Компания Trend Micro обнаружила интересный вирус нового типа, который эксплуатирует недавно обнаруженную критическую уязвимость MS12-004 во всех версиях Windows.
По словам специалистов, уязвимость проявляет себя при попытке библиотеки Windows Multimedia из состава Windows Media Player (WMP) обработать специально написанный MIDI-файл. В результате происходит исполнение произвольного кода на данной машине.
Обнаруженный вирус распространяется через HTML-файлы. Конкретно, его нашли в Сети на странице hxxp://images.{BLOCKED}p.com/mp.html. Этот эксплоит получил наименование HTML_EXPLT.QYUA и состоит из двух компонентов, которые хостятся на одном и том же домене. Два файла — это MIDI-файл (TROJ_MDIEXP.QYUA), а также JavaScript-файл (JS_EXPLT.QYUA).
HTML_EXPLT.QYUA вызывает TROJ_MDIEXP.QYUA для исполнения эксплоита и использует JS_EXPLT.QYUA для декодирования шелл-кода, встроенного в тело HTML-страницы. Ниже приводится скриншот кода страницы. В коде страницы подсвечены те части, где происходит вызов компонентов MIDI и JavaScript.
Шелл-код, встроенный в тело HTML-страницы
После удачной работы эксплоита происходит декодирование и исполнение шелл-кода, который устанавливает соединение с удалённым сайтом и скачивает зашифрованную библиотеку с указанного URL:
Указанный бинарник (TROJ_DLOAD.QYUA) расшифровывается и исполняется. Анализ его активности ещё не закончен, но исследователи уже могут сказать, что речь точно идёт о загрузке вредоносного ПО, в том числе руткита.
В то время как в фоновом режиме происходит вся эта активность, пользователь видит окно плеера.
Компания Microsoft уже выпустила апдейт, закрывающий эту уязвимость.
