Pas gedicht lek in IE7 onder vuur

Technici van het beveiligingsbedrijf zijn nog druk bezig de details van de dreiging te onderzoeken. Volgens Trend Micro lijkt het om een ‘proof of concept’ of een gerichte aanvalspoging te gaan. Er zijn aanwijzingen dat de daders zich in China bevinden.

De kwaadaardige software, die XML_DLOADR.A is gedoopt, zit verstopt in een Word-document. Het document bevat een ActiveX-object dat automatisch toegang zoekt tot een website die op zijn beurt eveneens malware bevat in de vorm van HTML-code. Het is deze malware, HTML_DLOADER_AS, die de zwakke plek in Internet Explorer uitbuit.

Wie de vorige week dinsdag door Microsoft uitgebrachte patch heeft geïnstalleerd, heeft niets te vrezen. Maar op ongepatchte pc’s kan de HTML-malware zijn gang gaan en ‘achterdeur’-code downloaden (BKDR_AGENT.XZMS). Deze ‘backdoor’ installeert een DLL-bestand dat in staat is informatie van de besmette pc te stelen en via poort 443 te versturen naar een webadres.

Verdere analyse heeft inmiddels uitgewezen dat de backdoor schermafbeeldingen van de besmette pc maakt en die naar een locatie op internet stuurt. Bovendien opent de malware een verborgen IE-venster dat verbinding zoekt met een website en daar op instructies wacht.