Новости Казахстана Новости мира Интервью Life style Спорт Культура Регионы Amanat
$ 523.86  544.34  5.11

Вредоносный вирус атакует казахстанскую Сеть

Ежедневно повторяющаяся рассылка содержит вложение в виде файла Word под названием 945kaz.
22.02.2020, 21:48
Вредоносный вирус атакует казахстанскую Сеть

Модифицированный вирус распространяется в Казахстане, передает Liter.kz со ссылкой на Службу реагирования на компьютерные инциденты «KZ-CERT».

В службу «KZ-CERT» поступило обращение о ежедневно повторяющейся рассылке, которая содержит вложение в виде файла Word под названием 945kaz. Проведенный экспертами анализ позволил классифицировать данный инцидент ИБ как «Вредоносная активность».

«Распространение вирусов в документе Word не является уникальным случаем, и подобные инциденты уже известны. Однако в случае с обнаруженным файлом уникальность заключается в том, что вирус активируется только после третьей перезагрузки компьютера, что усложняет детектирование антивирусными программами и «песочницами», а также расследование инцидента. Проще говоря, после открытия документа Word и активации исполнения макросов вирус готовит платформу для основного вредоносного ПО», - сообщили в Службе реагирования на компьютерные инциденты «KZ-CERT».

Причем делается это таким образом, чтобы максимально затруднить выявление основного функционала.

До третьей перезагрузки компьютера (с момента активации макросов в документе) исполнения реального вредоносного функционала не происходит.

Такое большое количество перезагрузок используется злоумышленниками с учетом того, что обычно автоматизированные среды анализа (песочницы) не могут проанализировать активность, происходящую после перезагрузки компьютера в ее связи с действиями, произведенными до этой перезагрузки.

Для усложнения анализа на одном из этапов (первая перезагрузка) злоумышленники используют интересный и эффективный ход: создание определенного каталога, в качестве признака успешной перезагрузки. Поскольку данную активность трудно отнести к вредоносной – достаточно мала вероятность успешного обнаружения вредоносного функционала в ходе

Для обеспечения безопасности устройств Служба «KZ-CERT» настоятельно рекомендует обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз.

Индикаторы заражения:

116.193.153.20 – IP-адрес сервера, с которого скачивается объект-загрузчик исполняемого кода в памяти;

brands.newst.dnsabr.com – сервер, с которого осуществляется загрузка основного вредоносного (базонезависимого) кода.

Здесь призвали казахстанцев в случае обнаружения подобного рода подозрительных рассылок, интернет-ресурсов с подозрительным содержанием просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно) или отправлять заявки по ссылкам: http://www.kz-cert.kz/ru/form, https://t.me/kzcert.

Также можно отправить письмо на электронный адрес: incident@kz-cert.kz.

В январе был выявлен очередной фишинговый интернет-ресурс, который имитировал платежный ресурс и собирал реквизиты банковских карт казахстанцев.

 

Новости партнеров
×