF-Datei, ruft er eine in der Datei gespeicherte URL auf. Diese sollte zu einer Website gehören, auf der der Benutzer eine passende Lizenz erwerben kann.

Doch Online-Kriminelle konstruieren spezielle ASF-Dateien, die zwar den formalen Anforderungen genügen, jedoch keinen abspielbaren Inhalt mitbringen. Diese nur wenige hundert Kilobytes kleinen Dateien enthalten einen DRM-Header und eine Web-Adresse. Der Windows Media Player findet naturgemäß keine passende Lizenz und ruft die URL auf.

Diese URL kann jedoch eine vollständige Download-Adresse für eine Programmdatei sein. Der Social-Engineering-Trick besteht darin dem Benutzer vorzutäuschen, er benötige ein Plug-in, um das Video abspielen zu können. Alternativ könnte die, ohne Benutzereingriff aufgerufene Web-Seite, auch versuchen Sicherheitslücken im Browser auszunutzen, um Malware ohne Rückfrage einzuschleusen.

Neu ist weder der Trick mit den falschen DRM-Dateien noch die Masche mit dem vorgeblich nötigen Plug-in. Neu ist, dass Sie VirusTotal nutzen können, um ASF-Dateien auf gefährliche URLs zu überprüfen. VirusTotal möchte damit vor allem Malware-Forschern beim Kampf gegen Online-Kriminelle helfen.

image.jpg

© Screenshot, VirusTotal

Googles Online-Virenscanner VirusTotal will künftig auch DRM-geschützte ASF-Dateien prüfen.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…