-
«Лаборатория Касперского» сообщает об обнаружении червя, заражающего аудиофайлы
«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об обнаружении вредоносной программы, заражающей аудиофайлы формата WMA. Целью заражения является загрузка троянской программы, позволяющей злоумышленнику установить контроль над компьютером пользователя.
Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным ПК.
До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом. Особенностью же данного червя является заражение чистых аудиофайлов, что, по словам вирусных аналитиков «Лаборатории Касперского», является первым случаем подобного рода и повышает вероятность успешной атаки, так как пользователи обычно с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения.
Стоит особо отметить тот факт, что файл, который находится на подложной странице, обладает электронной цифровой подписью компании Inter Technologies и определяется выдавшим ЭЦП ресурсом www.usertrust.com как доверенный.
Сразу после обнаружения червя Worm.Win32.GetCodec.a его сигнатуры были добавлены в антивирусные базы «Лаборатории Касперского».
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
а интересно, многие проверяют свои коллекции мп3шек антивирусом?
Dis is one half.
Press any key to continue...
-
-
Сообщение от
Гриша
Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу.
Шаровой конвертер с доп. функционалом.
-
Не успел скачать, зверька с хостинга уже убрали... :|
-
-
Ну что же все не так плохо, во-первых я убил Internet Explorer и открыться он не сможет, а во-вторых я всегда и все файлы скаченые с интернета проверяю антивирусом вне зависимости от того, mp3 там или что-то другое, это ответ на вопрос Karlson
Kaspersky Internet Security 2013 и Windows 8 Профессионал с Media Center
Стандартный пользователь + Политики ограниченного использования программ
-
-
Интересный способ заражения. Простотой напоминает мой любимый WMF-иксплоит.
sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию "скачивать нужные кодеки". А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg...
Добавлено через 1 минуту
Особый интерес представляет компрометация цифровой подписи, упомянутая в конце новости. Посмотрим, как отреагирует COMODO (владелец www.usertrust.com, выдавший право подписи злоумышленнику).
Последний раз редактировалось DVi; 16.07.2008 в 23:24.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
У меня таким способом заражено большинство аудио и видефайлов. Что делать? Я не хочу их удалять! Как мне их вылечить?! ПОМОГИТЕ! У меня паника!
-
Сообщение от
DVi
Особый интерес представляет компрометация цифровой подписи, упомянутая в конце новости. Посмотрим, как отреагирует COMODO (владелец
www.usertrust.com, выдавший право подписи злоумышленнику).
Мало ли подписанной мальвари, что ли?
-
Сообщение от
DVi
sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию "скачивать нужные кодеки". А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg...
К слову сказать в твикере приватности KIS 2009 предлагает отключить отправку запроса на недостающий кодек, правда отключает это он только в WMP. Как следствие в целях профилактики это можно сделать, я например у себя эту фичу давно отключил ...
Добавлено через 1 минуту
Сообщение от
borka
Мало ли подписанной мальвари, что ли?
Ну, подпись то подписи рознь ... тем более что тут не только подпись, а целая схема - эксплоит в медиафайлах, подписанный псевдокодек ...
Последний раз редактировалось Зайцев Олег; 16.07.2008 в 23:35.
Причина: Добавлено
-
-
Сообщение от
Зайцев Олег
Ну, подпись то подписи рознь ... тем более что тут не только подпись, а целая схема - эксплоит в медиафайлах, подписанный псевдокодек ...
Полагаю, файл подписан вне зависимости от наличия эксплойта в медиафайле. Не эксплойтом, так как-нить по-другому впингвинивали бы.
-
Сообщение от
borka
Мало ли подписанной мальвари, что ли?
Для того, чтобы файл подписать, надо приобрести это самое право подписи. Разгласив свои приватные данные доверенному центру (в данном случае - www.usertrust.com). Собственно, на этом основывается вся эта система доверия. Если подпись скомпрометирована, выпускается отзыв на данный сертификат - и в течении короткого времени этот отзыв попадает всем желающим проверить данную подпись (кроме тех, кто заблокировал у себя автоматического обновление сертификатов).
В теории, конечно. Посмотрим, что будет на практике.
-
-
Сообщение от
DVi
sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию "скачивать нужные кодеки". А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg....
Эта опция у меня тоже отключена.
Kaspersky Internet Security 2013 и Windows 8 Профессионал с Media Center
Стандартный пользователь + Политики ограниченного использования программ
-
-
-
-
Сообщение от
Гриша
Зараженные музыкальные файлы излечимы?
Последний раз редактировалось borka; 21.07.2008 в 00:42.
Причина: уточнено
---
С уважением,
Borka.
-
Немного странно, что только сейчас обратили внимание на эту бяку, ибо ей уже больше месяца. Восстановление файлов возможно без перекодирования/транскодирования (т.е. без потери в качестве и быстро), а посредством прямого копирования MP3-потока из ASF в собственно MP3. Это может сделать FFmpeg, скачать бинарники можно, к примеру здесь или здесь. Заодно приведу код командного файла, позволяющий автоматизировать процесс:
Код:
@echo off
%~d0
cd %~d0%~p0
for /R %1 %%I IN ("*.mp3") do (
ren "%%I" "%%~nI%%~xI.bak"
ffmpeg.exe -i "%%I.bak" -vn -acodec copy -map_meta_data 0:0 "%%I"
if ERRORLEVEL 1 (
echo %%I >> "errors.log"
ren "%%I.bak" "%%~nI%%~xI"
) else (
echo %%I >> "processed.log"
)
)
Использование: cоздать cmd или bat файл в каталоге с ffmpeg.exe, скопировать в него приведенный выше код. Перетащить на него папку с поврежденными mp3 файлами. Все mp3 файлы, в т.ч. находящиеся в подкаталогах (рекурсивный обход) будут восстановлены в "чистые" mp3. Обработка ошибок на базовом уровне, инфицированные оригиналы сохраняются с расширением bak. Логи сохраняются в processed.log и errors.log соответственно.
-
Junior Member
- Вес репутации
- 60
Интересная штука обнаружилась:
Зараженный мп3 файл закидываю в СаундФорж. В начале файла стоит метка с ссылкой. Она удаляется просто, но файл так и остается wma. Приходится конвертировать обратно в mp3.
(20 Кб)
Добавлено через 2 минуты
Norst, только 1 раз сработал. Потом просто при запуске ДОСовское окно появляется и быстро исчезает. Ничего не происходит.
Последний раз редактировалось valakandre; 11.09.2008 в 12:19.
Причина: Добавлено