No início desta semana os meus colegas Peter Szabo e Richard Wang, respectivamente descobriu e escreveu sobre o malware disfarçado como uma planilha do Microsoft Excel usado para gerar enigmas de Sudoku para ajudar a passar o tempo.
Esta manhã fui contactado por um outro investigador SophosLabs, Scott Sitar, sobre uma apresentação armadilhado PowerPoint intitulado "Será que o fim do mundo em 2012?"
Como a planilha do Excel, este arquivo continha código de macro do Visual Basic que coloca um arquivo executável chamado VBA [X]. Exe, onde [X] é uma letra maiúscula aleatória. Na verdade, a macro foi funcionalmente idêntica à encontrada no Sudoku.
Também como o gerador de Sudoku, esta amostra necessária ao usuário ativar macros, mas não incluem a dica útil sobre a forma de fazê-lo ou realmente qualquer razão que você pode precisar de uma macro para aprender sobre o fim dos tempos.
O que são esses macros até? Eles são projetados para construir um válido arquivo do Windows PE (Portable Executable) de matrizes de bytes individuais.
Enquanto isso não é particularmente novo, seria jogar fora o usuário médio de compreender o que essas macros são projetados para fazer, mesmo que se preocupou em dar uma olhada.
O arquivo EXE que é extraído é o que chamamos de um conta-gotas. Ele extrai um outro arquivo do Windows PE que baixa uma imagem de uma coruja, em contato com um servidor de comando e controle.
Ele é projetado para baixar outra carga que irá renomear como Wmupdate.exe, mas durante nossos testes não instruções foram enviadas a partir do servidor de comando e controle para recuperar essa carga.
Scott mencionado suas suspeitas de que estes estavam a ser gerado automaticamente e não necessariamente artesanal por seus criadores. Eu acho que ele está certo.
Dei uma olhada em volta e descobriu os originais, os arquivos não infectados que esses macros perigosas foram adicionados.
A apresentação sobre o fim do mundo foi criado por um pastor nos Estados Unidos, que parece não ter nada a ver com esta versão armadilhado. Não vá olhar para esta apresentação, embora!
Seu blog WordPress legítimo foi comprometido e atualmente está realizando tarefas de busca de manipulação de motores para empurradores Viagra, "off-shore" casinos fraude cambial, e os empréstimos do dia de pagamento.
Se você quiser ver o que esta apresentação tem a dizer, eu era capaz de encontrá-lo on-line em um seguro para ver formato .
Embora os vírus de macro certamente não são um fenômeno novo, eles não são algo que muitas pessoas pensam.
Tenha cuidado com os documentos que você adquirir a partir de fontes aleatórias e nunca ativar macros em documentos que você baixar ou receber como anexos de email.
Você nunca sabe o que pode estar escondido lá dentro, mas eu suspeito que não será o fim do mundo.
Um agradecimento especial a Scott Sitar no SophosLabs Vancouver para detectar isso e fazer todas as análises necessárias para compartilhar esta história.
Sophos Anti-Virus em todos os blocos de plataformas este malware como segue:
• WM97/ExeDrop-G: A macro Office malicioso
• Troj / DwnLdr-KLB: O malware do Windows caiu acima
![Password security infomerical leaves Ellen DeGeneres in disbelief.. and it will you too [VIDEO]](http://sophosnews.files.wordpress.com/2013/04/ellen-thumb.jpg?w=75&h=75&crop=1)
![Can multiple moving cursors really hide your password from spyware and peepers? [VIDEO]](http://sophosnews.files.wordpress.com/2013/03/cursors-thumb.jpg?w=75&h=75&crop=1)
![Hacked TV channels broadcast zombie apocalypse emergency alert [VIDEO]](http://sophosnews.files.wordpress.com/2013/02/zombie-thumb.jpg?w=75&h=75&crop=1)
