Alcuni giorni fa sono state pubblicate delle notizie riguardo un nuovo malware capace di diffondersi attraverso file multimediali, senza ulteriori specifiche tecniche. Vediamo qualcosa di un po più approfondito.
Il malware, da alcune società inquadrato sotto la categoria worm ma che a mio avviso – e non solo il mio da quello che ho potuto vedere – non rientra nella suddetta bensì nella categoria di trojan, è stato denominato Trojan.GetCodec.A ed utilizza una tecnica di infezione alquanto singolare.
Il trojan, una volta eseguito, va alla ricerca all’interno del PC di file multimediali con estensione .MP2 .MP3 .WMA .WMV .ASF. Individuati, controlla se il file in questione è stato già infettato analizzandone l’eventuale header del file ASF alla ricerca di uno specifico script.
Windows Media utilizza come formato multimediale l’Advanced Systems Format (ASF), in parole semplici uno speciale formato che può contenere stream audio e video insieme ad altre informazioni, quali ad esempio script eseguibili o metadata che vengono poi interpretati da Windows Media Player.
Il trojan aggiunge all’header del file ASF – i file .WMA e .WMV sono già codificati nel formato .ASF – uno script che induce Media Player a connettersi ad Internet e a scaricare del malware sottoforma di falso codec ritenuto necessario per poter riprodurre il file multimediale in oggetto.
Per quanto riguarda i file con estensione .MP2 e .MP3, essi non rispettano il formato .ASF. Il trojan tiene conto di tutto ciò ed ogni file che viene individuato con questa estensione viene riconvertito ed adattato al formato ASF, cosi che poi è possibile aggiungere lo script malevolo all’header del file.
Lo script utilizzato dal trojan utilizza il comando URLANDEXIT per connettersi ad un determinato sito web e scaricare il falso codec. Microsoft permette la disabilitazione dell’esecuzione del comando in questione, per mezzo del registro di sistema, alla chiave
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MediaPlayer\Preferences
Configurando la voce URLAndExitCommandsEnabled = 0 (di default è 1, se la voce non è presente è come se fosse configurato di default).
La tipologia di infezione è particolarmente interessante, soprattutto considerandola sotto l’ottica del Peer 2 Peer. Milioni di file MP3 vengono condivisi ogni giorno e milioni di utenti utilizzano Windows Media Player. Questo trojan apre la strada ad una nuova tipologia di infezione, prendendo di mira i file multimediali che fino ad ora erano stati considerati relativamente innocui. Sì, alcuni bug nei player e alcuni file multimediali malformati potevano causare esecuzione di codice malevolo, alcuni falsi file multimediali contenevano in realtà solo collegamenti a pagine web infette e non invece stream audio. Ma un’infezione di massa di file multimediali come in questa maniera potrebbe dare il via ad un trend tanto pericoloso quanto diffuso.
Al momento è necessario l’intervento dell’utente per il download e l’esecuzione del falso codec, accettando il trasferimento. Ciò non toglie che potremmo probabilmente assistere a delle pericolose evoluzioni in futuro.
-------------
Post correlati:
Il download di file da internet richiede sempre la conferma che avverte l’utente se lo vuole salvare oppure eseguire. E se per sbaglio l’utente clicka su Esegui, compare una ulteriore conferma che avverte che si sta per eseguire un file scaricato dalla zona Internet.
Quindi come al solito voi spaventate la gente con questi falsi allarmismi, perchè volete vendere i vostri prodotti di sicurezza… che di sicurezza non hanno nulla!
ridicolo anche il fatto che voi nascondiate il nome del dominio che ospita il malware, impedendo alla gente di proteggersi in anticipo blacklistandolo o inviando un abuse desk alle autorità competenti.
Salve,
rispondo alle sue accuse se possibile.
Come ho scritto alla fine dell’articolo: “Al momento è necessario l’intervento dell’utente per il download e l’esecuzione del falso codec, accettando il trasferimento”.
Questo dovrebbe rispondere alla sua prima critica mossa.
Riguardo la seconda critica: oltre a pensare che lo facciamo per impedire alla gente di proteggersi, potrebbe anche pensare che lo facciamo per evitare che gente curiosa e senza la sufficiente esperienza si diverta a cercare di capire causando invece l’effetto contrario e rischiando di diffondere ulteriormente l’infezione. In aggiunta, con quale sicurezza afferma che non abbiamo già contattato l’abuse desk o le autorità competenti?
