Popular channels

Cliente con archivos de audio infectados (solución!)

Malware o virus que infectan archivos de audio 



Un cliente me trae una notebook que se comportaba extraño al navegar por Internet 
Describía tener una lentitud inusual, particularmente desde que en Ares había bajado algunos temas musicales. 


Incrédulo de que eran los archivos de audio bajados y como buen sabelotodo, le eché la culpa a la banda que consume el ares al copiar archivos de nuestra pc o con descargas en segundo plano, ademas que era un programa con alto riesgo en su maquina. 


El cliente me dijo que lo sabia usar bien y que solo bajaba música... y después de decirle "si campeón, claro... dejamela lince..." con la presuntuosidad típica del que todo técnico de pc es victima, la revise con la seguridad de que no podia ser los archivos de audio...  
y... ¡tenia razón! eran 3 archivos de audio los infectados... 



captura: 




luego de actualizar antivirus y escanear... bajar anti malware, actualizar y escanear... encontramos los 3 bichitos que muestra la imagen... 


Se utilizo: Avast free y Adwcleaner 


Cuesta decir "tenias razón" pero lo dije y le comente mi sorpresa ya que no había visto hasta entonces archivos de audio infectados.  
Le di unas sugerencias sobre la carpeta de destino de ares mas algunos otros cuidados a tener con ese programa, y nos despedimos conformes con las lecciones aprendidas. 


La maquina recupero su velocidad habitual en internet.  


Evidentemente estos virus inicialmente tenían un propósito mas cercano al spyware, pero al modificarlo, se aprovecharon aun mas de las vulnerabilidades descubiertas con el mismo y por ende, en algunas versiones de este virus son considerados de alta gravedad, y redondearon su peligrosidad como: virus y/o malware.  


En una pagina encontré otra solución propuesta por la misma: 

Los usuarios de nos ForoSpyware realizaron una herramienta que llamaron FS-MP3Fix la cual se encarga de limpiar todos los archivos que el malware haya modificado y la cual seguimos mejorando y actualizando a nuevas muestras de mutaciones de este. 

Este artículo es para describirles un poco más como funciona este malware, como poder limpiarlo con FS-MP3Fix y lo más importante, como prevenirlo. 


Nombre: Trojan-Downloader.WMA.GetCodec.d
Alias: WMA.GetCodec, Trojan.ASF.Hijacker.gen, TROJ_MEDPINCH.A,TSPY_LDPINCH.ASG,Tipo: Troyano, GusanoBackdoor.Propagación por: Redes P2P.Nivel de infección: Alto. 

Método de infección: 
El malware se propaga camuflado en archivos de formato ASF (Advanced Systems Format), los cuales se muestran como simples mp3 y al momento de ejecutar estos en nuestro sistema se encargan de infectar todos y cada uno de los archivos MP3 que tengamos en nuestra maquina. 
Síntomas de la infección: 
Saber si fuimos infectados por Trojan.ASF.Hijacker.gen es fácil ya que si intentamos reproducir algún de estos archivos utilizando “Windows Media Player” (y este no esta parchado) al tiempo 10 de la canción se nos abrirá una pagina de IE para que descarguemos un supuesto códec (Windows_Media_Player_Flash_Codec_Plugin.exenecesario para escuchar correctamente el mp3 y que en realidad es parte un malware de la familia Vundo
En caso de que usemos otro reproductor de música como por Ej. Winamp o que tengamos el parche de “Windows Media Player”(http://support.microsoft.com/kb/828026/es) no se nos abrirá la pagina ofreciéndonos el falso códec, pero de todas maneras al tiempo 10 de la canción el archivo se cortara y empezara a escuchar distorsionado. 
La siguiente imagen muestra las líneas que inyecta el malware en todos sus archivos MP3 


 

Método de desinfección: 
En el caso que hayamos aceptado y ejecutado el falso códec en nuestro equipo la limpieza se tiene que hacer mas extensa ya que primero tendríamos que limpiar el equipo de el malware Vundo por Ej., para luego desinfectar los archivos MP3, pero en este caso nos vamos a concentrar únicamente en limpiar todos nuestros mp3 con solo ejecutar nuestra herramienta FS-MP3Fix
Para que este funcione es muy importante que realices los pasos correctamente: 
1.- Descargar la utilidad FS-MP3Fix en formato zip 
2.- Descomprimirla en tu escritorio para que se genere la carpeta FS-MP3Fix 
3.- Mover a dentro de la carpeta FS-MP3Fix todos los archivos infectados por el malware 
4.- Hacer doble clic en el archivo FS-MP3Fix es un ejecutable exe 

Esta utilidad lo que va a hacer es generar una copia limpia de malwares de cada uno de los archivos MP3 que pongas en la carpeta agregándole al final del titulo la siguiente sigla _FS, por lo que luego se pueden borrar manualmente los archivos mp3 infectados. 

Método de Prevención: 
Al momento de escribir este artículo cada vez son más los Antivirus que pueden prevenir esta infección, pero a su vez como en todo malware siguen saliendo mutaciones, por lo que los usuarios de Windows tienen que estar muy atentos y ser cuidadosos con todo lo que descarguen de las redes P2P. 
Video de como se muestra la infección y como limpiarla con FS-MP3Fix 



link: http://www.youtube.com/watch?v=OzJ1pFcLSlo 






Fuera de tema, con relación al post y al usuario


Tras varios intentos fallidos por hacer que este post dure mas de 15 minutos y no se pierda en un limbo... hago este que es mi ultimo intento.



Me hice usuario de la pagina para aportar en agradecimiento por lo que me dio, sabiendo que esto e un ida y vuelta, puede incentivar a otros también. No para ser denunciante.


Esa es la razón por la que me hice usuario... 


Vengo del tiempo de la inteligencia colectiva... 


........... 







Otros post   
 

Mantenimiento de computadoras Megapost (+ yapa y extra)    
http://www.taringa.net/posts/hazlo-tu-mismo/17711808/Mantenimiento-de-computadoras-Megapost-yapa-y-extra.html    


Error dirección IP ya existe, usada por adaptador oculto    
http://www.taringa.net/posts/hazlo-tu-mismo/17765543/Error-direccion-IP-ya-existe-usada-por-adaptador-oculto.html    

Downgrade Win 8 64 bits (gpt) a win 7 desde dvd (imagenes)    
http://www.taringa.net/posts/hazlo-tu-mismo/17707194/Downgrade-Win-8-64-bits-gpt-a-win-7-desde-dvd-imagenes.html    

Chau Facebook - Eliminar cuenta (no deshabilitar) 2 modos.    
http://www.taringa.net/posts/hazlo-tu-mismo/17550753/Queres-eliminar-cuenta-de-facebook-No-deshabilitar-ni-su.html   
 
Fuentes atx genéricas ¿como elegirlas? para aceleradoras  
http://www.taringa.net/posts/hazlo-tu-mismo/17953371/Fuentes-atx-genericas-como-elegirlas-para-aceleradoras.html  

Bloquear imagenes desagradables de comentarios en chrome 
http://www.taringa.net/posts/hazlo-tu-mismo/17968815/Bloquear-imagenes-desagradables-de-comentarios-en-chrome.html 


0
0
0
0No comments yet