Nuevo malware que usa vulnerabilidad del Reproductor de Windows sin parche MS12-004

En https://blog.satinfo.es/?p=23738 se indicó que entre los parches de Microsoft de Enero 2012 existía este considerado como crítico

* MS12-004: Boletín “crítico” que resuelve dos vulnerabilidades en
Windows Media que podrían permitir la ejecución remota de código
arbitrario si un usuario abre un archivo multimedia especialmente
creado

Un atacante que explote con éxito esta vulnerabilidad, podría tomar control total de un sistema afectado

Pues ahora ya se está propagando un malware, que ataca a los sistemas vulnerables no parcheados al respecto.

El agujero de seguridad puede ser explotado engañando a la víctima para que abra un archivo MIDI malicioso, en el Reproductor de Windows

Este ataque usa una página HTML maliciosa para cargar el archivo MIDI modificado, con un objeto embebido, usando el Reproductor de Windows.

Segun informacion leida al respecto, dicho malware detectado puede tener caracteristicas de Rootkit,  ver detalles sobre el malware ya existente al respecto

Es importante que especialmente los usuarios de Windows XP, Vista, Server 2003 y Server 2008 (no R2), comprueben que tengan instalado dicho parche MS012-004, y sino que lancen un windowsupdate (www.update.microsoft.com) y lo instalen, con todos los demás que le falten, claro.

saludos

ms, 28-1-2012

NOTA:

Pueden buscarse los ficheros involucrados, con el ELIMD5.EXE,  entrando estos hash:

com32.sys      D41D8CD98F00B204E9800998ECF8427E
com32.dll        4BE882F1FBB00A8154D92EE9A8AB3FAE

De encontrarlos, añadir.vir a su extension y enviarnoslos para analizar

ms.