Москва
C

READWEB

						

ПОСЛЕДНИЕ НОВОСТИ

Вирус считает количество документов Word, чтобы избежать обнаружения

сентября 26
13:47 2016

Новая вредоносная программа, обнаруженная компанией SentinelOne, использует простую, но действенную тактику для избежания обнаружения.

Файл Intelligent Software Solutions Inc.doc, распространяемый через спам, использует VBA макрос для доступа к списку недавно созданных или открытых документов.

Если этот список пуст, программа предполагает, что она находится в Sandbox среде или виртуальной машине и перестает работать дальше, чтобы ее вредоносные возможности не были обнаружены.

Это усложняет, либо замедляет, обнаружение программы создателями антивирусов, а следовательно и ее добавление в антивирусные базы.

Если программа обнаруживает как минимум два Word документа в списке RecentFiles, то предполагает, что она запущена на обычном рабочем ПК, а не в изолированной исследовательской среде, и выполняет PowerShell скрипт, скачивающий и запускающий на ПК основную часть вируса.

ЧИТАЙТЕ ТАКЖЕ

0 Комментариев

Написать комментарий

Комментарий:

-->