Samotná akce není příliš sofistikovaná, instalaci malwaru na nezáplatovaný počítač se útočníci například nesnaží nijak maskovat pomocí rootkitu. Malware se šíří hlavně spamem obsahující připojený soubor XML_Dloadr.a. Útočníci se jej snaží vydávat za wordovský dokument, ve skutečnosti jde však o spustitelný soubor.
Kritická chyba opravená minulé úterý Microsoftem se týká pouze verze MSIE 7, ta je však jasně nejpoužívanější. Uživatelé, kteří mají nainstalovanou záplatu MS09-002, jsou proti útoku údajně v bezpečí.
Na útok upozornila společnost Trend Micro. Za pravděpodobné pokládá, že zdroj útoku se nachází v Číně. K útoku slouží zřejmě ovládané servery, s jejichž pomocí se v minulosti distribuoval malware předstírající, že jde o novinky týkající se Tibetu. Letos bude 50. výročí tibetského povstání z roku 1959, přičemž internetoví podvodníci se této události budou nejspíš snažit zneužít. Možná, že stávající akce je pouze přípravou a testem předcházejícím masivnějšímu útoku.
To, že k útoku dojde až po vydání záplaty, není v poslední době nic neobvyklého. Tak například červ Conficker se začal šířit až celý měsíc po opravě Microsoftu.
Poznámka: Původní zdroj bohužel neobsahuje techničtější podrobnosti. Pokud se za „souborem ve Wordu“ ve skutečnosti skrývá spustitelný soubor a uživatel ho spustí, k čemu je ještě potřeba chyba v Internet Exploreru? Respektive proč by uživatelé se záplatovaným prohlížečem měli být chráněni, když už jednou povolí spuštění útočného kódu?
Zdroj: Computerworld.com
Aktualizace: Technické podrobnosti viz blog TrendMicro