События

Вредоносный макрос в документах Microsoft Word нашел новый способ избежать обнаружения

Вредоносный макрос в документах Microsoft Word нашел новый способ избежать обнаружения

Авторы вредоносного ПО не устают изобретать новые способы усложнить жизнь пользователям и специалистам в области информационной безопасности. В результате сетевые угрозы постоянно эволюционируют и приобретают новые формы.

Исследователь компании SentinelOne Калеб Фэнтон (Caleb Fenton) обнаружил документ Microsoft Word с вредоносным макросом, способным противостоять механизмам обнаружения. В частности, вредонос проверяет историю недавно открытых документов Word и анализирует систему на наличие виртуальных машин. Если таковые присутствуют или на компьютере не открывались файлы Word, программа не демонстрирует никакой вредоносной активности. Червь также проверяет IP-адрес пользователя на предмет соответствия IP-адресам, связанным с различными хостинговыми и антивирусными компаниями.

По словам Фэнтона, как правило, большинство пользователей открывают на компьютере несколько документов. Тестовые системы используют «чистые» версии операционной системы без следов активности пользователей. Виртуальные машины могут быть использованы для анализа поведения вредоносного ПО. «Если вредонос достаточно умен для того, чтобы определить, когда тестируется на виртуальной машине, он может не проявлять подозрительную или вредоносную активность, тем самым усложняя обнаружение», - отметил исследователь.

Специалист провел небольшой эксперимент, в ходе которого ему удалось активировать вредоносное ПО и проанализировать его код. Как оказалось, вредонос запускал скрипт PowerShell, загружавший кейлоггер.

Автор: Сергей Куприянов
23.09.2016 (12:17)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.