Archivos MP3

Iniciado por carbon1, 12 Agosto 2012, 21:35 PM

0 Miembros y 1 Visitante están viendo este tema.

carbon1

Hola a todos. Es una simple duda: ¿Es posible que un archivo .mp3 tenga un virus? Por lo que se un archivo mp3 es interpretado por un reproductor de música, por lo que yo particularmente no creo que esto sea posible. Podría ser que un ejecutable se haga pasar por uno de estos como cancion.mp3.exe. Pero en fin, que dicen?

Adios!

Karcrack

Un fichero .mp3 perfectamente reproducible puede contener código malicioso. Ya sea explotando un bug de un reproductor mp3 específico o abusando de la especificación del formato mp3 haciendo que un .mp3 sea un ejecutable válido.

Esto último es muy interesante ya que abusa del hecho de que la cabecera mp3 puede estar en cualquier posición del fichero así pues tú generas un PE que el S.O puede ejecutar con normalidad y al final unes el fichero mp3 válido. Si cambias la extensión del ejecutable a mp3 cualquier reproductor hará sonar la música, pero si la cambias a una extensión ejecutable el loader de W$ ejecutará el código del PE.

La gente que distribuye malware en forma de mp3 lo que hace es adjuntar junto al archivo mp3 "legítimo" y reproducible un fichero .lnk (un enlace de W$) en plan "Click aquí" que lo que hará será ejecutar el fichero mp3 como si fuese un fichero ejecutable usando una linea de cmd que ya te dejo a ti descubrirla como tarea.

Un saludo, espero haberme explicado correctamente ;)

carbon1

Perfecto, muy claro, gracias!

chelo87_ec

Hola, este tema ha estado inactivo algunos meses ojalá me ayuden con una duda y se "reviva"... Soy nuevo en estos foros y no se mucho (mejor dicho casi nada de seguridad o infecciones así que paciencia conmigo  por favor :-\ ). Según lo que entendí dijo Karcrack, el archivo mp3 se puede fusionar con uno lnk que ejecuta alguna acción maliciosa; lo que no entiendo es si esto sucede solamente cuando se cambia la extensión del archivo mp3 a una ejecutable y mientras el archivo continúe con la extensión mp3, se reproducirá el audio sin problemas; o siempre que se reproduzca la música "por detrás" sin que uno se de cuenta se estará ejecutando alguna acción perjudicial al equipo??

En estos momentos estoy justamente haciendo una recuperación de datos con GetDataBack de mi anterior disco duro de 500Gb que tenía instalado XP y al cual no podia acceder después de un apagado forzado que le hice ya después de este  me salia "error de lectura en disco" y jamás pude volver a ingresar ; en él tenía archivos de música y videos bajados de ares y recuerdo que después de escuchar algunos archivos de música se abría otra ventana de Windows Media Player que decía que había una nueva versión para actualizar disponible para la descarga y si deseaba aceptar. Creo yo que nunca le di aceptar porque se me hacía extraño y no se si haya sido algún archivo infectado, ya que pasaba el antivirus a la Carpeta Compartida de Ares y no se detectaba nada.

Por esta razón deseo saber muy bien esto de las infecciones en archivos de audio mp3 o incluso videos, antes de recuperar la música y no poner en riesgo a este nuevo disco duro con nuevo sistema operativo (W7) y que mejor que me lo aclaren uds los especialistas en todos estos temas.

De antemano muchas gracias.


chelo87_ec

Hola, he leido sobre este tema y me atrevi a descargar el programa hexprobe para "analizar" el código de los archivos mp3 que tengo ya que siempre el reproductor de windows media me desplegaba mensajes terminadas ciertas canciones y recién me vengo a enterar que a lo mejor era en realidad un .exe.

Una pregunta, al final de cuentas, SOLAMENTE si en el inicio del encabezado osea en las posiciones 00H Y 01H se encuentran los caracteres hexadecimales 4E 5A o el equivalente ascii MZ, ahi es un .exe o estos caracteres pueden estar en cualquier parte del archivo??
Lo digo para simplificar la tarea de análisis de mis archivos ya que el uso del programa no es muy facil que digamos  ;D

Por cierto también la inserción de un ejecutable en un archivo de audio puede ser de la forma d eun ejecutable portable de 32/64 bits osea hex PE, ascii 50 45 verdad??

Por favor alguien que me aclare esto.

Иōҳ

Karcrack, siempre tuve duda en eso, quería preguntarte, la cabecera MP3 puede estar en cualquier lado? no es necesario de que esté en el offset 0? me imagino que si unes con un PE debe ser mazo menos así:
+--------- +
|  [MZ]     |
|  [MP3]  |
+---------+

???

Saludos,
Nox.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

chelo87_ec

Reitero la pregunta, ojala alguien responda y es la misma que Nox hizo solamente si en el offset 0 está el MZ ó PE, se puede decir que el archivo MP3 ha sido manipulado para infectar o el .exe (NZ o PE) pueden estar en cualquier posición del archivo?

Y si un archivo está infectado pero se lo ejecuta estando con la extensión mp3 es inofensivo o igual representa peligro a pesar de no cambiarle la extensión exe?

Agradezco su ayuda

Karcrack

La extensión del fichero resultante debe ser .MP3 y tendrá el aspecto que menciona Nox:

-----
|PE |
-----
|mp3|
-----


El explorar de Windows sabe que programa ejecutar con la extensión mp3; el reproductor. El reproductor buscará la cabecera a lo largo de todo el fichero ya que ésta puede estar en cualquier lugar.

Para ejecutar el PE hay que forzar al explorar de Windows a tratar como ejecutable el fichero .mp3. Para esto se suele utilizar un enlace (.lnk) con una linea de comando que "convence" al explorer de que es un ejecutable.

Saludos