Опасный банковский троянец скрывается в почтовых вложениях в виде документов Word

18 август, 2015 - 10:35
Опасный банковский троянец скрывается в почтовых вложениях в виде документов Word

Статистические данные о вредоносных программах, обнаруживаемых в почтовом трафике антивирусным ПО Dr.Web, свидетельствуют о том, что злоумышленники регулярно рассылают пользователям сообщения с опасными вложениями, детектируемыми как представители семейства W97M.DownLoader. В августе количество подобных рассылок составило порядка 1% от общего числа всех распространяемых по электронной почте вирусов и троянцев.

Одно из таких вложений — W97M.DownLoader.507 — представляет собой документ Microsoft Word, распространяющийся в виде вложения в электронные письма. Сам документ якобы зашифрован с использованием алгоритма RSA, и для ознакомления с его содержимым злоумышленники предлагают потенциальной жертве включить в редакторе Word использование макросов.

После включения макросов пользователю демонстрируется полный текст документа, а в это время троянец загружает с удаленного сервера несколько фрагментов кода, формирует из них файлы сценариев в форматах .bat, .vbs или .ps1 в зависимости от установленной на компьютере версии Windows, сохраняет их на диск компьютера и запускает на исполнение. Сценарии, в свою очередь, скачивают с принадлежащего злоумышленникам сервера и запускают опасный банковский троянец Trojan.Dyre.553.