Rovnix задействует макросы для инфицирования компьютеров

Специалисты компании Trend Micro сообщают об атаках, осуществляемых с применением вредоносного ПО Rovnix. Троян содержался в защищенных паролем макросах документа Microsoft Office с подложной рекомендацией активировать макросы. В случае активации происходило выполнение вредоносного кода и на инфицированную систему внедрялись скрытые сценарии трех типов.

Для маскировки Rovnix загружает драйвер руткита в неразмеченное пространство диска в формате NTFS. Троян изменяет программу начальной загрузки таким образом, что драйвер руткита загружается перед ОС. Это позволяет вредоносному ПО оставаться незамеченным и устанавливать неподписанный драйвер в Windows 7 и более новые версии этой операционной системы.

Большинство устройств (95%), пострадавших от вредоноса, приходится на Германию, отдельные случаи инфицирования имели место в Великобритании, Голландии, Соединенных Штатах и Бельгии. Троян представляет опасность не только для индивидуальных, но и для корпоративных пользователей, так как обладает способностью похищать пароли и фиксировать нажатия клавиш.

Отдельного внимания заслуживает свойственный трояну алгоритм генерации доменных имен (DGA): имена основаны на комбинации слов из Декларации независимости США, Стандартной общественной лицензии ограниченного применения GNU, документов RFC и др.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s