Összefoglaló
Az O97M/Donoff trójai egy olyan kártékony makró script-es Microsoft Office fájl melyek más kártékony programot tölthet le.
Leírás
A kártékony makrókat tartalmazó Microsoft Office dokumentumok általában kéretlen levelek csatolmányaiban találhatóak meg. Ezekben a levelekben valamilyen szöveggel, megpróbálják rávenni az olvasót, hogy nyissák meg a csatolt dokumentumot.
Technikai részletek
1. Az engedélyezett makrók a következő URL-ekről próbálnak meg fájlokat letölteni:
- adobe-support.us/<removed>.exe
- bringbackourgals.biz/php/<removed>/ken.exe
- bustedrubberbabies.com/js/<removed>.exe
- chinamanwoody.com/<removed>.php
- chopsecurity.ru/microsoft/word/<removed>.com
- climate54.ru/modules/mod_araticlhess/<removed>.php
- colfdoc.it/cart/<removed>.exe
- dhanophan.co.th/js/<removed>.exe
- getimgdcenter.ru/<removed>.png
- goldriverlinedancers.nl/components/dancers/<removed>.exe
- goo.gl/<removed>
- iloveberniemovie.ru/<removed>.png
- internetincomeengine.net/<removed>.exe
- joeniclesd.hostingsiteforfree.com/<removed>.exe
- legendarydownloads.com/<removed>.exe
- managercomponent.usa.cc/errors/<removed>.0.exe
- offshorebags.asia/<removed>.exe
- omc.hostingsiteforfree.com/<removed>.exe
- papeleriaelcid.com/aurora/ajax/<removed>.exe
- rghost.net/download/57465888/967d4c206f2a944160ffcc0f2b889f90a506653d/
<removed>.exe - s1.directxex.net/uploads/<removed>
- socialnetchat.tk/uch/<removed>.exe
- u.to/<removed>
2. Létrehozza a következő állományokat:
- APPDATAfdataupdate.com
- APPDATAVTAYOVKKIET.exe
- TEMP1101.exe
- TEMP8fvk.exe
- TEMPenu.exe
- TEMPHZLAFFLTDDO.exe
- TEMPmsml.exe
- TEMPNYHEFLJDPZR.exe
- TEMPsentinel.exe
- TEMPxml.exe
- USERPROFILEEPGRE.exe
- USERPROFILEfkjhlkj23.com
- USERPROFILESHIPA.exe
- C:JGSNUWKJRFC.exe
3. További programokat szerez be, illetve futtat:
- Backdoor:Win32/Fynloski.A
- Ransom:MSIL/Swappa.A
- Ransom:Win32/Teerac.A
- TrojanDownloader:Win32/Drixed.A
- Worm:Win32/Gamarue
Megoldás
- Ne nyisson meg imeretlen feladótól érkező üzeneteteket.
- Használjon naprakész vírusírtó szofvert
- Használjon anti SPAM programot
Támadás típusa
TrójaiHatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.microsoft.com
