Опасный вирус семейства W97M.DownLoader загружает на ПК жертвы банковский троян

neformat / Сен.23.2015. / Нет комментариев

virddmin

Статистические данные о потенциально опасных объектах, обнаруженных в почтовом трафике аналитиками «Доктор Веб», свидетельствуют, что злоумышленники разных стран регулярно используют вирусы семейства W97M.DownLoader. В августе количество таких рассылок составило почти 1% от общего количества вредоносных файлов, распространяемых по электронной почте. Один из таких опасных файлов – утилита W97M.DownLoader.507.

В компании рассказали, что W97M.DownLoader.507 имеет вид обычного документа Word (от Microsoft) и распространяется как стандартное вложение к электронному сообщению. Образец, полученный аналитиками «Доктор Веб», маскировался под обычное факсимильное сообщение. При этом полученный файл якобы зашифрован при помощи современного алгоритма RSA, для доступа к содержимому пользователю предлагалось самостоятельно активировать в интерфейсе текстового редактора использование макросов в редакторе.

На самом деле полная версия письма не отображается, поскольку текст имеет белый цвет (он попросту сливается с фоном). Этот текст и отображается автоматически после включения макросов. Одновременно с демонстрацией скрытого текста вирус незаметно загружает с внешнего сервера фрагменты кода, формирует файлы сценариев в форматах .ps1, .bat или .vbs (тип зависит от версии ОС Windows), сохраняет их на локальный диск атакованного ПК и запускает. Сценарии загружают с управляющего сервера вредоносный исполняемый файл – W97M.DownLoader.507, к примеру, загружает утилиту Trojan.Dyre.553 (опасный банковский троян).

Специалисты компании рекомендуют всем пользователям проявлять максимальную осторожность и категорически не загружать вложения, присланные из неизвестных источников (если пользователь не знаком). К документам Microsoft Office это тоже относится, поскольку через макросы злоумышленники могут атаковать компьютер.



Оставить комментарий

Войти с помощью: 


<------------->