Kaspersky Lab warnt vor Audiodatei-Wurm

Moskau/Ingolstadt, 16. Juli 2008 – Kaspersky Lab hat ein neues Schadprogramm entdeckt, das Audiodateien infiziert. Der Wurm lädt einen Trojaner herunter, mit dem Cyberkriminelle die Kontrolle über den Anwender-PC übernehmen können. Der Schädling erhielt die Bezeichnung Worm.Win32.GetCodec.a. Er konvertiert mp3-Dateien in das Format WMA – wobei die Erweiterung mp3 erhalten bleibt – und ergänzt einen WMA-Tag in der Datei. Dieser WMA-Tag wiederum enthält einen Link auf eine infizierte Webseite.

Die Aktivierung des WMA-Tags erfolgt während des Abhörens der Datei und führt zum Start des Browsers, der automatisch die infizierte Webseite öffnet. Hier wird dem Anwender angeboten, eine Datei herunterzuladen und zu installieren, die als „Codec“ ausgegeben wird. Bei Start der Installation wird auf dem Computer der Trojaner Trojan-Proxy.Win32.Agent.arp geladen, mit dessen Hilfe der Übeltäter die Kontrolle über den attackierten PC erhält.

Bisher wurde das Format WMA von Trojanern nur als Tarnung genutzt, infizierte Objekte waren dabei aber keine Audiodateien. Der nun vorliegende Wurm verhält sich dagegen außergewöhnlich: Er infiziert reine Audiodateien, was laut den Virenanalysten von Kaspersky Lab bis dato noch nicht vorgekommen ist. Dieses Vorgehen erhöht die Wahrscheinlichkeit einer erfolgreichen Attacke, da die Anwender in der Regel hinter den eigenen Mediadateien keine Gefahr vermuten und sie nicht mit einer Infektion in Zusammenhang bringen.

Besonders hinterhältig dabei: Die Datei auf der gefälschten Webseite trägt das digitale Zertifikat des Unternehmens Inter Technologies. Dieses Zertifikat wird von http://www.usertrust.com" target="_blank" target="_blank herausgegeben, eine Seite, die von Antiviren-Programmen normalerweise als vertrauenswürdig eingestuft wird.

Sofort nach Entdeckung des Wurms Worm.Win32.GetCodec.a wurde seine Signatur in den Antiviren-Datenbank von Kaspersky Lab ergänzt und mit den stündlich stattfindenden Updates an die Kunden verteilt.