Credit image

¿Te gusta el diseño web? ¡Echa un vistazo a la documentación de LenguajeCSS.com!

Virus troyano que simula ser un codec

Andrea se conecta ansiosa al eMule para descargar el último capítulo de Prison Break que se estrenó hace una hora en Estados Unidos.

"¡Perfecto! ¡Un usuario conectado compartiendo el archivo!". La descarga se completa y se dispone a verlo sin más dilación. "Qué extraño, Windows Media Player solicita la descarga de un codec, bueno, estará codificado con algo nuevo, no pasa nada, aceptar".

A las pocas semanas Andrea se encuentra en una comisaría poniendo una denuncia porque le han sacado todos los ahorros de su cuenta bancaria.

Con esta entradilla, Emiliano Martínez Contreras de Hispasec, comienza un interesante artículo (y mucho más interesante el análisis en profundidad de Marcin Noga) donde se comenta el descubrimiento de un nuevo virus que introduce un concepto innovador en su forma de propagación e infección.

Dicho virus (calificado concretamente como troyano) ha sido bautizado como GetCodec, puesto que su forma de infectar un sistema es aprovecharse de ciertas características del formato de vídeo ASF.

El mencionado fichero de video, solicita la redirección a una página web (actualmente flashcodec.com) donde mediante una alerta Javascript muestra un mensaje que simula ser un error del reproductor, que pide la instalación de un falso codec (Windows_Media_Player_Flash_Codec_Plugin.exe) para poder visualizarlo correctamente.

Microsoft Media Player cannot play this file (ERROR: C00D1199). You need to install new version of Flash Codec Plugin to play the file.

Al pulsar cancelar, supongo que para guardar las apariencias, redirecciona a una sección de la web de Microsoft, sin embargo, si se pulsa Aceptar procede a la descarga de este falso plugin que infectará el sistema, buscando archivos de formato .MP2 .MP3 .WMA (audio) y .WMV .ASF. (video), convirtiéndolos a ASF e infectándolos también.

Eliminar el virus troyano GetCodec


Realmente el virus no tiene una peligrosidad considerable (sobretodo para usuarios prudentes), sin embargo, se basa en uno de los conceptos más peligrosos y efectivos: ganarse la confianza del usuario simulando realizar una acción totalmente inocua.

El anteriormente mencionado, Marcin Noga, ha publicado una herramienta para eliminar el troyano en caso de infección: MulTrojDisinfector para GetCodec.

Escrito por Manz, el , en seguridad. Comentarios recibidos: 8.

8 comentarios de lectores
Maxi
Maxi
1

Muy buen articulo!, me queda una duda... de que manera puede ser peligroso?

Nacho 001
Nacho 001
2

También hay que tener cuidado con esos packs en donde vienen una gran cantidad de codecs por que ahí también vienen ese tipo de cosas, ya me paso una vuelta, era un virus del tipo win32. :( También me pasa a menudo que el Windows Media Player 11 me pide algunos codecs, lo curioso es que el Media Center no, y termino reproduciendolos ahí antes que buscar el codec para el Media Player. Saludos. ;)

thecatnegro
thecatnegro
3

una vez pesque uno asi en una pagina que me pedia un plugin y termine formateando la pc ...

JuanFer
JuanFer
4

En el momento en el que el WMP dé problemas.....¡VLC!

s@int
s@int
5

Utiliza el Gomplayer

House
House
6

Si, el Gomplayer es la auténtica alternativa para usar sin depender de otros: "Some videos may require the newest version of DirectX or Windows Media Player. " http://www.gomlab.com/eng/GMP_download.html El problema no es de Windows Media Player, sino del formato ASF en sí. Uses el reproductor que uses, te ocurrirá lo mismo.

hillary
hillary
7

a mi paso lo mismo que a andrea solo que el antivirus lo detecto rapidamente y pudo ser eliminado sin perjuicio alguno

Christian
Christian
8

Hola... tengo un amigo que tiene un problema (seguro es virus) que cuando quiere abrir un programa, aplicacion, etc... sale un cartel de windows media player... y no deja abrir ni instalar un antivirus... como se puede solucionar??? desde ya agradezco sus respuestas :)

Publica tu opinión

Si lo deseas, puedes utilizar el siguiente formulario para publicar tu opinión o responder a alguna de las existentes:

Previsualización

Aquí se previsualizará su comentario. Revise que sea correcto antes de publicarlo.