Spiel mir das Lied vom Wurm
Ein Schädling verbreitet sich, indem er WMA-, WMF- und sogar MP3-Dateien infiziert. Die Dateien lassen sich weiterhin abspielen, fordern aber zur Installation eines angeblichen Codecs auf.
Dass auch scheinbar harmlose MP3-Dateien eine Gefahr darstellen können, demonstriert ein Wurm, der Multimedia-Dateien in den Formaten MP3, WMA und WMV infiziert. Er setzt dazu in den Dateien eine Markierung, die besagt, dass zum Abspielen ein spezieller Audio-Codec erforderlich sei. Die Musik- und Videodateien lassen sich damit weiterhin abspielen. Allerdings erscheint beim ersten Versuch, sie im Windows Media Player zu öffnen, eine Popup-Box zur Installation des Codecs aus dem Internet. Dahinter verbirgt sich jedoch ein hinterhältiges Schadprogramm.
Installiert der Anwender das Trojanische Pferd, setzt es den passenden Registry-Schlüssel, der dafür sorgt, dass die Meldung über den fehlenden Codec zukünftig nicht mehr angezeigt wird – es also für den Anwender so aussieht, als hätte er tatsächlich einen Codec installiert. Dann beginnt der Schädling damit, im Hintergrund die Musik- und Videodateien des Opfers zu infizieren.
Ähnlich ging auch schon ein RealMedia-Wurm vor. Allerdings beschränkt sich der WMA-Nachfolger nicht auf sein originäres Format, sondern macht sich auch über die MP3-Sammlung her. Die konvertiert er ins Windows Media Audio Format (WMA), behält jedoch die Dateiendung .mp3 bei. Der Windows Media Player scheint sich an der falschen Dateiendung nicht zu stören; oberflächlich betrachtet ändert sich also nur die Größe der infizierten Dateien.
Gibt der Anwender später nichtsahnend eine der infizierten Multimediadateien an Freunde weiter, beginnt das Spiel von vorn. Der Empfänger wird in einer MP3-Datei seines Kumpels kaum etwas Böses vermuten und deshalb vielleicht ebenfalls den beim Abspielversuch angebotenen Codec installieren. Außerdem verbreiten sich derartig infizierte Dateien natürlich auch über Tauschbörsen.
Wie Christoph Alme von Secure Computing gegenüber heise Security erklärte, spielt beispielsweise Winamp die als MP3 verkappten WMA-Dateien nicht ab. Tragen sie hingegen die korrekte Endung .wma, kann sie Winamp trotz Infektion wiedergeben. Das eingebettete Kommando zum Download des Codecs führt der Player dabei jedoch nicht aus (getestet mit Winamp Version 5.54). Allerdings verändere der Trojaner auf befallenen Systemen die INI-Datei von Winamp so, dass alle Audiodateien wieder vom Windows Media Player abgespielt werden.
Siehe dazu auch:
- Trojan infecting multimedia files, Bericht im TrustedSource-Blog
- Infectious Music, Malware-Style, Blog-Eintrag von Trend Micro
- Kaspersky Lab warnt vor Audiodatei-Wurm
(ju)
