This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Готов ли мир конец пятницы? Может быть, может быть, и нет, но любопытство может быть инфекционным

Filed Under: Featured, Malware, SophosLabs

Будет ли конец мира в 2012 году Ранее на этой неделе мои коллеги Питер Сабо и Ричард Ван соответственно обнаружено и писали о вредоносных замаскированы в виде электронной таблицы Microsoft Excel используется для создания головоломок судоку, чтобы помочь скоротать время.

Сегодня утром я связался с другой исследователь SophosLabs, Скотт Ситар, о заминирована PowerPoint презентации под названием "Будет ли конец мира в 2012 году?"

Как таблицы Excel, этот файл, содержащийся Visual Basic код макроса, который падает исполняемый файл с именем VBA [X]. EXE, где [X] является случайной буквы. В самом деле, макро был функционально идентичны тем, которые имеются в головоломки Судоку.

Кроме того, как судоку генератор, в этом примере требуется пользователю включить макросы, но не включает полезный совет о том, как сделать это, или действительно любой хорошей причине вам может понадобиться макрос, чтобы узнать о конце времен.

Что это за макросы до? Они предназначены для построения правильного Windows PE файл (Portable Executable) из массивов одного байта.

Хотя это не особенно нового, было бы скинуть средний пользователь из понимания того, что эти макросы разработан, чтобы сделать, даже если они удосужился взглянуть.

Скриншот вредоносных макросов VB

Сова изображения получены вредоносных программ EXE файл, который извлекается то, что мы называем капельницей. Она извлекает другой файл Windows PE, которая загружает изображение совы, то контакты командования и управления сервером.

Он предназначен для загрузки другой полезной она будет переименовать, как Wmupdate.exe, но во время нашего тестирования никаких инструкций были отправлены с сервера командно-контроль, чтобы получить эту полезную нагрузку.

Скотт отметил его подозрения, что это были генерируется автоматически и не обязательно ручной своих создателей. Я думаю, что он прав.

Я огляделся и обнаружил оригинал, неинфицированных файлов, что эти опасные макросы были добавлены.

Презентация о мире окончанием была создана проповедником в Соединенных Штатах, которые, как представляется, ничего общего с этой мины-ловушки версии. Не ищите эту презентацию, хотя!

Его законные блоге WordPress был взломан и в настоящее время ведет поиск обязанности двигателем манипуляции для толкачей, Виагра, "вне берега" казино, мошенничество форекс и выплаты жалованья кредиты.

SEO ключевых слов на угрозу блог

Если вы хотите увидеть, что эта презентация должна сказать, что я был в состоянии найти его в Интернете в безопасном для просмотра формата .

Хотя макро-вирусы, конечно, не новое явление, они не то, что многие люди думают о.

Будьте осторожны с документами вы приобретаете из случайных источников и никогда не разрешить выполнение макросов в документах, скачать или получить в качестве вложения электронной почты.

Вы никогда не знаете, что может скрываться там, но я подозреваю, что это не будет концом света.

Особая благодарность Скотту Ситар в Ванкувере SophosLabs для выявления этого и делаем все необходимое анализа поделиться этой историей.

Sophos Anti-Вирус на всех платформах блоки данной вредоносной программы следующим образом:

WM97/ExeDrop-G: вредоносный макрос офиса
Troj / DwnLdr-KLB: Windows, вредоносные снизился на вышеуказанные

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.