zeftera.ru.

Отечественные почтовики начали распространять «тибетские письма»

99b2850b

Мусор Symantec нашла линейку атак на базе так именуемых «тибетских писем» с применением вирусов рода Backdoor.Trojan.

Рассылка посланий от именисвязанных с Тибетом организаций ведётся с компьютеров, размещенных на территории РФ. Инфицирование ПК происходит при изобретении зараженного Word-документа, прикреплённого к посланию. В процессе реализации атаки мошенники применяют механизм, прячущий от клиентов сам факт инфицирования ПК. В итоге мошенники могут приобретать дорогую информацию с заражённого ПК и производить бравённое регулирование им.

Применяемые при атаке послания опубликованы по-английски и адресованы североамериканской компании по изготовлению одежды. Невзирая на то, что послания, изначально, высланы с адресов организаций, сопряженных с Тибетом, исследование технологических заголовков посланий продемонстрировало, что послания высланы с почтового компьютера на территории России.

Не так давно был замечен документ, различающийся от иных вирусных программ тем, что в роли вектора выполнения атаки применяется платформа знаменитого компании-производителя графических адаптеров,владеющая цифровой подписью.
Для инфицирования довольно раскрыть приложенный в известие зараженный документ, гарантирующий использование уязвимости, и в случае результата на персональный компьютер попадают 3 документа:“NvSmart.exe”, “NvSmartMax.dll” и “boot.ldr”, первый из которых владеет цифровой подписью. Приступая к разбору, эксперты Symantec сделали предположение, что данный документ представляет из себя вирус, подписанный похищенной цифровой подписью. Но в процессе предстоящего теста оказалось, что данный файлподлинный.

Как правило, при запуске “NvSmart.exe” происходит подкладывание в память “NvSmartMax.dll” из внутренней библиотеки. Но в этом случае подгружается поддельная “NvSmartMax.dll”, которая к тому же пускает исполнение документа boot.ldr, сохраняющего вредный код.

В прошлом вредные платформы как правило заменяли настоящий документ на поддельный, который грузился при старте ОС. Однако замену документа довольно просто увидеть. А в этом случае возникает свежий правомочный документ знаменитого компании-производителя, и при установке его в технологию в списке для него создаётся аналогичная запись. В итоге при старте ПК пускается уважительно поставленная платформа, владеющая цифровой подписью. И теперь она пускает на выполнение подменённый документ “NvSmartMax.dll”, который к тому же пускает на выполнение документ boot.ldr, имеющий вредный код. При этом поддельные файлыне фиксируются в роли занятий и не прибавляются в список, потому большинство клиентов не отмечают, что при запуске автомашины производится вредная платформа. Разработчики вирусов разыскивают все новые методы предупредить установление собственных образований.

Продукты Symantec устанавливают “NvSmartMax.dll”и “boot.ldr” в роли вирусов рода Backdoor.Trojan. Вредные платформы подобного рода как правило занимаются перехватом информации, отправкой её «владельцу» и предлагают вероятность бравённого регулирования ПК. Этот способ закачки вредных программ не заканчивается одной только платформой “NvSmart.exe”, и мы ждем применение данной стратегии в грядущих атаках с применением и прочих правомочных документов.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>