Злоумышленники проводят индивидуальные атаки через документы Word, сообщает Panda Software
Лаборатория компании Panda Software сообщает о появлении нового, исключительно гибкого и сложного троянца Sikou.A, использующего документы Word для распространения. Этот троянец эксплуатирует уязвимость, которая позволяет ему выполнять произвольный код во многих приложениях Microsoft Office.
Этот троянец был обнаружен в документе Word, разработанном для эксплуатации уязвимости MS03-037, о которой сообщала Microsoft, позволяющей троянцу запускаться, когда пользователь открывает документ Word. Для своей установки Sikou.A копирует себя в системную директорию и устанавливает два файла, один из которых содержит функции троянца. Второй файл является драйвером, который позволяет троянцу скрывать свою активность от пользователя, что делает обнаружение этого вредоносного кода исключительно сложным.
Лаборатория компании Panda Software сообщает о появлении нового, исключительно гибкого и сложного троянца Sikou.A, использующего документы Word для распространения. Этот троянец эксплуатирует уязвимость, которая позволяет ему выполнять произвольный код во многих приложениях Microsoft Office.
Этот троянец был обнаружен в документе Word, разработанном для эксплуатации уязвимости MS03-037, о которой сообщала Microsoft, позволяющей троянцу запускаться, когда пользователь открывает документ Word. Для своей установки Sikou.A копирует себя в системную директорию и устанавливает два файла, один из которых содержит функции троянца. Второй файл является драйвером, который позволяет троянцу скрывать свою активность от пользователя, что делает обнаружение этого вредоносного кода исключительно сложным.
Работая скрыто, троянец пытается произвести доступ к текстовому файлу на URL в Интернете, который содержит другой URL и порт, к которому будет произведен доступ на следующем шаге. Этот файл может периодически обновляться создателем вредоносного кода, чтобы местоположение, к которому производит доступ троянец, могло меняться, что затрудняет его нейтрализацию.
Троянец производит доступ к URL, с которого скачивается файл, расширяющий его функции. Из-за того, что он периодически обращается к упомянутому URL, Sikou.A обладает высокой способностью изменять свое поведение, так как создателю вредоносного кода требуется лишь изменить текстовый файл, чтобы изменить функции распространенных троянцев.
Если файл успешно скачивается, он автоматически подключается к третьему URL, откуда он получает команды, например на выключение компьютера, сбор информации (финансовых или личных данных) или скачивание и запуск файлов. Последнее действие позволяет проникать в компьютер другим типам вредоносных программ, особенно шпионскому ПО, что в дальнейшем позволяет производить кражу информации.
"Так как это троянец, который распространяется вручную, его средства распространения и факт, что он использует довольно старую уязвимость, заставляет нас думать, что этот код мог быть разработан для кражи информации с определенного компьютера или организации”, - объясняет Луис Корронс, директор антивирусной лаборатории PandaLabs. “Более того, использование стелс-технологий, способность самообновления и исключительная универсальность, позволяющая ему получать команды, наводят на мысли о том, что создатель троянца намеревался держать его на компьютере в течение долгого времени, выполняя различные действия".
Недавно были зафиксированы несколько атак на компании с использованием троянцев и прочего вредоносного ПО, направленные на кражу информации, например атаки на израильские компании (в настоящий момент ведется расследование). Более того, вредоносные коды с настраиваемыми функциями появляются все более часто (например недавний троянец Rona), что подкрепляет уверенность в том, что мотивом компьютерных хакеров в настоящий момент является финансовая прибыль.
Чтобы предотвратить заражение Sikou.A или другим вредоносным кодом, Panda Software рекомендует всем пользователям регулярно обновлять свои антивирусы. Panda Software выпустила соответствующие обновления, доступные нашим клиентам для обнаружения и лечения этого вредоносного кода.
Клиенты Panda Software уже могут получить обновления для установки новой технологии TruPreventTM в дополнение к своему антивирусу, предоставляющей превентивный слой защиты против новых вредоносных кодов. Для пользователей других антивирусов идеальным решением является продукт Panda TruPreventTM Personal, являющийся совместимым с продуктами третьих производителей и дополняющий их, также предоставляя второй слой превентивной защиты, которая начинает действовать, пока новый вирус еще изучается и для него подготавливается вакцина. Больше информации о новой технологии TruPrevent™ Вы найдете на
http://www.viruslab.ru/truprevent.
Источник: PressRoom