Antes mesmo de 24 horas da morte do cantor, a rede ThreatSeeker do Websense Security Labs anuncia descoberta de ameaças provindas de spams que contém, supostamente, links para vídeos e fotos inéditos do cantor recém-falecido, Michael Jackson.
A ameaça funciona da seguinte maneira: um e-mail é enviado ao destinatário, convidando o usuário, por meio de um link malicioso, para assistir a um vídeo no YouTube. Ao invés do vídeo, um cavalo-de-tróia, hospedado em um site comprometido, é enviado ao usuário. O arquivo está denominado como Michael.Jackson.videos.scr (MD5: 664cb28ef710e35dc5b7539eb633abca). Este arquivo encontra-se hospedado em um site legítimo de uma rádio Australiana. Ao executar o arquivo, o endereço de um grande portal brasileiro (http://musica.uol.com.br/ultnot/2009/06/25/michael-jackson.jhtm) é aberto pelo navegador com a finalidade de distrair o usuário.
No fundo, mais informações são roubadas e três componentes são baixados e instalados pelo malware. Um dos arquivos baixados é denominado de “Michael.gif”, e possui baixa taxa de detecção por meio dos antivírus. O malware instala um BHO malicioso que está registrado como %windir%/Dynamic.dll e GUID {FCADDC14-BD46-408A-9842-CDBE1C6D37EB}. Outro componente obriga o usuário a inicializar o arquivo %windir%\system32\kproces.exe, além de outro arquivo malicioso ser instalado pelo malware %windir%\system32\fotos.exe.
Usuários e clientes Websense® Messaging e Websense Web Security estão protegidos contra essas ameaças.