Вирусный обзор от специалистов Dr.web

01.05.2017

В апреле произошло много событий, связанных с информационной безопасностью.

Главные вирусные тенденции апреля:

  • Распространение вредоносной рассылки с многокомпонентным троянцем
  • Обнаружение уязвимости в Microsoft Office
  • Распространение троянских программ для Windows

Угроза месяца.

Многофункциональный троянец, получивший наименование Trojan.MulDrop7.24844, распространялся в виде заархивированного вложения в сообщении электронной почты.

В архиве содержится упакованный контейнер, который создан с использованием возможностей языка Autoit. Один из компонентов, который Trojan.MulDrop7.24844 запускает на зараженном компьютере, — приложение для удаленного администрирования, детектируемое Антивирусом Dr.Web как Program.RemoteAdmin.753. Кроме него троянец сохраняет на диск два других приложения, которые являются 32- и 64-разрядной версиями утилиты Mimikatz. Она предназначена для перехвата паролей открытых сессий в Windows. Trojan.MulDrop7.24844 активирует кейлоггер, записывающий в файл информацию о нажатых пользователем клавишах, а также выполняет ряд других функций, определяемых заданным при его запуске параметром. Троянец открывает злоумышленникам удаленный доступ по протоколу RDP (Remote Desktop Protocol), вследствие чего те могут управлять инфицированным компьютером.

Подробнее об этой вредоносной программе рассказано в опубликованной на сайте компании «Доктор Веб» статье.

Другие события в сфере информационной безопасности.

В конце апреля было зафиксировано распространение вредоносной программы Trojan.DownLoader23.60762, предназначенной для хищения паролей из популярных браузеров и несанкционированного скачивания различных файлов. На зараженном компьютере троянец встраивается в процессы браузеров и перехватывает функции, отвечающие за работу с сетью. Он может выполнять следующие команды:

  • запустить файл из временной папки на диске зараженного компьютера;
  • встроиться в работающий процесс;
  • скачать указанный файл;
  • запустить указанный исполняемый файл;
  • сохранить и передать злоумышленникам базу данных SQLite, используемую Google Chrome;
  • сменить управляющий сервер на указанный
  • удалить файлы cookies;
  • перезагрузить операционную систему;
  • выключить компьютер.  

Подробнее об этой вредоносной программе рассказано в опубликованном на  сайте компании «Доктор Веб»  материале.

Также в апреле была выявлена уязвимость в текстовом редакторе Word, входящем в состав пакета Microsoft Office. Злоумышленники создали для этой уязвимости эксплойт Exploit.Ole2link.1. Эксплойт реализован в виде документа Microsoft Word, имеющего расширение .docx. При попытке открытия этого документа происходит загрузка другого файла с именем doc.doc, который содержит встроенный HTA-сценарий, детектируемый Dr.Web под именем PowerShell.DownLoader.72. Этот HTA-сценарий, написанный с использованием синтаксиса Windows Script, вызывает командный интерпретатор PowerShell. В нем обрабатывается другой вредоносный скрипт, скачивающий на атакуемый компьютер исполняемый файл.

Более полная информация об этой уязвимости изложена в соответствующей обзорной статье.