Amenazas en archivos de Quicktime video

| 04 Ago, 2010 | Ciberamenazas | No hay comentarios

Los archivos maliciosos que pretenden descargar falsos códecs en nuestro sistema son una constante desde hace ya bastantes meses. Lo normal es que, cuando intentamos ejecutar cualquier archivo de audio o video (normalmente en un contenedor .avi o .mp3) modificado con fines maliciosos, se abra nuestro reproductor multimedia (en la mayoría de los casos Windows Media Player) y se nos solicite la descarga de un fichero camuflado de códec para poder visualizarlos. Si no somos precavidos ni contamos con un antivirus eficaz que detecte estas amenazas, terminaremos con nuestro sistema infectado.

Este vector de ataque ha ido perfeccionándose con el tiempo y, lo normal en estos días, es que la solicitud de instalación del falso códec se realice tras acceder a través de algún enlace a alguna web que, supuestamente, nos muestra algún video usando servicios como Youtube o similares. No obstante, recientemente hemos venido observando cómo se están empleando archivos de Quicktime Video (con extensión .mov) para propagar códigos maliciosos usando estas técnicas.

Investigadores de Trend Micro avisaron la semana pasada de que habían detectado un par de videos (“001 Dvdrip Salt.mov” y “salt dvdrpi [btjunkie][xtrancex].mov”), que supuestamente contenían la última película protagonizada por la actriz Angelina Jolie, compartiéndose en las redes de pares, torrents y servicios de descarga directa de archivos. Tras analizar estos archivos, descubrieron que solicitaba la descarga de un códec malicioso para poder visualizarlos y que en realidad se trataba de un troyano. Posteriormente también comprobaron cómo estos códecs maliciosos instalaban también una barra de publicidad no deseada y que contenía más troyanos.

Nuestro compañero e investigador David Harley de ESET USA junto con el responsable del laboratorio de ESET, Juraj Malcho, investigaron este caso y lograron detectar mas muestras de malware que usaban esta técnica de infección y que ESET clasificó como MOV/Exploit.QuickTime.A.

Al parecer, estos troyanos están preparados para descargar una serie de archivos de video maliciosos y que generan sus nombres a partir de una lista, con la finalidad de generar nombres de archivos atractivos para los usuarios y conseguir el mayor número de infecciones posible. Se puede encontrar información más detallada acerca de estos troyanos, los nombres de archivos usados para generar los archivos y la nomenclatura usada por ESET para estos códigos maliciosos en el post de David Harley hablando sobre este mismo tema.

Cabe recordar que, las muestras detectadas hasta el momento de escribir este artículo solo afectan a sistemas Windows aunque, al tratarse Quicktime de una aplicación multiplataforma, no deberíamos extrañarnos si apareciesen variantes que infectasen a sistemas Mac OS. Desde el laboratorio de ESET en Ontinet.com recomendamos descargar e instalar un antivirus que sea capaz de detectar estas amenazas antes de que logren infectar nuestro sistema.

Josep Albors

Related Posts

Sobre el Autor

Josep

Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.

Sin comentarios

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..