«Лаборатория Касперского» сообщает об обнаружении червя, заражающего аудиофайлы

[Гриша]

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает об обнаружении вредоносной программы, заражающей аудиофайлы формата WMA. Целью заражения является загрузка троянской программы, позволяющей злоумышленнику установить контроль над компьютером пользователя.

Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным ПК.

До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом. Особенностью же данного червя является заражение чистых аудиофайлов, что, по словам вирусных аналитиков «Лаборатории Касперского», является первым случаем подобного рода и повышает вероятность успешной атаки, так как пользователи обычно с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения.

Стоит особо отметить тот факт, что файл, который находится на подложной странице, обладает электронной цифровой подписью компании Inter Technologies и определяется выдавшим ЭЦП ресурсом www.usertrust.com как доверенный.

Сразу после обнаружения червя Worm.Win32.GetCodec.a его сигнатуры были добавлены в антивирусные базы «Лаборатории Касперского».

[Karlson]

а интересно, многие проверяют свои коллекции мп3шек антивирусом?

[borka]

Червь, получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA (при этом сохраняя расширение mp3) и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу.

Шаровой конвертер с доп. функционалом.

[Muffler]

Не успел скачать, зверька с хостинга уже убрали... :|

[sergey888]

Ну что же все не так плохо, во-первых я убил Internet Explorer и открыться он не сможет, а во-вторых я всегда и все файлы скаченые с интернета проверяю антивирусом вне зависимости от того, mp3 там или что-то другое, это ответ на вопрос Karlson

[DVi]

Интересный способ заражения. Простотой напоминает мой любимый WMF-иксплоит.

sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию "скачивать нужные кодеки". А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg...

Добавлено через 1 минуту

Особый интерес представляет компрометация цифровой подписи, упомянутая в конце новости. Посмотрим, как отреагирует COMODO (владелец www.usertrust.com, выдавший право подписи злоумышленнику).

[Alexei12345]

У меня таким способом заражено большинство аудио и видефайлов. Что делать? Я не хочу их удалять! Как мне их вылечить?! ПОМОГИТЕ! У меня паника!

[borka]

Особый интерес представляет компрометация цифровой подписи, упомянутая в конце новости. Посмотрим, как отреагирует COMODO (владелец www.usertrust.com, выдавший право подписи злоумышленнику).

Мало ли подписанной мальвари, что ли?

[Зайцев Олег]

sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию "скачивать нужные кодеки". А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg...

К слову сказать в твикере приватности KIS 2009 предлагает отключить отправку запроса на недостающий кодек, правда отключает это он только в WMP. Как следствие в целях профилактики это можно сделать, я например у себя эту фичу давно отключил ...

Добавлено через 1 минуту

Мало ли подписанной мальвари, что ли?

Ну, подпись то подписи рознь ... тем более что тут не только подпись, а целая схема - эксплоит в медиафайлах, подписанный псевдокодек ...

[borka]

Ну, подпись то подписи рознь ... тем более что тут не только подпись, а целая схема - эксплоит в медиафайлах, подписанный псевдокодек ...

Полагаю, файл подписан вне зависимости от наличия эксплойта в медиафайле. Не эксплойтом, так как-нить по-другому впингвинивали бы.

[DVi]

Мало ли подписанной мальвари, что ли?

Для того, чтобы файл подписать, надо приобрести это самое право подписи. Разгласив свои приватные данные доверенному центру (в данном случае - www.usertrust.com). Собственно, на этом основывается вся эта система доверия. Если подпись скомпрометирована, выпускается отзыв на данный сертификат - и в течении короткого времени этот отзыв попадает всем желающим проверить данную подпись (кроме тех, кто заблокировал у себя автоматического обновление сертификатов).

В теории, конечно. Посмотрим, что будет на практике.

[sergey888]

sergey888, антивирусная проверка MP3-файла может и не принести никаких результатов, т.к. реальная зараза тянется под видом кодека из инета. И, кстати, в теории вовсе не нужно запускать IE - достаточно иметь в проигрывателе включенной опцию "скачивать нужные кодеки". А эта опция включена во всех проигрывателях по умолчанию - спасибо изобретателям сотни стандартов mpeg....

Эта опция у меня тоже отключена.

[Гриша]

Первая ласточка http://forum.kaspersky.com/index.php?showtopic=77478

[borka]

Первая ласточка http://forum.kaspersky.com/index.php?showtopic=77478

Зараженные музыкальные файлы излечимы?

[Norst]

Немного странно, что только сейчас обратили внимание на эту бяку, ибо ей уже больше месяца. Восстановление файлов возможно без перекодирования/транскодирования (т.е. без потери в качестве и быстро), а посредством прямого копирования MP3-потока из ASF в собственно MP3. Это может сделать FFmpeg, скачать бинарники можно, к примеру здесь или здесь. Заодно приведу код командного файла, позволяющий автоматизировать процесс:

Код:

@echo off
%~d0
cd %~d0%~p0
for /R %1 %%I IN ("*.mp3") do (
	ren "%%I" "%%~nI%%~xI.bak"
	ffmpeg.exe -i "%%I.bak" -vn -acodec copy -map_meta_data 0:0 "%%I"
	if ERRORLEVEL 1 (
		echo %%I >> "errors.log"
		ren "%%I.bak" "%%~nI%%~xI"
	) else (
		echo %%I >> "processed.log"
	)
)

Использование: cоздать cmd или bat файл в каталоге с ffmpeg.exe, скопировать в него приведенный выше код. Перетащить на него папку с поврежденными mp3 файлами. Все mp3 файлы, в т.ч. находящиеся в подкаталогах (рекурсивный обход) будут восстановлены в "чистые" mp3. Обработка ошибок на базовом уровне, инфицированные оригиналы сохраняются с расширением bak. Логи сохраняются в processed.log и errors.log соответственно.

[valakandre]

Интересная штука обнаружилась:
Зараженный мп3 файл закидываю в СаундФорж. В начале файла стоит метка с ссылкой. Она удаляется просто, но файл так и остается wma. Приходится конвертировать обратно в mp3.
(20 Кб)

Добавлено через 2 минуты

Norst, только 1 раз сработал. Потом просто при запуске ДОСовское окно появляется и быстро исчезает. Ничего не происходит.