# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  «Лаборатория Касперского» сообщает об обнаружении червя, заражающего аудиофайлы

## Гриша

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об обнаружении вредоносной программы, заражающей аудиофайлы формата WMA. Целью заражения является загрузка троянской программы, позволяющей злоумышленнику установить контроль над компьютером пользователя. 

Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным ПК. 

До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом. Особенностью же данного червя является заражение чистых аудиофайлов, что, по словам вирусных аналитиков «Лаборатории Касперского», является первым случаем подобного рода и повышает вероятность успешной атаки, так как пользователи обычно с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения. 

Стоит особо отметить тот факт, что файл, который находится на подложной странице, обладает электронной цифровой подписью компании Inter Technologies и определяется выдавшим ЭЦП ресурсом www.usertrust.com как доверенный.

Сразу после обнаружения червя Worm.Win32.GetCodec.a его сигнатуры были добавлены в антивирусные базы «Лаборатории Касперского».

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Karlson

а интересно, многие проверяют свои коллекции мп3шек антивирусом?

----------


## borka

> Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу.


Шаровой конвертер с доп. функционалом.  :Smiley:

----------


## Muffler

Не успел скачать, зверька с хостинга уже убрали... :|

----------


## sergey888

Ну что же все не так плохо, во-первых я убил Internet Explorer и открыться он не сможет, а во-вторых я всегда и все файлы скаченые с интернета проверяю антивирусом вне зависимости от того, mp3 там или что-то другое, это ответ на вопрос Karlson

----------


## DVi

Интересный способ заражения. Простотой напоминает мой любимый WMF-иксплоит.

sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию "скачивать нужные кодеки". А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg...

*Добавлено через 1 минуту*

Особый интерес представляет компрометация цифровой подписи, упомянутая в конце новости. Посмотрим, как отреагирует COMODO (владелец www.usertrust.com, выдавший право подписи злоумышленнику).

----------


## Alexei12345

У меня таким способом заражено большинство аудио и видефайлов. Что делать? Я не хочу их удалять! Как мне их вылечить?! ПОМОГИТЕ! У меня паника!  :Sad:

----------


## borka

> Особый интерес представляет компрометация цифровой подписи, упомянутая в конце новости. Посмотрим, как отреагирует COMODO (владелец www.usertrust.com, выдавший право подписи злоумышленнику).


Мало ли подписанной мальвари, что ли?

----------


## Зайцев Олег

> sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию "скачивать нужные кодеки". А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg...


К слову сказать в твикере приватности KIS 2009 предлагает отключить отправку запроса на недостающий кодек, правда отключает это он только в WMP. Как следствие в целях профилактики это можно сделать, я например у себя эту фичу давно отключил ...

*Добавлено через 1 минуту*




> Мало ли подписанной мальвари, что ли?


Ну, подпись то подписи рознь ... тем более что тут не только подпись, а целая схема - эксплоит в медиафайлах, подписанный псевдокодек ...

----------


## borka

> Ну, подпись то подписи рознь ... тем более что тут не только подпись, а целая схема - эксплоит в медиафайлах, подписанный псевдокодек ...


Полагаю, файл подписан вне зависимости от наличия эксплойта в медиафайле. Не эксплойтом, так как-нить по-другому впингвинивали бы.

----------


## DVi

> Мало ли подписанной мальвари, что ли?


Для того, чтобы файл подписать, надо приобрести это самое право подписи. Разгласив свои приватные данные доверенному центру (в данном случае - www.usertrust.com). Собственно, на этом основывается вся эта система доверия. Если подпись скомпрометирована, выпускается отзыв на данный сертификат - и в течении короткого времени этот отзыв попадает всем желающим проверить данную подпись (кроме тех, кто заблокировал у себя автоматического обновление сертификатов).

В теории, конечно. Посмотрим, что будет на практике.

----------


## sergey888

> sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию &quot;скачивать нужные кодеки&quot;. А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg....


 Эта опция у меня тоже отключена.

----------


## Гриша

Первая ласточка http://forum.kaspersky.com/index.php?showtopic=77478

----------


## borka

> Первая ласточка http://forum.kaspersky.com/index.php?showtopic=77478


Зараженные музыкальные файлы излечимы?

----------


## Norst

Немного странно, что только сейчас обратили внимание на эту бяку, ибо ей уже больше месяца. Восстановление файлов возможно без перекодирования/транскодирования (т.е. без потери в качестве и быстро), а посредством прямого копирования MP3-потока из ASF в собственно MP3. Это может сделать FFmpeg, скачать бинарники можно, к примеру здесь или здесь. Заодно приведу код командного файла, позволяющий автоматизировать процесс:


```
@echo off
%~d0
cd %~d0%~p0
for /R %1 %%I IN ("*.mp3") do (
	ren "%%I" "%%~nI%%~xI.bak"
	ffmpeg.exe -i "%%I.bak" -vn -acodec copy -map_meta_data 0:0 "%%I"
	if ERRORLEVEL 1 (
		echo %%I >> "errors.log"
		ren "%%I.bak" "%%~nI%%~xI"
	) else (
		echo %%I >> "processed.log"
	)
)
```

Использование: cоздать cmd или bat файл в каталоге с ffmpeg.exe, скопировать в него приведенный выше код. Перетащить на него *папку* с поврежденными mp3 файлами. Все mp3 файлы, в т.ч. находящиеся в подкаталогах (рекурсивный обход) будут восстановлены в "чистые" mp3. Обработка ошибок на базовом уровне, инфицированные оригиналы сохраняются с расширением bak. Логи сохраняются в processed.log и errors.log соответственно.

----------


## valakandre

Интересная штука обнаружилась:
Зараженный мп3 файл закидываю в СаундФорж. В начале файла стоит метка с ссылкой. Она удаляется просто, но файл так и остается wma. Приходится конвертировать обратно в mp3.
 (20 Кб)

*Добавлено через 2 минуты*

Norst, только 1 раз сработал. Потом просто при запуске ДОСовское окно появляется и быстро исчезает. Ничего не происходит.

----------

