• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    Detalles sobre el troyano multimedia GetCodec.

    Andrea se conecta ansiosa al eMule para descargar el último capítulo de Prison Break que se estrenó hace una hora en Estados Unidos. "¡Perfecto! ¡Un usuario conectado compartiendo el archivo!" . La descarga se completa ...

          
    1. #1
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Atención Detalles sobre el troyano multimedia GetCodec.



      Andrea se conecta ansiosa al eMule para descargar el último capítulo de Prison Break que se estrenó hace una hora en Estados Unidos."¡Perfecto! ¡Un usuario conectado compartiendo el archivo!". La descarga se completa y se dispone a verlo sin más dilación� "qué extraño, Windows Media Player solicita la descarga de un codec, bueno, estará codificado con algo nuevo, no pasa nada, aceptar". A las pocas semanas Andrea se encuentra en una comisaría poniendo una denuncia porque le han sacado todos los ahorros de su cuenta bancaria.

      ¿Has reproducido con Windows Media Player algún archivo de audio o video últimamente? Podrías estar infectado.

      A finales de Julio hubo bastante revuelo con la aparición de un nuevo troyano que afectaba a archivos multimedia. Este malware, que muchas casas antivirus han denominado GetCodec, emplea una técnica de infección que no había sido vista hasta el momento.

      El troyano se ha detectado propagándose encubierto como cracks en páginas de warez y cracks. Es totalmente silencioso, lo cual induce a pensar que tan sólo se trata de otro crack corrupto más. Tras su ejecución, el troyano busca todos aquellos archivos con extensiones .MP2 .MP3 .WMA .WMV .ASF. El formato ASF es un formato propietario de Microsoft empleado por Windows Media Player que permite introducir secuencias ejecutables en flujos de audio/video. El troyano aprovecha esta propiedad para introducir en los archivos multimedia de la víctima una secuencia que solicita la descarga de un codec falso desde un Sitio Web. Éste codec es a su vez otro troyano, aunque la técnica podría emplearse para servir cualquier tipo de contenido.

      Este método de infección también funciona con los archivos MPx porque el troyano los convierte primero a formato ASF para después inyectarles el código malicioso. De forma que un archivo con extensión .MP3 puede estar infectado.

      El espécimen modifica la configuración del usuario de tal forma que este nunca llega a notar que sus archivos multimedia han cambiado, sin embargo, todo aquel que no esté infectado e intente reproducirlos sí notará el cambio. Cuando se reproduce un archivo multimedia infectado, en una máquina limpia, Windows Media Player despliega una ventana solicitando la descarga de un codec falso. Este codec puede ser cualquier otro tipo de malware. Al aceptar la descarga se produce la infección.

      Tal y como se puede intuir, estas características lo hacen ideal para la propagación vía redes P2P, unidades compartidas e intercambio de medios de almacenamiento. Tomando como ejemplo las redes P2P, cualquier usuario infectado estará actuando como servidor del malware. Otro usuario que descargue sus archivos multimedia se verá infectado si no es lo suficientemente cuidadoso.

      Desde Hispasec, nuestro compañero Marcin Noga ha realizado un análisis de ingeniería inversa del troyano con el fin de detallar su mecanismo de infección. El documento se puede encontrar en las siguientes URLs:

      (Español) Enlace
      (Inglés) Enlace

      De igual forma, Marcin ha desarrollado una herramienta para limpiar la infección en todas aquellas máquinas que se han visto afectadas, eliminando el código malicioso de los archivos multimedia infectados.

      La herramienta puede ser descargada desde:

      Enlace

      Hashes

      MD5...: 914adbbfaae6f87a6f758bf4ba1efd6d
      SHA1..: 0861ed42ffc175c668f53050e22baa38d2c5ba04


      Hasta el momento los archivos de audio y video habían sido relativamente inofensivos a no ser que estuvieran intencionadamente malformados para causar la explotación de un reproductor vulnerable. Los usuarios de a pie parecen seguir teniendo la idea equivocada de que tan sólo los archivos ejecutables son peligrosos, como siempre, todo se resume a una cuestión de concienciación. Esperamos que los documentos producidos por el laboratorio de Hispasec ayuden en esta labor de concienciación y educación.Fuente

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Detalles sobre el troyano multimedia GetCodec.

      Esta muy bueno el articulo y muy interesante y detallado el estudio que hicieron en el pdf sobre este malware , pero lo que si creo que le falta es a la herramienta ya que esta no detecto ninguno de las varias muestras de este malwares reportadas hace mas de un mes y con las que creamos el FS-MP3Fix

      Seria interesante si estos la pudieran hacer mas efectiva ya que se mucho mas completa que la nuestra, mas fácil y mas intuitiva a la hora de limpiar los archivos, lo único que le faltaría seria reconocerlos y hacerlo, pero ya que por el momento nosotros no tenemos planes de seguir trabajando en nuestra herramienta y este tipo de técnicas de infecciones usando archivos de música MP3 parece que se va a volver mas popular, si seria interesante contar con mas opciones de desinfección.

      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de The_Bad_Boy
      Registrado
      abr 2007
      Ubicación
      Florida Usa
      Mensajes
      2.673

      Re: Detalles sobre el troyano multimedia GetCodec.

      la verdad que este metodo de infeccion mediante ps2 se esta volviendo moda para los cibercriminales
      por ejemplo contare algo que me susedio ami el dia de hoy
      .. al estar descargando unas canciones en el limeware di doble clik a una de las canciones cuando apenas tenia 40% de descarga y lo raro queal darle clik se abrio el windows mediaplyer enseguida se abrio una pagina en el firefox y comenso a descargar un disque paquete de codecs con el nombre de Codec.exe el cual guarde y envie a Eset , Kaspersky , Avira para que fuera analizado y el resultado fue malware .. el nombre aun no lo tengo pues kaspersky no me dijo el nombre ya que fueron los primeros en contestarme simplemente que seria agregado en la proxima actualisacion



      Hello. Codec.zip

      New malicious software was found in the attached file.
      Its detection will be included in the next update. Thank you for your help.

      -----------------
      Regards, Evgeny Aseev
      Virus Analyst, Kaspersky Lab.