"Лаборатория Касперского", производитель систем защиты от вредоносного и нежелательного программного обеспечения, хакерских атак и спама, обнаружила вредоносную программу, заражающую аудиофайлы формата WMA. Об этом сообщила пресс-служба компании.
Целью заражения является загрузка троянской программы, позволяющей злоумышленнику установить контроль над компьютером пользователя.
"Червь", получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA /при этом сохраняя расширение mp3/ и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным компьютером /ПК/.
До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом.
Особенностью данного червя является заражение чистых аудиофайлов, что, по словам вирусных аналитиков "Лаборатории Касперского", является первым случаем подобного рода и повышает вероятность успешной атаки, так как пользователи обычно с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения.
Стоит особо отметить тот факт, что файл, который находится на подложной странице, обладает электронной цифровой подписью /ЭЦП/ компании Inter Technologies и определяется выдавшим ЭЦП ресурсом www.usertrust.com как доверенный.
Сразу после обнаружения червя Worm.Win32.GetCodec.a его сигнатуры были добавлены в антивирусные базы "Лаборатории Касперского".
Целью заражения является загрузка троянской программы, позволяющей злоумышленнику установить контроль над компьютером пользователя.
"Червь", получивший название Worm.Win32.GetCodec.a, конвертирует mp3-файлы в формат WMA /при этом сохраняя расширение mp3/ и добавляет в них маркер, содержащий в себе ссылку на зараженную web-страницу. Активация маркера осуществляется автоматически во время прослушивания файла и приводит к запуску браузера Internet Explorer, который переходит на инфицированную страницу, где пользователю предлагается скачать и установить некий файл, выдаваемый за кодек. Если пользователь соглашается на установку, то на его компьютер загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным компьютером /ПК/.
До этого формат WMA использовался троянскими программами только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом.
Особенностью данного червя является заражение чистых аудиофайлов, что, по словам вирусных аналитиков "Лаборатории Касперского", является первым случаем подобного рода и повышает вероятность успешной атаки, так как пользователи обычно с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения.
Стоит особо отметить тот факт, что файл, который находится на подложной странице, обладает электронной цифровой подписью /ЭЦП/ компании Inter Technologies и определяется выдавшим ЭЦП ресурсом www.usertrust.com как доверенный.
Сразу после обнаружения червя Worm.Win32.GetCodec.a его сигнатуры были добавлены в антивирусные базы "Лаборатории Касперского".
Автор: Alov
Раздел: Вирусы
Источник: http://www.bit.prime-tass.ru/news/show.asp?id=59067&ct=news
Дата добавления: 16.07.2008