12345

1/27/2012

[Warning] Malicious files using MIDI exploit

1. Introduction

We found malicious file which uses MS12-004(CVE-2012-0003), one of MS security update on Jan 2012.
This security vulnerability is known that Shane Garrett of IBM Security System X-orce Research reported MS on Jan 10 2012.
It uses remote code execution vulnerability located on winmm.dll, MS Windows multimedia library for media player.
To maintain MS latest security update can protect against this exploit.
We need to protect our PC from this malicious file which is using MIDI remote code vulnerability.



2. Vulnerability information

When a malicious media file, created by malicious attacker, is played, remote code execution is allowed. Then, attacker can get permission same as local user's.

Microsoft Windows Media Could Allow Remote Code Execution
http://www.iss.net/threats/442.html

Vulnerabilities in Windows Media Could Allow Remote Code Execution
http://technet.microsoft.com/ko-kr/security/bulletin/MS12-004

Malware Leveraging MIDI Remote Code Execution Vulnerability Found
http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found/

Following list is the set of affected software.

- Windows XP SP3 Windows Multimedia Library
- Windows XP Media Center Edition 2005 SP3 Windows Multimedia Library
- Windows XP Media Center Edition 2005 SP3 Windows Multimedia Library and Directshow
- Windows XP Professional x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2003 with SP2 for Itanium-based Systems Windows Multimedia Library and DirectShow
- Windows Vista SP2 Windows Multimedia Library and DirectShow
- Windows Vista x64 Edition SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for 32-bit Systems SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for x64-based Systems SP2 Windows Multimedia Library and DirectShow
- Windows Server 2008 for Itanium-based Systems SP2 Windows Multimedia Library and DirectShow
- Windows 7 for 32-bit Systems and Windows 7 for 32-bit Systems SP1 DirectShow
- Windows 7 for x64-based Systems and Windows 7 for x64-based Systems SP1 DirectShow
- Windows Server 2008 R2 for x64-based Systems DirectShow
- Windows Server 2008 R2 for x64-based Systems SP1 DirectShow
- Windows Server 2008 R2 for Itanium-based Systems DirectShow
- Windows Server 2008 R2 for Itanium-based Systems SP1 DirectShow

3. Malicious file using MIDI exploit

This file, found as a "mp.html" at first time, used MIDI vulnerability.
The name "mp" seems to be a shorten form of Media Player, and it plays baby.mid, which uses MIDI exploit, with object command.


Besides it executes ActiveXObject code with using i.js(JScript file) and executes Shell Code values with Java Script.

Furthermore, when baby.mid is loaded, the title song of "TOTORO"(Japanese Animation) will be played and user's PC will be infected.


When Shell Code value, encrypted by security exploit, is executed, tdc.exe will be downloaded from certain web site.
This file will be decrypted with various procedures including XOR and will be executed.


When malicious tdc.exe is executed, "20120120.exe" will be downloaded and executed from certain external web site.

Our nProtect AVS3.0 can detect it

4. How to prevent

This kind of malicious file is aiming as many users as it can with using latest security exploit.
To be safe from this malicious file, we must keep our PC on latest security update.
Not only from the MS web site, we have to visit our product's official web site to check security update.


To use PC safely from security threats of these malicious attachments, we recommend you download latest security updates and obey following "Security management tips" for general users.

Security management tips

1. Maintain the latest security update on OS and applications
2. Use anti-virus SW from believable security company and keep updating the latest engine and using real time detecting function
3. Do not see and download attached file from suspicious e-mail.
4. Keep caution to link from instant messenger and SNS.

INCA Internet (Security Response Center / Emergency Response Team) runs responding system against various security threats.

2 comments:

  1. Thanks for sharing the information! Nice post <3

    TRUYEN-HAY-LAM.BLOGSPOT.COM - Nơi tổng hợp truyện hay nhất, blog có nhiều thể loại cực hấp dẫn như: tuyển tập truyện ngắn về tình yêu, hay truyen cuoi cực vui nhộn, nhung dieu thu vi, chuyen la, bộ ảnh hài hước về ảnh chế vui hay truyện tranh hài hước được tổng hợp một cách chọn lọc!

    Đặc biệt, xem 12 cung sao cực hay! Hay làm đẹp cùng tạp chí đẹp online! Chúc các bạn đọc truyện vui vẻ!

    Yến sào là một trong những món ăn bổ dưỡng và quý giá, giúp tăng cường sức khỏe, tỉnh táo tinh thần, tăng cường trí nhớ, người suy nhược nếu dùng thường xuyên sẽ đẹp da, chống lão hóa, tăng tuổi thọ,... Yến sào Bảo Gia đang có chương trình yến sào khuyến mãi với nhiều ưu đãi hấp dẫn!

    Các bạn xem cách làm thêm cách làm các món ăn: thịt bò xào hoa thiên lý cực ngon, cách làm gà chiên bơ cực hấp dẫn, cách làm sushi cực đơn giản, hay cách làm gà chiên giòn cực ngon, món thịt gà kho gừng cực hấp dẫn!

    ReplyDelete
  2. Đặc biệt, chúng tôi còn nhận vận chuyển hàng trung quốcnhận ship hàng từ trung quốc để quý khách có thể tha hồ mua sắm các mặt hàng tại nước ngoài một cách dễ dàng nhất.

    Những món ăn hằng ngày luôn được mọi người quan tâm để có thể cải thiện cũng như an đảm bảo cho sức khỏe. Và nhiều bạn đọc thắc mắc rằng Ăn tiết canh có tốt không. Ngoài ra, những quan niệm trong nhân gian được rất nhiều người tin vào. Họ cho rằng Nhện bò vào nhà là điềm gì gì đó mang một ý nghĩ tâm linh.

    chúng tôi chuyên nhận mua hộ hàng zara nhật về Việt nam giá cạnh tranh. Ngoài ra chúng tôi còn chuyên hàng xách tay nhậtmua đồ chơi nhật bản chắc chắn sẽ mang lại nhiều sự hài lòng cho quý khách hàng. Ngày nay, đời sống của người tiêu dùng tăng cao, mua hàng hiệu ở nhậtmua đồ điện tử ở nhật bản luôn được nhiều người quan tâm đến.

    Nguồn: gửi hàng từ nhật về việt nam mất bao lâu

    ReplyDelete