20 kwietnia 2017

Doctor Web ostrzega użytkowników o nowej podatności w Microsoft Office. Pozwala ona cyberprzestępcom na pobieranie na zaatakowany komputer różnych plików wykonywalnych.

Opisywana podatność została wykryta w Microsoft Word. Bazując na niej cyberprzestępcy opracowali aktywnego exploita dla tej aplikacji, który został dodany do bazy wirusów Dr.Web jako Exploit.Ole2link.1. Używa on technologii XML, podczas gdy we wcześniejszych programach penetrujących Microsoft Office cyberprzestępcy korzystali z obiektów OLE.

Ten exploit został opracowany jako dokument Microsoft Word z rozszerzeniem DOCX. Z chwilą jego otwarcia ładowany jest inny plik o nazwie doc.doc. Zawiera on osadzony w nim skrypt HTA, wykrywany przez programy Dr.Web jako PowerShell.DownLoader.72. Ten skrypt HTA, napisany z użyciem składni poleceń Windows Script, wywołuje interpreter poleceń PowerShell. PowerShell przetwarza kolejny złośliwy skrypt który pobiera na zaatakowany komputer określony przez przestępców plik wykonywalny.

Na chwilę obecną cyberprzestępcy używają tego mechanizmu do instalowania na komputerach swoich ofiar wirusa Trojan.DownLoader24.49614. Ten trojan pobiera i uruchamia na zainfekowanych maszynach inne złośliwe oprogramowanie.

Antywirusy Dr.Web z powodzeniem wykrywają i usuwają pliki zawierające Exploit.Ole2link.1, tym samym nie stanowi on żadnego zagrożenia dla naszych użytkowników.

Więcej na temat tego exploita