L’utilizzo della protezione DRM applicata ai file multimediali per prevenire copie illegali e bloccare la pirateria è stato per lungo tempo un argomento al centro di forti polemiche tra chi vorrebbe preservare i propri diritti e proteggere le proprietà intellettuali e chi invece vorrebbe preservare il proprio diritto di guardare o ascoltare ciò che è stato comprato quante volte si voglia e soprattutto ovunque si voglia.

In passato sono stati visti utilizzi di protezione DRM alquanto criticabili, tra tutti quella utilizzata da Sony qualche anno fa che causò una vera e propria tempesta informatica.

Ultimamente ho avuto modo di studiare un interessante caso. Ho avuto delle segnalazioni di strane infezioni provenienti apparentemente da file video scaricati da reti peer to peer.

Dopo aver dato uno sguardo più approfondito ai file in questione, tutto è risultato più chiaro. Il video è stato firmato e protetto utilizzando la protezione DRM. Il problema sorge quando il media player tenta di acquisire la relativa licenza.

Infatti, la connessione avviene verso un falso sito web e, dopo alcuni redirect, parte il download di un eseguibile. Il file eseguibile appare come un installer per la licenza, ma in realtà si tratta di un trojan. Prevx identifica il trojan come Trojan.DRMLive.

Trojan.DRMLive installer

Dopo aver investigato sul gestore della licenza si è scoperto che il proprietario è vidlock.com. Vidlock è un provider DRM e fornisce un servizio di protezione dei file multimediali anche gratuito fino a 50 license a mese.

Sembra dunque che il servizio sia stato abusato da qualche malware writer, poiché il falso video tenta di acquisire la licenza, avvengono dei redirect ad alcune pagine web fino ad arrivare al sito web cleanlive.net che ospita il trojan.

Una volta eseguito il falso installer appare la classica finestra di installazione che in realtà altro non fa che creare la directory C:programmiHomeView con relativo uninstall.exe all’interno della cartella.

Tuttavia, dietro la falsa schermata di setup, il trojan sta procedendo nell’installazione delle proprie componenti nel sistema. La prima cosa che effettua è l’iniezione di una dll all’interno del processo spoolsv.exe. Il modo con cui inietta la libreria è alquanto originale – sebbene la teoria risalga a molti anni fa – ed è stato visto di recente in alcuni installer del rootkit Rustock.

Il malware ferma il servizio spoolsv, effettua una copia della libreria di sistema advapi32.dll e la modifica in modo tale da caricare la propria dll infetta. Poi cancella e ricrea l’oggetto di sistema KnownDllsadvapi32.dll in modo tale da puntarlo alla versione modificata della libreria. Infine riavvia il servizio spoolsv.

advapi32.dll patch

Facendo ciò, il payload del malware è caricato all’interno del processo spoolsv.exe, poiché il servizio nel riattivarsi ha ricaricato la versione modificata di advapi32.dll. Il malware utilizza alcuni controlli antidebugging e controlla che sia caricato all’interno del processo spoolsv.exe, altrimenti termina il proprio codice.

Il trojan crea due thread, che sono responsabili rispettivamente di scaricare altre infezioni da Internet e di assicurarsi che l’infezione sia ben installata nel sistema.

Per quanto riguarda la verifica dell’infezione del sistema, il malware controlla il pc alla ricerca dei drive presenti e, per ognuno di essi, crea nella directory radice il file autorun.inf e crea la directory [X]:resycled con all’interno il file boot.com.

Sia i due file che la directory hanno l’attributo nascosto attivato. Per rendere le cose più difficili, DRMLive modifica i permessi di gestione dei file creati in modo che l’account proprietario non abbia più i permessi di modifica o rimozione di tali oggetti.

Ogni minuto, il trojan controlla se tutti i file sono ancora presenti. In questa maniera ogni volta che l’utente accede ad uno dei drive infetti da risorse del computer viene automaticamente eseguito l’autorun e di conseguenza boot.com, che è il dropper iniziale.

Trojan.DRMLive Thread

L’altro thread, dopo aver identificato la versione di Windows installata nel sistema e aver collezionato informazioni riguardanti il drive C- quali numero seriale – si connette ad un sito web remoto da dove scarica altre infezioni. I malware scaricati vengono scritti all’interno della directory %windir%temp come tempo-[random].tmp.

Fino ad ora è stato osservato come molte altre infezioni vengano scaricate, ad esempio DNSChangers che cambiano le configurazioni DNS delle schede di rete o passord crackers che tentano di scoprire la password di configurazione dei router attraverso attacchi basati su dizionario.

Gran parte del codice è tendenzialmente offuscata, per prevenire il più possibile tentativi di reverse engineering.

Se l’utilizzo del DRM per proteggere i file multimediali è stato un argomento scottante per un lungo periodo a causa di problematiche di natura ideologica, ora il problema sembra diventare molto più reale, poiché potrebbe diventare un veicolo per diffondere malware.

Come un trojan analizzato precedentemente, Trojan.GetCodec, questo è un altro malware che utilizza i file multimediali per diffondersi – anche se in questo caso non infetta gli altri file audio o video presenti all’interno del PC.

Gli utenti devono stare più attenti che mai nello scaricare da reti peer to peer, perché le probabilità di prendersi un’infezione – direttamente o indirettamente – non sono più ristrette ai soli file eseguibili.

Prevx Blog