Новый вирус распространяется через макросы в документе Word. Японский разработчик программного обеспечения для защиты от киберугроз Trend Micro предупредил пользователей о новом способе компьютерной атаки, работающей через Dynamic Data Exchange (DDE) текстовых документов.

Как происходит заражение


  1. Вам присылают документ в формате *.doc или *.docx. Например, Договор.doc, Акт по работам.docx или прайс.docx.

Microsoft Word поддерживает механизм динамического обмена данными DDE. Эта возможность по задумке разработчиков должна помогать обмену данными между удаленными файлами, исполнять код, находящийся в других источниках. Именно таким образом кибервзломщики прячут в документах код, фактически скачивающий на ваш компьютер вредоносную программу.

  1. При открытии файла Word во всплывающих окнах спрашивает разрешение на запуск удаленной программы.

 Обычный пользователь, не читая, нажимает «Да». Часто, не зная английского, получивший зараженный документ сотрудник вообще не понимает, что же написано в предупреждающих окнах.

Этот документ содержит ссылки, которые могут вести к другим файлам. Вы хотите обновить документ данными из внешних источников?

Вы хотите запустить приложение по изменению реестра своей операционной системы?

Сложность борьбы с таким алгоритмом заражения состоит в том, что многие компании используют макросы и DDE в своих прайс-листах. Стремясь к «красивостям» и удобству, такие поставщики буквально оказывают «медвежью услугу», приучая соглашаться на использование макросов в текстовых документах.

  1. Когда пользователь согласился скачать и запустить на своем компьютере программу-вирус, сначала начинает работать вирус-разведчик Setuploader.

Для экономии ресурсов, хакеры не скачивают все файлы подряд со всех доступных компьютеров, а определяют, представляют ли имеющиеся данные интерес. В первую очередь вирусописателей интересуют бухгалтерские данные, базы 1С и интимные фотографии.

  1. Если данные важны, в систему подгружаются и запускаются более опасные программы-трояны X-Agent и Sedreco.

Microsoft уже рассказала, как защититься от атак. В первую очередь, рекомендовано читать предупреждения во всплывающих окнах и не подтверждать сомнительные действия. Уверенные пользователи могут запретить автоматическое обновление данных, отредактировав реестр Windows.

Чем грозит


К чему может привести наличие вируса на рабочем компьютере? Вирусы могут запускать на вашем компьютере все, что угодно. Варианты ограничиваются только фантазией вирусописателя:

  • шифрование всех данных
  • печать личных фотографий на всех корпоративных принтерах
  • доступ к почте
  • доступ к вводимым на клавиатуре символам, включая номера и пин коды банковских карт
  • выкладывание в открытый доступ сведений, составляющих коммерческую тайну

Но самым распространенным вариантом использования доступа к корпоративному компьютеру по-прежнему является шифрование 1С базы с требованием выкупа в криптовалюте.