![]() |
Новая техника заражения, выявленная аналитиками из McAfee, использует безобидный документ Microsoft Word для создания на лету зловредного макроса и отключения предупреждений системы безопасности, способных помешать его запуску. В настоящее время эта схема используется для скрытной доставки через спам вредоносной программы ZLoader. Согласно блог-записи McAfee, цепочка заражения в данном случае запускается привычным образом — при открытии вложенного в письмо документа Word. Однако распространяемый в спаме документ, против ожидания, не содержит вредоносного кода, хотя для просмотра пользователя просят включить макрос. При запуске этот VBA-код загружает с удаленного сервера запароленный файл Microsoft Excel, считывает содержимое ячеек таблицы и создает новый макрос для xls-файла, записывая содержимое ячеек как функции. После этого в системном реестре создается запись Disable Excel Macro Warning («Отключить предупреждения о макросах в Excel») и вызываются вредоносные функции — для загрузки целевой dll-библиотеки (ZLoader). Запуск полезной нагрузки на исполнение осуществляется с помощью rundll32.exe. https://www.anti-malware.ru/files/im...der_macros.png Заражения ZLoader с использованием новой схемы доставки обнаружены в США, Канаде, Испании, Японии и Малайзии. https://www.anti-malware.ru/files/im...der_macros.png В приложениях Microsoft Office запуск макросов по умолчанию отключен. Во избежание неприятностей исследователи советуют активировать такое содержимое только в документах, полученных из надежных источников. |
All times are GMT. The time now is 04:57 AM. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.