447,60 487,00 5.70
+7 (7172) 757 485 24kz@khabar.kz
РУС

Модифицированный вирус в виде документа Word распространяется по Казахстану

  • 652
  • UPD: 11:40, 22.02.2020
Модифицированный вирус в виде документа Word распространяется по Казахстану cryptoworld.su

Служба реагирования на компьютерные инциденты «KZ-CERT» сообщила о выявлении вируса в виде документа Word, который обходит средства защиты типа «песочницы».

Так, в Службу поступило обращение о ежедневно повторяющейся рассылке, которая содержит вложение в виде файла Word под названием 945kaz.

Проведенный экспертами анализ содержания позволил классифицировать данный инцидент ИБ как «Вредоносная активность».

Уникальность вируса заключается в том, что он активируется только после третьей перезагрузки компьютера, что усложняет детектирование антивирусными программами и песочницами, а также расследование инцидента. Проще говоря, после открытия документа Word и активации исполнения макросов, вирус готовит платформу для основного вредоносного ПО. Причем, делается это таким образом, чтобы максимально затруднить выявление основного функционала.

До третьей перезагрузки компьютера (с момента активации макросов в документе) исполнения реального вредоносного функционала не происходит.

Основной функционал данного вредоносного объекта заключается в загрузке и исполнении произвольного кода (базонезависимого, а не стандартного исполняемого файла) с сервера злоумышленников. Также, благодаря приемам противодействия исследованию, злоумышленникам удастся скрыть от автоматического анализа сервер, с которого происходит загрузка реального кода.

С учетом данного функционала, можно классифицировать инцидент как достаточно опасный, поскольку подобная схема позволяет исполнить любой код, при этом, обеспечивая возможности для его оперативного изменения.

Для обеспечения безопасности устройств, Служба  «KZ-CERT» настоятельно рекомендует обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз.

Индикаторы заражения:

116.193.153.20 – IP-адрес сервера, с которого скачивается объект-загрузчик исполняемого кода в памяти;

brands.newst.dnsabr.com – сервер, с которого осуществляется загрузка основного вредоносного (базонезависимого) кода.

Призываем казахстанцев в случае обнаружения подобного рода подозрительных рассылок, интернет-ресурсов с подозрительным содержанием просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно) или отправлять заявки по ссылкам: http://www.kz-cert.kz/ru/form, https://t.me/kzcert. Также Вы можете направить письмо на электронный адрес: incident@kz-cert.kz.

Источник: Служба реагирования на компьютерные инциденты «KZ-CERT»

Телеканал Хабар 24