Websense Security Labs ThreatSeeker Network encontró ya correos electrónicos spam que ofrecen a los destinatarios enlaces a videos y fotografías no publicadas del cantante Michael Jackson, que debido a su reciente muerte es utilizado como gancho de los cibercriminales.

El correo electrónico parece enlazar a un video en YouTube, sin embargo envía al destinatario un Trojan Downloader hospedado en un sitio Web de riesgo. El archivo se llama Michael.Jackson.videos.scr (MD5: 664cb28ef710e35dc5b7539eb633abca) y está ubicado en un sitio Web legítimo hospedado en Australia perteneciente a una estación de radio.

Una vez ejecutado el archivo, el explorador predeterminado abre un sitio Web legítimo en http://musica.uol.com.br/ultnot/2009/06/25/michael-jackson.jhtm que tiene como objetivo distraer al destinatario con la presentación de notas informativas.

Mientras esto pasa el malware descarga e instala tres componentes más de robo de información. Uno de los archivos descargados se llama michael.gif, el cual tiene tasas bajas de detección AV. El malware instala un BHO malicioso que está registrado con este archivo %windir%/Dynamic.dll y este GUID {FCADDC14-BD46-408A-9842-CDBE1C6D37EB}.

Otro componente está destinado a iniciar en %windir%system32kproces.exe. Otro archivo malicioso instalado por el malware es %windir%system32fotos.exe.

Websense indica que los clientes de Websense Messaging y Websense Web Security están protegidos ante este ataque.