Банковский троян распространяется в документах Microsoft Word14 Августа, 2015
Специалисты ИБ-компании «Доктор Веб» обнаружили новый-троян загрузчик из семейства W97M.DownLoader (по классификации «Доктор Веб»). Эксперты отметили, что злоумышленники регулярно рассылают пользователям электронные письма с вложениями, содержащими данные вредоносы. Только с начала августа текущего года число таких рассылок составило 1% от общего количества распространяемых по электронной почте троянов.
Образец трояна-загрузчика, полученный экспертами, представляет собой документ Microsoft Word, распространяющийся в виде вложения в электронные письма. Троян маскировался под пересылаемое по почте факсимильное сообщение, однако в процессе его создания преступники ошиблись датой.
Сам документ был якобы зашифрован с использованием алгоритма RSA, и для того, чтобы получить возможность прочитать его содержимое, злоумышленники предлагали активировать в редакторе Word использование макросов. Помимо этого, документ содержал якобы пустую страницу, на которой, тем не менее, находился полный текст письма, написанный белым шрифтом, становившимся видимым после включения макросов.
В то время как пользователю демонстрировался текст документа, троян загружал с удаленного сервера несколько фрагментов кода и формировал из них файлы скриптов в форматах .bat, .vbs или .ps1 в зависимости от использующейся версии операционной системы Windows. Далее сценарии загружались на диск и запускались. В свою очередь, скрипты с принадлежащего атакующим сервера скачивали и запускали исполняемый файл, содержащий опасный банковский вредонос Trojan.Dyre.553.
http://www.securitylab.ru/news/474238.php
