В KZ-CERT сообщили о вредоносной рассылке
Она содержит вложение Word под названием 945kazВ Службе реагирования на компьютерные инциденты «KZ-CERT» сообщили о
выявлении вируса, который является документом Word и обходит
средства защиты типа «песочницы». В «KZ-CERT» поступило
обращение о ежедневно повторяющейся рассылке, которая содержит вложение в
виде файла Word под названием 945kaz. Проведенный экспертами анализ позволил классифицировать данный инцидент ИБ как «Вредоносная активность», сообщили корреспонденту центра деловой информации Kapital.kz в пресс-службе компании.
«Распространение вирусов в документе Word не является уникальным случаем, и подобные инциденты ИБ уже известны. Однако, в случае с обнаруженным файлом, уникальность заключается в том, что вирус активируется только после третьей перезагрузки компьютера, что усложняет детектирование антивирусными программами и песочницами, а также расследование инцидента. Проще говоря, после открытия документа Word и активации исполнения макросов, вирус готовит платформу для основного вредоносного ПО», - указывается в сообщении.
Причем, делается это таким образом, чтобы максимально затруднить выявление основного функционала. До третьей перезагрузки компьютера (с момента активации макросов в документе) исполнения реального вредоносного функционала не происходит.
Основной функционал данного вредоносного объекта заключается в загрузке и исполнении произвольного кода (базонезависимого, а не стандартного исполняемого файла) с сервера злоумышленников. Также, благодаря приемам противодействия исследованию, злоумышленникам удастся скрыть от автоматического анализа сервер, с которого происходит загрузка реального кода.
«Инцидент можно классифицировать как достаточно опасный, поскольку подобная схема позволяет исполнить любой код, при этом, обеспечивая возможности для его оперативного изменения», - предупредили в «KZ-CERT» и рекомендовали обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз.
При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.