SECURITY - Spiel mir das Lied vom Wurm
Dass auch scheinbar harmlose MP3-Dateien eine Gefahr darstellen können, demonstriert ein Wurm, der Multimedia-Dateien in den Formaten MP3, WMA und WMV infiziert. Er setzt dazu in den Dateien eine Markierung, die besagt, dass zum Abspielen ein spezieller Audio-Codec erforderlich sei. Die Musik- und Videodateien lassen sich damit weiterhin abspielen. Allerdings erscheint beim ersten Versuch, sie im Windows Media Player zu öffnen, eine Popup-Box zur Installation des Codecs aus dem Internet. Dahinter verbirgt sich jedoch ein hinterhältiges Schadprogramm.
Installiert der Anwender das Trojanische Pferd, setzt es den passenden Registry-Schlüssel, der dafür sorgt, dass die Meldung über den fehlenden Codec zukünftig nicht mehr angezeigt wird – es also für den Anwender so aussieht, als hätte er tatsächlich einen Codec installiert. Dann beginnt der Schädling damit, im Hintergrund die Musik- und Videodateien des Opfers zu infizieren.
Ähnlich ging auch schon ein RealMedia-Wurm vor. Allerdings beschränkt sich der WMA-Nachfolger nicht auf sein originäres Format, sondern macht sich auch über die MP3-Sammlung her. Die konvertiert er ins Windows Media Audio Format (WMA), behält jedoch die Dateiendung .mp3 bei. Der Windows Media Player scheint sich an der falschen Dateiendung nicht zu stören; oberflächlich betrachtet ändert sich also nur die Größe der infizierten Dateien.
Gibt der Anwender später nichtsahnend eine der infizierten Multimediadateien an Freunde weiter, beginnt das Spiel von vorn. Der Empfänger wird in einer MP3-Datei seines Kumpels kaum etwas Böses vermuten und deshalb vielleicht ebenfalls den beim Abspielversuch angebotenen Codec installieren. Außerdem verbreiten sich derartig infizierte Dateien natürlich auch über Tauschbörsen.
Wie Christoph Alme von Secure Computing gegenüber heise Security erklärte, spielt beispielsweise Winamp die als MP3 verkappten WMA-Dateien nicht ab. Tragen sie hingegen die korrekte Endung .wma, kann sie Winamp trotz Infektion wiedergeben. Das eingebettete Kommando zum Download des Codecs führt der Player dabei jedoch nicht aus (getestet mit Winamp Version 5.54). Allerdings verändere der Trojaner auf befallenen Systemen die INI-Datei von Winamp so, dass alle Audiodateien wieder vom Windows Media Player abgespielt werden.(Quelle:Heise.de)
Installiert der Anwender das Trojanische Pferd, setzt es den passenden Registry-Schlüssel, der dafür sorgt, dass die Meldung über den fehlenden Codec zukünftig nicht mehr angezeigt wird – es also für den Anwender so aussieht, als hätte er tatsächlich einen Codec installiert. Dann beginnt der Schädling damit, im Hintergrund die Musik- und Videodateien des Opfers zu infizieren.
Ähnlich ging auch schon ein RealMedia-Wurm vor. Allerdings beschränkt sich der WMA-Nachfolger nicht auf sein originäres Format, sondern macht sich auch über die MP3-Sammlung her. Die konvertiert er ins Windows Media Audio Format (WMA), behält jedoch die Dateiendung .mp3 bei. Der Windows Media Player scheint sich an der falschen Dateiendung nicht zu stören; oberflächlich betrachtet ändert sich also nur die Größe der infizierten Dateien.
Gibt der Anwender später nichtsahnend eine der infizierten Multimediadateien an Freunde weiter, beginnt das Spiel von vorn. Der Empfänger wird in einer MP3-Datei seines Kumpels kaum etwas Böses vermuten und deshalb vielleicht ebenfalls den beim Abspielversuch angebotenen Codec installieren. Außerdem verbreiten sich derartig infizierte Dateien natürlich auch über Tauschbörsen.
Wie Christoph Alme von Secure Computing gegenüber heise Security erklärte, spielt beispielsweise Winamp die als MP3 verkappten WMA-Dateien nicht ab. Tragen sie hingegen die korrekte Endung .wma, kann sie Winamp trotz Infektion wiedergeben. Das eingebettete Kommando zum Download des Codecs führt der Player dabei jedoch nicht aus (getestet mit Winamp Version 5.54). Allerdings verändere der Trojaner auf befallenen Systemen die INI-Datei von Winamp so, dass alle Audiodateien wieder vom Windows Media Player abgespielt werden.(Quelle:Heise.de)
Siehe dazu auch:
- Trojan infecting multimedia files, Bericht im TrustedSource-Blog
- Infectious Music, Malware-Style, Blog-Eintrag von Trend Micro
- Kaspersky Lab warnt vor Audiodatei-Wurm
Labels: Spiel mir das Lied vom Wurm
Eingestellt von megablaster Am/um
7/18/2008 09:23:00 AM
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite