Punto informatico Network
Canali

Ultime news

Ultimi articoli

Le ultime dal Forum

MegaForum

Le nostre guide
Home » Sicurezza » Articoli
20090111131235_1470069490_20090111131158_1631963376_Windows Media Player.png

MP3 con sorpresa: la minaccia è ben celata

08/03/2011
- A cura di
Sicurezza - Se pensavate che i malware potessero celarsi solamente all'interno degli eseguibili, vi sbagliavate di grosso. Presentiamo l'analisi completa di un "finto MP3" che, una volta aperto...

Network Motori

    In collaborazione con newstreet.it

    Correlati

     
    Tag Cloud

    Tag

    Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

    mp3 (3) , sicurezza (1) , codec (1) , malware (1) , p2p (1) , windows (1) , virus (1) , alureon (1) .
    Tag Cloud

    Valutazione

    •  
    Voto complessivo 4.5 calcolato su 36 voti

    Struttura del file

    Già dall'analisi del file con VirusTotal, si evince che non è un file audio, bensì un file .ASF rinominato (Magic: Microsoft ASF). Un file ASF è un contenitore generico sia per tracce WMA sia per WMV, inoltre può contenere audio MP3.

    Quindi, quando il file viene riprodotto tramite Windows Media Player, il programma riconosceun file ASF contenente un file WMV e la traccia WMA modificata per scaricare un file.

    Questo è possibile poiché il software legge l'intestazione per gestire correttamente i documenti.

    Così si spiega la presenza di una traccia MP3 usata solo come pretesto e fasulla.

    Una conferma proviene dall'analisi del file con il gratuito ed ottimo GSpot. Il primo riquadro (Container) è quello che cattura di più la nostra attenzione:

    20ycut1.png

    Sono confermate le nostre iniziali supposizioni: è un file ASF (video/x-ms-asf) che, come ci ricorda anche Gspot, può incorporare vari formati tra cui file Windows Media Audio (WMA) e file Windows Media Video (WMV) .

    20ycut2.png

    Sempre Gspot nella sezione User Data / Metadata ci mostra che la traccia audio è codificata con WMA v2 e la traccia video usando WMV v9.

    20ycut3.png

    Qui si nota che lo stato del codec è indeterminato, ovviamente.

    Analisi file MP3 con editor esadecimale

    Determinati a voler trovare altre informazioni su questo file, procediamo ad aprirlo con HxD, un ottimo editor esadecimale che permette di visualizzare i singoli byte (e la loro relativa codifica in ASCII).

    Questi sono gli screenshot più rilevanti, di cui abbiamo riquadrato le parti significative.

    I primi 16 byte del file, 30 26 B2 75 8E 66 CF 11 A6 D9 00 AA 00 62 CE 6C, sono quelli che identificano (come ulteriore conferma) i file *.ASF (http://www.garykessler.net/library/file_sigs.html);

    ASF.png

    Il file è stato creato con Windows Movie Maker (offset 506 - 80F);

    Sshot-0.png

    Il file è composto sia da una traccia audio (8A5 – 8CC) che da una traccia video (92F - 956);

    Sshot-1.png

    Questa parte la riportiamo solo per curiosità: il link evidenziato è quello da cui viene scaricato il falso codec (ACC - B39).

    Sshot-2.png

    E con questa ultima analisi del file, pensiamo di aver chiarito ogni dubbio.
    Pagina successiva
    Come difendersi     Pagina precedente
    MP3 con sorpresa: la minaccia è ben celata
     

    Segnala ad un amico

    Tuo nome Tuo indirizzo e-mail (opzionale)
    Invia a:
      Aggiungi indirizzo email
      Testo

      © Copyright 2025 BlazeMedia srl - P. IVA 14742231005

      • Gen. pagina: 1.55 sec.
      •  | Utenti conn.: 65
      •  | Revisione 2.0.1
      •  | Numero query: 52
      •  | Tempo totale query: 0.14