Nye Worm Transcodes MP3s for å prøve å infisere PCer

En ny type ondsinnet programvare kan utgjøre en fare for Windows-brukere som laster ned musikkfiler på peer-to-peer-nettverk.

Den nye malware setter inn koblinger til farlige nettsider innenfor ASF (Advanced Systems Format) mediefiler.

"Muligheten for dette har vært kjent for en liten stund, men dette er første gang vi har sett det gjort," sa David Emm, senior teknologikonsulent for sikkerhetsleverandøren Kaspersky Lab.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Advanced Systems Format er et Microsoft-definert containerformat for lyd- og videostrømmer som også kan inneholde vilkårlig innhold som bilder eller koblinger til webressurser.

Hvis en bruker spiller en infisert musikkfil, den vil starte Internet Explorer og laste en ondsinnet Vi b-side som ber brukeren om å laste ned en kodek, et kjent kjennetegn for å få noen til å laste ned skadelig programvare.

Den faktiske nedlastingen er ikke en kodek, men en trojansk hest som installerer et proxy-program på PCen, sa Emm. Proxy-programmet tillater hackere å lede annen trafikk gjennom den kompromitterte PCen, slik at hackeren i hovedsak dekker sporene sine for annen ondsinnet aktivitet, sier Emm.

Malware har ormlignende egenskaper. En gang på en PC ser den etter MP3- eller MP2-lydfiler, krypterer dem til Microsofts Windows Media Audio-format, bryter dem i en ASF-beholder og legger til koblinger til ytterligere kopier av skadelig programvare, i de tilfeller av kodek, i henhold til en annen sikkerhet analytiker, sikker databehandling.

Utvidelsen ".mp3" av filene er ikke endret, slik at ofrene kanskje ikke merker endringen umiddelbart, ifølge Kaspersky Lab.

Mest kjente PC-brukere er klar over codec ruse, men angrepstilstanden er fortsatt effektiv, siden mange mediespillere trenger å motta oppdaterte kodeker av og til for å kunne spille av filer.

"Brukere som laster ned fra P2P-nettverk må likevel være forsiktige, men bør også være sensitive for popup-vinduer vises ved å spille av en nedlastet video- eller lydstrøm, sa "Secure Computing".

Brukere på et digitalt lydentusiaststed var forskjellig fra farlig nivået av skadelig programvare.

"Jeg tillater aldri programmer å velge hvilke kodeker jeg bruker til å spille tilbake media, "skrev JXL på Hydrogen A Utio forum "Jeg undersøker det og får kodekbunter av nettsteder jeg kjenner til å være troverdige, og selv da skanner jeg fortsatt dem og kontrollerer at de er det de er. Jeg føler ærlig ikke at denne malware har en veldig god sjanse til å spre raskt. "

Men de fleste brukere vil trolig tro at spørsmålet om å laste ned en codec er bare rutinemessig, skrev en bruker av kallenavnet til Citay på samme forum.

"Jeg tror at utenfor en minoritet av brukere som virkelig vet om alle farene som innebærer bruk av Internett, har de aller fleste mennesker ingen anelse om at en slik kodec-nedlasting kan føre til en trojansk infeksjon," skrev Citay.

Trend Micro kaller malware "Troj_Medpinch.a," Secure Computing kalt det "" Trojan.ASF.Hijacker.gen "og Kaspersky kaller det" Worm.Win32.GetCodec.a. "