Троян в MIDI-файле для Windows Media Player

Компания Trend Micro обнаружила интересный вирус нового типа, который эксплуатирует недавно обнаруженную критическую уязвимость MS12-004 во всех версиях Windows.

По словам специалистов, уязвимость проявляет себя при попытке библиотеки Windows Multimedia из состава Windows Media Player (WMP) обработать специально написанный MIDI-файл. В результате происходит исполнение произвольного кода на данной машине.

Обнаруженный вирус распространяется через HTML-файлы. Конкретно, его нашли в Сети на странице http://images.{BLOCKED}p.com/mp.html

Этот эксплоит получил наименование HTML_EXPLT.QYUA и состоит из двух компонентов, которые хостятся на одном и том же домене. Два файла — это MIDI-файл (TROJ_MDIEXP.QYUA), а также javascript-файл (JS_EXPLT.QYUA).

HTML_EXPLT.QYUA вызывает TROJ_MDIEXP.QYUA для исполнения эксплоита и использует JS_EXPLT.QYUA для декодирования шелл-кода, встроенного в тело HTML-страницы. Ниже приводится скриншот кода страницы. В коде страницы подсвечены те части, где происходит вызов компонентов MIDI и javascript.



После удачной работы эксплоита происходит декодирование и исполнение шелл-кода, который устанавливает соединение с удалённым сайтом и скачивает зашифрованную библиотеку с указанного URL:


Указанный бинарник (TROJ_DLOAD.QYUA) расшифровывается и исполняется. Анализ его активности ещё не закончен, но исследователи уже могут сказать, что речь точно идёт о загрузке вредоносного ПО, в том числе руткита.

В то время как в фоновом режиме происходит вся эта активность, пользователь видит окно плеера.


Компания Microsoft уже выпустила апдейт для Windows Media Player, закрывающий эту уязвимость. Чтобы оставаться в безопасности, убедитесь, что Windows Update автоматически загружает обновления.