Dat meldt Symantec in een zondag verschenen waarschuwing van het Deepsight Threat Management System. Er worden twee soorten aanvallen uitgevoerd die beide beginnen met een redirect, het doorsturen van internetgebruikers naar een website met malware.

De eerste aanval stuurt slachtoffers via sekssite Ourvoyeur.net naar een kwaadaardige site die computers infecteert met de malware loader.exe. De applicatie kan worden opgeslagen als metasploit.exe, asasa.exe of syst.exe. De software downloadt op zijn beurt een hacktoolkit, door Symantec Hacktool.Rootkit gedoopt, waarmee kwaadwillenden op pc's kunnen inbreken.

De tweede aanval maakt ook gebruik van redirects en wordt nog nader onderzocht door Symantec.

De aanval maakt misbruik van een op 23 november ontdekte kwetsbaarheid in de RTSP-module van Quicktime. Voor de zogeheten RTSP Response Header Stack-Bass Buffer Overflow-kwetsbaarheid heeft Apple nog geen patch uitgebracht. De door Symantec ontdekte aanval lijkt vooral gericht op Windows-gebruikers, maar ook Mac OS-gebruikers lopen risico.

Om systemen te beschermen, raadt Symantec het blokkeren van toegang tot besmette sites aan. Het gaat om de urls 85.255.117.212, 85.255.117.213, 216.255.183.59, 69.50.190.135, 58.65.238.116, en 208.113.154.34. Ook het filteren van de sites 2005-search.com, 1800-search.com, search-biz.org, en ourvoyeur.net wordt aangeraden. Een laatste meer drastische maatregel, zo stelt Symantec voor, is het verwijderen van QuickTime, totdat er patches beschikbaar zijn.

Second Life

Dezelfde RTSP-kwetsbaarheid in QuickTime blijkt overigens misbruikt te kunnen worden in Second Life. Beveiligingsonderzoekers Charlie Miller en Dino Dai Zovi ontdekten dat exploit van het lek aanvallers de mogelijkheid geeft om Linden dollars van Second Life-gebruikers te stelen. Na het virtuele zakenrollen roepen de slachtoffers automatisch uit 'I got hacked'. De gestolen Linden dollars kunnen omgewisseld worden voor echte Amerikaanse dollars.

De onderzoekers demonstreren het misbruik in onderstaande video.