Насколько опасна DRM-защита, или Видео-вирус часть 2

    image

       Вспоминания

    После того, как я прочитал пост о том, как TipTop не смог посмотреть кино, я сразу же вспомнил аналогичный случай. Как-то открыв обычный mp3 файл, вместо того, чтобы началось воспроизведение, к моему удивлению, открылась неизвестная веб-страница. Самое интересное, что страница была открыта в Internet Explorer'е (несмотря на то, что по умолчанию был установлен другой браузер), а ведь на той странице, автор файла мог бы добавить и какой-нибудь специальный эксплоит для IE.

    В тот момент я не думал о странице с эксплоитом и вместо того, чтобы внимательно проанализировать файл и разобраться в чём проблема я просто его удалил. Единственное о чем я подумал, увидев необычное поведение системы это то, что кто-то довольно оригинально раскручивает свой сайт. Прошло уже несколько лет, но c тех пор такие случаи я не встречал. Прочитав статью о видео-вирусе я решил, что хотя бы на этот раз не упустить возможность узнать насколько безопасны являются одни из самых безобидных и распространенных файлов во всём мире.



       Видео-Файл

    И так как уважаемый TipTop, оставил комментарий, указав ссылку на файл, я не стал терять время даром и быстренько скачал торрент-файл. Но я был не один — одновременно со мной этот же видео-файл скачали ещё около 15 человек которые, подумал я, тоже хотят анализировать его. Но сейчас понял, что скорее всего у большинства из них были другие намерения и не знали они, что сегодня кина не будет ©.

    После того, как скачивание завершилось, зная что другие плееры не могут воспроизвести этот файл, сразу открыл его в Windows Media Player'е, и первое, что я увидел, было сообщение: «Download media usage rights»:
    image


    После этого, появилось более убедительное сообщение, предлагающее скачать файл License-Installer который, между прочим, уже был проверен антивирусом и оказался на 100% чист:
    image


    Внимательно просмотрев сообщение, нажал на кнопку 'Download Now' и в ожидание какой-либо реакции со стороны антивируса, увидел многим знакомое окошко, предлагающее скачать файл с сервера license.compress.to:


    И тут же возник первый вопрос, если на первом окошке указан сервер free-license.imgpop.com, тогда зачем этот замечательный файл, предлагает скачать лицензию с сервера license.compress.to? Чтобы выяснить в чём проблема, посетил оба сайта, в надежде найти там что-нибудь вкусненькое, но как и следовало ожидать, ничего там не обнаружил.


       DRM защита

    После этого, первое что пришло в голову, было «запустить сниффер», но воздержался (и правильно сделал) — решив открыть файл в Hex-редакторе. Открыл в Hex-редакторе файл, который весил 150 MB и к моему счастью, всё было очень просто, так как уже на 20-ой строке нашел вот такой кусок текста:
    image


    Стало намного интересней. Открыл страницу httр://free-license.imgpop.com/venuf.php?id=Movie_0001.wmv, которая перенаправляла (HTTP/1.1 302) на страницу: httр://free-license.imgpop.com/venuf/index.htm, а там увидел знакомую картинку, только чуть побольше, да ещё и в браузере:
    image


    Пока всё шло хорошо и желая немножко поэкспериментировать, решил изменить ссылку из видео-файла на своё. Но, увидев что после изменения строки даже WMP не может открыть файл и не зная что делать, спросил Google'а, не может ли он рассказать, что это за строка, WRMHEADER version='2.0.0.0', которую (помимо многих других) нашёл с помощью Hex-редактора?
    image


    Ответ был короткий и ясный как дневной свет — я имею дело с DRM-защитой видео-файлов. То есть, обнаружил как с помощью легальных и довольно убедительных методов, злоумышленники успешно и с уверенностью могут распространять вредоносные файлы, так как: во-первых, ни один антивирус не обнаружит, что видео-файл заражён, а во-вторых, большинство пользователей доверяют Microsoft и однозначно будут запускать такие файлы.

    Более того, WMP не единственный плеер, который может открыть DRM защищенные файлы. Полный список плееров я не нашёл, но могу с уверенностью сказать что Nero ShowTime поддерживает DRM, только в отличие от WMP он реагирует более осторожно… только если подтвердить скачивание лицензии, веб-страница открывается в IE (несмотря на то, что он не является браузером по умолчанию).
    image

    image


    А сейчас самое интересное: если изменить расширение файла из .wmv в .asf или в .wma, ничего не измениться, то есть плееры всё равно будет воспроизводить медиа-файл и что самое опасное, в большинстве случаев .wma-файлы будут открыты в Windows Media Player. Кстати, забыл сказать, после того как открыл видео-файл в Hex-редакторе, для удобства, удалил ненужные байты и в итоге размер файла стал равен 5.31KB.


