Robak, który został nazwany Worm.Win32.GetCodec.a, zamieniapliki mp3 na format Windows Media Audio (WMA) bez zmianyrozszerzenia i dodaje do nich znacznik z odsyłaczem dozainfekowanej strony internetowej. Znacznik ten jest aktywowanyautomatycznie podczas odtwarzania pliku, otwierając zainfekowanąstronę w przeglądarce Internet Explorer. W witrynie internauta jestproszony o pobranie i zainstalowanie pliku, który według opisupowinien być kodekiem. Jeżeli użytkownik przeprowadzi tę operację,trojan znany jako Trojan-Proxy.Win32.Agent.arp zostanie pobrany nakomputer, dając cyberprzestępcom kontrolę nad zaatakowaną maszynąPC.
W przeciwieństwie do wcześniejszych robaków, którewykorzystywały format WMA wyłącznie do maskowania swojej obecnościw systemie, wykryty ostatnio trojan infekuje rzeczywiste plikiaudio. Według analityków firmy Kaspersky Lab jest to pierwszy takiprzypadek, zwiększający prawdopodobieństwo skutecznego ataku,ponieważ spora część użytkowników ma całkowite zaufanie do plikówaudio i nie łączy ich z potencjalnymi infekcjami. Ponadto plik nafałszywej stronie internetowej został cyfrowo podpisany przez InterTechnologies i jest identyfikowany przez www.usertrust.com jako godnyzaufania.
Natychmiast po wykryciu robaka Worm.Win32.GetCodec.a jegosygnatura została dodana do baz zagrożeń wykorzystywanych wproduktach Kaspersky Lab.