Grazie mille comunque per le sue critiche
Suc: eh si’, perche’ d’altronde non si sono mai visti malware che si installano attraverso exploit. Sono cosi’ rari che in meno di 24 ore una singola sandbox qui in ufficio ieri ne ha raccolti 212 diversi…
Evidentemente per te parlare di argomenti che conosci e’ troppo difficile… Torna su Punto Informatico, su, li’ magari sono al tuo livello…
Per quanto riguarda la seconda critica anch’io penso che sia meglio scrivere tutto per avere una informazione piu’ completa.
Marco lavora per una societa’ di sicurezza per cui è normale che non pubblichi tutto
@TNT Io faccio fatica ad andare oltre i titoli di Punto informatico:guerre di religione “linaro/cantinaro” contro “winaro”
). Ognuno sara’ libero di usare quello che gli pare?
Utilizzare piu’ sistemi fa schifo? Mah.
“Per quanto riguarda la seconda critica anch’io penso che sia meglio scrivere tutto per avere una informazione piu’ completa.”
concordo con quanto detto da maverick…considera che chi legge questo portale magari maneggia altri pc oltre a quello di casa propria,per cui potenzialmente chissà quanti utenti puoi salvare permettendoci di conoscere qualche dominio in più da blacklistare.
) ma uno spunto di riflessione 
non vuole essere una critica(anche perchè non sono certo io a poter venire qui a fartele
Concordo con il fatto che rendere pubblico un link possa essere utile per informare della fonte del possibile pericolo e perche’ no, di permettere a chi si interessa per lavoro o per hobby, di malware di avere la possibilita’ di verificare in prima persona il problema.
L’impressione e’ che, a volte, tanto per non fare nomi, ad esempio Trend Micro blog, non venga diffuso il link per evitare che altri abbiano la possibilita’ di dare una occhiata piu’ da vicino alla fonte del malware e magari commentare o fare anche loro una analisi del problema.
Tanto per intenderci, personalmente preferisco ad esempio blog come quello di Dancho Danchev’s che pubblica sempre tutti riferimenti (urls ecc…) a quello di cui scrive.
Edgar
Grazie per tutti i commenti
Non mi trovate del tutto d’accordo. Come spiegato prima, il fatto che molte società offuschino, completamente o in parte, i link è dovuto in parte ad evitare che utenti curiosi e senza le conoscenze necessarie provochino più danni e aiutino la diffusione del malware.
Poi, certamente, ci sono utenti che sanno anche quello che fanno. In generale, però, i gestori del blog non possono distinguere tra le varie tipologie di utenza e, di conseguenza, la maggior parte delle volte devono per forza di cose optare per il peggiore dei casi.
Ciò non toglie che sia possibile contattare i gestori dei blog, se si è interessati, per richiedere maggiori informazioni ed eventuali link
Ps: Ieri sera mi sono preso un paio di orette e ho scritto un cleaner per questo trojan
Maverick, bah… veramente quel forum non lo capisco… praticamente oltre a flame e troll non c’e’ nulla… il bello e’ che censurano pure i messaggi a caso, ne cancellano alcuni senza dire niente che non contengono nulla di offensivo e poi ne lasciano alcuni che sono puri e semplici post per alimentare flame. Assurdo.
ciao a tutti
rispolvero questo articolo dopo un po di tempo perchè ho avuto la possibilita di “testare” questa campione di trojan
volevo chiedere a Marco (visto la sua alta competenza): è normale che con un programma di virtualizzazione come Returnil attivo, se si viene infetti da questo trojan, questo riesca ad entrare in altre partizioni ed infettare i brani li presenti, senza alcuna interazione da parte dell’utente?
lo so che Returnil protegge solo la partizione del Sistema Operativo, ma è anche vero che (riferendomi al mio test) nn sono andato io manualmente a cercare quei file nell’altra partizione, io mi sono limitato ad avviare il campione, e nn ho fatto alcuna operazione al pc, se nn avere davanti la schermata di Filemon per vedere ogni operazione che veniva eseguita…
nn avevo risorse del computer aperto, nn c’era alcuna finestra aperta relativa a qualke cartella dell’altra partizione….
si tratta o no di un limite gravisssimo di Returnil?? oppure si tratta di un bug?
forse nn è il luogo adatto e me ne scuso, ma sarei curioso di sapere cosa ne pensa Marco….
se potete,eventualmente, indicarmi nel forum di pc al sicuro in quale sezione poter presentare questo quesito e anche poterlo esplicare meglio…grazie
Ciao a tutti.
Volevo chiedere a Marco, come posso eliminare il virus che attacca lo stack pointer…..hai un tool tipo “stack pointer al sicuro” per eliminarlo?
Ciao grazie
No. Però se hai una dimostrazione pratica ed efficiente di quello che stai dicendo puoi sempre mostrarla a conferenze nazionali o internazionali quali BlackHat, Defcon e così via. Sarebbe interessante