Fişierele audio descărcate de pe site-uri de file-sharing pot fi o sursă de infectare
Laboratoarele BitDefender® au identificat pe data de 15 octombrie 2010 patru vulnerabilităţi critice în aplicaţia Winamp® 5.x şi, la scurtă vreme, au întâlnit o serie de atacuri ce exploatau aceste metode de atac. Dacă trei dintre acestea se activează prin simpla încărcare a unor fişiere audio în lista de redare, cea de-a patra vulnerabilitate foloseşte un mecanism mai special.
“Arma” utilizată de infractorii cibernetici este un fişier de tip MTM (MultiTracker Module) special conceput – un fişier audio similar cu cele de tip MOD şi MIDI – distribuit potenţialelor victime ca ataşament la e-mail, prin intermediul reţelelor de socializare sau prin schimbul de fişiere. Scopul său este să fie descărcat de către utilizatori şi adăugat în listele de redare.
Pentru ca această ameninţare să se declanşeze, este necesar ca utilizatorul să vizualizeze informaţiile meta ale melodiilor în Winamp (Alt+3). Aceasta este acţiunea care va declanşa exploitul inclus în fişierul modificat cu extensia .MTM.
Imediat ce utilizatorul a vizualizat aceste informaţii despre fişier, atacul va lansa un serviciu de tip backdoor, ce rulează pe portul 4444 şi va prelua conexiuni externe. Backdoor-ul va fi exploatat pentru a se obţine acces la calculatorul utilizatorului, atacatorul de la distanţă avînd aceleaşi drepturi ca utilizatorul care rulează aplicaţia Winamp.
Mai jos găsiţi un filmuleţ care arată cum poate fi posibilă o conexiune pe un port 4444 după ce utilizatorul a vizualizat informaţiile despre fişierul audio:
BitDefender identifică fişierul modificat ca fiind Exploit.Winamp.D şi îl elimină înainte ca utilizatorii să îl poată încărca în lista de redare. Pentru a evita acest tip de ameninţări, aceştia sunt sfătuiţi să descarce fişere doar de pe site-uri de încredere şi să nu efectueze operaţiuni solicitate de utilizatori necunoscuţi.
Aceste informaţii tehnice au fost furnizate de Răzvan Benchea, BitDefender Malware Analyst.