O Virus Total agora pode detectar uma tentativa de instalação de malwares por meio de arquivos de mídia no formato ASF. Usando uma espécie de engenharia social alguns criadores de malwares podem convencer usuários a baixar arquivos maliciosos por uma interface que parece legítima, ao tentar tocar vídeos ou músicas obtidos em fontes suspeitas.
O Advanced Systems Format (ASF) é um formato de arquivo proprietário da Microsoft, funcionando como um container para áudio e vídeo com DRM (um recurso contra cópias não autorizadas). Ele inclui arquivos comuns, como wmv ou wma, por exemplo, com alguns metadados para obtenção da licença. Entre os dados ficam URLs de páginas que podem ser abertas pelo programa para aquisição ou validação da licença.
Num cenário legítimo o player enviaria o usuário a uma página da web para fazer login num determinado serviço, por exemplo, confirmando se ele tem mesmo a licença para reprodução daquele arquivo.
O tipo de ataque não é novo. Muitos arquivos maliciosos são distribuídos em alguns sites e redes de compartilhamento. Ao tentar reproduzir tal arquivo o usuário é levado a uma URL para supostamente adquirir a licença. No caso, a URL pode ser maliciosa, sugerindo a instalação de algum “plugin” ou “player” desnecessário, o que na verdade seria o malware em si:
Análises deste tipo agora são destacadas pelo Virus Total, famoso serviço de verificação de arquivos na web. Os arquivos maliciosos abrem a URL diretamente no Windows Media Player 11 e 12, sem interação do usuário (basta tentar reproduzir o arquivo). O download da praga ainda precisaria ser confirmado pelo usuário (desconsiderando eventuais explorações de outras brechas no motor do IE embutido).
Como detalhado, boa parte dos antivírus ignora estes arquivos maliciosos, deixando muitos arquivos multimídia ASF passarem como legítimos. Espera-se que essa situação melhore.
Para se prevenir basta ficar atento: se aparecer uma janela oferecendo um download ao tentar reproduzir algum arquivo multimídia, basta ignorá-la e procurar obter o arquivo em outra fonte. Muitas vezes a extensão do arquivo não é .asf, podendo ser .wma ou .wmv mesmo.
Geralmente estes arquivos maliciosos são falsos, não contém a música ou vídeo prometido e são disponibilizados apenas para distribuir as pragas. É comum usarem um pequeno início de arquivo que parece ser multimídia preenchido com dados inúteis no restante, facilmente imitando o tamanho de músicas ou filmes com dezenas ou centenas de MB.
Esta postagem foi modificada pela última vez em 05/06/2013 11:38