Nye Worm Transcodes MP3s for at forsøge at inficere pc'er

En ny form for ondsindet software kan udgøre en fare for Windows-brugere, som downloader musikfiler på peer-to-peer-netværk.

Den nye malware indsætter links til farlige websider inden for ASF (Advanced Systems Format) mediefiler.

"Muligheden for dette har været kendt i et stykke tid, men det er første gang, vi har set det gjort," sagde David Emm, senior teknologisk konsulent for sikkerhedsleverandøren Kaspersky Lab.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Advanced Systems Format er et Microsoft-defineret containerformat til lyd- og videostrømme, der også kan indeholde vilkårlig indhold som billeder eller links til webressourcer. en bruger afspiller en inficeret musikfil, den starter Internet Explorer og indlæser en ondsindet Vi b-side, der beder brugeren om at downloade en codec, et velkendt trick for at få nogen til at downloade malware.

Den faktiske download er ikke en codec, men en trojansk hest, som installerer et proxy-program på pc'en, sagde Emm. Proxy-programmet giver hackere mulighed for at lede anden trafik gennem den kompromitterede pc, hvilket hjælper hackeren med at dække deres spor for andre ondsindede aktiviteter, siger Emm.

Malware har ormlignende kvaliteter. En gang på en pc kigger den efter MP3- eller MP2-lydfiler, krypterer dem til Microsofts Windows Media Audio-format, indpakker dem i en ASF-container og tilføjer links til yderligere kopier af malware, som er dækket af en codec, ifølge en anden sikkerhed analytiker, Secure Computing.

Udvidelsen af ​​".mp3" -filerne ændres ikke, men ofrene kan ikke straks mærke ændringen, ifølge Kaspersky Lab.

Mest kendte pc-brugere er opmærksomme på codec ruse, men angrebsstilen er stadig effektiv, da mange medieafspillere i nogle tilfælde skal modtage opdaterede kodeker for at kunne afspille filer.

"Brugere, der henter fra P2P-netværk, skal alligevel være forsigtige, men de bør også være følsomme over for pop-ups vises ved afspilning af en downloadet video- eller lyd-stream, siger "Secure Computing".

Brugere på et digitalt audio-entusiaststed var forskelligt over malwareens fareniveau.

"Jeg tillader aldrig programmer at vælge hvilke codecs jeg bruger til at spille tilbage medier ", skrev JXL på Hydrogen A udio forum "Jeg undersøger det og får codec bundlerne af websteder, som jeg ved, at være troværdige, og selv da scanner jeg stadig dem og kontrollerer, at de er, hvad de er. Jeg mener ærligt ikke, at denne malware har en meget god chance for at sprede sig hurtigt. "

Men de fleste brugere vil sandsynligvis tro, at prompten til at downloade en codec er bare rutinemæssig virksomhed, skrev en bruger med Citay kaldenavnet på samme forum.

"Jeg tror, ​​at uden for et mindretal af brugere, der virkelig kender til alle de farer, der indebærer internetbrug, har de fleste mennesker ingen anelse om, at en sådan codec-download kan føre til en trojansk infektion," skrev Citay.

Trend Micro kalder malware "Troj_Medpinch.a," Secure Computing hedder det "" Trojan.ASF.Hijacker.gen "og Kaspersky kalder det" Worm.Win32.GetCodec.a. "