МАНИФЕСТЪТ ОТ КРАЙСТЧЪРЧ

МАНИФЕСТЪТ ОТ КРАЙСТЧЪРЧ
christ church

Модифицирана версия на циркулиращия онлайн Манифест на стрелеца от  Крайстчърч включва полезен товар, който презаписва главния зареждащ запис в Windows, за да покаже персонализирано съобщение при рестартиране на системата.

Промяната на главния зареждащ запис (MBR), който съдържа подробности за наличните дялове и помага за зареждането на операционната система, позволява злонамереното приложение  да започне да се разтоварва веднага, когато компютърът се стартира, дори преди операционната система да бъде стартирана.

Предполага се, че тази въоръжена с малуер  версия на манифеста се разпространява като атака срещу онези, които искат да свалят оригиналния документ и по този начин се цели спиране на  разпространението му.

Изследователите от компанията за защита на мрежата Blue Hexagon откриха файл, който се преструва, че е оригиналният  манифест от 74 страници на стрелецът от Крайстчърч, но е бил променен, за да включи злонамерен полезен товар.

Старият подход

Скрит в модифицирания документ е скрипт на VBA, който изтегля двоичен полезен товар. Кодът е объркан, което затруднява определянето на намерението му от класическите антивирусни програми.

Изтегленият изпълним файл се нарича “Haka.exe” и замества информацията за MBR с съобщение, което се показва след рестартирането на компютъра. След като отворят подправения документ, жертвите не могат да избягат от процеса, тъй като изпълнимият файл също принуждава компютъра да се рестартира.

Други промени в модифицираната версия

Файлът, наличен във формати .DOC и .DOCM, се виждаше разпределен на същите услуги за споделяне на файлове като оригиналния документ.

Има обаче разлики, които потребителите могат да забележат, преди да заразят компютъра си. Едно от тях е името на автора, който в модифицираната версия на манифеста е “маори” – името на коренното население в Нова Зеландия.

Документът е по-кратък от оригинала. Той “съдържа само част от страниците, а не целия документ”, каза Blue Hexagon.
И накрая, оригиналният манифест е защитен с парола срещу промени, докато подправеният документ не притежава такава защита.

Изследователите казват, че “Това не сме ние!” кампанията започна миналата седмица, след като правителството на Нова Зеландия обяви, че притежаването на манифеста на стрелецът в Крайстчърч е незаконно в страната – действие, което отразява решението на големите мобилни оператори да забранят уебсайтовете, които разпространиха ужасно съдържание от инцидента. Те смятат, че този документ се разпространява като опит за спиране на разпространението на манифеста.

Източник: По материали от интернет.

Сподели в:

Категории:

Следвай ни в: