This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

¿Es el fin del mundo viernes? Quizás sí, quizás no, pero la curiosidad puede ser infecciosa

Filed Under: Featured, Malware, SophosLabs

¿Se acabará el mundo en 2012 A principios de esta semana mis colegas Peter Szabo y Wang Richard respectivamente descubrió y escribió sobre el malware disfrazado como una hoja de cálculo de Microsoft Excel para generar rompecabezas de Sudoku para ayudar a pasar el tiempo.

Esta mañana fui contactado por otro investigador de SophosLabs, Scott Sitar, sobre una trampa explosiva presentación en PowerPoint titulada "¿Se acabará el mundo en el 2012?"

Al igual que la hoja de cálculo Excel, este archivo contiene código de macro de Visual Basic que Infiltra un archivo ejecutable llamado VBA [X]. Exe, donde [X] es una letra mayúscula al azar. De hecho, la macro es funcionalmente idéntica a la encontrada en el Sudoku.

También como el generador de Sudoku, esta muestra se requiere que el usuario habilite las macros, pero no incluía el consejo útil sobre cómo hacerlo o realmente ninguna buena razón es posible que tenga una macro para aprender acerca de los últimos tiempos.

¿Cuáles son estas macros haciendo? Están diseñados para construir un archivo válido de Windows PE (Portable Executable) de las matrices de bytes individuales.

Si bien esto no es particularmente nuevo, sería sacudirse el usuario medio de la comprensión de lo que estas macros están diseñadas para hacer, incluso si se molestaron en echar un vistazo.

Captura de pantalla de macros de VB maliciosos

Owl imagen recuperada por el malware El archivo EXE que se extrae es lo que llamamos un gotero. Extrae otro archivo de Windows PE que descarga una imagen de un búho, se pone en contacto con un servidor de comando y control.

Está diseñado para descargar otro de carga útil que se cambie el nombre como Wmupdate.exe, pero durante nuestras pruebas no se enviaron instrucciones desde el servidor de comando y control para recuperar esta carga.

Scott mencionó sus sospechas de que estos estaban siendo generadas automáticamente y no necesariamente hechos a mano por sus creadores. Creo que tiene razón.

Eché un vistazo alrededor y descubrió los archivos originales, no infectados que estas macros peligrosas se habían añadido.

La presentación sobre el fin del mundo fue creado por un predicador en Estados Unidos, que parece no tener nada que ver con esta versión trampa. No ir a buscar a esta presentación, aunque!

Su legítimo blog de WordPress ha sido comprometido y está realizando tareas de manipulación de motores de búsqueda para vendedores de Viagra, "off-shore" casinos, el fraude de divisas y préstamos de día de pago.

SEO palabras clave en el blog de peligro

Si usted quiere ver lo que esta presentación tiene que decir, que fue capaz de encontrarlo en línea en un formato seguro para ver .

Aunque los virus de macro ciertamente no son un fenómeno nuevo, no son algo que mucha gente piensa.

Tenga cuidado con los documentos que se adquieren a partir de fuentes aleatorias y no habilitar las macros en los documentos que se descargan o que recibas como archivos adjuntos de correo electrónico.

Uno nunca sabe lo que puede estar al acecho allí, pero sospecho que no será el fin del mundo.

Un agradecimiento especial a Scott Sitar en Vancouver SophosLabs para detectar esto y hacer todo el análisis necesario para compartir esta historia.

Sophos Anti-Virus en todos los bloques de plataformas que este malware como sigue:

WM97/ExeDrop-G: La macro de Office malicioso
Troj / DwnLdr KLB-: El malware de Windows cayeron por encima de la

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.