Служба реагирования на компьютерные инциденты «KZ-CERT» выявила вирус в виде документа Word, обходящего средства защиты типа «песочницы», сообщает Bestnews.kz.
«В Службу «KZ-CERT» поступило обращение о ежедневно повторяющейся рассылке, которая содержит вложение в виде файла Word под названием 945kaz. Проведенный экспертами «KZ-CERT» анализ содержания позволил классифицировать данный инцидент ИБ как «Вредоносная активность», указывается в информации.
Эксперты подчеркнули, что в случае с обнаруженным файлом, уникальность заключается в том, что вирус активируется только после третьей перезагрузки компьютера, что усложняет детектирование антивирусными программами и песочницами, а также расследование инцидента.
«Проще говоря, после открытия документа Word и активации исполнения макросов, вирус готовит платформу для основного вредоносного ПО. Причем, делается это таким образом, чтобы максимально затруднить выявление основного функционала. До третьей перезагрузки компьютера (с момента активации макросов в документе) исполнения реального вредоносного функционала не происходит.», - отметили в службе.
Такое большое количество перезагрузок используется злоумышленниками с учетом того, что, обычно, автоматизированные среды анализа (песочницы) не могут проанализировать активность, происходящую после перезагрузки компьютера в ее связи с действиями, произведенными до этой перезагрузки.
Для обеспечения безопасности устройств, Служба «KZ-CERT» настоятельно рекомендует обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз.
«Индикаторы заражения:116.193.153.20 – IP-адрес сервера, с которого скачивается объект-загрузчик исполняемого кода в памяти; brands.newst.dnsabr.com – сервер, с которого осуществляется загрузка основного вредоносного (базонезависимого) кода. Призываем казахстанцев в случае обнаружения подобного рода подозрительных рассылок, интернет-ресурсов с подозрительным содержанием просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно) или отправлять заявки по ссылкам: http://www.kz-cert.kz/ru/form, https://t.me/kzcert. Также Вы можете направить письмо на электронный адрес:
Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript. , - рекомендовали в службе.
Иллюстрация: stressa.net
Читайте новости по меткам:
горячие новости 284 Барыс 235 новости министерств 186 Город Астана 186 Asian Games 2023 181 Алматы 147 Президент Казахстана 130 пожары 99 паводки 85 дети 83 происшествия 83 Куандык Бишимбаев 81 бокс 70 хоккей 68 погода 63 футбол 61 школы 49 праздники 49 налоги 45 доллар 45 Китай 42 МВД 42 МЧС 42 дороги 41 соседи Казахстана 40 авиация 38 Россия 38 Интернет 36 акимы 36 нефть 36
