...
...

Злоумышленники проводят атаки через документы Word

Лаборатория компании Panda Software сообщает о появлении нового, исключительно гибкого и сложного троянца Sikou.A, использующего документы Word для распространения. Этот троянец эксплуатирует уязвимость, которая позволяет ему выполнять произвольный код во многих приложениях Microsoft Office.

Этот троянец был обнаружен в документе Word, разработанном для эксплуатации уязвимости MS03-037, о которой сообщала Microsoft, позволяющей троянцу запускаться, когда пользователь открывает документ Word. Для своей установки Sikou.A копирует себя в системную директорию и устанавливает два файла, один из которых содержит функции троянца. Второй файл является драйвером, который позволяет троянцу скрывать свою активность от пользователя, что делает обнаружение этого вредоносного кода исключительно сложным.

Работая скрыто, троянец пытается произвести доступ к текстовому файлу на URL в Интернете, который содержит другой URL и порт, к которому будет произведен доступ на следующем шаге. Этот файл может периодически обновляться создателем вредоносного кода, чтобы местоположение, к которому производит доступ троянец, могло меняться, что затрудняет его нейтрализацию.

Троянец производит доступ к URL, с которого скачивается файл, расширяющий его функции. Из-за того, что он периодически обращается к упомянутому URL, Sikou.A обладает высокой способностью изменять свое поведение, так как создателю вредоносного кода требуется лишь изменить текстовый файл, чтобы изменить функции распространенных троянцев.





Если файл успешно скачивается, он автоматически подключается к третьему URL, откуда он получает команды, например на выключение компьютера, сбор информации (финансовых или личных данных) или скачивание и запуск файлов. Последнее действие позволяет проникать в компьютер другим типам вредоносных программ, особенно шпионскому ПО, что в дальнейшем позволяет производить кражу информации.

Недавно были зафиксированы несколько атак на компании с использованием троянцев и прочего вредоносного ПО, направленные на кражу информации, например атаки на израильские компании (в настоящий момент ведется расследование). Более того, вредоносные коды с настраиваемыми функциями появляются все более часто (например недавний троянец Rona), что подкрепляет уверенность в том, что мотивом компьютерных хакеров в настоящий момент является финансовая прибыль.



© Компьютерная газета