W97M.DownLoader.507 - троян-загрузчик, распространяющийся через документы Word


W97M.DownLoader.507 - троянская программа, представляющая собой документ Microsoft Word, который распространяется в виде вложения в электронные письма.

W97M.DownLoader.507 маскировался под пересылаемое по почте факсимильное сообщение, однако в процессе формирования письма злоумышленники ошиблись с указанной в параметрах датой его создания.

vredonosnoe faksimilnoe soobshenie

Сам документ якобы зашифрован с использованием алгоритма RSA. Чтобы ознакомиться с его содержимым потенциальной жертве предлагается включить в редакторе Word использование макросов.

zashifrovanniy dokument po rsa

Документ также содержит якобы пустую страницу, на которой, тем не менее, находится полная версия письма. Текст письма набран шрифтом белого цвета, поэтому отображается только после включения пользователем макросов в настройках редактора.

vkluchenie makrosov v word

После включения макросов пользователю будет демонстрироваться полный текст документа. В это же самое время троян осуществляет загрузку с удаленного сервера нескольких фрагментов кода, формирует из них файлы сценариев в форматах .bat, .vbs или .ps1 в зависимости от установленной на компьютере версии Windows. Затем они сохраняются на диск компьютера, после чего запускаются трояном на исполнение. В свою очередь сценарии скачивают с принадлежащего злоумышленникам сервера и запускают исполняемый файл. В качестве такового с помощью данного образца W97M.DownLoader.507 на атакуемый компьютер проникает опасный банковский троян Trojan.Dyre.553.