Malware a través de archivos MP3
Julio 28, 2008 12:05 pmEn las últimas horas nuestro Laboratorio ha encontrado archivos MP3 (sí, no leyó mal) que se están utilizando para descargar malware desde distintos servidores.
Los archivo MP3 son modificados especialmente para permitir que cuando el archivo es reproducido con el reproductor Windows Media Player, descargue un troyano Downloader que ESET NOD32 detecta como Win32/TrojanDownloader.Small.OCY. Para realizar esta acción se vale de distintas funciones propias del reproductor de Windows, por lo que este mecanismo no funciona en otros reproductores de sonido.
Al abrir el archivo MP3, se comienza a reproducir normalmente, pero luego de unos segundos, se nos informa de la descarga automática de un archivo ejecutable que en este caso es un troyano:
Si se observa el tráfico de red podrá verse la conexión a servidores relacionados históricamente con adware y spyware muy populares, además de la descarga del troyano que se ve en esta imagen:
Si se descarga y ejecuta este supuesto codec, resultaremos infectados con el troyano downloader mencionado que procederá, a su vez, a descargar otros archivos dañinos al equipo.
En nuestro caso, ESET NOD32 también detecta los archivos MP3 modificados como WMA/TrojanDownloader.GetCodec.D. Esto evita la propagación de cualquier tipo de amenaza futura que aproveche esta técnica para propagar otros malware similares.
Archivos PDF, SWF, XPI, MP3… ¿Qué más necesitamos para darnos cuenta de que el malware está en todas partes?
Cristian
Promedio: 3
14-9-2009 a las 1:05 pm
[...] vuelta en escena de la infección de archivos. Familias modernas como WMA/TrojanDownloader.Getcodec infectan archivos multimedia, y ejecutar cualquiera de estos archivos infectará el resto del sistema. Por ejemplo, si usted [...]
2-9-2009 a las 12:32 pm
[...] esta oportunidad estoy hablando de un archivo de sonido, como ya hemos comentado anteriormente el malware a través de archivos MP3, del cual también realizamos un video educativo. En este caso se trata de un archivo de WMA [...]
23-12-2008 a las 10:42 pm
ami me salen muchos
pero me salen videos .avi que jamas tube en una carpeta C:\Documents and Settings\Administrator\Searched\Deja Fucks Her Pussy with a Dildo Before Sucking a Cock and ….avi – a variant of WMA/TrojanDownloader.GetCodec.gen trojan – cleaned
ese es uno de lo que me advierte
23-9-2008 a las 6:22 pm
Hola Mariano:
Lamentablemente no te van a quedar muchas opciones. También podrías bloquear a través de un firewall las conexiones salientes para evitar que un troyano que tiene el MP3 se conecte pero me parece más viable no correr ese tipo de riesgo.
Cristian
23-9-2008 a las 5:14 pm
Hola. Varios de mi archivos Mp3 cuando abro la carpeta donde están me avisa de un trojano: “WMA/Trojan Downloader getcode.gen” Alguien sabe como solucionarlo sin tener que borra los mp3?? Les agradezco la informacion.
Mariano
15-9-2008 a las 9:53 am
Hola Pulsay:
Este tipo de malware (por ahora) no tiene la capacidad de infectar otros archivos de audio, sino que se descarga ya manipulado desde Internet. Por eso no deberías tener que preocuparte.
Si tienes muchos archivos de este tipo por favor informanosló ya que puede tratarse de un caso distinto al descripto.
Cristian
14-9-2008 a las 5:28 pm
Y una vez que ya estas infectados y tienes todos los mp3 y wma corruptos que puedes hacer? ¿Hay modo de solucionarlo?
T.T
29-7-2008 a las 11:50 am
Malware a través de archivos MP3…
Los archivo MP3 son modificados especialmente para permitir que cuando el archivo es reproducido con el reproductor Windows Media Player, descargue un troyano Downloader que ESET NOD32 detecta como Win32/TrojanDownloader.Small.OCY. Para realizar esta a…
29-7-2008 a las 6:31 am
Minimo las disqueras internacioanles contratan a los cracker para acabar la supuesta la pirateria en la red…
29-7-2008 a las 1:07 am
[...] FUENTE Gracias por leer este post.Ahora puede dejar su Comentario (0) o enlazarnos. [...]
28-7-2008 a las 8:09 pm
Creo que la última frase del artículo resume todo….Me pareció muy bueno el Video Educativo sobre Mp3.