Троян в MIDI-файле для Windows Media Player

Mila

Основатель
Сообщения
4,947
Симпатии
10,468
Баллы
953
#1
Компания Trend Micro обнаружила интересный вирус нового типа, который эксплуатирует недавно обнаруженную критическую уязвимость MS12-004 во всех версиях Windows.

По словам специалистов, уязвимость проявляет себя при попытке библиотеки Windows Multimedia из состава Windows Media Player (WMP) обработать специально написанный MIDI-файл. В результате происходит исполнение произвольного кода на данной машине.

Обнаруженный вирус распространяется через HTML-файлы. Конкретно, его нашли в Сети на странице hxxp://images.{BLOCKED}p.com/mp.html. Этот эксплоит получил наименование HTML_EXPLT.QYUA и состоит из двух компонентов, которые хостятся на одном и том же домене. Два файла — это MIDI-файл (TROJ_MDIEXP.QYUA), а также JavaScript-файл (JS_EXPLT.QYUA).

HTML_EXPLT.QYUA вызывает TROJ_MDIEXP.QYUA для исполнения эксплоита и использует JS_EXPLT.QYUA для декодирования шелл-кода, встроенного в тело HTML-страницы. Ниже приводится скриншот кода страницы. В коде страницы подсвечены те части, где происходит вызов компонентов MIDI и JavaScript.

proxy.php?image=http%3A%2F%2Fs1.ipicture.ru%2Fuploads%2F20120127%2FU7wkq7y6.png&hash=f4d482e290d3b85051f7fdb96072e5e7

Шелл-код, встроенный в тело HTML-страницы

После удачной работы эксплоита происходит декодирование и исполнение шелл-кода, который устанавливает соединение с удалённым сайтом и скачивает зашифрованную библиотеку с указанного URL:

proxy.php?image=http%3A%2F%2Fs1.ipicture.ru%2Fuploads%2F20120127%2FFgg2ciSc.jpg&hash=19bcac416b04df30ac2a88e84a1edb53


Указанный бинарник (TROJ_DLOAD.QYUA) расшифровывается и исполняется. Анализ его активности ещё не закончен, но исследователи уже могут сказать, что речь точно идёт о загрузке вредоносного ПО, в том числе руткита.

В то время как в фоновом режиме происходит вся эта активность, пользователь видит окно плеера.

proxy.php?image=http%3A%2F%2Fs1.ipicture.ru%2Fuploads%2F20120127%2FqSe6YUXd.jpg&hash=68fd75fa74e12d7bfcfdfcb951076ccc


Компания Microsoft уже выпустила апдейт, закрывающий эту уязвимость.



источник
 
Сверху Снизу