Una vulnerabilidad de ejecución remota de código en Windows Media, que había sido parchada en el pasado Martes de Actualizaciones, está siendo explotada por atacantes para enviar malware hacia computadoras, advierte Trend Micro.

Créditos: Trend Micro

Las víctimas son atraídas a una página web maliciosa (http://images.{BLOCKED}p.com/mp.html), la cual aloja un archivo MIDI malicioso y un código de JavaScript.

El archivo HTML de la página llama al archivo MIDI para activar el exploit, y el código de JavaScript decodifica el shellcode que ya está incorporado en el archivo HTML. Una vez que se ejecuta, el shellcode descarga un binario cifrado de otro sitio.

"Este binario es entonces descifrado y ejecutado como un malware detectado como TROJ_DLOAD.QYUA", comenta el ingeniero de Trend Micro. "Aun estamos llevando a cabo un análisis a profundidad de TROJ_DLOAD.QYUA, pero hasta ahora hemos estado viendo algunas cargas graves, que incluyen funcionalidades de rootkit".

Todo esto ocurre sin que las víctimas se enteren –simplemente ven (¿y escuchan-) el archivo MIDI que está siendo reproducido como ellos esperan.

Para protegerse de este ataque, los usuarios de Windows XP SP2 y SP3, Server 2003 SP2, Vista SP2, y Server 2008 SP2 están siendo avisados para que actualicen sus sistemas lo más pronto posible.