This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

O mundo está terminando sexta-feira? Talvez sim, talvez não, a curiosidade, mas poderia ser infecciosa

Filed Under: Featured, Malware, SophosLabs

Será o fim do mundo em 2012 No início desta semana os meus colegas Peter Szabo e Richard Wang, respectivamente descobriu e escreveu sobre o malware disfarçado como uma planilha do Microsoft Excel usado para gerar enigmas de Sudoku para ajudar a passar o tempo.

Esta manhã fui contactado por um outro investigador SophosLabs, Scott Sitar, sobre uma apresentação armadilhado PowerPoint intitulado "Será que o fim do mundo em 2012?"

Como a planilha do Excel, este arquivo continha código de macro do Visual Basic que coloca um arquivo executável chamado VBA [X]. Exe, onde [X] é uma letra maiúscula aleatória. Na verdade, a macro foi funcionalmente idêntica à encontrada no Sudoku.

Também como o gerador de Sudoku, esta amostra necessária ao usuário ativar macros, mas não incluem a dica útil sobre a forma de fazê-lo ou realmente qualquer razão que você pode precisar de uma macro para aprender sobre o fim dos tempos.

O que são esses macros até? Eles são projetados para construir um válido arquivo do Windows PE (Portable Executable) de matrizes de bytes individuais.

Enquanto isso não é particularmente novo, seria jogar fora o usuário médio de compreender o que essas macros são projetados para fazer, mesmo que se preocupou em dar uma olhada.

Screenshot de macros maliciosos VB

Imagem coruja recuperados por malware O arquivo EXE que é extraído é o que chamamos de um conta-gotas. Ele extrai um outro arquivo do Windows PE que baixa uma imagem de uma coruja, em contato com um servidor de comando e controle.

Ele é projetado para baixar outra carga que irá renomear como Wmupdate.exe, mas durante nossos testes não instruções foram enviadas a partir do servidor de comando e controle para recuperar essa carga.

Scott mencionado suas suspeitas de que estes estavam a ser gerado automaticamente e não necessariamente artesanal por seus criadores. Eu acho que ele está certo.

Dei uma olhada em volta e descobriu os originais, os arquivos não infectados que esses macros perigosas foram adicionados.

A apresentação sobre o fim do mundo foi criado por um pastor nos Estados Unidos, que parece não ter nada a ver com esta versão armadilhado. Não vá olhar para esta apresentação, embora!

Seu blog WordPress legítimo foi comprometido e atualmente está realizando tarefas de busca de manipulação de motores para empurradores Viagra, "off-shore" casinos fraude cambial, e os empréstimos do dia de pagamento.

Palavras-chave de SEO no blog comprometido

Se você quiser ver o que esta apresentação tem a dizer, eu era capaz de encontrá-lo on-line em um seguro para ver formato .

Embora os vírus de macro certamente não são um fenômeno novo, eles não são algo que muitas pessoas pensam.

Tenha cuidado com os documentos que você adquirir a partir de fontes aleatórias e nunca ativar macros em documentos que você baixar ou receber como anexos de email.

Você nunca sabe o que pode estar escondido lá dentro, mas eu suspeito que não será o fim do mundo.

Um agradecimento especial a Scott Sitar no SophosLabs Vancouver para detectar isso e fazer todas as análises necessárias para compartilhar esta história.

Sophos Anti-Virus em todos os blocos de plataformas este malware como segue:

WM97/ExeDrop-G: A macro Office malicioso
Troj / DwnLdr-KLB: O malware do Windows caiu acima

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.