       Internet Explorer

    Наверно, многие думают что «Опасности в этом нет! Никакие лицензии не буду скачивать! Да и вообще, причём тут Internet Explorer, WMP и видео-файлы?». Сначала я тоже так думал, ведь там есть кнопочка «Cancel», но как оказалось, опасность есть и не маленькая, а «Cancel» никого не спасет, если файл открылся в WMP. А Internet Explorer — это же браузер, программное обеспечение для просмотра веб-сайтов…

    Я нашёл информацию о том что можно взломать DRM-защиту, но делать этого не стал. Во-первых, не знал удастся ли изменить ссылку, а во-вторых, выбрал более легкий путь. В файле hosts добавил строку:
    127.0.0.1 free-license.imgpop.com

    В корень локального сервера создал файл venuf.php и с помощью WMP открыл видео-ролик — через несколько секунд появилось следующее сообщение:
    image


    Дальше, с помощью alert(), решил попробовать, поддерживает ли он JavaScript — в результате получил пустую страницу. Подумал, что действительно не работает, но подключив свою интуицию, быстренько изменил функцию alert() на document.write(). Результат вызывал улыбку: на этот раз страница была не пуста, значит Windows Media Player поддерживает JavaScript.

    Теперь, мысли о том, что медиа-плеер может открыть веб-страницы, да ещё и поддерживает JavaScript, не давали мне покоя. Желая узнать, что это за необыкновенный плеер, добавил в файле venuf.php строку:
    echo $_SERVER['HTTP_USER_AGENT'];
    и несмотря на то, что у меня установлен MSIE 8.0, я получил следующее сообщение:
    image


    Напоследок, решил проверить один эксплоит для MSIE, написан на JavaScript, вызывающий отказ в обслуживании браузера. Добавил эксплоит на страницу, открыл видео-файл и не успел я моргнуть, как Windows заявляет, что «Windows Media Player перестал работать»:
    image

    image


    Как Вы поняли, пытаясь воспроизвести видео-файл, WMP принудительно отключился, а это значит, что он уязвим к эксплоиту предназначенному для MSIE. Я проверил только один эксплоит, но этого было достаточно, чтобы изменились мои представления о безопасности медиа-файлов.


       Вместо постскриптума

    Написав последние строки этой статьи, вдруг посетила меня одна идея: скачать, установить и тестировать один из самых популярных мультимедийных плееров — Winamp. Что я и сделал… А когда попробовал воспроизвести файл появилось следующее сообщение:
    image


    Я почти был уверен, что всё будет также как и с Nero ShowTime, но любопытство заставило мена нажать на кнопку 'Yes'… Вместо запуска IE, я увидел следующее:
    image

    image


    Не сразу понял в чём проблема, думая, что всякое может случится, но спустя несколько секунд, вспомнил что в файле venuf.php остался код эксплоита для MSIE. Дальше, используя переменную $HTTP_USER_AGENT выяснил, что также как и WMP для своих целях Winamp использует MSIE 7 Internet Explorer:
    image


    Правда, в отличие от Windows Media Player, Winamp не предупреждает откуда будет скачан файл лицензии, но разрешает использовать правый клик и посмотреть исходный код страницы… а также для него срабатывают алерты:
    image



       Заключение

    С первого взгляда, не всё так страшно как кажется, но хочу обратить Ваше внимание на то, что открывая такой файл, пользователь никак не сможет остановить запуск эксплоита, а антивирусная программа помочь не в состоянии, так как, если это новый эксплоит, то, скорее всего, он не ещё добавлен в базу антивируса.

    Просто, не забывайте о том, что не у всех пользователей установлены другие аудио и видео проигрыватели. А ещё, я далеко не верю, что пользователь, который ждал 2 часа (в лучшем случае) чтобы скачать долгожданный файл, увидев что он не проигрывается, просто так удалит его, и никакое «не открывайте файлы в этом плеере!»— не поможет.


