Модифицированный вирус распространяется по казахстанской сети

Модифицированный вирус распространяется по казахстанской сети

22 Февраль 2020 15:35 2862

Модифицированный вирус распространяется по казахстанской сети
Служба реагирования на компьютерные инциденты "KZ-CERT" сообщает о выявлении вируса, являющегося документом Word, который обходит средства защиты типа "песочницы".

В Службу "KZ-CERT" поступило обращение о ежедневно повторяющейся рассылке, которая содержит вложение в виде файла Word под названием 945kaz.

Проведенный экспертами "KZ-CERT" анализ содержания позволилклассифицировать данный инцидент ИБ как "Вредоносная активность".

Распространение вирусов в документе Word не является уникальным случаем, и подобные инциденты ИБ уже известны. Однако, в случае с обнаруженным файлом, уникальность заключается в том, что вирус активируется только после третьей перезагрузки компьютера, что усложняет детектирование антивирусными программами и песочницами, а также расследование инцидента. Проще говоря, после открытия документа Word и активации исполнения макросов, вирус готовит платформу для основного вредоносного ПО. Причем, делается это таким образом, чтобы максимально затруднить выявление основного функционала.

До третьей перезагрузки компьютера (с момента активации макросов в документе) исполнения реального вредоносного функционала не происходит.

Такое большое количество перезагрузок используется злоумышленниками с учетом того, что, обычно, автоматизированные среды анализа (песочницы) не могут проанализировать активность, происходящую после перезагрузки компьютера в ее связи с действиями, произведенными до этой перезагрузки. Для усложнения анализа, на одном из этапов (первая перезагрузка) злоумышленники используют интересный и эффективный ход: создание определенного каталога, в качестве признака успешной перезагрузки. Поскольку данную активность трудно отнести к вредоносной – достаточно мала вероятность успешного обнаружения вредоносного функционала в ходе такого анализа.

Основной функционал данного вредоносного объекта заключается в загрузке и исполнении произвольного кода (базонезависимого, а не стандартного исполняемого файла) с сервера злоумышленников. Также, благодаря приемам противодействия исследованию, злоумышленникам удастся скрыть от автоматического анализа сервер, с которого происходит загрузка реального кода.

С учетом данного функционала, можно классифицировать инцидент как достаточно опасный, поскольку подобная схема позволяет исполнить любой код, при этом, обеспечивая возможности для его оперативного изменения.

Для обеспечения безопасности устройств, Служба"KZ-CERT" настоятельно рекомендует обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз.

Материалы по теме:

stoimost-novogo-aeroporta-kyzylordinskoj-oblasti-snizyat-na-5-mlrd-tenge

okolo-1-mln-napravili-oae-na-socialnye-proekty-v-kazahstane

chem-zanimaetsya-muhtar-ablyazov

834-pary-zaregistrirovali-brak-20-02-2020-v-kazahstane

bitva-za-metallolom-biznes-soobshestvo-zhdet-prinyatiya-zakonov-dlya-razvitiya-otrasli

загрузка

×