A Trend Micro kutatói egy új malware családot fedeztek fel, amely Word és Excel fájlokat támad: a Crigent férget (más néven Power Worm-ot). A Crigent a Windows Powershell scriptelő eszközt használja a tevékenységéhez, ami okos módja annak, hogy az IT adminisztrátorok figyelmét elkerülje, mivel azok általában a káros tartalmú binárisokra koncentrálnak. A féreg egy fertőzött Word vagy Excel dokumentum formájában érkezik, amit vagy a felhasználó tölt le, vagy más malware, amely már elérte az áldozat rendszerét. "Amikor a fertőzött dokumentumot megnyitják, az azonnal két további komponenst tölt le két jól ismert online anonimitást támogató projektről: a Tor hálózatból és a Palipo-ról, ami egy személyes web cache/proxy megoldás." - mondták a kutatók. A támadó álcázza mind a fájlok tartalmát (átnevezéssel), mind pedig azok elhelyezkedését, elrejtve azt az információt a DNS rekordokban. A fájlok másolatai legális felhőbeli gazdaszervereken helyezkednek el (ebben az esetben a Dropbox-on és a OneDrive-on). Ez a másik módja annak, hogy a malware tevékenysége rejtve maradjon a hálózati adminisztrátorok előtt. A malware a C&C szerverhez a Tor és a Polipo szoftver használatával kapcsolódik. Ezt követően letölti az elsődleges feladatát megvalósító PowerShell script fájlt, ami információkat küld a fertőzött számítógépről a C&C szervernek.
Forrás: http://www.net-security.org/malware_news.php?id=2748
Új féreg támadja a Word és Excel fájlokat
2014. április 3. 05:01
