Показано с 1 по 16 из 16.

«Лаборатория Касперского» сообщает об обнаружении червя, заражающего аудиофайлы

  1. #1
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786

    «Лаборатория Касперского» сообщает об обнаружении червя, заражающего аудиофайлы

    «Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об обнаружении вредоносной программы, заражающей аудиофайлы формата WMA. Целью заражения является загрузка троянской программы, позволяющей злоумышленнику установить контроль над компьютером пользователя.

    Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным ПК.

    До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом. Особенностью же данного червя является заражение чистых аудиофайлов, что, по словам вирусных аналитиков «Лаборатории Касперского», является первым случаем подобного рода и повышает вероятность успешной атаки, так как пользователи обычно с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения.

    Стоит особо отметить тот факт, что файл, который находится на подложной странице, обладает электронной цифровой подписью компании Inter Technologies и определяется выдавшим ЭЦП ресурсом www.usertrust.com как доверенный.

    Сразу после обнаружения червя Worm.Win32.GetCodec.a его сигнатуры были добавлены в антивирусные базы «Лаборатории Касперского».

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Karlson
    Регистрация
    06.12.2007
    Адрес
    Химки.
    Сообщений
    555
    Вес репутации
    152
    а интересно, многие проверяют свои коллекции мп3шек антивирусом?
    Dis is one half.
    Press any key to continue...

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    797
    Цитата Сообщение от Гриша Посмотреть сообщение
    Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу.
    Шаровой конвертер с доп. функционалом.
    ---
    С уважением,
    Borka.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muffler
    Регистрация
    03.05.2006
    Адрес
    U.S.
    Сообщений
    713
    Вес репутации
    828
    Не успел скачать, зверька с хостинга уже убрали... :|

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для sergey888
    Регистрация
    28.06.2007
    Адрес
    The pirate bay
    Сообщений
    471
    Вес репутации
    344
    Ну что же все не так плохо, во-первых я убил Internet Explorer и открыться он не сможет, а во-вторых я всегда и все файлы скаченые с интернета проверяю антивирусом вне зависимости от того, mp3 там или что-то другое, это ответ на вопрос Karlson
    Kaspersky Internet Security 2013 и Windows 8 Профессионал с Media Center
    Стандартный пользователь + Политики ограниченного использования программ

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Интересный способ заражения. Простотой напоминает мой любимый WMF-иксплоит.

    sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию "скачивать нужные кодеки". А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg...

    Добавлено через 1 минуту

    Особый интерес представляет компрометация цифровой подписи, упомянутая в конце новости. Посмотрим, как отреагирует COMODO (владелец www.usertrust.com, выдавший право подписи злоумышленнику).
    Последний раз редактировалось DVi; 16.07.2008 в 22:24. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    1
    Вес репутации
    36
    У меня таким способом заражено большинство аудио и видефайлов. Что делать? Я не хочу их удалять! Как мне их вылечить?! ПОМОГИТЕ! У меня паника!

  9. #8
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    797
    Цитата Сообщение от DVi Посмотреть сообщение
    Особый интерес представляет компрометация цифровой подписи, упомянутая в конце новости. Посмотрим, как отреагирует COMODO (владелец www.usertrust.com, выдавший право подписи злоумышленнику).
    Мало ли подписанной мальвари, что ли?
    ---
    С уважением,
    Borka.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,228
    Вес репутации
    3387
    Цитата Сообщение от DVi Посмотреть сообщение
    sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию "скачивать нужные кодеки". А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg...
    К слову сказать в твикере приватности KIS 2009 предлагает отключить отправку запроса на недостающий кодек, правда отключает это он только в WMP. Как следствие в целях профилактики это можно сделать, я например у себя эту фичу давно отключил ...

