Поддельная презентация вpowerpoint заражаетpc трояном

Поддельная презентация вpowerpoint заражаетpc трояном
    Пример рассылки с вредоносной презентацией во вложении.Фото: ESET

Вирусные аналитики установили, что для внедрения вредоносной программы Win32/Rootkit.BlackEnergy употреблялась уязвимость нулевого дня CVE-2014−4114. Уязвимы операционные совокупности Windows Vista, Windows 7, новейшие Windows 8 и 8.1, и семь дней.

Жертвы приобретали по email странное письмо с вложением — презентацией в формате PowerPoint, которая и содержала эксплойт. Открыв презентацию, пользователь видел текст на украинском языке, наряду с этим в совокупность в фоновом режиме устанавливалось вредоносное ПО. Для этого эксплойт загружал с удаленного сервера исполняемый файл дроппера и .INF файл для его яркой установки.

«В августе мы уже замечали вредоносные кампании по распространению BlackEnergy. Тогда в текстах спам-писем упоминался конфликт на Украине, — говорит Роберт Липовски, вирусный аналитик ESET. —Подобные эксплойты известны как минимум с 2012 года, но прежде они не употреблялись так деятельно. Найдя их эксплуатацию in-the-wild, мы сказали об этом Микрософт.

Это случилось 2 сентября 2014 года, и по сей день корпорация Микрософт уже выпустила обновление, закрывающее эту уязвимость».

«Эксплуатация данной уязвимости не несет больших накладных затрат для атакующих, потому, что не относится к типу memory-corruption либо HeapOverflow. Атакующим не требуется разрабатывать особые механизмы для обхода DEP и ASLR, что есть достаточно трудоемким процессом. Возможно заявить, что они применяют необычную изюминку Windows, которая присутствует, а также, в новейшей версии Windows 8.1», — комментирует Артем Баранов, ведущий вирусный аналитик ESET Russia.

Создание интерактивной презентации


Темы которые будут Вам интересны:

Читайте также: