О последних образцах вредоносных макросов в документах MS Office

Как сообщает IT-портал Softpedia, в процессе анализа последних примеров вредоносного кода эксперты из калифорнийской компании Zscaler наткнулись на инфицированные документы Microsoft Office, в которых применялись макросы с противостоящими обнаружению механизмами. Использовалось "запутывание" кода для усложнения анализа и идентификации вредоносного приложения.

Специалисты по компьютерной безопасности выяснили, что макросы ищут в системах не только антивирусные программы, но и "виртуалки": сканировалось наличие виртуальных машин и "песочниц" через Windows Management Instrumentation (инструментарий управления Windows).

Также было выявлено два новых хакерских трюка. Во-первых, просматривается список недавно открытых файлов Office. Если у инфицированной цели было меньше трех файлов, выполнение "вредоноса" прекращалось. Другая уловка - подключение к американскому сервису Maxmind GeoIP. Проверялся IP-адрес пользователя и сравнивался со списком адресов известных фирм сетевой безопасности, дата-центров и других сервисов антивирусного анализа.

В случае прохождения всех проверок вредоносный скрип запускает закачку на ПК вирусов типа приложения-вымогателя Nymaim, троянов Matsnu и Nitol.

Дмитрий Евдокимов

Версия для печатиВерсия для печати

Регион: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии