Filmdateien im Quicktime Player stoßen Malware-Download an

Originalartikel von Marco Dela Vega (Threats Researcher bei Trend Micro)

Mit dem QuickTime Player (Version 7.6.6) stoßen Filmdateien den Download von Dateien an. Cyberkriminelle wiederum nutzen dies, um Malware herunter zu laden. Benson Sy, Threat Research Engineer bei Trend Micro, hat zwei MOV-Dateien (001 Dvdrip Salt.mov und salt dvdrpi [btjunkie][xtrancex].mov) entdeckt, die beide den neuen Film Salt mit Angelina Jolie für ihre Zwecke nutzen. Die Dateien sind verdächtig, weil sie ziemlich klein sind im Vergleich zu den normalen Filmdateien.

Werden die Dateien in QuickTime geladen, so zeigen sie keine Live-Action-Szenen sondern verleiten den Nutzer zum Download von Malware, indem sie vorgeben, entweder einen Update-Codec zu sein oder eine weitere Player-Installation.

Trend Micro hat die beiden MOV-Dateien als TROJ_QUICKTM.A identifiziert. Apple ist ebenfalls von Trend Micro über den Angriff informiert worden und hat in einer ersten Reaktion mitgeteilt, dass bei der Attacke keine Sicherheitslücke im QuickTime Player ausgenutzt wird. Stattdessen nutzt der Angriff „social Engineering, um die User dazu zu bringen, die Schädlinge herunter zu laden“.

Die bösartigen Dateien scheinen eine Funktionalität in Quick Time auszunutzen, die als „Wired Actions“ bekannt ist und es ermöglicht, dass QuickTime-Dateien bestimmte Aktionen ausführen (in diesem Fall zu einer URL zu gehen). Es lässt sich in etwa mit der /launch-Funktion in pdf-Dateien vergleichen.

Die erste MOV-Datei nimmt Verbindung zu http://{BLOCKED}.{BLOCKED}.53.196/stat1/pix1.php auf. Von dort wird der User zu http://{BLOCKED}.{BLOCKED}.8.120/cms/976/1/QuickTime_Update_KB640110.exe umgeleitet. Danach wird der Nutzer aufgefordert, entweder die Datei zu speichern oder ablaufen zu lassen. Trend Micro hat den Schädling als TROJ_TRACUR.SMDI identifiziert.

Die zweite MOV-Datei wiederum nimmt Verbindung zu http://play.{BLOCKED}nstaller.com/0.c auf. Von dort wird der User dann zu http://player.{BLOCKED}nstaller.com/d77.ph umgeleitet. Hier wird eine Datei heruntergeladen, die Trend Micro als TROJ_DLOAD.QWK erkannt hat. Auch hier soll sich der Nutzer zwischen Speichern oder Ablaufen der Datei entscheiden. Wenn er ausgeführt wird, so lädt der Trojaner eine CAB-Datei herunter, die die Tango Toolbar, einschließlich der Komponenten, installiert.

Anwender von Trend Micro-Lösungen sind vor der beschriebenen Attacke über das Trend Micro Smart Protection Network geschützt. Denn dieses sorgt mit seinen eingebauten Webreputationsdiensten dafür, dass die Weiterleitung auf die bösartigen Webseiten und damit das Herunterladen der dort platzierten Schadsoftware unterbunden wird. Anwendern, die befürchten, ihr Rechner könnte bereits infiziert sein, steht das kostenlose Trend Micro-Tool HouseCall zur Verfügung, das Schadsoftware erkennt und beseitigen hilft.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*