Niebezpieczne pliki audio

Firma Kaspersky Lab poinformowała o wykryciu robaka, który infekuje pliki WMA. Jego celem jest przejęcie kontroli nad zainfekowanym komputerem.

Jest to najprawdopodobniej pierwszy przypadek rzeczywistego infekowania plików audio. Wcześniejsze robaki używały plików muzycznych (WMA) do maskowania swojej obecności w systemie (w rzeczywistości nie były to pliki muzyczne).

Działanie robaka o nazwie Worm.Win32.GetCodec.a polega na zamianie plików mp3 na pliki WMA (Windows Media Player) bez zmiany rozszerzenia .mp3. Do zmienionych plików dodaje następnie znacznik z odsyłaczem do zainfekowanej strony. Aktywuje się on podczas próby odtworzenia pliku muzycznego i ładuje zainfekowaną stronę w przeglądarce Internet Explorer, na której widnieje informacja o konieczności ściągnięcia i zainstalowania kodeku. Jeśli użytkownik zdecyduje się na instalację – pobiera w rzeczywistości nie kodek, a trojana o nazwie Trojan-Proxy.Win32.Agent.arp, dając tym samym cyberprzestępcom dostęp do swojego komputera.

Prawdopodobieństwo ataku jest tym większe, że internauci na ogół nie łączą plików muzycznych z możliwością infekcji. Również plik na zainfekowanej stronie internetowej jest cyfrowo podpisany przez Inter Technologies i jest identyfikowany przez www.usertrust.com, który wydał podpis cyfrowy, jako godny zaufania.