Musik-Wurm im Umlauf

Laut Kaspersky Lab konvertiert die als «Worm.Win32.GetCodec.a» bezeichnete Malware MP3-Dateien in das WMA-Format (Windows Media Audio) und ergänzt einen WMA-Tag in der Datei. Dieser enthält einen Link auf eine infizierte Internetseite und wird aktiv, sobald der Anwender die Audiodatei abhört. In weiterer Folge wird der Browser automatisch gestartet und die infizierte Site geöffnet. Dort wird ein angebliches «Codec»-File zum Download angeboten. Sobald der Nutzer mit der Installation der Datei beginnt, wird der Trojaner «Trojan-Proxy.Win32.Agent.arp» auf den Computer geladen. Mit dessen Hilfe kann der Angreifer dann die Kontrolle über das System übernehmen.

Bisher haben Trojaner das WMA-Format lediglich zu Tarnzwecken verwendet. Zudem infiziert der neue Wurm reine Audiodateien, was gemäss Kaspersky noch nicht vorgekommen ist. Dadurch erhöht die Malware ihre Erfolgschancen, da Anwender hinter den eigenen Musikdateien meist nichts Böses vermuten, so die Sicherheitsspezialistin. Besonders hinterhältig ist die Tatsache, dass die Datei auf der manipulierten Website das digitale Zertifikat von Inter Technologis trägt. Dieses wird von Usertrust.com herausgegeben, einer Seite, die von Antivirenprogramme normalerweise als vertrauenswürdig eingestuft wird.