不正なMIDI音楽ファイルを読みこまされてウイルス強制感染! (CVE-2012-0003)


 トレンドマイクロによると、2012年1発目となる今月のWindows Updateで修正されたばかりの深刻度緊急なWindows Mediaの脆弱性(CVE-2012-0003)を悪用するドライブバイ・ダウンロード攻撃を確認したとか。いちおう影響するのはWindows XPとWindows Vista。自動更新を故意に切っていて更新をすっぽかしてると危険。 イメージ 1
Malware Leveraging MIDI Remote Code Execution Vulnerability Found (Trend Micro Blog)


 不正なページがIEブラウザ内部で読みこまれると、表面上はブラウザ内に「Windows Media Player」が起動、でもその裏ではウイルス強制感染処理となるみたい。↓は回収してみた不正なMIDIファイル(TROJ_MDIEXP.QYUA)。



www.virustotal.com/latest-report.html?resource=78ab02a543b82433e2ef5a1ffc50787b


 不正なページのサーバーは韓国、ドメイン登録者は中国人ということになってます。JavaScriptコードを見てみると中国のハッカーが作成した雰囲気がよく出てます。



www.aguse.jp/?m=w&url=images.c2bshop.com





[追記...]
 トレンドマイクロのブログの追記情報で、最終的な目的は韓国のオンラインゲームのアカウントを抜くウイルス(TSPY_ONLING.KREA)に感染させるとのこと。ターゲットとなるアドレスも出てますな(マビノギ、ネクソン、ハンゲームとか)。



about-threats.trendmicro.com/Malware.aspx?language=us&name=TSPY_ONLING.KREA
www.virustotal.com/latest-report.html?resource=409c540b7dd6b94959b81cb8231c021f


 ちなみに、不正なMIDIファイルを再生すると、なんととなりのトトロのテーマソング「さんぽ」(歩こう~歩こう~私は元気~♪)が流れます。 イメージ 2<歌はなし