    UPD:

       Защита

    Чтобы существенно снизить риск возможных атак, рекомендую отключить в WMP автоматическое получение лицензии для DRM-защищенных файлов. Для этого, открываем Параметры (Options) и во вкладке Конфиденциальность (Privacy) снимаем галочку с пункта 'Получать лицензии автоматически для защищенного содержимого' (Download usage right automatically when I play or sync a file):
    image


    Теперь, при открытии файла, WMP будет спросить, если 'Вы действительно хотите открыть веб-страницу, чтобы получить лицензию':
    image


    Несмотря на то что, разработчики предупреждают об опасности и знают что 'веб-страницы могут содержать элементы, которые могут представлять опасность для компьютера' — они всё-таки по умолчанию отключили данную опцию. Странно, не правда ли?

    UPD 2: (Большое спасибо хабраюзеру Dragonizer за замечание)
    Не смотря на то, что User Agent определяется как MSIE 7.0, на самом деле это не так. Дело в том, что WMP открывает веб-страницы в режиме совместимости, а это значит что:
    • В строке версии браузера веб-браузер обозначается как MSIE 7.0, а не MSIE 8.0;
    • Условные комментарии и векторы версий распознают веб-браузер как IE 7, а не IE 8;
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 63
    • +4
      Жесть, я и так WMP недолюбливаю, но теперь особенно. Тут спасёт только правильно сконфигурированный firewall.
      • +2
        с большой долей вероятности не спасет, у зверушки будет большой простор для деятельности, оно сможет выкачать все что нужно от имени IE.
        • 0
          Поможет… только смотря какой firewall. В своё время пользлвался jetico. Отличная чтка, вылавливает все обращения в сеть. Показывает кто и куда и по какому порту лезет…
      • +2
        Да, но проблема в том, что по умолчанию, большинство брандмауэров доверяют программам имеющим сертификат от Microsoft.
        А насчёт того как можно защитится, смотрите чуть выше — я обновил хабратопик.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Далеко не все такие аккуратные как Вы
            • +1
              Сппешу заверить, что даже убрав все пунктики, WMP всё равно лезет в сеть. Как писал выше, jetico мне это в своё время показал. Не то чтобы удвился, но всё же…
              • +1
                > Перевод — я фанатег и ненавижу WMP

                Дальше ваш коммент читать не стал, ясно что ничего ценного он содержать не будет
                • НЛО прилетело и опубликовало эту надпись здесь
                  • +1
                    Если вы не догадались, комментарий был для вас. Неужели вы думаете, кому-то интересны ваши религиозные взгляды? Люди в комментариях хотят увидеть мышление (чем объективнее, тем лучше) а не перечень во что вы верите, а во что нет.
                    • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                Товарисч — это паранойя!
                Не только WMP уязвим к подобным атакам.
              • +6
                Вот к чему привит ДРМ головного мозга издателей. Мало того что сделали какую то неработающую убогость, так еще и дыр в ней наделали.
                • 0
                  а с чего вы взяли что у них есть вообще этот ДРМ, ну или как минимум есть к чему его прививать? Издатели обычно думают кошельком, нежели головой =)
                  • +2
                    как это с чего. Они и инициировали его разработку для того чтобы ты не воровал а денюжку платил за каждую песню. А WMP (и микрософт естественно ) ето уг поддерживает.
                    Ну вы шутник однако… конечно на кошерных трекерах не встречаеться контент с ДРМ ;-)
                • +13
                  Пользуйтесь свободными и открытыми форматами и технологиями — будет меньше головной боли. Давно уже понятно, что DRM сделан не для удобства конечных пользователей.
                  • +6
                    Еще в линукс этот ДРМ, прости господи, протащить пытались… совсем обнаглели, свободным людям на плечи лезут уже…
                    • –5
                      Причем тут «открытые и свободные технологии»? То, что линукс не сможет проиграть видео/музыку, защищенную DRM — это скорее всего минус, а не плюс. Здесь речь идет о конкретной дыре в технологии DRM, и надеюсь, что господа из MSFT обратят на это внимание и примут соответствующие меры.
                      В принципе, самая главная мера — что в открытых и свободных, что в закрытых и проприетарных технологиях — та же самая: не работать под учетной записью с админскими правами, и прежде чем кликать — думать и читать.
                      • +1
                        Здесь речь идет о принципиально неустранимой дыре в технологии DRM. Точнее, даже не так. Речь о принципиально неустранимой дыре, которой является сама технология DRM.
                        • 0
                          Аналогичная дыра есть и в технологии E-Mail (письма I LOVE YOU все помнят?), тем не менее о закрытии e-mail никто не кричит на каждом углу.
                          • 0
                            Все-таки мыло непосредственно нужно конечным пользователям, в отличие от ДеРьМа. Однако если проводить аналогии, то у потребителя есть право блокировать почту, которую ему навязывают, и даже преследовать в суде тех, кто это делает в промышленных масштабах (т. е. спамеров).
                            • 0
                              Ну так ведь с тем же успехом можно не качать контент, защищенный DRM. Ну разве что в суд на них не подашь… Хотя нет, были прецеденты — когда кажется Sony в свои аудиодиски встроила защиту на базе какого-то руткита, и на них подали в суд и таки заставили эту защиту убрать. Подробностей, к сожалению, не помню, а гуглить лень.

