Vírus MP3-ba ágyazva

2008. augusztus 28. 12:12 - Csizmazia Darab István [Rambo]

Most egy olyan kártevőt mutatunk be "Kipróbáltuk" rovatunkban, amely egy MP3 kiterjesztésű állományban terjed, a média lejátszó pedig neki is ront bőszen. Igaz, lejátszani nem tudja, de a fertőzést elindatani azt Summa cum Laude igen. Ez itt nem Unplugged, ha Reloaded! Mostantól érdemes lesz a zenékkel résen lenni!

 

Az állomány hozzánk ezúttal "meie_mees_turvamees_1_.mp3" néven érkezett, és szépen riasztott rá a NOD32. Nosza, felgyűrtük ingujjunkat amúgy Peter Nortonosan, és elkezdtünk vizsgálódni.

Első kísérlet egy Linux alatti Audacity volt, de hiába vártuk a felcsendülő ritmusokat a hangszóró felől. Ideje volt egy hexaeditorral is belekukucskálni, és a fájl szerkezet máris rögtön meglepetéssel szolgált: bár zeneállományt látunk, de szó sincs MP3-ról. Hanem egy WMA, aza Windows Media Audio szám mosolyog ránk.

Gyalogolva az állomány belsejében máris konstatálhatjuk, a kártevőkészítők furfangos emberek, és okulva az ingyenes vírusírtó 80 kB-ban történetből, annyi 00 bájtot ragasztottak a kód végéhez, ami nem csak egy átlag MP3 zene hosszának, de akár az eredeti zeneszám hihető hosszának is a közelében jár.

Át is ülünk gyorsan a Windowsos géphez, de ahhoz hogy audiofil élvezetben részünk lehessen, nyomban ki kellett kapcsolnunk a valósidejű fájlrendszer védelmet a NOD32-ben, hogy ne riasszon és ne törölje egyből az állományt. Az előkészületek után a húrok, illetve a Windows Media Player közé csapunk.


Először persze megkapjuk a reklamációt - hogy ez itten kéremszépen nem is igazi MP3 - de azért jótékonyan felajánlja a lejátszást. A megjegyzést, miszerint "a lejátszás váratlan következményekkel járhat" öszönösen érezzük, sosem kellett még komolyabban venni. Azonban csak néma csend fogad bennünket, egy árva hangjegy nem sok, annyi sem árad felénk. Körülbelül tíz másodpercnyi molyolás után aztán megkapjuk a hibaüzenetet:a fájl nem játszható le.


(Erről jut eszembe egy kedves történet, volt egy zene és HiFi megszállott barátom, aki nagyon szerette és velem is ő ismertette meg Frank Zappát. Sok szép bakelit albuma volt már - a 70-es évek végén járunk - és mondta, hogy nyáron Angliába megy a család, onnan is hoz majd egy lemezt. Meg is hozta, de pechjére nem számolt Zappa extrém személyiségével és óvatlanul a boltban sem hallgatta meg. Ez volt az 1979-es Silence című album, kétszer 22 perc tökéletes csend a barázdákba vésve, de az A oldal végén egy hang azért pedánsan bemondta, hogy fordítsuk meg a lemezt :-)

Esetünkben viszont szólásra emelkedik - pedig nem is hívta senki - az alapértelmezett böngésző, és a Win32/TrojanDownloader.Wimad.N máris orvul tölti le, azaz csak töltene le egy másik, szintén kártékony PLAY_MP3.exe állományt.

Szerencsére az IMON webhozzásférésvédelem aktív, és fülöncsípi - más füllel kapcsolatos dolog nem is történik már a postban.

A WMA fájltípus választása szándékos, mint natív Windows állományt jól fel lehet használni támadásra (pl. szkriptelni), de mivel az MP3 népszerűbb, így a trükk része az átnevezés is.

Gyaníthatóan emelkedni fog az ilyen fertőzések száma, hatásosnak tűnik, mind az öntudatos "Én aztán nem használok jusztse vírusirtót" csoport ellen, mind pedig az óvatlan és tudatlan Windows átlagfelhasználók ellen. Mindenesetre továbbra se igyunk mosatlan gyümölcslevet, zene letöltésnél mindig használjunk antivírus programot, és persze NoScript rulez :-)

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Csutka 2008.09.02. 17:01:58

zene letöltés? Tessék elbattyogni a boltba és megsoppingolni a CD-t vagy olvasni a kommenteket a mininován/TPB-en ;)
süti beállítások módosítása