Durante lo scorso weekend, un exploit indirizzato a una vulnerabilità 0-day di Microsoft DirectShow ActiveX è stata scoperta in modo diffuso su vari siti web cinesi.
Al momento, i ricercatori di McAfee hanno scoperto oltre un centinaio di siti che sono stati modificati e in cui sono stati inseriti link malevoli che stanno ancora ospitando tale trojan. L’exploit 0-day “Exploit-MSDirectShow.b” sarà rilevato dall’aggiornamento odierno del file DAT 5668 di McAfee VirusScan.
"Una particolarità interessante che ci ha colpito durante l’attività di ricerca, è stata che il toolkit per lo sfruttamento dei siti controllava in modo esplicito che l’origine dell’hyperlink non provenisse da domini “.gov.cn” e “.edu.cn”, che sono utilizzati dal governo cinese e dai siti educativi per l’istruzione," ha sottolineato Geok Meng Ong, ricercatore per il malware dei McAfee Avert Labs. "Se i siti non provenivano da nessuno dei suddetti domini, veniva subito spedito un cocktail di exploit".
Il downloader trojan installato da questo exploit può essere rilevato proattivamente con il nome di Generic.dx fin dagli aggiornamenti DAT 5567 (del 28/03/2009). Maggiori informazioni sono disponibili sul blog dei McAfee Avert Labs al seguente indirizzo: http://www.avertlabs.com/research/blog/index.php/2009/07/06/new-attacks-against-internet-explorer/.