                              Хотя я согласен, что все DRM больше приносят проблем легальным пользователям — вспомним хотя бы iPod'ы, в которые можно закачать музыку, а выкачать ее оттуда обратно — нельзя, или защита игр StarForce, которая иногда работает криво, особенно — в Win7. Пиратам, по сути, будет пофигу — они и так скачают музыку в mp3 без DRM, или же найдут NoDVD к игре. А вот купившие лицензионную музыку или диск — получат некоторые неудобства.

                              Так что я так и не понял, за что меня минусанули ;)
                        • 0
                          +1
                          никогда не качаю wma
                          а в wmv разве что порнуху, да и ту с порнолаба
                          • 0
                            Я фапом не очень увлекаюсь, а вот вебкасты с TechDays.ru качаю, да и записываю. И там все WMV, правда никакой DRM там не используется.

                            Проблема в том, что как раз в порнуху и могут зашить такую «лицензию» с трояном инсайд, правда надеюсь на порнолабе этого не допустят. Ну и кибердрочеры всегда были легкой добычей троянщиков)))
                      • +6
                        Это несомненно очень полезный и мощный пост, благодарю.
                        • –3
                          Что касается mp3, то это, скорей всего, была одна из ранних версий винампа, подверженная stack overflow. Да и сейчас находят в нем дырки, только в нынишние времена софт апдейтится куда быстрее.
                          • 0
                            Что касается mp3
                            Вообще-то mp3 тут не причём.

                            скорей всего, была одна из ранних версий винампа
                            DRM-защищенный файл (.wmv) был открыт в Winamp 5.572, то есть, последняя версия.
                            • 0
                              вы бы прочитали свои же пару абзацев :))
                              • 0
                                всмысле первые пару
                              • +1
                                • 0
                                  Так как в своём хабратопике я упоминал о Winamp'е лишь в абзаце 'Вместо постскриптума', я подумал, что Вы неправильно поняли какой файл был открыт и какая версия Winamp'а была использована.
                                  • 0
                                    То, что у файла расширение mp3, еще не значит. что он в формате MPEG 3-layer. В винде медиафайлы можно переименовывать хоть в mp3, хоть в avi, все равно как правило тип определяется по заголовкам файла.
                                    • 0
                                      скорее плеер определяет по заголовку файла, а виндовс запускает приложение ассоциированное с расширением файла.
                                      почитайте реестр, там есть ветка с настройками расширений файлов.
                                      • 0
                                        Да, примерно это я и хотел сказать, многие плееры определяют тип файла по содержимому :)
                              • +1
                                Ну тут спасет VLC…
                                • 0
                                  Я недавно точно так же скачал Avatar с каких-то левых торрентов… Сам файл занимал 2 гигабайта, при запуске (кстати тоже открывается только через WMP) проигрывается 20-секундная демо-версия отрывка фильма в поганом качестве. И потом открывается страница из инета с предложение скачать супер-мега проигрыватель для этого файла… Я побоялся и удалил фильм.
                                  • +1
                                    Не надо качать из левых торрентов, качайте из нормальных.
                                  • 0
                                    Нужно юзать плееры, не умеющие drm =) Вообще да. Интересная дыра…
                                    • +1
                                      Дальше, используя переменную $HTTP_USER_AGENT выяснил, что также как и WMP для своих целях Winamp использует MSIE 7:
                                      Вы это неправильно поняли. В ие8 есть режим совместимости, в котором он представляется как ие7. Будучи встроенным в какое-либо приложение, ие8 включает режим совместимости со всеми вытекающими.

