Az új féregkódok MP3-k, amelyek megpróbálhatják PC-k fertőzését

Egy újfajta rosszindulatú szoftver veszélyt jelenthet a Windows-felhasználók számára, akik zenei fájlokat töltenek le peer-to-peer hálózatokon.

Az új rosszindulatú szoftverek az ASF (Advanced Systems Formátum) médiafájlokat.

"Ez a lehetőség már régóta ismert, de ez az első alkalom, amikor láttuk," - mondta David Emm, a Kaspersky Lab biztonsági értékesítési tanácsadója.

[További olvasnivalók: A rosszindulatú programok eltávolítása a Windows számítógépről]

Az Advanced Systems Format egy Microsoft által definiált konténerformátum az audió és videó streamek számára, amelyek tetszőleges tartalmakat is tartalmazhatnak, például képeket vagy webes erőforrásokra mutató hivatkozásokat.

Ha a felhasználó fertőzött zeneszámot játszik le, elindítja az Internet Explorert és betölti a rosszindulatú Mi b oldal, amely arra kéri a felhasználót, hogy töltsön le egy kodekről, egy jól ismert trükkről, hogy valaki letöltse a rosszindulatú programokat.

A tényleges letöltés nem egy kodek, hanem egy trójai program, amely egy proxy programot telepít a PC-re, mondta Emm. A proxy program lehetővé teszi a hackerek számára, hogy más kompromisszumokat irányítsanak a kompromisszumos PC-n keresztül, ezzel segítve ezzel a hacker számára a rosszindulatú tevékenységüket. "

A rosszindulatú szoftverek féregszerű tulajdonságokkal rendelkeznek. Egyszer a számítógépre keres MP3 vagy MP2 hangfájlokat, átkódolja őket a Microsoft Windows Media Audio formátumába, lezárja őket egy ASF tárolóba, és hozzáad egy linket a rosszindulatú programok további példányaihoz, egy másik biztonsági kód szerint elemző, a Secure Computing

A fájlok ".mp3" kiterjesztése azonban nem módosult, így a kaszkád nem tud azonnal észrevenni a változást a Kaspersky Lab szerint.

A legtöbb tapasztalt PC-felhasználó tisztában van a codec ruse, de a támadás stílusa továbbra is hatékony, mivel sok médialejátszónak időnként frissített codec-eket kell kapnia a fájlok lejátszásához.

"A P2P-hálózatokról letöltött felhasználóknak óvatosnak kell lenniük, de érzékenyeknek kell lenniük a felugró ablakokra is megjelenik a letöltött videó vagy audio stream lejátszásakor. "

A digitális audio-rajongó webhelyén lévő felhasználók eltérnek a rosszindulatú programok veszélyességi szintjétől.

" Soha nem engedem meg a programoknak, hogy melyik codec-eket használják játszani háttéranyagot "írta JXL a Hidrogén A-ról udio fórum "Megvizsgálom, és megkapom a kodekeket olyan helyekről, amelyekről tudom, hogy megbízhatóak lesznek, és még akkor is beolvasom őket, és ellenőrizem, hogy ők azok. Őszintén szólva nem érzem, hogy ez a rosszindulatú program nagyon jó eséllyel rendelkezik a gyors terjesztésre. "

De a legtöbb felhasználó valószínűleg úgy gondolja, hogy a kodek letöltésére irányuló kérés csak rutinszerű vállalkozás, írta egy felhasználót a Citay beceneve ugyanazon "Úgy gondolom, hogy azon felhasználók egy kisebb részén kívül, akik igazán ismerik az internethasználattal járó összes veszélyt, az emberek túlnyomó többségének fogalma sincs, hogy egy ilyen codec letöltés trójai fertőzéshez vezethet" - írta Citay.

A Trend Micro felhívja a "Troj_Medpinch.a" nevű, "Secure Computing" nevű "Trojan.ASF.Hijacker.gen" nevű kártevőt, és a "Worm.Win32.GetCodec.a" nevű "Kaspersky"