Вирус считает количество документов Word, чтобы избежать обнаружения


Вирус считает количество документов Word, чтобы избежать обнаружения

Новая вредоносная программа, обнаруженная компанией SentinelOne, использует простую, но действенную тактику для избежания обнаружения.

Файл Intelligent Software Solutions Inc.doc, распространяемый через спам, использует VBA макрос для доступа к списку недавно созданных или открытых документов.

Если этот список пуст, программа предполагает, что она находится в Sandbox среде или виртуальной машине и перестает работать дальше, чтобы ее вредоносные возможности не были обнаружены.

Это усложняет, либо замедляет, обнаружение программы создателями антивирусов, а следовательно и ее добавление в антивирусные базы.

Если программа обнаруживает как минимум два Word документа в списке RecentFiles, то предполагает, что она запущена на обычном рабочем ПК, а не в изолированной исследовательской среде, и выполняет PowerShell скрипт, скачивающий и запускающий на ПК основную часть вируса.

По теме: ( из рубрики )

    Оставить отзыв

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    *
    *

    три × четыре =

    Нашли на сайте:
    Top