    Добавлено через 1 минуту

    Цитата Сообщение от borka Посмотреть сообщение
    Мало ли подписанной мальвари, что ли?
    Ну, подпись то подписи рознь ... тем более что тут не только подпись, а целая схема - эксплоит в медиафайлах, подписанный псевдокодек ...
    Последний раз редактировалось Зайцев Олег; 16.07.2008 в 22:35. Причина: Добавлено

  11. #10
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    797
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Ну, подпись то подписи рознь ... тем более что тут не только подпись, а целая схема - эксплоит в медиафайлах, подписанный псевдокодек ...
    Полагаю, файл подписан вне зависимости от наличия эксплойта в медиафайле. Не эксплойтом, так как-нить по-другому впингвинивали бы.
    ---
    С уважением,
    Borka.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Цитата Сообщение от borka Посмотреть сообщение
    Мало ли подписанной мальвари, что ли?
    Для того, чтобы файл подписать, надо приобрести это самое право подписи. Разгласив свои приватные данные доверенному центру (в данном случае - www.usertrust.com). Собственно, на этом основывается вся эта система доверия. Если подпись скомпрометирована, выпускается отзыв на данный сертификат - и в течении короткого времени этот отзыв попадает всем желающим проверить данную подпись (кроме тех, кто заблокировал у себя автоматического обновление сертификатов).

    В теории, конечно. Посмотрим, что будет на практике.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для sergey888
    Регистрация
    28.06.2007
    Адрес
    The pirate bay
    Сообщений
    471
    Вес репутации
    344
    Цитата Сообщение от DVi Посмотреть сообщение
    sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию "скачивать нужные кодеки". А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg....
    Эта опция у меня тоже отключена.
    Kaspersky Internet Security 2013 и Windows 8 Профессионал с Media Center
    Стандартный пользователь + Политики ограниченного использования программ

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786

  15. #14
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    797
    Цитата Сообщение от Гриша Посмотреть сообщение
    Зараженные музыкальные файлы излечимы?
    Последний раз редактировалось borka; 20.07.2008 в 23:42. Причина: уточнено
    ---
    С уважением,
    Borka.

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.07.2008
    Сообщений
    1
    Вес репутации
    69
    Немного странно, что только сейчас обратили внимание на эту бяку, ибо ей уже больше месяца. Восстановление файлов возможно без перекодирования/транскодирования (т.е. без потери в качестве и быстро), а посредством прямого копирования MP3-потока из ASF в собственно MP3. Это может сделать FFmpeg, скачать бинарники можно, к примеру здесь или здесь. Заодно приведу код командного файла, позволяющий автоматизировать процесс:
    Код:
    @echo off
    %~d0
    cd %~d0%~p0
    for /R %1 %%I IN ("*.mp3") do (
    	ren "%%I" "%%~nI%%~xI.bak"
    	ffmpeg.exe -i "%%I.bak" -vn -acodec copy -map_meta_data 0:0 "%%I"
    	if ERRORLEVEL 1 (
    		echo %%I >> "errors.log"
    		ren "%%I.bak" "%%~nI%%~xI"
    	) else (
    		echo %%I >> "processed.log"
    	)
    )
    Использование: cоздать cmd или bat файл в каталоге с ffmpeg.exe, скопировать в него приведенный выше код. Перетащить на него папку с поврежденными mp3 файлами. Все mp3 файлы, в т.ч. находящиеся в подкаталогах (рекурсивный обход) будут восстановлены в "чистые" mp3. Обработка ошибок на базовом уровне, инфицированные оригиналы сохраняются с расширением bak. Логи сохраняются в processed.log и errors.log соответственно.

  17. #16
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    1
    Вес репутации
    37
    Интересная штука обнаружилась:
    Зараженный мп3 файл закидываю в СаундФорж. В начале файла стоит метка с ссылкой. Она удаляется просто, но файл так и остается wma. Приходится конвертировать обратно в mp3.
    (20 Кб)

    Добавлено через 2 минуты

    Norst, только 1 раз сработал. Потом просто при запуске ДОСовское окно появляется и быстро исчезает. Ничего не происходит.
    Последний раз редактировалось valakandre; 11.09.2008 в 11:19. Причина: Добавлено

Похожие темы

  1. «Лаборатория Касперского» сообщает о патентовании аппаратного антивируса
    От Гриша в разделе Новости компьютерной безопасности
    Ответов: 18
    Последнее сообщение: 17.02.2010, 11:05
  2. Ответов: 14
    Последнее сообщение: 04.08.2008, 16:47
  3. Ответов: 0
    Последнее сообщение: 30.03.2006, 13:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01247 seconds with 16 queries