シマンテックセキュリティレスポンスは、Microsoft Windows Media Player の 'winmm.dll' MIDI ファイル解析に伴うリモートコード実行の脆弱性(BID 51292)を悪用するマルウェアが活動中であることを確認しました。Microsoft はすでに、今年 1 月の月例パッチでこの脆弱性に対するパッチを公開しています。このパッチを必ず適用するようにしてください。
この攻撃には、いくつかのコンポーネントが関与しています。
シマンテック製品では、mp.html と i.js は Trojan.Malscript として検出されます。脆弱な baby.mid ファイルはトロイの木馬として検出され、最終的に生成される a.exe ファイルは、Downloader.Darkmegi として警告されます。投下される com32.dll ファイルと com32.sys ファイルも、Downloader.Darkmegi として検出されます。
IPS 側では、i.js が Web Attack: Malicious JavaScript シグネチャによって遮断され、初期の悪用は Web Attack: Malicious JavaScript Heap Spray Generic シグネチャによって遮断されます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。