This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

세계 금요일 끝입니까? 아닐 수도 있지만, 호기심은 전염성이 될 수

Filed Under: Featured, Malware, SophosLabs

2012 년 세계 끝 윌 이번 주 초에 동료 피터 자보와 리처드 왕은 각각 발견하고 쓴 위장 악성 코드 의 시간을 통과하기 위해 스도쿠 퍼즐을 생성하는 데 사용하는 Microsoft Excel 스프레드 시트로.

오늘 아침 저는이라는 시한 폭탄 PowerPoint 프레젠테이션에 대해 다른 SophosLabs 연구원, 스콧 시타르로부터 연락을 받았다 "2012 년 윌 세계의 끝?"

Excel 스프레드 시트와 마찬가지로,이 파일이라는 실행 파일을 떨어 Visual Basic 매크로 코드를 포함 VBA [X]. EXE, 여기서 [X] 임의의 대문자입니다. 사실, 매크로는 스도쿠 퍼즐에서 발견 된 것과 기능적으로 동일했다.

또한 스도쿠 생성기처럼,이 예제 매크로를 사용하려면 사용자가 필요하지만, 작업을 수행하는 또는 정말 좋은 이유는 당신이 종료 시간에 대해 배울 수있는 매크로를해야 할 수도 있습니다 방법에 대한 유용한 팁을 포함하지 않았다.

이 매크로는 무슨 일을입니까? 그들은 하나의 바이트 배열에서 유효한 Windows PE 파일 (휴대용 실행)을 구축하기 위해 설계되었습니다.

이 특히 새로운 아니지만, 그것은 그들이 살펴을 안하는 경우에도 이러한 매크로가 수행하도록 설계되어 어떤 이해에서 평균 사용자를 밖으로 던져 것입니다.

악성 VB 매크로의 스크린 샷

올빼미 이미지가 악성 코드에 의해 검색 추출되는 EXE 파일은 우리가 스포이트라고 부릅니다. 이 연락처 명령 및 제어 서버에 다음 올빼미의 사진을 다운로드 다른 Windows PE 파일을 추출합니다.

그것은이 Wmupdate.exe로 이름을 것입니다 다른 페이로드를 다운로드하도록 설계되어 있지만, 테스트를하는 동안 어떤 방법이 페이로드를 검색 할 명령 및 제어 서버에서 전송되지 않았습니다.

스콧이가 자동으로 생성 및 제작자에 의해 반드시 수공예하지하고 있다는 자신의 의혹을 언급. 나는 그가 옳다고 생각 해요.

난 주위를 둘러을 가져다 이러한 위험 매크로가 추가 된 원래, 감염되지 않은 파일을 발견했습니다.

세상이 끝장에 대한 프리젠 테이션이 시한 폭탄 버전과는 아무 상관이없는 것처럼 미국의 설교자에 의해 만들어졌습니다. 하지만이 프리젠 테이션을 찾는 마!

그의 합법적 인 워드 프레스 블로그가 손상되어 현재, "오프 쇼어"카지노, forex 사기와 월급 날 대출은 비아그라의 푸셔에 대한 검색 엔진 조작 업무를 수행하고 있습니다.

손상된 블로그 SEO 키워드

이 프리젠 테이션은 무슨 얘기를하는지 싶다면, 내가 온라인을 찾을 수있었습니다 형식을 볼 안전 .

매크로 바이러스가 확실히 새로운 현상이 아니다 있지만, 많은 사람들이 생각 일 수 없습니다.

당신은 임의의 소스에서 취득하고 다운로드 문서에 매크로를 사용하도록 설정하거나 이메일 첨부 파일로 수신 결코 서류와주의하십시오.

당신은 거기 있었다 될 수 있습니다 결코 알지 못할,하지만 난 그게 세상의 끝되지 않습니다 의심.

이 야생이 이야기를 공유 할 필요가 분석을 모두 수행하는 SophosLabs 밴쿠버의 스콧 시타르에 대한 특별 감사드립니다.

모든 플랫폼 블록이 악성 코드에 소포스는 안티 바이러스 다음과 같이 :

WM97/ExeDrop-G : 악성 오피스 매크로
Troj / DwnLdr-KLB : 위의 하락 윈도우 악성 코드

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.