• Главная
  • В KZ-CERT предупредили казахстанцев о вредоносной рассылке
11:00, 22 февраля 2020 г.

В KZ-CERT предупредили казахстанцев о вредоносной рассылке

В KZ-CERT предупредили казахстанцев о вредоносной рассылке

Казахстанская служба реагирования на компьютерные инциденты «KZ-CERT» выявила модифицированный компьютерный вирус в виде файла Word под названием 945kaz. Сообщается, что он активируется лишь после третьей перезагрузки и обходит популярные средства защиты, передает inAlmaty.kz со ссылкой на Facebook «KZ-CERT».

В службу «KZ-CERT» поступило обращение о ежедневно повторяющейся рассылке, которая содержит вложение в виде файла Word под названием 945kaz. Специалисты проанализировали ее содержание и выяснили, что это вирус. Информационная безопасность (ИБ) классифицировала его, как «вредоносную активность».

Сообщается, что распространение вирусов в документе Word не является уникальным случаем, и подобные инциденты ИБ уже известны. Однако, в случае с обнаруженным файлом, уникальность заключается в том, что вирус активируется только после третьей перезагрузки компьютера.

«Это усложняет детектирование антивирусными программами и песочницами, а также расследование инцидента. Проще говоря, после открытия документа Word и активации исполнения макросов, вирус готовит платформу для основного вредоносного ПО. Причем, делается это таким образом, чтобы максимально затруднить выявление основного функционала. До третьей перезагрузки компьютера, с момента активации макросов в документе, исполнения реального вредоносного функционала не происходит», - пояснили в «KZ-CERT».

Специалисты говорят, что такое большое количество перезагрузок используется злоумышленниками с учетом того, что, обычно, автоматизированные среды анализа (песочницы) не могут проанализировать активность, происходящую после перезагрузки компьютера в ее связи с действиями, произведенными до этой перезагрузки.

«Для усложнения анализа, на одном из этапов (первая перезагрузка) злоумышленники используют интересный и эффективный ход: создание определенного каталога, в качестве признака успешной перезагрузки. Поскольку данную активность трудно отнести к вредоносной – достаточно мала вероятность успешного обнаружения вредоносного функционала в ходе такого анализа», - добавили в службе реагирования на компьютерные инциденты.

Основной функционал данного вредоносного объекта заключается в загрузке и исполнении произвольного кода с сервера злоумышленников. Также, благодаря приемам противодействия исследованию, им удастся скрыть от автоматического анализа сервер, с которого происходит загрузка реального кода.

С учетом данного функционала, можно классифицировать инцидент как достаточно опасный, поскольку подобная схема позволяет исполнить любой код, при этом, обеспечивая возможности для его оперативного изменения, заявили в «KZ-CERT».

Для обеспечения безопасности устройств, служба «KZ-CERT» настоятельно рекомендует обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз.

Индикаторы заражения:116.193.153.20 – IP-адрес сервера, с которого скачивается объект-загрузчик исполняемого кода в памяти;

brands.newst.dnsabr.com – сервер, с которого осуществляется загрузка основного вредоносного кода.

В случае обнаружения подобного рода подозрительных рассылок, интернет-ресурсов с подозрительным содержанием казахастанцев просят сообщать специалистам по бесплатному номеру 1400 (круглосуточно) или отправлять заявки на официальный сайт либо на Телеграм-канал. Электронный адрес: [email protected]

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции
#вирус #компьютер #ПО #Word #опасность
Объявления
live comments feed...