Andrea se conecta ansiosa al eMule para descargar el último capítulode Prison Break que se estrenó hace una hora en Estados Unidos."¡Perfecto! ¡Un usuario conectado compartiendo el archivo!". Ladescarga se completa y se dispone a verlo sin más dilación
"quéextraño, Windows Media Player solicita la descarga de un codec, bueno,estará codificado con algo nuevo, no pasa nada, aceptar". A las pocassemanas Andrea se encuentra en una comisaría poniendo una denunciaporque le han sacado todos los ahorros de su cuenta bancaria.
¿Has reproducido con Windows Media Player algún archivo de audio ovideo últimamente? Podrías estar infectado.
A finales de Julio hubo bastante revuelo con la aparición de un nuevotroyano que afectaba a archivos multimedia. Este malware, que muchascasas antivirus han denominado GetCodec, emplea una técnica de infecciónque no había sido vista hasta el momento.
El troyano se ha detectado propagándose encubierto como cracks enpáginas de warez y cracks. Es totalmente silencioso, lo cual induce apensar que tan sólo se trata de otro crack corrupto más. Tras suejecución, el troyano busca todos aquellos archivos con extensiones.MP2 .MP3 .WMA .WMV .ASF. El formato ASF es un formato propietario deMicrosoft empleado por Windows Media Player que permite introducirsecuencias ejecutables en flujos de audio/video. El troyano aprovechaesta propiedad para introducir en los archivos multimedia de lavíctima una secuencia que solicita la descarga de un codec falso desdeun Sitio Web. Éste codec es a su vez otro troyano, aunque la técnicapodría emplearse para servir cualquier tipo de contenido.
Este método de infección también funciona con los archivos MPx porqueel troyano los convierte primero a formato ASF para despuésinyectarles el código malicioso. De forma que un archivo con extensión.MP3 puede estar infectado.
El espécimen modifica la configuración del usuario de tal forma queeste nunca llega a notar que sus archivos multimedia han cambiado, sinembargo, todo aquel que no esté infectado e intente reproducirlos sínotará el cambio. Cuando se reproduce un archivo multimedia infectado,en una máquina limpia, Windows Media Player despliega una ventanasolicitando la descarga de un codec falso. Este codec puede sercualquier otro tipo de malware. Al aceptar la descarga se produce lainfección.
Tal y como se puede intuir, estas características lo hacen ideal parala propagación vía redes P2P, unidades compartidas e intercambio demedios de almacenamiento. Tomando como ejemplo las redes P2P,cualquier usuario infectado estará actuando como servidor del malware.Otro usuario que descargue sus archivos multimedia se verá infectadosi no es lo suficientemente cuidadoso.
Desde Hispasec, nuestro compañero Marcin Noga ha realizado un análisisde ingeniería inversa del troyano con el fin de detallar su mecanismode infección. El documento se puede encontrar en las siguientes URLs:
(Español) http://www.hispasec.com/laboratorio/AnalisisGetCodec.pdf (Inglés) http://www.hispasec.com/laboratorio/GetCodecAnalysis.pdf
De igual forma, Marcin ha desarrollado una herramienta para limpiar lainfección en todas aquellas máquinas que se han visto afectadas,eliminando el código malicioso de los archivos multimedia infectados.La herramienta puede ser descargada desde:
http://www.hispasec.com/laboratorio/MulTrojDisinfector.exe
HashesMD5...: 914adbbfaae6f87a6f758bf4ba1efd6dSHA1..: 0861ed42ffc175c668f53050e22baa38d2c5ba04
Hasta el momento los archivos de audio y video habían sido relativamenteinofensivos a no ser que estuvieran intencionadamente malformados paracausar la explotación de un reproductor vulnerable. Los usuarios de apie parecen seguir teniendo la idea equivocada de que tan sólo losarchivos ejecutables son peligrosos, como siempre, todo se resume a unacuestión de concienciación. Esperamos que los documentos producidos porel laboratorio de Hispasec ayuden en esta labor de concienciación yeducación.
martes, 19 de agosto de 2008
Cuidado con bajar Prison Break a través del emule
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario