Trojaans paard infecteert MP3 en videobestanden
  Home FAQ Contact Sign in
nl.muziek only
 
Advanced search
POPULAR GROUPS

more...
 Up
Trojaans paard infecteert MP3 en videobestanden         

Group: nl.muziek · Group Profile
Author: Ron Abbink
Date: Jul 22, 2008 06:28

"Worm verandert mp3’s en installeert Trojaan
Veel kans dat gebruikers erin trappen
Kaspersky Lab waarschuwt voor een kwaadaardig programma dat
mp3-bestanden omzet in het Windows Media Audio-formaat en ze daarna
infecteert. Het doel is om vervolgens een Trojaans paard te installeren
dat de aanvaller controle over de gecompromitteerde pc geeft.

Het antivirusbedrijf noemt deze worm bijzonder, omdat geluidsbestanden
dit keer niet enkel worden gebruikt om malware te vermommen. Nee, in dit
geval staan de audiobestanden werkelijk centraal bij de aanval. De
onderzoekers van Kaspersky hebben deze methode niet eerder in praktijk
uitgevoerd gezien.

Geen argwaan
De worm converteert dus mp3-bestanden naar het WMA-formaat en voegt een
link toe. De vertrouwde mp3-extensie blijft onveranderd, zodat de
gebruiker geen argwaan krijgt.
Tijdens het afspelen van het bestand opent de link automatisch een
geïnfecteerde pagina in Internet Explorer. De gebruiker krijgt een
pop-up te zien en het verzoek om een codec te downloaden en te
installeren. Die codec is in feite een Trojaans paard, die de crimineel
controle geeft over het systeem.

Kaspersky acht de kans op een succesvolle aanval aanzienlijk. De meeste
gebruikers vertrouwen hun audiobestanden namelijk en associëren ze niet
met eventuele infecties. Bovendien hebben veel mediaspelers geregeld
geüpdatete codecs nodig en zullen veel gebruikers niet verbaasd zijn
over het verzoek er één te downloaden."
http://www.zdnet.nl/techzone.cfm?id=88489 22 juli 2008

"Trojaans paard infecteert MP3 en videobestanden
Een nieuw ontdekt Trojaans paard gebruikt video- en muziekbestanden van
zijn slachtoffers om zichzelf te verspreiden. De malware voegt zijn
kwaadaardige lading toe aan alle bestanden die op het Advanced Systems
Format (ASF) gebaseerd zijn, een populair formaat voor zowel audio als
video content zoals MP3, WMA en WMV. Gebruikers die de besmette
bestanden proberen af te spelen wordt verteld dat er een codec nodig is,
wat in werkelijkheid het Trojaanse paard is.

Heeft de gebruiker de codec geïnstalleerd, dan zal Windows Media Player
hier niet meer om vragen, zodat het slachtoffer denkt dat alles in orde
is. Ondertussen wordt echter zijn complete multimedia collectie besmet.
De malware blijkt ook MP2 en MP3-bestanden te converteren naar Windows
Media Audio (WMA) bestanden.

Trojan.ASF.Hijacker verspreidt zich niet alleen via P2P-netwerken waar
gebruikers hun besmette collectie delen, maar ook via Warezsites waar
het zich voordoet als een keygenerator voor bepaalde software
programma's. De malware heeft als uiteindelijke doel het stelen van
gebruikersnamen en wachtwoorden."
www.security.nl/article/19073/1 12 juli 2008 (de andere .nl tech sites
waren flink wat later met het nieuws).

Uit het commentaar aldaar:
"En ? Dus is alleen Windows (specifiek Media Player) hier
gevoelig voor?"
(reply) "Klopt, heeft te maken met de 'feature' van Windows media player
die toestaat om URL's te openen in een media besatnd. de zgn. URLANDEXIT
tag die opgenomen is in de bron van een muziek bestand. je kunt dit
uitvinken in de registry van Media Player. Microsoft is van mening dat
dit een 'feature' is. Ik zie dit uiteraard anders :)"

Ik ben niet tegengekomen dat ook andere mediaspelers dergelijke URL's
openen via je browser, maar wees dus voorzichtig als een dergelijke
oproep verschijnt. Check eerst in google of de naam van de codec en
vooral locatie van de codec alarmbellen doen rinkelen. En vooral of
betreffende codec ook te vinden is op de reguliere codec sites.

Als iemand zich er verder in verdiepen wil en ons wil melden of het
alleen Windows Media Player betreft
http://news.google.com/news?q=mp3+worm+OR+trojan&hl=en (Engelstalig)
(de huidige 4 Nederlandstalige artikelen + commentaar
http://news.google.nl/news?q=mp3+worm+OR+trojan heb ik al gecheckt)

"De malware heet bij Kaspersky Worm.Win32.GetCodec.a, bij Secure
Computing gaat hij als Trojan.ASF.Hijacker.gen door het leven en Trend
Micro duidt hem aan als Troj_Medpinch.a."
uit
www.webwereld.nl/articles/51959/nieuwe-worm-verstopt-in-muziekbestanden.html

Je mag dus verwachten dat malware scanners van deze bedrijven de trojan
kunnen detecteren. (Kijk zonodig op de site van je eigen malware
beschermer).
Dus scan je systeem eens -met de recentste malware definities- en zorg
dat daarbij niet allerlei beperkingen aanstaan (bijv. grote files
overgeslagen...)

gr, Ron
5 Comments
diggit! del.icio.us! reddit!