Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Новости » Троян в MIDI-файле для Windows Media Player
Новости

Троян в MIDI-файле для Windows Media Player

автор: Zorro | 27 января 2012, 21:37 | Просмотров: 3913
теги: Windows Media Player, MIDI, троянская программа



Троян в MIDI-файле для Windows Media Player
Компания Trend Micro обнаружила интересный вирус нового типа, который эксплуатирует недавно обнаруженную критическую уязвимость MS12-004 во всех версиях Windows.

По словам специалистов, уязвимость проявляет себя при попытке библиотеки Windows Multimedia из состава Windows Media Player (WMP) обработать специально написанный MIDI-файл. В результате происходит исполнение произвольного кода на данной машине.

Обнаруженный вирус распространяется через HTML-файлы. Конкретно, его нашли в Сети на странице http://images.{BLOCKED}p.com/mp.html

Этот эксплоит получил наименование HTML_EXPLT.QYUA и состоит из двух компонентов, которые хостятся на одном и том же домене. Два файла — это MIDI-файл (TROJ_MDIEXP.QYUA), а также javascript-файл (JS_EXPLT.QYUA).

HTML_EXPLT.QYUA вызывает TROJ_MDIEXP.QYUA для исполнения эксплоита и использует JS_EXPLT.QYUA для декодирования шелл-кода, встроенного в тело HTML-страницы. Ниже приводится скриншот кода страницы. В коде страницы подсвечены те части, где происходит вызов компонентов MIDI и javascript.

Вызов компонентов MIDI и javascriptВызов компонентов MIDI и javascript


После удачной работы эксплоита происходит декодирование и исполнение шелл-кода, который устанавливает соединение с удалённым сайтом и скачивает зашифрованную библиотеку с указанного URL:
Шелл-код, встроенный в тело HTML-страницыШелл-код, встроенный в тело HTML-страницы


Указанный бинарник (TROJ_DLOAD.QYUA) расшифровывается и исполняется. Анализ его активности ещё не закончен, но исследователи уже могут сказать, что речь точно идёт о загрузке вредоносного ПО, в том числе руткита.

В то время как в фоновом режиме происходит вся эта активность, пользователь видит окно плеера.
Пользователь видит окно плеера


Компания Microsoft уже выпустила апдейт для Windows Media Player, закрывающий эту уязвимость. Чтобы оставаться в безопасности, убедитесь, что Windows Update автоматически загружает обновления.




источник:
xakep.ru
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.