Archivos de música que dirigen a página de malware

Nuevamente les traemos más información sobre las distintas técnicas de Ingeniería Social que utilizan los delincuentes a la hora de propagar malware en la red. En este caso podemos ver una técnica muy particular que lleva bastante tiempo utilizándose, y se caracteriza por distribuir malware por medio de archivos de audio.

Dichos archivos de música son especialmente modificados para que una vez ejecutados por el reproductor de música, este último indique la falta de algún códec o licencia necesaria para su reproducción.

En este caso se reportó al Laboratorio de ESET Latinoamérica una muestra de un archivo de música con los siguientes datos:

  • Nombre del archivo : “(complete) – 5ive everybody get up.wma”
  • Hash MD5: “d324f30b46ca8044d51630519ad30990”
  • Tamaño: 5,76 MB

Una vez que se ejecuta el archivo para empezar a reproducir la canción, en Windows Media Player, se conecta automáticamente a una página para adquirir la supuesta licencia de uso.

Luego de cargar la pantalla de la supuesta adquisición de licencia, aparece un mensaje en donde se le indica a la víctima que es necesario descargar un reproductor especial para poder visualizar el archivo, el cual es detectado por ESET NOD32 Antivirus como una variante de Win32/adware.Mirar.H.

  • Nombre del archivo : “access.exe”
  • Hash MD5: “5166c32265559b30f3bbd90ceba9df1f”
  • Tamaño: 628 KB

Una vez que es ejecutado por la víctima, el malware realiza las siguientes modificaciones en el registro de Windows:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

  • Bar  C:Documents and SettingsAdministradorMis DocumentosDescargasaccess.exe
  • GabPath  C:Documents and SettingsAdministradorDatos de Programagabpathgabpath.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

  • Tango  REV 21 C:windowssystem3221378.dll
  • ResultTool Service Update and control for ResultTool C:documents and settingsall usersdatos de programaresulttoolresulttool116.exe.

HKLMSystemCurrentControlSetServices

  • ResultTool Service Update and control for ResultTool  C:documents and settingsall usersdatos de programaresulttoolresulttool116.exe

Como podemos ver, una vez que el sistema es infectado se crea el servicio “resultool116.exe” y también se añade una barra al navegador Internet Explorer.

Es importante destacar que a la hora de abrir un archivo, sin importar el formato, no se deberá confiar en la extensión del mismo como garantía de seguridad. Este tipo de precauciones, conjuntamente con una solución antivirus con capacidad de detección proactiva, permitirán conservar la seguridad de los equipos advirtiendo al usuario de los riesgos existentes.

Claudio Cortés Cid
Especialista de Awareness & Research

Autor , ESET

Síguenos