Kaspersky Lab warnt vor Audiodatei-Wurm

Kaspersky Lab hat ein neues Schadprogramm entdeckt, das Audiodateien infiziert. Der Wurm lädt einen Trojaner herunter, mit dem Cyberkriminelle die Kontrolle über den Anwender-PC übernehmen können. Dazu konvertiert der Schädling mit der Bezeichnung Worm.Win32.GetCodec.a MP3-Dateien in das Format WMA – wobei die Erweiterung MP3 erhalten bleibt – und ergänzt einen WMA-Tag in der Datei. Dieser WMA-Tag wiederum enthält einen Link auf eine infizierte Webseite.

Die Aktivierung des WMA-Tags erfolgt während des Abhörens der Datei und führt zum Start des Browsers, der automatisch die infizierte Webseite öffnet. Hier wird dem Anwender angeboten, eine Datei herunterzuladen und zu installieren, die als „Codec“ ausgegeben wird. Bei Start der Installation wird auf dem Computer der Trojaner Trojan-Proxy.Win32.Agent.arp geladen, mit dessen Hilfe der Übeltäter die Kontrolle über den attackierten PC erhält.

Bisher wurde das Format WMA von Trojanern nur als Tarnung genutzt, die infizierte Objekte waren aber keine Audiodateien. Der nun vorliegende Wurm verhält sich dagegen außergewöhnlich: Er infiziert reine Audiodateien, was laut den Virenanalysten von Kaspersky Lab bis dato noch nicht vorgekommen ist. Dieses Vorgehen erhöht die Wahrscheinlichkeit einer erfolgreichen Attacke, da die Anwender in der Regel hinter den eigenen Mediadateien keine Gefahr vermuten und sie nicht mit einer Infektion in Zusammenhang bringen.

Besonders hinterhältig: Die Datei auf der gefälschten Webseite trägt das digitale Zertifikat des Unternehmens Inter Technologies. Dieses Zertifikat wird von Comodo herausgegeben, einer Site, die von Antivirenprogrammen normalerweise als vertrauenswürdig eingestuft wird. Kaspersky Lab hat die Signatur des Wurms Worm.Win32.GetCodec.a inzwischen in seine Antiviren-Datenbank aufgenommen.