                                      Сам столкнулся с подобным поведением в дельфи, — кидаешь на формочку браузер, запускаешь, заходишь проверить юзерагент — оп-па — ие7, а в системе 8ой. Куки, кстати, синхронизируются после выхода, так что это одно и то же.
                                    • +3
                                      Как же я счастлив, что на моем арче подобные выкрутасы не пройдут)
                                      • +3
                                        Спасибо что продолжили тему. Честно говоря, я на такой исход особо не надеялся когда выкладывал ссылку…
                                        • +1
                                          А Вам спасибо за ссылку, благодаря который я смог: скачать и анализировать файл, найти брешь, написать статью, опубликовать топик, получить инвайт и уведомлять всех о 'видео-вирусе'. Спасибо!!!
                                        • +1
                                          А у меня в системе Windows Media Player изначально удален (хехе, такие радости пользователям лицензионной винды небось недроступны!). Использую только Mplayer, в котром, уверен, никакой пакости нет, и експлорер он не откроет.

                                          А вообще трюк с прописыванием сайта в медиафайле старый, вроде уж давно используется.
                                          • 0
                                            Windows Media Player можно в любой момент удалить/поставить. В панели управления — Программы и компоненты. Там можно включать и отключать компоненты, хотя в нелицензионной WMP может просто отсутствовать на диске.
                                            у меня он отключен именно таким способом. а сам пользуюсь KMP :)
                                          • 0
                                            Похоже, пора валить и с винампа. Новость хорошая, пусть будет побольше таких DRM-вирусов — люди начнут обходить любые DRM десятой дорогой и, разумеется, станут меньше их покупать. Ну а «DRM-защищенные» файлы уже можно смело именовать DRM-зараженными.
                                            • 0
                                              Прочитав пост сразу подумал о порно-роликах, ворующих адреса, пароли и явки)

                                              А вообще весьма интересная статья, я всегда подозревал что windows media в частности может открывать нехорошие страницы, помнится я даже на вконтакт как-то умудрялся из виндовс медиа плеера заходить (но было это давно и ещё на win Xp), но вот всё не знал я как самому подобные вещи делать а выяснить руки не доходили.

                                              Теперь надо будет поковырятся на досуге.
                                              • 0
                                                Как страшно жить!
                                                Попробую сегодня на хардварном плеере этот файл открыть. (TVIX-500)
                                                • 0
                                                  DRM — зло.
                                                  • 0
                                                    А сейчас самое интересное: если изменить расширение файла из .wmv в .asf или в .wma, ничего не измениться, то есть плееры всё равно будет воспроизводить медиа-файл
                                                    И что же тут интересного?
                                                    Вы разве не знаете, что независимо от расшинения (.asf, .wmv, .wma) — все эти контейнерные медиафайлы имеют общий формат ASF (Microsoft Advanced Systems Format). И просто для визуального удобства файлы с видеопотоком Windows Video именуют *.wmv, а файлы только с аудиопотоком Windows Audio именуют *.wma.
                                                    А раз это один формат, то неудивительно, что и медиаплееры его обрабатывают одинаково.

                                                    И вообще этой уязвимости ASF-файлов, связанной с DRM и загрузкой сторонних компонентов, уже сто лет в обед. Про неё уже не раз писалось.
                                                    • –1
                                                      И что же тут интересного?
                                                      Интересно то, что даже если Вы установили на компьютере другой плеер, вероятность того, что DRM-защищённый файл откроется в WMP, очень высока.

                                                      этой уязвимости уже сто лет в обед. Про неё уже не раз писалось
                                                      Если честно, анализируя этот файл, я впервые узнал о том, что эксплоит для уязвимости MSIE, 'работает' на ура и в WMP/Winamp. Если можете, оставьте, пожалуйста, ссылку на материал.
                                                      • 0
                                                        Интересно то, что даже если Вы установили на компьютере другой плеер
                                                        Причём тут другой плеер? Вы вообще видели, на что я ответил?
                                                        Во фрагменте, который я процитировал, речь шла про переименование между *.asf, *.wmv, *.wma. И было написано, что это «самое интересное». Я же ответил, что ничего интересного в этом нет, потому как это и так файлы одного формата ASF.

                                                        Это всё равно, что написать: «А самое интересное, что если переименовать файл с расширением *.JPEG в файл с расширением *.JPG, то ничего не изменится, все просмотрщики картинок его будут обрабатывать точно так же, как и файл с расширением *.JPEG». По-моему, это и так очевидно, т.к. формат-то один и тот же.
                                                        • 0
                                                          Читайте внимательнее комментарии (и здесь тоже), ведь многие пользователи предлагают установить другой плеер для того чтобы открыть видео-файлы. А сейчас самое интересное, например, устанавливая другой видеоплеер, вероятность того, что wma-файлы откроются в WMP, очень высока.

