«Лаборатория Касперского», российский производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, обнаружила вредоносную программу, заражающую аудиофайлы WMA-формата. Цель заражения — загрузка троянской программы для обеспечения контроля над компьютером пользователя.
Червь Worm.Win32.GetCodec.a конвертирует MP3-файлы в WMA-формат WMA (при этом сохраняя расширение MP3), добавляя в них маркер, содержащий в себе ссылку на зараженную Web-страницу. Во время прослушивания файла маркер автоматически активируется и запускает Internet Explorer, который переходит на инфицированную страницу с предложением загрузить и установить выдаваемый за кодек файл. В случае подтверждения загружается троянская программа Trojan-Proxy.Win32.Agent.arp, с помощью которой злоумышленник может получить контроль над атакованным ПК. При этом троян снабжен электронной цифровой подписью компании Inter Technologies и определяется как доверенный.
До этого WMA-формат использовался только в качестве маскировки, то есть зараженный объект не являлся музыкальным файлом. Особенностью червя является заражение чистых аудиофайлов, что является первым подобным случаем и повышает вероятность успешной атаки, так как пользователи с большим доверием относятся с собственным медиафайлам и не связывают их с опасностью заражения.