image

Hackers verstoppen Trojaans paard in muziekbestanden

zaterdag 7 februari 2009, 10:55 door Redactie, 10 reacties

Gebruikers die muziek via P2P-netwerken downloaden zijn gewaarschuwd voor besmette bestanden met de WMA extensie. Aanvallers hebben hier een Trojaans paard in verstopt, die zodra geopend alle MP2, MP3, ASF, WMA en WMV bestanden op het systeem wijzigt in het Windows Media Audio (.wma) formaat. De aangepaste bestanden houden gewoon hun oorspronkelijke extensie, maar zijn voorzien van een stukje code die ervoor zorgt dat Windows Media Player het bestand opent. Het slachtoffer krijgt dan via een venster het verzoek of hij een audio codec wil downloaden om het nummer te kunnen beluisteren. In werkelijkheid gaat het hier om malware die de aanvaller volledige controle over het systeem geeft. Het Trojaanse paard heeft de naam Trojan.Brisv.A.

Symantec heeft een enorme toename van het aantal besmette WMA bestanden waargenomen en schat dat mogelijk zelf 1,6 miljoen mensen de kwaadaardige muzieknummers gedownload hebben. Eenmaal toegang tot het systeem installeren de aanvallers een nep-virusscanner, in de hoop zo het slachtoffer geld af te troggelen. "Dit is een goed moment om gebruikers te waarschuwen dat niet alleen .exe bestanden gevaarlijk zijn om te downloaden en te openen", zegt Kevin Haley, directeur Symantec Security Response.

Reacties (10)
07-02-2009, 11:20 door Anoniem
Enigste remedie is firewall inschakelen en Windows Media Player blockeren en offline laten werken.
De betrefde WMA bestand open gewoon html bladzijden zodat je daar de melding krijgt over missende
audio codec of video code. Ook maken cybercriminelen op internet een Windows Media Player na
en met zwart scherm "missende plugin"
07-02-2009, 11:50 door Anoniem
Verstop in een muziek bestand? Verstopt in een WMx container bestand denk ik eerder. Dit lijkt een direct gevolg van de (domme) keuze om in WMx bestanden een verwijzing naar de vereiste codec op te kunnen nemen. Zolang je van audio/video standaarden (al dan niet open) gebruik maakt, is deze feature overigens volstrekt onzinnig.

Deze techniek is overigens allerminst nieuw. Ik geloof dat het 1999 was dat ik een eerste proof-of-concept hiervan zag. Microsoft is hier reeds lang geleden en vele malen van op de hoogte gesteld, maar in de voor hun kenmerkende arrogante hebben ze hier nooit veel tegen ondernomen. Volgens mij maakt dat hun juridische medeplichtig.
07-02-2009, 14:57 door spatieman
oude techniek..
voor jaren terug had opende ik AVI's met ,kuch, wmplayer, die doodleuk weer internet explorer opende en een meuk software deed downloaden...........
allemaal gratis en voor niets......
inc de 12 uur die ik weer nodig had na een format C en windows reinstall.. (1998 praat ik dan over)
07-02-2009, 15:24 door Anoniem
Door AnoniemVolgens mij maakt dat hun juridische medeplichtig.

Lijkt me niet. Je kiest er zelf voor om een PC met Microsoft-software te draaien.

Een messen-fabrikant kan ook niet verantwoordelijk worden gehouden voor de moord die gepleegd wordt met een door hun gefabriceerd mes.
07-02-2009, 17:04 door Anoniem
Door Anoniem
Door AnoniemVolgens mij maakt dat hun juridische medeplichtig.

Lijkt me niet. Je kiest er zelf voor om een PC met Microsoft-software te draaien.

Een messen-fabrikant kan ook niet verantwoordelijk worden gehouden voor de moord die gepleegd wordt met een door hun gefabriceerd mes.
Dat is natuurlijk weer een onzinnige goedkope vergelijking. Die messen-fabrikant zou wel degelijk verantwoordelijk zijn als mensen zichzelf zouden snijden bij normaal gebruik van de messen.

Microsoft is wel degelijk verantwoordelijk voor de slechte beveiliging; het zijn hun keuzes !
07-02-2009, 19:20 door [Account Verwijderd]
[Verwijderd]
07-02-2009, 20:14 door Anoniem
lol, microsoft bashen... mja tis wel weer maar daar ga ik niet verder op in.

Maar als ik het goed begrijp, heb je er geen last van als je bijvoorbeeld met mediamonkey je wmv's afspeelt
(gelukkig heb ik er niet zoveel van)
08-02-2009, 12:33 door [Account Verwijderd]
[Verwijderd]
10-02-2009, 12:37 door Anoniem
Door SpiritInderdaad spatieman, dit is al een hele oude techniek! en daar komen ze nu pas mee aan kakken

Dat wou ik dus ook al zeggen, ik ken me nog wel gevallen voor de geest halen wat ongeveer een jaar of 3 á 4 geleden is.
Ze zijn ook niet moeilijk te constateren, raar genoeg hebben deze geluidsbestanden nooit een afspeel duur, en veelal zijn ze kleiner als 1 MB.
12-02-2009, 15:39 door Anoniem
De worm zit dus niet in de WMA container zelf maar zal moeten worden geactiveerd door de codec installatie te accepteren

De truuk is dat mensen moeten beseffen dat de "missing codec" vanalles kan zijn en die per definitie moeten afwijzen als die niet van een betrouqbare bron af komt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.