Схема заражения |
Специалисты Symantec обнаружили зараженные файлы форматов. RTF и. DOC, которые могли принести вред любому, кто интересовался результатами встречи министров обороны стран АСЕАН. Напомним, на встрече, проходящей с 21 по 23 июля на острове Бали, присутствовали 18 участников АСЕАН, а также представители восьми других стран.
Зараженный файл формата RTF пытается эксплуатировать уязвимость Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability для одновременной загрузки безопасного документа Microsoft Word и установить программу-взломщик – бэкдор – для повторного получения доступа к системе.
В документе содержатся номера телефонов, факсов, а также электронные адреса служащих, имеющих непосредственное отношение к обороне по каждой из стран. Проверить достоверность этих данных не представляется возможным, однако некоторые из приведенных телефонов действительно можно найти на официальных сайтах, говорится в официальном сообщении компании.
Специалисты Symantec сообщили, что на данный момент происхождение документа отследить не удалось. Отмечается только, что использование той же уязвимости ранее уже было обнаружено компанией. Тогда файл бэкдора загружался под именем «iexplore.exe» во временную папку, а в папке «Автозагрузка» размещается ярлык на него, что приводило к запуску вредоносной программы во время входа пользователя на скомпрометированный компьютер. Затем бэкдор подключался к ряду доменов, ассоциированных с китайскими IP-адресами.