События

Опасный троян распространяется через PowerPoint файлы и PowerShell

Опасный троян распространяется через PowerPoint файлы и PowerShell

Исследователи из антивирусной компании SantinelOne обнаружили любопытную технику распространения вредоноса Zusy с помощью PowerPoint-презентации. В отличии от стандартного выполнения кода посредством макросов, вредонос использует PowerShell-сценарий для выполнения кода.

PowerPoint-презентация с вредоносом распространяется посредством спам рассылки с темой писем “Purchase Order #130527” или “Confirmation”.

После открытия файла вместо обычного макроса, свойственного подомным кампаниям, на экране отображается строка “Loading…Please wait”.

Опасный троян распространяется через PowerPoint файлы и PowerShell

Запуск PowerShell-сценария осуществляется при наведении мыши на надпись. Встроенные механизмы защиты Microsoft Office не позволяют сценарию запуститься автоматически. В большинстве случаев пользователю будет выведено сообщение с запросом на разрешение запуска внешнего приложения:

Опасный троян распространяется через PowerPoint файлы и PowerShell

Вредонос обращается к C&C-серверу используя доменное имя cccn.nl (IP: 46.21.169.110).

С полной версией отчета можно ознакомиться здесь.

Источник

Автор: Сергей Куприянов
6.06.2017 (10:43)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.