Вредоносный макрос в документах Microsoft Word обходит обнаружение


Vredonosniy macros wordИсследователем из компании SentinelOne был обнаружен документ Microsoft Word, содержащий вредоносный макрос, который способен противостоять механизму обнаружения.

В частности, вредонос проверяет историю недавно открытых документов Word и анализирует систему на наличие виртуальных машин. Если они присутствуют или на компьютере не открывались файлы Word, программа не демонстрирует никакой вредоносной активности. Также зловред проверяет IP-адрес пользователя на предмет соответствия IP-адресам, связанным с различными хостинговыми и антивирусными компаниями.

 

По словам исследователя, зачастую большинство пользователей открывают на компьютере несколько документов. Тестовые системы используют "чистые" версии операционной системы без следов активности пользователей. Виртуальные машины могут быть использованы для анализа поведения вредоносного ПО. Если вредонос достаточно умен, чтобы определить, когда тестируется на виртуальной машине, он может не проявлять подозрительную или вредоносную активность, тем самым усложняя обнаружение.

Также специалистом был проведен небольшой эксперимент, в ходе которого ему удалось активировать вредоносное ПО и проанализировать его код. Оказалось, что вредонос запускал скрипт PowerShell, загружавший кейлоггер.


Обновлено (23.09.2016 22:39)