Malware que infectan archivos MP3, WMA y WMV

music

Hace más de un mes en el ForoSpyware se presentó un caso bien interesante planteado por un usuario y al cual luego se le fueron sumando más y más sobre un malware que había infectado a todos los archivos MP3, WMA y WMV que este tenía en su PC.

Los usuarios nos fueron enviando muestras del mismo y rápidamente pudimos realizar una herramienta que llamamos FS-MP3Fix la cual se encarga de limpiar todos los archivos que el malware haya modificado y la cual seguimos mejorando y actualizando a nuevas muestras de mutaciones de este.

Este artículo es para describirles un poco más como funciona este malware, como poder limpiarlo con FS-MP3Fix y lo más importante, como prevenirlo.

Método de infección:
El malware se propaga camuflado en archivos de formato ASF (Advanced Systems Format), los cuales se muestran como simples mp3 y al momento de ejecutar estos en nuestro sistema se encargan de infectar todos y cada uno de los archivos MP3 que tengamos en nuestra maquina.

Síntomas de la infección:
Saber si fuimos infectados por Trojan.ASF.Hijacker.gen es fácil ya que si intentamos reproducir algún de estos archivos utilizando “Windows Media Player” (y este no esta parchado) al tiempo 10 de la canción se nos abrirá una pagina de IE para que descarguemos un supuesto códec (Windows_Media_Player_Flash_Codec_Plugin.exe) necesario para escuchar correctamente el mp3 y que en realidad es parte un malware de la familia Vundo.

En caso de que usemos otro reproductor de música como por Ej. Winamp o que tengamos el parche de “Windows Media Player” (http://support.microsoft.com/kb/828026/es) no se nos abrirá la pagina ofreciéndonos el falso códec, pero de todas maneras al tiempo 10 de la canción el archivo se cortara y empezara a escuchar distorsionado.

La siguiente imagen muestra las líneas que inyecta el malware en todos sus archivos MP3

malware_mp3


Les recomiendo ver el video de la infección realizado por el compañero “axl456” al final del post.


Método de desinfección:

En el caso que hayamos aceptado y ejecutado el falso códec en nuestro equipo la limpieza se tiene que hacer mas extensa ya que primero tendríamos que limpiar el equipo de el malware Vundo por Ej., para luego desinfectar los archivos MP3, pero en este caso nos vamos a concentrar únicamente en limpiar todos nuestros mp3 con solo ejecutar nuestra herramienta FS-MP3Fix.

Para que este funcione es muy importante que realices los pasos correctamente:

1.- Descargar la utilidad FS-MP3Fix.zip
2.- Descomprimirla en tu escritorio para que se genere la carpeta FS-MP3Fix
3.- Mover a dentro de la carpeta FS-MP3Fix todos los archivos infectados por el malware
4.- Hacer doble clic en el archivo FS-MP3Fix.exe


Esta utilidad lo que va a hacer es generar una copia limpia de malwares de cada uno de los archivos MP3 que pongas en la carpeta agregándole al final del titulo la siguiente sigla _FS, por lo que luego se pueden borrar manualmente los archivos mp3 infectados.

fs-mp3fix2


Método de Prevención:

Al momento de escribir este artículo cada vez son más los Antivirus que pueden prevenir esta infección, pero a su vez como en todo malware siguen saliendo mutaciones, por lo que los usuarios de Windows tienen que estar muy atentos y ser cuidadosos con todo lo que descarguen de las redes P2P y mantenerse informados leyendo el Blog de InfoSpyware.

Video de como se muestra la infección y como limpiarla con FS-MP3Fix

Esperamos que nuestra herramienta les se de ayuda en caso de estar infectados por este malware y si necesitan ayuda personalizada, ya sabes que pueden abrir un nuevo tema directamente en el foro.

Surf Safely

Related Posts