|
English version |
|
***
…Намедни получил очередное электронное письмо с "сюрпризом": якобы некий Келли Лесли (Kelly Leslie) ищет работу и после посещения моего сайта высылает своё резюме («Привет. Недавно я посетил ваш сайт. В настоящее время я ищу работу либо на неполный рабочий день, либо в качестве стажёра… Пожалуйста, просмотрите мое резюме и дайте мне знать, что вы думаете по этому поводу. Спасибо за ваше время, Келли Лесли»).
Письмо содержит вложение – вордовский файл resume.doc (65 024 байт).
В этот файл интегрирован макровирус (вредоносный макрос, написанный, на языке VBA).
Вредонос является обфусцированным автомакросом AutoOpen, автоматически вызываемом при открытии вордовского документа.
К письму добавлены ложные заголовки "Received:" (с указанием реально существующего почтового адреса contact@chocolatesdelmondo.com.au, принадлежащего австралийской шоколадной фирме Chocolates Del Mondo).
Спамер-злоумышленник скрывается за ip-адресом 218.3.204.172 (закреплён за китайским провайдером).
На момент написания статьи ни один антивирус не детектировал зловреда.
Кстати, по умолчанию в офисном пакете Microsoft Office запуск макросов отключен, поэтому при попытке запустить вордовский файл, содержащий макросы, вы увидите сообщение типа «Protected document. This document is protected by Microsoft Office. Please enable Editing and Content to see this document».
***
Деструктивные действия вируса:
– в корневой директории диска C:\ и в системных каталогах %APPDATA%\, %TEMP%\, %USERPROFILE%\, %WINDIR%\, %WINDIR%\System32\ создаёт копии исполняемых файлов вируса (.exe), названия которых состоят из случайной буквенно-цифровой последовательности символов;
– изменяет некоторые ключи Реестра Windows (в разделах [HKLM\SOFTWARE\] и [HKLM\SYSTEM\]);
– внедряется в адресное пространство системных процессов epxplorer.exe и taskmgr.exe;
– открывает на локальном ПК необходимые для связи с серверами злоумышленников UDP- и TCP-порты;
– загружает с серверов злоумышленников и устанавливает на ПК сопутствующее вредоносное программное обеспечение;
– в фоновом режиме запускает установленные в системе веб-браузеры и загружает рекламу, приносящую доход злоумышленникам;
– …
***
Как не стать жертвой кибермошенников:
– используйте антивирус и брандмауэр, регулярно обновляйте их;
– регулярно выполняйте антивирусную проверку своего ПК – для своевременного обнаружения вредоносного программного обеспечения;
– своевременно устанавливайте обновления операционной системы и прикладного программного обеспечения;
– не отвечайте на сомнительные электронные письма и не переходите по ссылкам, указанным в них;
– не открывайте вложения электронных писем от неизвестных отправителей;
– не включайте – отключенный по умолчанию! – запуск макросов в офисном пакете Microsoft Office;
– …
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…