• Thứ Hai, 04/08/2008 08:26 (GMT+7)

    Malware ẩn nấp trong file MP3 để xâm nhập PC

    Một loại malware mới chèn các liên kết tới những trang web nguy hiểm vào trong file ASFcó thể gây hại cho người dùng Windows khi tải file nhạc từ mạng ngang hàng.

    Nhà tư vấn công nghệ David Emm của hãng bảo mật Kaspersky Lab nói: “Khả năng gây hại này đã được biết tới từ lâu nhưng đây là lần đầu tiên chúng tôi thấy nó xuất hiện”. ASF (Advanced Streaming Format) là định dạng file của Microsoft sử dụng để truyền hình ảnh, âm thanh mà vẫn có thể chứa nội dung bất kỳ như: ảnh, các đường liên kết (link) tới những trang web khác.

    Nếu người sử dụng bật file nhạc bị nhiễm lên, nó sẽ tự động chạy Internet Explorer và “nhảy” vào một trang web độc. Trang web đó sẽ yêu cầu người dùng phải tải về một file codec (file giải mã để hỗ trợ xem phim, nghe nhạc ..) để nghe hay xem được đoạn nhạc (phim) đó – một trong những mánh khóe rất nổi tiếng để lừa người dùng tải về malware.

    Theo ông Emm, thực tế file mà người dùng tải về không phải là một file codec mà là một  trojan, nó sẽ cài một chương trình proxy lên máy PC. Chương trình proxy này sẽ cho phép hacker có thể phá hoại rồi xóa dấu vết trên PC bị thương tổn.

    Theo một chuyên gia của hãng bảo mật Secure Computing, malware này có hành vi tương tự sâu (worm). Khi nó đã nhiễm vào PC, nó sẽ tìm những file âm thanh MP3 và MP2, chuyển mã chúng thành định dạng file Windows Media Audio (wma) của Microsoft và “nhét” chúng vào một file ASF rồi thêm nhiều liên kết tới những bản copy tiếp sau của malware này dưới vỏ bọc là một codec.

    Theo Kaspersky Lab, những file có phần mở rộng là “.mp3” thì không bị chỉnh sửa nên nạn nhân có thể không ngay lập tức nhận ra sự thay đổi.

    Phần lớn người dùng PC có hiểu biết đều biết về thủ đoạn dùng codec, nhưng kiểu tấn công này vẫn hiệu quả vì nhiều chương trình Media Player thỉnh thoảng vẫn cần phải cập nhật file codec để có thể chạy file.

    Secure Computing nhắc nhở, “Người dùng tải file về từ các mạng ngang hàng cần phải tập cách cảnh giác, nhất là với những cửa sổ pop-up tự nhiên nhảy ra khi đang chơi nhạc hoặc xem video”.

    Hãng bảo mật Trend Micro gọi malware này là “Troj_Medpinch.a”. Secure Computing lại đặt nó tên là “Trojan.ASF.Hijacker.gen” và Kaspersky thì gọi nó là “Worm.Win32.GetCodec.a.”


    Bạch Đình Vinh
    Theo IDG News Service, 18/7/2008

    ID: O0808_1