【TechTarget中国原创】一位波兰的安全研究人员正在调查攻击者如何使用多媒体特洛伊感染对等网络中的音频和视频文件。目前他已经创建的一款工具来修复受感染的文件。
Hispasec Sistemas 的安全研究员Marcin Noga说,多媒体特洛伊木马有欺骗杀毒厂商的能力,而多媒体木马是在七月被杀毒厂商发现的。
这个特洛伊木马的名字是GetCodec,它是插入到微软的Advanced Systems Format (ASF)的,影响Windows Media Audio (WMA)和Windows Media Video (WMV)文件。当受影响的媒体文件打开的时候,Windows Media Player就被导向了含有虚假多媒体数字信号编解码器和恶意软件的网站。
根据Noga的反工程分析,恶意软件的制造者可以改变在服务器下载编码器/解码器(多媒体数字信号编解码器)的URL,传送任何类型的内容并更新文件,和厂商更新特征的速度一样快。Noga说,迄今为止,它成功的在对等网络中传播。而且会为下到企业环境、政府机构和学校。
Noga在标题为“GetCodec Multimedia Trojan Analysis”的研究论文中说:“这已经是技术和社会工程结合方式的另一种例子,当目标是高传输率的时候,这是一种很好的混合。”
Noga发布了多媒体木马消毒器,他说它可以修复受感染的文件。
在一封交换邮件中,Noga说GetCodec特洛伊并不复杂,而且好像有没有完成的代码。他说,目前这个特洛伊木马在很低的水平上影响文件.
Noga说:“作者使用了标准的Windows API和合适的COM界面来搜索和操作数据。它并不包含反出错机制会者虚拟计算机监测技术,这样我可以享受观察特洛伊木马进来的‘乐趣’。”
Secure Computing Corp.的研究人员是发现的新媒体特洛伊木马的第一批人种的一部分。五月份,监测到了相似的攻击,McAfee Inc.发现受到感染的计算机超过了36万台。