This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

والعالم تنتهي الجمعة؟ ربما، وربما لا يستطيع، ولكن الفضول تكون معدية

Filed Under: Featured, Malware, SophosLabs

سوف نهاية العالم في عام 2012 في وقت سابق من هذا الاسبوع زملائي بيتر زابو وانغ ريتشارد اكتشف التوالي وكتب عن البرمجيات الخبيثة متخفية وجدول بيانات Microsoft Excel استخدامها لتوليد سودوكو الألغاز لمساعدة تمرير الوقت.

هذا الصباح اتصل بي باحث آخر SophosLabs، سكوت سيتار، عن مفخخة عرض تقديمي ل PowerPoint بعنوان "هل نهاية العالم في 2012؟"

مثل جداول البيانات إكسل، الوارد هذا الملف التعليمات البرمجية ل Visual Basic الماكرو أن يسقط ملف تنفيذي يسمى VBA [X]. EXE، حيث [X] هو حرف عشوائي. في الواقع، كان الماكرو عمليا مطابقة لتلك الموجودة في لغز سودوكو.

أيضا مثل مولد سودوكو، حسب هذا النموذج المستخدم لتمكين وحدات الماكرو، ولكن لم تشمل نصيحة مفيدة حول كيفية القيام بذلك أو حقا أي سبب وجيه قد تحتاج ماكرو للتعرف على أوقات النهاية.

ما هي وحدات الماكرو هذه تصل إلى؟ أنها مصممة لبناء ملف PE ويندوز صالحة (قابل للتنفيذ المحمولة) من صفائف بايت واحد.

في حين أن هذا ليس جديدا ولا سيما، فإنه التخلص من مستخدم العادي من فهم ما يتم تصميم وحدات الماكرو هذه للقيام حتى لو ازعجت لإلقاء نظرة.

لقطة شاشة من وحدات الماكرو VB الخبيثة

استرجاع صورة بومة من قبل البرمجيات الخبيثة ملف EXE التي يتم استخراج هو ما نسميه قطارة. فإنه استخراج ملف آخر PE ويندوز التي تقوم بتحميل صورة بومة، ثم اتصالات الخادم القيادة والسيطرة.

وهي مصممة لتنزيل حمولة أخرى أنها سوف إعادة تسمية وWmupdate.exe، ولكن خلال تجاربنا تم إرسال أية تعليمات من خادم للقيادة والتحكم لاسترداد هذه الحمولة.

ذكر سكوت شكوكه التي يجري إنشاؤها تلقائيا وهذه لا يدويا بالضرورة المبدعين. اعتقد انه صحيح.

أخذت جولة في المكان واكتشف الأصلي، غير مصاب الملفات التي أضيفت وحدات الماكرو هذه الخطورة بمكان.

تم إنشاء العرض التقديمي حول نهاية العالم من قبل واعظ في الولايات المتحدة الذين يبدو أن لا علاقة لها مع هذا الإصدار مفخخة. لا تذهب تبحث عن هذا العرض على الرغم من!

تم اختراق له بلوق وورد المشروعة ويجري حاليا البحث اجبات التلاعب المحرك لمروجي الفياجرا "البعيدة عن الشاطئ" الكازينوهات الغش النقد الاجنبى، والقروض يوم الدفع.

كلمات البحث SEO خطر على بلوق

إذا كنت تريد أن ترى ما هذا العرض أن يقول، وكنت قادرا على العثور عليها على الانترنت في شكل آمن لعرض .

بينما فيروسات الماكرو هي بالتأكيد ليست ظاهرة جديدة، فهي ليست شيئا كثيرا من الناس تفكير.

كن حذرا مع وثائق تحصل عليه من مصادر عشوائية وعدم تمكين وحدات الماكرو في المستندات التي تحميل أو تلقي البريد الإلكتروني كما الملحقات.

أنت لا تعرف أبدا ما قد تكون كامنة في هناك، ولكن أظن أنها لن تكون نهاية العالم.

شكر خاص لسيتار سكوت في فانكوفر SophosLabs لاكتشاف هذا وتفعل كل من التحليل اللازم لمشاركة هذه القصة.

سوفوس لمكافحة الفيروسات على جميع الكتل منصات هذه البرامج الضارة على النحو التالي:

WM97/ExeDrop-G: الماكرو مكتب الخبيثة
Troj / DwnLdr KLB-: ويندوز البرمجيات الخبيثة بنسبة ما سبق

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.