Malware que infectan archivos MP3, WMA y WMV

Publicado por Marcelo R. el 20-07-08

music Hace más de un mes en el ForoSpyware se presentó un caso bien interesante planteado por un usuario y al cual luego se le fueron sumando más y más sobre un malware que había infectado a todos los archivos MP3, WMA y WMV que este tenía en su PC.

Los usuarios nos fueron enviando muestras del mismo y rápidamente pudimos realizar una herramienta que llamamos FS-MP3Fix la cual se encarga de limpiar todos los archivos que el malware haya modificado y la cual seguimos mejorando y actualizando a nuevas muestras de mutaciones de este.

Este artículo es para describirles un poco más como funciona este malware, como poder limpiarlo con FS-MP3Fix y lo más importante, como prevenirlo.

Método de infección:
El malware se propaga camuflado en archivos de formato ASF (Advanced Systems Format), los cuales se muestran como simples mp3 y al momento de ejecutar estos en nuestro sistema se encargan de infectar todos y cada uno de los archivos MP3 que tengamos en nuestra maquina.

 

Síntomas de la infección:
Saber si fuimos infectados por Trojan.ASF.Hijacker.gen es fácil ya que si intentamos reproducir algún de estos archivos utilizando “Windows Media Player” (y este no esta parchado) al tiempo 10 de la canción se nos abrirá una pagina de IE para que descarguemos un supuesto códec (Windows_Media_Player_Flash_Codec_Plugin.exe) necesario para escuchar correctamente el mp3 y que en realidad es parte un malware de la familia Vundo.

En caso de que usemos otro reproductor de música como por Ej. Winamp o que tengamos el parche de “Windows Media Player” (http://support.microsoft.com/kb/828026/es) no se nos abrirá la pagina ofreciéndonos el falso códec, pero de todas maneras al tiempo 10 de la canción el archivo se cortara y empezara a escuchar distorsionado.

La siguiente imagen muestra las líneas que inyecta el malware en todos sus archivos MP3

malware_mp3

Les recomiendo ver el video de la infección realizado por el compañero “axl456” al final del post.

Método de desinfección:
En el caso que hayamos aceptado y ejecutado el falso códec en nuestro equipo la limpieza se tiene que hacer mas extensa ya que primero tendríamos que limpiar el equipo de el malware Vundo por Ej., para luego desinfectar los archivos MP3, pero en este caso nos vamos a concentrar únicamente en limpiar todos nuestros mp3 con solo ejecutar nuestra herramienta FS-MP3Fix.

Para que este funcione es muy importante que realices los pasos correctamente:

1.- Descargar la utilidad FS-MP3Fix.zip
2.- Descomprimirla en tu escritorio para que se genere la carpeta FS-MP3Fix
3.- Mover a dentro de la carpeta FS-MP3Fix todos los archivos infectados por el malware
4.- Hacer doble clic en el archivo FS-MP3Fix.exe

Esta utilidad lo que va a hacer es generar una copia limpia de malwares de cada uno de los archivos MP3 que pongas en la carpeta agregándole al final del titulo la siguiente sigla _FS, por lo que luego se pueden borrar manualmente los archivos mp3 infectados.

fs-mp3fix2

Método de Prevención:

Al momento de escribir este artículo cada vez son más los Antivirus que pueden prevenir esta infección, pero a su vez como en todo malware siguen saliendo mutaciones, por lo que los usuarios de Windows tienen que estar muy atentos y ser cuidadosos con todo lo que descarguen de las redes P2P y mantenerse informados leyendo el Blog de InfoSpyware.

Video de como se muestra la infección y como limpiarla con FS-MP3Fix

 

 

Esperamos que nuestra herramienta les se de ayuda en caso de estar infectados por este malware y si necesitan ayuda personalizada, ya sabes que pueden abrir un nuevo tema directamente en el foro.

 

Surf Safely

General, Nuevos Malwares




FIREWALL said,

Julio 20, 2008 @ 18:14

Muy interesante tema y ya esta copiado para usarlo. =))

JuserNt said,

Julio 23, 2008 @ 1:50

Pensaba que un archivo multimedia(audio y vídeo) no se podia infectar con un malware, (al menos que se le adicione el archivo corrupto al archivo multimedia)… los incautos que bajan sin medida y sin control deben tener mucho cuidado… ah y gracias por ese esfuerzo de INFOSPYWARE y como digo… DELANTE,SIEMPRE ADELANTE

Fugazi27 said,

Julio 28, 2008 @ 12:28

Menos mal que siempre estais a la última, la creación de esta herramienta FS-MP3Fix se merece un aplauso ^^
Y es que no quiero ni pensar lo que me pasaria si pillara a este gusano, ya que tengo unos 70 gb de MP3 en mi Pc.. O__O

696(SiC)696 said,

Julio 29, 2008 @ 21:04

muchas gracias

SYS7EM said,

Agosto 17, 2008 @ 12:23

Paso a agradecer, ya que he probado el FS-MP3Fix y me ha funcionado, ahora, recomendaria unas modificaciones al fix. como por ejemplo:

1 _ Colocar las siglas FS al comienzo del nombre del Mp3 en lugar de al final, de esta manera se simplificaria encontrar los archivos FS en una carpeta ordenada por nombres, mas aun cuando se trata de grandes cantidades de archivos mp3.

