Alcuni giorni fa sono state pubblicate delle notizie riguardo un nuovo malware capace di diffondersi attraverso file multimediali, senza ulteriori specifiche tecniche. Vediamo qualcosa di un po più approfondito.

Il malware, da alcune società inquadrato sotto la categoria worm ma che a mio avviso – e non solo il mio da quello che ho potuto vedere – non rientra nella suddetta bensì nella categoria di trojan, è stato denominato Trojan.GetCodec.A ed utilizza una tecnica di infezione alquanto singolare.

Il trojan, una volta eseguito, va alla ricerca all’interno del PC di file multimediali con estensione .MP2 .MP3 .WMA .WMV .ASF. Individuati, controlla se il file in questione è stato già infettato analizzandone l’eventuale header del file ASF alla ricerca di uno specifico script.

Windows Media utilizza come formato multimediale l’Advanced Systems Format (ASF), in parole semplici uno speciale formato che può contenere stream audio e video insieme ad altre informazioni, quali ad esempio script eseguibili o metadata che vengono poi interpretati da Windows Media Player.

Il trojan aggiunge all’header del file ASF – i file .WMA e .WMV sono già codificati nel formato .ASF – uno script che induce Media Player a connettersi ad Internet e a scaricare del malware sottoforma di falso codec ritenuto necessario per poter riprodurre il file multimediale in oggetto.

Per quanto riguarda i file con estensione .MP2 e .MP3, essi non rispettano il formato .ASF. Il trojan tiene conto di tutto ciò ed ogni file che viene individuato con questa estensione viene riconvertito ed adattato al formato ASF, cosi che poi è possibile aggiungere lo script malevolo all’header del file.

Lo script utilizzato dal trojan utilizza il comando URLANDEXIT per connettersi ad un determinato sito web e scaricare il falso codec. Microsoft permette la disabilitazione dell’esecuzione del comando in questione, per mezzo del registro di sistema, alla chiave

HKEY_CURRENT_USERSOFTWAREMicrosoftMediaPlayerPreferences

Configurando la voce URLAndExitCommandsEnabled = 0 (di default è 1, se la voce non è presente è come se fosse configurato di default).

La tipologia di infezione è particolarmente interessante, soprattutto considerandola sotto l’ottica del Peer 2 Peer. Milioni di file MP3 vengono condivisi ogni giorno e milioni di utenti utilizzano Windows Media Player. Questo trojan apre la strada ad una nuova tipologia di infezione, prendendo di mira i file multimediali che fino ad ora erano stati considerati relativamente innocui. Sì, alcuni bug nei player e alcuni file multimediali malformati potevano causare esecuzione di codice malevolo, alcuni falsi file multimediali contenevano in realtà solo collegamenti a pagine web infette e non invece stream audio. Ma un’infezione di massa di file multimediali come in questa maniera potrebbe dare il via ad un trend tanto pericoloso quanto diffuso.

Al momento è necessario l’intervento dell’utente per il download e l’esecuzione del falso codec, accettando il trasferimento. Ciò non toglie che potremmo probabilmente assistere a delle pericolose evoluzioni in futuro.