Доктор Веб: Политический спам о митинге на Пушкинской площади

Hit WebСпециалистами компании "Доктор Веб" была обнаружена массовая почтовая рассылка, с помощью которой злоумышленники инфицируют компьютеры пользователей трояном - Trojan.KillFiles.9055. Документ Microsoft Word, вложенный в письмо, призывающее принять участие в протестном митинге оппозиции на Пушкинской площади в Москве, содержит макрос, который сохраняет на диск и запускает троянскую программу Trojan.KillFiles.9055, способную привести в нерабочее состояние или просто "убить" операционную систему Windows.

5 марта 2012 года специалистами "Доктор Веб" была зафиксирована массовая почтовая рассылка, содержащая призывы принять участие в протестном митинге оппозиции на Пушкинской площади в Москве. Почтовые сообщения, имеющие тему:

  • Митинг Честные выборы;
  • Все на митинг.

содержат короткий текст, например:

  • Внимательно изучи инструкцию, что необходимо будет делать на этом митинге;
  • Митинг против Путина. Внимательно прочитай инструкцию;
  • Очень важно чтобы ты изучил инструкции, на этом митинге все будут действовать по этому сценарию.

и вложенный файл, представляющий собой документ Microsoft Word с именем

  • Инструкция_митинг.doc.


Данный документ включает в себя несколько макросов, которые в момент открытия файла в текстовом редакторе сохраняют на диск и запускают на исполнение троянскую программу Trojan.KillFiles.9055, предназначенную для выведения из строя инфицированной системы Windows.

miting.1.1

Запустившись на компьютере жертвы, троян Trojan.KillFiles.9055 копирует себя во временную папку, прописывает себя в ветвь системного реестра, отвечающую за автоматический запуск приложений. Одновременно троян меняет содержимое всех обнаруженных на диске С файлов (с расширением .msc, .exe .doc, .xls, .rar, .zip, .7z) на "цифровой мусор" и помечает их на удаление после перезагрузки системы, вследствие чего Windows приходит в нерабочее состояние (обычная перезагрузка компьютера уже ничем не поможет). Trojan.KillFiles.9055 изменяет свойства своего процесса таким образом, что он становится критичным для системы, и его завершение вызывает появление BSOD ("синего окна смерти") или перезагрузку компьютера.

Затем троян отправляет на удаленный сервер злоумышленников сообщение о том, что операционная система успешно "убита".

В случае если в настройках текстового редактора Microsoft Word потенциальной жертвы отключена обработка макросов, пользователь не сможет прочитать содержащийся в инфицированном файле текст. Заражения системы также не произойдет. В этом случае содержимое документа будет выглядеть следующим образом:

miting.2.1


Обновлено (05.03.2012 21:03)