Websense Security Labs ThreatSeeker Network
encontró ya correos electrónicos spam que ofrecen a los
destinatarios enlaces a videos y fotografías no publicadas del cantante
Michael Jackson, que debido a su reciente muerte es utilizado como gancho de
los cibercriminales.
El correo electrónico parece enlazar a un video
en YouTube, sin embargo envía al destinatario un Trojan Downloader
hospedado en un sitio Web de riesgo. El archivo se llama
Michael.Jackson.videos.scr (MD5: 664cb28ef710e35dc5b7539eb633abca) y está
ubicado en un sitio Web legítimo hospedado en Australia perteneciente a
una estación de radio.
Una vez ejecutado el archivo, el explorador
predeterminado abre un sitio Web legítimo en http://musica.uol.com.br/ultnot/2009/06/25/michael-jackson.jhtm que
tiene como objetivo distraer al destinatario con la presentación de notas
informativas.
Mientras esto pasa el malware descarga e instala tres
componentes más de robo de información. Uno de los archivos
descargados se llama michael.gif, el cual tiene tasas bajas de detección
AV. El malware instala un BHO malicioso que está registrado con este
archivo %windir%/Dynamic.dll y este GUID
{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}.
Otro componente está destinado a iniciar en
%windir%system32kproces.exe. Otro archivo malicioso instalado por el malware
es %windir%system32fotos.exe.
Websense indica que los clientes de Websense Messaging
y Websense Web Security están protegidos ante este ataque.