Uno de los mitos que ya deberían haber sido descartados, pero que aun así muchos usuarios aún los creen, es la idea de que solo los archivos de extensiones ejecutables conocidas, como EXE, BAT o COM, pueden infectar un sistema.
En esta oportunidad estoy hablando de un archivo de sonido, como ya hemos comentado anteriormente el malware a través de archivos MP3, del cual también realizamos un video educativo. En este caso se trata de un archivo de WMA (Windows Media Audio). El mismo, fue descargado por un usuario desde un sitio web y reportado posteriormente al Laboratorio de ESET Latinoamérica. El nombre del archivo es paulinarubio.wma. Si el usuario ejecuta el archivo, se abrirá el reproductor de Windows Media, pero el usuario observará un error de que el archivo no pude ser ejecutado.
En ese lapso, el código malicioso establece conexiones contra otros dominios y descarga archivos ejecutables que también son dañinos y son ejecutados en el sistema, en segundo plano. En la siguiente imagen puede observarse una captura de tráfico de red, como se hace una solicitud del tipo GET a un sitio web, y posteriormente se descarga un archivo ejecutable de extensión EXE:
El código es detectado por ESET NOD32 como WMA/TrojanDownloader.Wimad.NAF Troyano, ya que mientras se ejecuta la supuesta canción, se descargan en el sistema otros archivos ejecutables maliciosos.
Los usuarios deben saber que la extensión de un archivo no es motivo alguno para concluir que este es inofensivo, y deben tener cuidado con cualquier descarga de Internet ya que puede ser un malware.
Sebastián