                                                          И ещё, будьте любезны, дайте пожалуйста ссылку на устаревший материал.
                                                          • 0
                                                            Стоп.
                                                            То, что, по-вашему, независимо от ассоциированного с расширением wma приложением, эти файлы будут открываться в Windows Media Player, вы в статье называете самым опасным.
                                                            А самым интересным вы называете то, что независимо от расширения ASF-файла (*.asf, *.wmv, *.wma) он всё равно представляет одинаковую опасность для уязвимых приложений. И вот именно это, по-моему, совершенно очевидно и потому неинтересно.

                                                            Если хотите, чтобы вас правильно понимали, выражайте свои мысли яснее.
                                                            • 0
                                                              Ещё раз:
                                                              А сейчас самое интересное: если изменить расширение файла из .wmv в .asf или в .wma, ничего не измениться, то есть плееры всё равно будет воспроизводить медиа-файл
                                                              Если все эти расширения ассоциированы с уязвимыми приложениями (WMP, Winamp и др.), то очевидно, как не переименовывай файл, уязвимость останется.
                                                              и что самое опасное, в большинстве случаев .wma-файлы будут открыты в Windows Media Player.
                                                              Расскажите мне как? Вот если у меня .wma-файлы ассоциированы с MPlayer, VLC media player или foobar2000, то каким чудом они вдруг откроются в WMP или вызовут IE? Такое будет только если авторы выбранного мной плеера оставили такую уязвимость или передают вдруг такие файлы на обработку уязвимым плеерам типа WMP. А если плеер написан нормально и без уязвимостей, то такого не будет.
                                                              И чтобы говорить про большинство случаев, когда такое произойдёт, нужно владеть хоть какими-то достоверными статистическими данными. Где цифры?
                                                              И ещё, будьте любезны, дайте пожалуйста ссылку на устаревший материал.
                                                              Многократно встречал на securitylab.ru статьи про уязвимости ASF. Не уверен, что сейчас нашёл в точности это, но вроде похоже:
                                                              www.securitylab.ru/vulnerability/200446.php
                                                              www.securitylab.ru/vulnerability/384905.php
                                                              www.securitylab.ru/vulnerability/202018.php
                                                              www.securitylab.ru/vulnerability/386525.php
                                                      • 0
                                                        Покажите первые 32 байта файла в HEX редакторе. У меня есть смутные сомнения, что ни разу не DRM.
                                                        • +1
                                                          Пожалуйста:
                                                          30 26 B2 75 8E 66 CF 11 A6 D9 00 AA 00 62 CE 6C D6 11 00 00 00 00 00 00 0C 00 00 00 01 02 40 A4

                                                          Кстати, думаю, Вам будет интересно посмотреть и на остальные байты.
                                                          • 0
                                                            Ну в общем мои подозрения все больше усиливаются :-) Это WMA, а судя по тому что я про него читал, в нем нет DRM. Зато есть возможность привязать посещение URL'a к определенному моменту ролика. Это довольно старая техника для распространения троянов, но сделать общий детект для них не так просто: даже в некоторых файлах от самой M$ прописан переход на URL'ы.

                                                            Хотя, я могу и ошибаться и у вас какой-нибудь друго формат с DRM, который инкапсулирован в WMA :-)
                                                            • 0
                                                              Думаю следующий код, который начинается на 504-й байт, может помочь:
                                                              <WRMHEADER version="2000">
                                                                <DATA>
                                                                  <RID>1</RID><CID>500</CID><LAINFO>%URL%</LAINFO><KID>%HASH1%</KID><CHECKSUM>%HASH2%</CHECKSUM>
                                                                </DATA>
                                                                <SIGNATURE>
                                                                  <HASHALGORITHM type="SHA"></HASHALGORITHM>
                                                                  <SIGNALGORITHM type="MSDRM"></SIGNALGORITHM><VALUE>%HASH3%</VALUE>
                                                                </SIGNATURE>
                                                              </WRMHEADER>
                                                        • 0
                                                          а почему вы не добрались до самого вируса? :)
                                                          (у вас же есть антивирус, он бы его перехватил, если что)

                                                          я думал вы еще с вирусом поиграетесь)
                                                          • 0
                                                            Случайно решил зайти в настройки Silverlight. Там есть вкладка «Воспроизведение»:



                                                            Это оно самое?

                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.