Nach Angaben der Malware-Forscher konvertiert das als "Worm.Win32.GetCodec.a" bezeichnete Schadprogramm MP3-Dateien in das WMA-Format (Windows Media Audio) und ergänzt einen WMA-Tag in der Datei (wobei die Erweiterung "mp3" allerdings erhalten bleiben soll).
Aktiv wird der WMA-Tag, der einen Link auf eine infizierte Webseite enthält, wenn der Anwender die Audiodatei abhört. Dies wiederum führt zum Start des Browsers, der dann automatisch die infizierte Site öffnet. Hier wird dem Anwender ein angebliches "Codec"-File zum Download angeboten. Sobald das Opfer mit der Installation der Datei beginnt, wird der Trojaner "Trojan-Proxy.Win32.Agent.arp" auf den Rechner geladen, mit dessen Hilfe der Angreifer den attackierten PC übernehmen kann.
Bislang nutzten Trojaner das WMA-Format lediglich zu Tarnzwecken. Auch infiziert der von Kaspersky Lab aufgespürte Wurm reine Audiodateien, was den Virenanalysten zufolge ebenfalls noch nicht vorgekommen ist. Mit dieser Vorgehensweise erhöht der Schädling seine Erfolgschancen, da Anwender hinter den eigenen Mediadateien meist nichts Böses vermuten und diese nicht direkt mit einer Infektion in Zusammenhang bringen, so die Experten.
Hinterhältig: Die auf der gefälschten Webseite befindliche Datei trägt das digitale Zertifikat von Inter Technologies, das von www.usertrust.com herausgegeben wird. Antiviren-Programme stufen diese Site normalerweise als vertrauenswürdig ein. (kf)
