Новости Новости 26.09.2016 в 16:03 comment

Вирус считает количество документов Word, чтобы избежать обнаружения

author avatar
https://secure.gravatar.com/avatar/22a7cb673c7600faa5739de610856c43?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://secure.gravatar.com/avatar/22a7cb673c7600faa5739de610856c43?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://itc.ua/wp-content/themes/ITC_6.0/images/no-avatar.svg

Андрей Белокриницкий

Обозреватель и автор журнала "Домашний ПК" (Andretti)

Новая вредоносная программа, обнаруженная компанией SentinelOne, использует простую, но действенную тактику для избежания обнаружения.

Файл Intelligent Software Solutions Inc.doc, распространяемый через спам, использует VBA макрос для доступа к списку недавно созданных или открытых документов.

Если этот список пуст, программа предполагает, что она находится в Sandbox среде или виртуальной машине и перестает работать дальше, чтобы ее вредоносные возможности не были обнаружены.

Это усложняет, либо замедляет, обнаружение программы создателями антивирусов, а следовательно и ее добавление в антивирусные базы.

Если программа обнаруживает как минимум два Word документа в списке RecentFiles, то предполагает, что она запущена на обычном рабочем ПК, а не в изолированной исследовательской среде, и выполняет PowerShell скрипт, скачивающий и запускающий на ПК основную часть вируса.

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: