Música y MP3 sin dudas hoy día son sinónimos. Los archivos MP3, un estándar de compresión de audio de uso extendido, por su naturaleza no pueden contener virus. Sin embargo, engañar a un reproductor para ejecutar cierto software camuflado como MP3, parece ser trivial, como se ha revelado recientemente.

Hace unos días, David Korn, un investigador privado, revelaba en una lista de seguridad, lo sorprendido que estaba cuando al reproducir un MP3 descargado con Gnutella, con el Windows Media Player, en lugar de escuchar el esperado tema por los parlantes de su PC, se encontró con un video porno que además abrió numerosas ventanas pop-ups con publicidad de sitios relacionados.

Un examen hexadecimal del archivo reveló que a pesar de tener extensión .MP3, en realidad se trataba de un archivo .WMF (Windows Meta File).


Pero no solo el Media Player parecía ser engañado por el truco (y sin inmutarse, permitir la ejecución o reproducción del falso MP3), como revelaron investigaciones posteriores.

También el RealOne Player, el reproductor de RealNetworks es engañado si se camufla un código cualquiera como un MP3.

Solo es necesario crear un archivo con formato multimedia especial (que permita la ejecución de código o scripts) y renombrarlo como MP3. La posibilidad de utilizar esto para incluir virus o troyanos, es muy grande. Lo que en otras palabras significa que no debería confiarse en abrir directamente un MP3, hasta no haberlo revisado con al menos dos antivirus actualizados.


También es importante que agregue la extensión .MP3 a los archivos que su software escanearía por defecto.

Las posibilidades de uso de esta característica son enormes. Un archivo WMA, aunque son archivos de audio propietarios de Microsoft, pueden contener enlaces a páginas HTML, los que podrían lanzar el ataque de cualquier gusano, o explotar las vulnerabilidades del Internet Explorer para la ejecución de virus como el Badtrans.B o el Klez.E por ejemplo.

Tanto Microsoft como RealNetworks permiten que sus formatos posean enlaces y código JavaScript para sus presentaciones de audio y video.

Ambos no se inmutan cuando a los archivos generados con esas características, se los renombra como MP3. Se ven como MP3, parecen MP3, y cuando intentamos reproducirlos como MP3 se lanza la verdadera utilidad que permite su ejecución, que en el ejemplo anterior es el mismo reproductor (Windows Media Player reproduce archivos MP3 y WMA entre otros). La diferencia está en que no nos avisa que no es MP3. Lo mismo ocurre con un archivo de RealVideo renombrado como MP3.

Uno de los más importantes riesgos en esto, está en la confianza del usuario medio, pensando que un archivo MP3 es inmune a los virus (de hecho lo es en si mismo, pero con la explotación de esta característica, poco importa que así sea).

Otro de los riesgos, es que estos archivos son tratados como locales por el Internet Explorer (obviamente al reproducirse desde nuestra máquina), lo que significa que la configuración de seguridad del navegador corresponderá a una Intranet Local, con los peligros que la configuración por defecto de esta zona significa (ejecución de componentes ActiveX hostiles, etc.).

Reproductores como WinAmp de AOL, y cualquier otro que no soporte los formatos propietarios de RealNetworks o Microsoft, sencillamente se niegan a reproducir estos falsos MP3.

Es conveniente agregar las extensiones MP3 a la lista de archivos potencialmente peligrosos en aquellos antivirus o programas de seguridad que lo permitan.



Fuente: http://www.vsantivirus.com/26-02-02.htm