Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Trojan typu downloader ukrywa się w dokumentach Worda

14 sierpnia 2015, Warszawa

Statystyki dotyczące złośliwych programów wykrytych przez Dr.Web w ruchu poczty elektronicznej pokazują, że w ostatnim czasie cyberprzestępcy ze stałą regularnością wysyłają do użytkowników wiadomości e-mail zawierające niebezpieczne załączniki, wykrywane jako W97M.DownLoader. Na początku sierpnia całkowita liczba takich incydentów wyniosła około 1 procenta całości dystrybucji wszystkich wirusów i trojanów, przeprowadzonej z użyciem poczty elektronicznej. W tej wiadomości skupimy się na niebezpiecznym załączniku należącym do rodziny W97M.DownLoader nazwanym W97M.DownLoader.507.

W97M.DownLoader.507 to dokument Microsoft Word dystrybuowany jako załącznik do wiadomości e-mail — co więcej, próbka przebadana przez analityków bezpieczeństwa Doctor Web ukrywała się pod postacią wiadomości faksowej. Jednak cyberprzestępcy popełnili znaczący błąd, określając złą datę utworzenia dokumentu.

Sam plik wygląda na zaszyfrowany z użyciem algorytmu RSA. Aby odczytać zawartość wiadomości, ofiara jest proszona o włączenie obsługi makr.

Dokument zawiera również "pustą" stronę z tekstem wpisanym czcionką w białym kolorze, który staje się widoczny tylko wówczas, gdy użytkownik włączy makra.

Gdy obsługa makr zostanie włączona, tekst staje się widoczny dla ofiary. W tym samym momencie trojan rozpoczyna pobieranie kilku fragmentów kodu ze zdalnego serwera. Używając tych fragmentów i w zależności od wersji systemu Windows, złośliwy program generuje skrypty z rozszerzeniami .bat, .vbs, lub .ps1, zapisuje je na komputerze, a następnie uruchamia je. Z kolei skrypty pobierają z serwera kontrolowanego przez cyberprzestępców plik wykonywalny i uruchamiają go — w naszym przypadku W97M.DownLoader.507 został użyty do "dostarczenia" na zainfekowany komputer wirusa Trojan.Dyre.553, będącego niebezpiecznym trojanem bankowym.

Analitycy Doctor Web jeszcze raz przypominają użytkownikom o zachowaniu wzmożonej ostrożności — nie zaleca się otwierania załączników Microsoft Office otrzymywanych od nieznanych nadawców, bez wcześniejszego sprawdzenia ich pod kątem obecności wirusów. Co więcej, zalecamy zaniechanie włączania obsługi makr w Wordzie, gdy mimo wszystko użytkownik zdecyduje się na otwarcie załączonego "nieznanego" pliku MS Word.

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses
Doctor Web has been developing anti-virus software since 1992
Dr.Web is trusted by users around the world in 200+ countries
The company has delivered an anti-virus as a service since 2007
24/7 tech support

Dr.Web © Doctor Web
2003 — 2020

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A