O mundo está terminando sexta-feira? Talvez sim, talvez não, a curiosidade, mas poderia ser infecciosa

Será o fim do mundo em 2012 No início desta semana os meus colegas Peter Szabo e Richard Wang, respectivamente descobriu e escreveu sobre o malware disfarçado como uma planilha do Microsoft Excel usado para gerar enigmas de Sudoku para ajudar a passar o tempo.

Esta manhã fui contactado por um outro investigador SophosLabs, Scott Sitar, sobre uma apresentação armadilhado PowerPoint intitulado "Será que o fim do mundo em 2012?"

Como a planilha do Excel, este arquivo continha código de macro do Visual Basic que coloca um arquivo executável chamado VBA [X]. Exe, onde [X] é uma letra maiúscula aleatória. Na verdade, a macro foi funcionalmente idêntica à encontrada no Sudoku.

Também como o gerador de Sudoku, esta amostra necessária ao usuário ativar macros, mas não incluem a dica útil sobre a forma de fazê-lo ou realmente qualquer razão que você pode precisar de uma macro para aprender sobre o fim dos tempos.

O que são esses macros até? Eles são projetados para construir um válido arquivo do Windows PE (Portable Executable) de matrizes de bytes individuais.

Enquanto isso não é particularmente novo, seria jogar fora o usuário médio de compreender o que essas macros são projetados para fazer, mesmo que se preocupou em dar uma olhada.

Screenshot de macros maliciosos VB

Imagem coruja recuperados por malware O arquivo EXE que é extraído é o que chamamos de um conta-gotas. Ele extrai um outro arquivo do Windows PE que baixa uma imagem de uma coruja, em contato com um servidor de comando e controle.

Ele é projetado para baixar outra carga que irá renomear como Wmupdate.exe, mas durante nossos testes não instruções foram enviadas a partir do servidor de comando e controle para recuperar essa carga.

Scott mencionado suas suspeitas de que estes estavam a ser gerado automaticamente e não necessariamente artesanal por seus criadores. Eu acho que ele está certo.

Dei uma olhada em volta e descobriu os originais, os arquivos não infectados que esses macros perigosas foram adicionados.

A apresentação sobre o fim do mundo foi criado por um pastor nos Estados Unidos, que parece não ter nada a ver com esta versão armadilhado. Não vá olhar para esta apresentação, embora!

Seu blog WordPress legítimo foi comprometido e atualmente está realizando tarefas de busca de manipulação de motores para empurradores Viagra, "off-shore" casinos fraude cambial, e os empréstimos do dia de pagamento.

Palavras-chave de SEO no blog comprometido

Se você quiser ver o que esta apresentação tem a dizer, eu era capaz de encontrá-lo on-line em um seguro para ver formato .

Embora os vírus de macro certamente não são um fenômeno novo, eles não são algo que muitas pessoas pensam.

Tenha cuidado com os documentos que você adquirir a partir de fontes aleatórias e nunca ativar macros em documentos que você baixar ou receber como anexos de email.

Você nunca sabe o que pode estar escondido lá dentro, mas eu suspeito que não será o fim do mundo.

Um agradecimento especial a Scott Sitar no SophosLabs Vancouver para detectar isso e fazer todas as análises necessárias para compartilhar esta história.

Sophos Anti-Virus em todos os blocos de plataformas este malware como segue:

WM97/ExeDrop-G: A macro Office malicioso
Troj / DwnLdr-KLB: O malware do Windows caiu acima