Seondo quanto pubblicato da TrendLabs Malware Blog saremmo in presenza di un nuovo exploit che cerca di sfruttare eventuali vulnerabilita' non corrette del noto player.
Il suo principale obiettivo è quello di approfittare di vulnerabilità conosciute delle seguenti versioni di RealPlayer:
6.0.10 *
6.0.11 *
6.0.12 *
6.0.14 *
* 6.0.14.536
* 6.0.14.543
* 6.0.14.544
* 6.0.14.550
* 6.0.14.552
Una volta eseguito, l'exploit provoca uno stack overflow e il download del malware.
Quello che ha di particolare e' che esegue preventivamente un accurato controllo della macchina da attaccare.
Infatti controlla se la macchina è in esecuzione Windows 2000 o XP con Internet Explorer versione 6 o 7 . Inoltre verifica la versione di RealPlayer installato per determinare la modalita' di attacco.
Se l'attacco ha esito positivo si connette a http://xxxxxxxxxxxx .g.biz/1.exe e scarica un file dannoso.
L'exploit viene classificato da TrendMicro come EXPL_REALPLAY.H mentre il malware scaricato dal sito e' PE_MUMAWOW.AO-O salvato come file A.EXE in Windows system folder.
Il suo principale obiettivo è quello di approfittare di vulnerabilità conosciute delle seguenti versioni di RealPlayer:
6.0.10 *
6.0.11 *
6.0.12 *
6.0.14 *
* 6.0.14.536
* 6.0.14.543
* 6.0.14.544
* 6.0.14.550
* 6.0.14.552
Una volta eseguito, l'exploit provoca uno stack overflow e il download del malware.
Quello che ha di particolare e' che esegue preventivamente un accurato controllo della macchina da attaccare.
Infatti controlla se la macchina è in esecuzione Windows 2000 o XP con Internet Explorer versione 6 o 7 . Inoltre verifica la versione di RealPlayer installato per determinare la modalita' di attacco.
Se l'attacco ha esito positivo si connette a http://xxxxxxxxxxxx .g.biz/1.exe e scarica un file dannoso.
L'exploit viene classificato da TrendMicro come EXPL_REALPLAY.H mentre il malware scaricato dal sito e' PE_MUMAWOW.AO-O salvato come file A.EXE in Windows system folder.
Edgar
Nessun commento:
Posta un commento