Троян в MIDI-файле для Windows Media Player

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 27 янв 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    Компания Trend Micro обнаружила интересный вирус нового типа, который эксплуатирует недавно обнаруженную критическую уязвимость MS12-004 во всех версиях Windows.

    По словам специалистов, уязвимость проявляет себя при попытке библиотеки Windows Multimedia из состава Windows Media Player (WMP) обработать специально написанный MIDI-файл. В результате происходит исполнение произвольного кода на данной машине.

    Обнаруженный вирус распространяется через HTML-файлы. Конкретно, его нашли в Сети на странице hxxp://images.{BLOCKED}p.com/mp.html. Этот эксплоит получил наименование HTML_EXPLT.QYUA и состоит из двух компонентов, которые хостятся на одном и том же домене. Два файла — это MIDI-файл (TROJ_MDIEXP.QYUA), а также JavaScript-файл (JS_EXPLT.QYUA).

    HTML_EXPLT.QYUA вызывает TROJ_MDIEXP.QYUA для исполнения эксплоита и использует JS_EXPLT.QYUA для декодирования шелл-кода, встроенного в тело HTML-страницы. Ниже приводится скриншот кода страницы. В коде страницы подсвечены те части, где происходит вызов компонентов MIDI и JavaScript.

    [​IMG]
    Шелл-код, встроенный в тело HTML-страницы

    После удачной работы эксплоита происходит декодирование и исполнение шелл-кода, который устанавливает соединение с удалённым сайтом и скачивает зашифрованную библиотеку с указанного URL:

    [​IMG]

    Указанный бинарник (TROJ_DLOAD.QYUA) расшифровывается и исполняется. Анализ его активности ещё не закончен, но исследователи уже могут сказать, что речь точно идёт о загрузке вредоносного ПО, в том числе руткита.

    В то время как в фоновом режиме происходит вся эта активность, пользователь видит окно плеера.

    [​IMG]

    Компания Microsoft уже выпустила апдейт, закрывающий эту уязвимость.



    источник
     
    5 пользователям это понравилось.

Поделиться этой страницей