Как зловредния код попада в системите ни?
Един от векторите за атака на зловреден код над нашите машини е чрез фишинг кампании.
В някои от случаите потребителя получава електронна поща, съдържаща вируса в .zip формат като има съдържанието на някакв вид важен документ, фактура например.( Receipt 80-5602.zip)
В действителност въпросния архив съдържа в себе си променен документ на Microsoft Office съдържащ макроси(кода е на скриптов език Visual Basic).
Как се изпълнява този скрипт?
Освен ако не сме оказали нашите офисни документи да зареждат макроси, този код няма автоматично да бъде стартиран. Но изпълнявайки файла ще се появи надпис, който ще ни подкани да включим макросите, за да можем да видим съдържанието на документа.
И…какво представлява този макрос?
Основната функция на този макрос е да пусне така нареченият “dropper” или казано с други думи задейства свалянето и стартирането на друг файл с двоичен код, в голяма част от случаите това е енкриптор или зловреден код от типа ransomware…но може да бъде и друг вид зловреден код като например: RAT(Remote Access Trojan), код отварящ „задна врата“ в нашата ОС или програма и др.
В конкретния случай се сваля файл,който се свързва с отдалечен сървър, когато се изпълни.
След свръзката със сървъра, сваля зловредния файл, който е криптиран. Декриптира го и след това го инжектира.
Ако разгледаме името на файла след стартирането на макроса, ще видим неговото изпълнение посредством Command-Line и също така ще разберем, че ransomware кода идва през .dll библиотека.
Защо работи по този начин?
Главно поради следната причина: технологиите на засичане при антивирусните продукти изпитват затруднения при разпознаване на изпълними програми и код, особено такива, които са със статут на „непознати“.
Ние от Panda искаме да Ви посъветваме: ако не искате да имате неприятна ситуация след отваряне на офисен документ, които идва от непотвърден изочник, никога не включвайте макросите.
И не на последно място, винаги използвайте легитимен и актуализиран софтуер за антивирусна защита.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08
Повече за Panda Security
office@computel.bg
plovdiv@computel.bg