Специалисты антивирусной лаборатории BitDefender обнаружили четыре критические уязвимости в популярном медиа-проигрывателе Winamp 5.x. Вскоре после этого по сети распространились образцы вредоносного кода, успешно использующие эти уязвимости для проникновения на компьютер жертвы.
Непосредственным «орудием взлома» кибер-преступников стал специальным образом поврежденный файл формата MTM (аудио файл, сходный с MOD или MIDI), рассылаемый потенциальным жертвам в виде вложения электронной почты, публикуемый в социальных или файлообменных сетях. Взлом начинался в тот момент, когда пользователь загружал файл и добавлял его в список воспроизведения проигрывателя.
Однако непосредственное добавление файла было только частью плана. Чтобы действительно запустить работу вируса, злоумышленникам требовалось заставить пользователя просмотреть информацию о файле с помощью проигрывателя Winamp. Для этого требовались различные ухищрения из области социальной инженерии, и каждый хакер решал эту проблему по-своему.
После просмотра информации о файле запускался и сам эксплойт, инициализируя службу, открывающую доступ к системе через порт 4444 и ожидающую соединения извне. В результате такого соединения злоумышленник получал полный доступ к системе с привилегиями пользователя, запустившего Winamp.
По этой ссылке ниже можно посмотреть видео, как эксплойт открывает соединение на порт 4444 после просмотра пользователем информации о зараженном файле.