This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

是目前世界上周五结束?也许是,也许不是,但好奇心可以传染

Filed Under: Featured, Malware, SophosLabs

世界将在2012年年底本周早些时候,我的同事彼得·萨博和理查德·王发现并写了关于恶意软件伪装成为Microsoft Excel电子表格用于生成数独谜题,以帮助打发时间。

今天早上,我接触的另一个SophosLabs的研究员斯科特·西塔,大约一个陷阱“这个世界会在2012年年底的PowerPoint演示文稿?”

Excel电子表格一样,这个文件中包含的Visual Basic宏的代码会删除可执行文件称为VBA [X]。exe,其中[X]是一个随机的大写字母。事实上,宏功能相同的数独谜题。

还像数独发电机,此示例要求用户启用宏,但不包括有用的提示,该怎么做或什么好的原因,你可能需要一个宏来学习的结束时间。

这些宏是什么?他们的目的是建立一个有效的Windows PE文件(可移植可执行文件)的单字节数组。

虽然这不是特别新,它会甩开普通用户了解这些宏做,即使他们懒得去看看。

恶意的VB宏截图

猫头鹰图像检索的恶意软件 EXE文件中提取就是我们所说的滴管。提取另一台Windows PE文件下载的图片的猫头鹰,然后与我们联系命令和控制服务器。

它被设计成下载其他有效载荷,将重命名为Wmupdate.exe,但在我们的测试中没有说明发送的命令和控制服务器来检索该有效载荷。

斯科特提到了他的怀疑,这些自动生成的,而不是他们的创作者一定是手工制作的。我认为他是正确的。

我接过来一看,发现原始的,未感染的文件,这些危险的宏已被添加到。

介绍有关世界的结局是由一个美国传教士似乎什么都没有做,这诱杀版本。不要去寻找此演示文稿,但!

他的合法的WordPress博客已被破坏,目前正进行操纵搜索引擎伟哥推动者的职责,“离岸”的赌场,外汇欺诈和发薪日贷款。

在受到威胁的博客的SEO关键字

如果你想看到介绍说这是什么,我能在网上找到一个安全,查看格式

虽然宏病毒肯定不是一个新的现象,他们是不是很多人认为的。

小心您获得随机源,从来没有启用宏,在你下载的文件或接收电子邮件附件的文件。

你永远不知道什么可能潜伏在那里,但我怀疑这会不会是世界末日。

我们要特别感谢斯科特·斯塔副部长在SophosLabs的温哥华,能发现这一点,并做必要的分析来分享这个故事。

Sophos反病毒在所有平台上阻止该恶意软件如下:

•WM97/ExeDrop-G:恶意的Office宏
•Troj / DwnLdr的KLB:由上述的Windows恶意软件下降

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.