• 21 февраля 2020 в 20:05
  • 9
  • 0

О распространяемом в документе Word вирусе предупредили пользователей Сети

НУР-СУЛТАН. КАЗИНФОРМ - Служба реагирования на компьютерные инциденты «KZ-CERT» сообщает о выявлении вируса, который является документом Word, обходящим средства защиты типа «песочницы», передает МИА «Казинформ» со ссылкой на Службу «KZ-CERT».

В Службу «KZ-CERT» поступило обращение о ежедневно повторяющейся рассылке, которая содержит вложение в виде файла Word под названием 945kaz.

Проведенный экспертами «KZ-CERT» анализ содержания позволил классифицировать данный инцидент ИБ как «Вредоносную активность».

«Распространение вирусов в документе Word не является уникальным случаем, и подобные инциденты ИБ уже известны. Однако в случае с обнаруженным файлом уникальность заключается в том, что вирус активируется только после третьей перезагрузки компьютера, что усложняет детектирование антивирусными программами и песочницами, а также расследование инцидента. Проще говоря, после открытия документа Word и активации исполнения макросов, вирус готовит платформу для основного вредоносного ПО. Причем делается это таким образом, чтобы максимально затруднить выявление основного функционала», - сообщили в «KZ-CERT».

Основной функционал данного вредоносного объекта заключается в загрузке и исполнении произвольного кода (базонезависимого, а не стандартного исполняемого файла) с сервера злоумышленников. Также благодаря приемам противодействия исследованию злоумышленникам удастся скрыть от автоматического анализа сервер, с которого происходит загрузка реального кода.

«С учетом данного функционала можно классифицировать инцидент как достаточно опасный, поскольку подобная схема позволяет исполнить любой код, при этом обеспечивая возможности для его оперативного изменения» - предупредили в службе.

Для обеспечения безопасности устройств Служба «KZ-CERT» настоятельно рекомендует обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз.

Индикаторы заражения:

116.193.153.20 – IP-адрес сервера, с которого скачивается объект-загрузчик исполняемого кода в памяти;

brands.newst.dnsabr.com – сервер, с которого осуществляется загрузка основного вредоносного (базонезависимого) кода.

«Призываем казахстанцев в случае обнаружения подобного рода подозрительных рассылок, интернет-ресурсов с подозрительным содержанием просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно) или отправлять заявки по ссылкам: http://www.kz-cert.kz/ru/form, https://t.me/kzcert. Также можно направить письмо на электронный адрес: incident@kz-cert.kz», - отметили в «KZ-CERT».


По материалам: inform.kz

Комментарии

Вам следует зарегистрироваться и войти в свой аккаунт, чтобы иметь возможность комментировать.

    Голосование
    Интересное
    В Чуйской области для школьников проведены занятия по профилактике правонарушений
      07 сентября 2025 в 11:10   Кыргызстан
    В Муминабаде на сегодняшний день насчитывается 26 библиотек
      вчера в 13:55   Таджикистан
    O‘zbekistonda vazirliklarga yuqoridan ko‘rsatma kutmasdan qaror qabul qilishga ruxsat beriladi
      06 сентября 2025 в 23:05   Узбекистан
    Делегация Таджикистана изучила опыт Института дипломатии и внешних связей Малайзии
      07 сентября 2025 в 22:20   Таджикистан
    Shavkat Mirziyoyev FIFA rahbari Janni Infantinoga “Do‘stlik” ordenini topshirdi
      вчера в 23:05   Узбекистан
    Мэрия Бишкека отменила постановление о предоставлении участка ОАО «Тянь-Шань-Лада»
      вчера в 11:10   Кыргызстан
    В Бишкеке открылся новый скотный рынок «Алтын-Казык»
      вчера в 12:55   Кыргызстан
    ТПП Таджикистана и Ассоциация строительной промышленности Чанчуня подписали Меморандум о сотрудничестве
      06 сентября 2025 в 21:50   Таджикистан
    В городе Чолпон-Ате прошло 16-е заседание Координационного совета по чрезвычайным ситуациям ОДКБ
      06 сентября 2025 в 22:00   Таджикистан
    Qaysi OTM talabalari ko‘proq jinoyatga qo‘l urgani ma’lum qilindi
      06 сентября 2025 в 22:30   Узбекистан