Al igual que fugazi27 tengo una gran coleccion de mp3 que he copiado desde mis cds, los de mi hermano y los de mi padre. es por eso que propongo otra mejora…

2 _ Permitir reparar archivos puestos en subcarpetas (dentro de la carpeta del soft) asi las “victimas” no tendrian que alterar el orden “mi musica / artista / album” que la mayoria posee. (poniendo el soft en la carpeta “mi musica” ya se repararian todos los archivos mp3)

3 _ por ultimo dar una opcion que permita seleccionar si se desean conservar o no los archivos originales “infectados”, o sea. permitir al programa eliminar los mp3 infectados luego de la reparacion/copia si es seleccionada la opcion correspondiente.

Bueno.
Deje mi agradecimiento, mi comentario, mis sugerencias asi que ahora me voy porque aun estoy buscando el archivo responsable de la infeccion. voy a formatearlo a bajo nivel al maldito XD

Muchas gracias por esta solucion…
Adios…

P/D: si hacen las modificaciones propuestas al soft, pediria por favor que sean tan amables de emviarme un mail a mi correo avisandome de la nueva version, mientras tanto, a mover el soft de carpata en carpeta (aunque solo hablando de artistas son 336. asi que me va a llevar tiempo esto. avisen, gracias de nuevo y adios…

Marcelo R. said,

Agosto 18, 2008 @ 23:26

Hola SYS7EM,

Por el momento no tenemos pensada ninguna actualización para nuestra herramienta FS-MP3Fix aunque de todas maneras agradezco tus sugerencias y son mas o menos las que mas consideramos importantes para una futura versión.

La creacion de esta herramienta se dio mas específicamente para ayudar a unos usuarios infectados por este malware enfocándonos principalmente en desinfectar estos y ya para otros cambios necesitaríamos hacer un programa real y no una simple herramienta como es esta.

Por suerte este malware esta siendo bastante bien neutralizado por la mayoría de los AVs y no se han reportado un numero muy grande de infecciones, pero creemos que estas técnicas de apuntar a archivos de música tipo MP3 con malwares disfrazados puede que se haga mas popular y en el futuro sigamos viendo mas y mas peligrosos de este tipo de malwares.

Salu2
ElPiedra.

Mario said,

Agosto 22, 2008 @ 22:24

Al igual que SYS7MEN, sufri de la infeccion de este malware, teniendo una gran cantidad de musica, comparto con el las sugerencias ofrecidas. Pero de todas formas estoy muy agradecido con ustedes, ya que no sabia que mas hacer, busque por todos lados tratando de averiguar que habia pasado con mis mp3, probe cuanto reproductor existe, pero no habia solucion, consegui algun reproductor que funcionaban los mp3, pero no los wma, hasta que por suerte di con ustedes, gracias a taringa. La verdad muy agradecido, de corazon, aunque me tenga que ir carpeta por carpeta, es preferible a haber perdido todo. Muchas gracias, y espero sigan por este camino.
Atte Mario H.

Matías Calimares said,

Agosto 26, 2008 @ 3:46

Luego de varios intentos, llegué a FS-MP3Fix que me salvó la vida.
Me estaría faltando encontrar la razón de esto… y si todavía necesitás archivos infectados… tengo unos cuantos gigas :D
Y a los que tienen problemas con los nombres de los archivos, pueden bajarse el Flash Renamer.
Muchas gracias.

Zico said,

Agosto 26, 2008 @ 19:07

Bueno este programa es buenisimo pero que pasa con los WMA que siguen corruptos? estos no los copia hay algun sitema para hacerlo? Agradeceria Respuesta

Marcelo R. said,

Agosto 26, 2008 @ 19:59

@Matías y @Mario: Nos alegra que la herramienta y esta información les haya sido útiles para limpiar sus archivos infectados.

@Zico: Lamentablemente por el momento la herramienta FS-MP3Fix desinfecta únicamente archivos MP3. Esperamos para futuras versiones que también pueda desinfectar archivos WMA, pero por el momento no te puedo garantizar nada.

Salu2
ElPiedra.

Matías Calimares said,

Agosto 29, 2008 @ 0:28

Una pregunta… ¿sería posible que de alguna forma me hagas llegar el código fuente? Mi idea es hacer algunas (o todas) las modificaciones propuestas por SYS7EM, además de corregir el comportamiento fuera de la unidad C:
Te agradecería una respuesta, pues tengo varios gigas de archivos infectados, en aprox 500 directorios.
Muchas gracias

Rodrigo said,

Noviembre 18, 2008 @ 19:38

Estoy con el mismo problema, tengo muchos gigas de música, opcionalmente he probado con lame reconvertir los archivos y parece que funciona, ustedes hacen algo parecido? o solo cambian cabeceras de formato. Si uno cambia la extensión a wma los reproductores lo reconocen pero por supuesto esta no es la solución

Pipol and Arts said,

Diciembre 30, 2008 @ 14:20

Salvaron mi vida!! Gracias gente del blog son increíbles

RSS Suscribirse a los comentarios va feed · TrackBack URI


Deja un Comentario