Robak zarażający pliki audio

Firma Kaspersky Lab poinformowała o wykryciu szkodliwego programu – robaka internetowego – infekującego pliki audio w formacie Windows Media Audio (WMA). Atakowane są także pliki MP3, które są zamieniane przez szkodnika na pliki WMA bez zmiany rozszerzenia pliku.
Robak Worm.Win32.GetCodec.a, oprócz zmiany plików MP3 w WMA, dodaje do zmodyfikowanych danych znacznik z odsyłaczem do strony internetowej. W momencie, gdy użytkownik rozpocznie odtwarzanie zarażonego pliku audio, uaktywnia się dodany znacznik, w wyniku czego otwiera się przeglądarka Internet Explorer, do której jest wczytywana strona z informacją o rzekomo niezbędnym kodeku do odtworzenia danego pliku. Wskazywany "kodek" jest w rzeczywistości koniem trojańskim Trojan-Proxy.Win32.Agent.arp, który umożliwia przejęcie całkowitej kontroli nad zainfekowaną maszyną.

Zdaniem analityków z Kaspersky Lab warte podkreślenia jest to, że mamy do czynienia z pierwszym takim zagrożeniem, kiedy format WMA nie jest wykorzystywany do maskowania obecności szkodnika w systemie (czyli, że zainfekowany obiekt WMA nie jest rzeczywistym plikiem audio), lecz następuje faktyczna infekcja plików audio. W wyniku infekcji nie pojawiają się w systemie nowe, fałszywe pliki WMA, lecz jest infekowana kolekcja muzyczna użytkownika.

Sytuację pogarsza też fakt, że plik z trojanem, do którego prowadzi odsyłacz wprowadzany do zainfekowanych piosenek, jest podpisany cyfrowo (przez "firmę" Inter Technologies) i jest identyfikowany przez www.usertrust.com – wydawcę podpisu cyfrowego – jako godny zaufania.

Źródło: Informacja prasowa