Астана. 21 февраля. КазТАГ – Замаскированный под Word-файл вирус распространяется в казахстанском сегменте Интернета, сообщает служба реагирования на компьютерные инциденты KZ-CERT.
«В службу KZ-CERT поступило обращение о ежедневно повторяющейся рассылке, которая содержит вложение в виде файла Word под названием 945kaz. Проведенный экспертами KZ-CERT анализ содержания позволил классифицировать данный инцидент ИБ (информационной безопасности – КазТАГ) как «вредоносная активность», - говорится в распространенном в пятницу сообщении.
Как отмечается, «распространение вирусов в документе Word не является уникальным случаем, и подобные инциденты ИБ уже известны».
«Однако в случае с обнаруженным файлом уникальность заключается в том, что вирус активируется только после третьей перезагрузки компьютера, что усложняет детектирование антивирусными программами и песочницами, а также расследование инцидента. Проще говоря, после открытия документа Word и активации исполнения макросов, вирус готовит платформу для основного вредоносного ПО. Причем, делается это таким образом, чтобы максимально затруднить выявление основного функционала», - пояснили в службе.
К KZ-CERT уточнили, что до третьей перезагрузки компьютера (с момента активации макросов в документе) исполнения реального вредоносного функционала не происходит.
«Такое большое количество перезагрузок используется злоумышленниками с учетом того, что обычно автоматизированные среды анализа (песочницы) не могут проанализировать активность, происходящую после перезагрузки компьютера в связи с ее действиями, произведенными до этой перезагрузки. Для усложнения анализа на одном из этапов (первая перезагрузка) злоумышленники используют интересный и эффективный ход: создание определенного каталога в качестве признака успешной перезагрузки. Поскольку данную активность трудно отнести к вредоносной – достаточно мала вероятность успешного обнаружения вредоносного функционала в ходе такого анализа», - добавили в службе.
Отмечается, что основной функционал данного вредоносного объекта заключается в загрузке и исполнении произвольного кода (базонезависимого, а не стандартного исполняемого файла) с сервера злоумышленников. Также, благодаря приемам противодействия исследованию, злоумышленникам удастся скрыть от автоматического анализа сервер, с которого происходит загрузка реального кода.
«С учетом данного функционала можно классифицировать инцидент как достаточно опасный, поскольку подобная схема позволяет исполнить любой код, при этом, обеспечивая возможности для его оперативного изменения. Для обеспечения безопасности устройств служба KZ-CERT настоятельно рекомендует обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз. Индикаторы заражения: 116.193.153.20 – IP-адрес сервера, с которого скачивается объект-загрузчик исполняемого кода в памяти; brands.newst.dnsabr.com – сервер, с которого осуществляется загрузка основного вредоносного (базонезависимого) кода», - уточнили в KZ-CERT.
Источник фото: Фото из открытых источников