Служба реагирования на компьютерные инциденты «KZ-CERT» выявила вирус в виде документа Word, обходящего средства защиты типа «песочницы», сообщает Bestnews.kz.
«В Службу «KZ-CERT» поступило обращение о ежедневно повторяющейся рассылке, которая содержит вложение в виде файла Word под названием 945kaz. Проведенный экспертами «KZ-CERT» анализ содержания позволил классифицировать данный инцидент ИБ как «Вредоносная активность», указывается в информации.
Эксперты подчеркнули, что в случае с обнаруженным файлом, уникальность заключается в том, что вирус активируется только после третьей перезагрузки компьютера, что усложняет детектирование антивирусными программами и песочницами, а также расследование инцидента.
«Проще говоря, после открытия документа Word и активации исполнения макросов, вирус готовит платформу для основного вредоносного ПО. Причем, делается это таким образом, чтобы максимально затруднить выявление основного функционала. До третьей перезагрузки компьютера (с момента активации макросов в документе) исполнения реального вредоносного функционала не происходит.», - отметили в службе.
Такое большое количество перезагрузок используется злоумышленниками с учетом того, что, обычно, автоматизированные среды анализа (песочницы) не могут проанализировать активность, происходящую после перезагрузки компьютера в ее связи с действиями, произведенными до этой перезагрузки.
Для обеспечения безопасности устройств, Служба «KZ-CERT» настоятельно рекомендует обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз.
«Индикаторы заражения:116.193.153.20 – IP-адрес сервера, с которого скачивается объект-загрузчик исполняемого кода в памяти; brands.newst.dnsabr.com – сервер, с которого осуществляется загрузка основного вредоносного (базонезависимого) кода. Призываем казахстанцев в случае обнаружения подобного рода подозрительных рассылок, интернет-ресурсов с подозрительным содержанием просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно) или отправлять заявки по ссылкам: http://www.kz-cert.kz/ru/form, https://t.me/kzcert. Также Вы можете направить письмо на электронный адрес:
Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript. , - рекомендовали в службе.
Иллюстрация: stressa.net
Читайте новости по меткам:
горячие новости 380 Барыс 366 Город Астана 202 Президент Казахстана 200 паводки 138 Олимпиада-2024 136 зимняя Азиада-2025 126 Куандык Бишимбаев 119 хоккей 117 Алматы 116 погода 98 новости министерств 95 дети 83 футбол 82 доллар 74 происшествия 69 бокс 59 праздники 56 Авиакатастрофа в Актау 55 дороги 53 школы 53 пожары 49 Эксклюзив 48 МВД 44 налоги 44 КХЛ 43 нефть 40 армия 40 Шымкент 38 коррупция 37
