quarta-feira, 4 de agosto de 2010 por Administrador
O QuickTime Player (versão 7.6.6) permite que arquivos
de filmes façam o download de arquivos, e criminosos digitais estão
utilizando-a para fazer download de malware em sites
maliciosos.
Benson Sy, engenheiro de pesquisas de ameaças da Trend Micro,
encontrou dois arquivos .MOV (001 Dvdrip Salt.mov e
salt dvdrpi [btjunkie][xtrancex].mov) ambos usando o
recém-lançado Salt, com Angelina Jolie. Eles já parecem
suspeitos pelo tamanhos relativamente pequenos comparados com os
arquivos normais de filme.
Quando os arquivos de filme são carregados no QuickTime
não aparece nenhuma cena de ação, mas os usuários são induzidos a
fazer o download de um malware que se passa por uma atualização do
codec ou outra instalação do tocador. Nós ainda estamos
investigando se o malware está explorando uma vulnerabilidade ou
usando uma funcionalidade conhecida para realizar o download.
O primeiro arquivo .MOV se conecta a
http://{BLOCKED}.{BLOCKED}.53.196/stat1/pix1.php, que
redireciona para
http://{BLOCKED}.{BLOCKED}.8.120/cms/976/1/QuickTime_Update_KB640110.exe.
Então, ele pede para o usuário salvar ou executar o arquivo. A
Trend Micro o detecta como
TROJ_TRACUR.SMDI.
Por outro lado, o segundo arquivo .MOV se conecta a
http://play.{BLOCKED}nstaller.com/0.c, que redireciona
para http://player.{BLOCKED}nstaller.com/d77.php. Então,
ele faz o download de um arquivo que a Trend Micro detecta como
TROJ_DLOAD.QWK. Novamente, é pedido ao usuário para salvar ou
executar o arquivo.
Os usuários da Trend Micro estão protegidos deste ataque por
meio da Trend
MicroTM Smart Protection NetworkTM que
bloqueia os URLs maliciosos para evitar o download dos arquivos mal
intencionados no sistema.
Atualizado em 30 de julho de 2010, às 01:57
(UTC):
A Trend Micro detecta os dois arquivos .MOV (001 Dvdrip
Salt.mov e salt dvdrpi [btjunkie][xtrancex].mov) como
TROJ_QUICKTM.A. Neste momento, já contatamos a Apple a respeito
desta questão.
Atualizado em 30 de julho de 2010, às 08:07
(UTC):
Ao ser executado, o
TROJ_DLOAD.QWK faz o download de um arquivo .CAB que instala o
Tango Toolbar e seus componentes. Esse arquivo também
contém dois executáveis que a Trend Micro detecta como
TROJ_DLOADR.TAN e
TROJ_DLOADR.GAB, respectivamente.
Atualizado em 30 de julho de 2010, às 08:42
(UTC):
Segundo a Apple, os dois arquivos .MOV não usam uma
vulnerabilidade, mas "eles se valem de engenharia social para
induzir os usuários a fazer o download do malware disfarçado de
codec de filme. Isso não está relacionado à vulnerabilidade
reportada pela Secunia."
Atualizado em 2 de agosto de 2010, às 01:00
(UTC):
Esses arquivos maliciosos parecem usar um recurso nas
especificações do QuickTime conhecido como ações
dirigidas, que permite aos arquivos do QuickTime
tomarem certas ações, neste caso, ir a um URL. De certa forma, isso
se parece com o recurso /launch dos arquivos PDF que foi
abusado por malwares neste ano.
Entretanto, esse recurso não parece ser implementado em todos os
tocadores de mídia que são compatíveis com os arquivos
QuickTime. Testes com o VLC media player indicam
que esse recurso em particular não foi implementado.
Leia mais em:
http://blog.trendmicro.com/quicktime-player-allows-movie-files-to-trigger-malware-download/#ixzz0vUMGdYaL
(em inglês)