Baptisé Worm.Win32.GetCodec.a par l'éditeur russe de solutions de sécurité Kaspersky Lab, ce ver informatique une fois présent sur une machine se met en quête de fichiers audio MP3 et les convertit en fichiers au format WMA plus docile, histoire de les intégrer dans un container ASF, le format multimédia de Microsoft utilisé pour le streaming.
Le format ASF permet ainsi d'ajouter au ficher infecté une balise contenant un lien pointant vers une page Web malicieuse qui sera automatiquement activée (ouverture dans Internet Explorer) au moment de la lecture du fichier. L'utilisateur, lui, n'y verra que du feu puisque le fichier initialement MP3 gardera cette extension malgré sa conversion.
Néanmoins, c'est une fois rendu sur cette page Web que l'utilisateur pourra se douter que quelque chose de malsain se trame sur sa machine, puisqu'il lui sera proposé le téléchargement d'un codec, et l'on retombe donc dans un schéma plutôt classique ouvrant la voie à un cheval de Troie, Proxy.Win32.Agent.arp pour ne pas le citer, en vue d'une prise de contrôle du PC.
Kaspersky Lab souligne que c'est la première fois qu'un ver infecte des fichiers audio, précisant que jusqu'à présent, " le format WMA n'était utilisé par les chevaux de Troie que pour masquer leur présence dans le système, les objets infectés n'étaient pas des fichiers audio ". Pour l'éditeur, ce type d'attaque présente un réel danger eu égard à la confiance accordée par les utilisateurs envers leurs fichiers média. Ces derniers auront notamment pu être rapatriés via P2P.
Le format ASF permet ainsi d'ajouter au ficher infecté une balise contenant un lien pointant vers une page Web malicieuse qui sera automatiquement activée (ouverture dans Internet Explorer) au moment de la lecture du fichier. L'utilisateur, lui, n'y verra que du feu puisque le fichier initialement MP3 gardera cette extension malgré sa conversion.
Néanmoins, c'est une fois rendu sur cette page Web que l'utilisateur pourra se douter que quelque chose de malsain se trame sur sa machine, puisqu'il lui sera proposé le téléchargement d'un codec, et l'on retombe donc dans un schéma plutôt classique ouvrant la voie à un cheval de Troie, Proxy.Win32.Agent.arp pour ne pas le citer, en vue d'une prise de contrôle du PC.
Kaspersky Lab souligne que c'est la première fois qu'un ver infecte des fichiers audio, précisant que jusqu'à présent, " le format WMA n'était utilisé par les chevaux de Troie que pour masquer leur présence dans le système, les objets infectés n'étaient pas des fichiers audio ". Pour l'éditeur, ce type d'attaque présente un réel danger eu égard à la confiance accordée par les utilisateurs envers leurs fichiers média. Ces derniers auront notamment pu être rapatriés via P2P.