Архив

SHORE.D: вредитель из отряда макро-вирусов

W97M_SHORE.D — деструктивный макро-вирус, заражает документы/шаблоны MS Word 97. Удаляет все макросы пользователя, содержащиеся в документе. При открытии редактора Visual Basic отображается окно для ввода пароля. Если пользователь инфицированного компьютера наберет неверный пароль и затем нажмет кнопку «OK», отображается сообщение об ошибке. При корректном вводе пароля пользователем открывается окно редактора Visual Basic.

Вирус заражает активные документы/шаблоны Word, прерывая при этом следующие события: AutoOpen, FileOpen, AutoExit, AutoClose, FileSave, AutoExec и FileNew.

Макросы, имеющие отношение к File|Templates, Tools|Macro и редактору Visual Basic, модифицируются вирусом и уже не исполняют свои обычные функции. Вместо загрузки окна редактора Visual Basic отображается окно для ввода пароля. Вирусный код содержит определенные команды, позволяющие просматривать его после ввода правильного пароля. При вводе пользователем инфицированного компьютера неверного пароля, отображается сообщение об ошибке:

Unable to get the access. Request aborted…

Правильный пароль для доступа к редактору Visual Basic — «cool13».

При открытии зараженного документа SHORE.D отключает встроенную защиту от макро-вирусов в MS Word 97. Вирус не инфицирует повторно уже зараженные файлы, сверяясь с измененными им пользовательскими установками:

NAME: Серийный номер
TYPE: Число
VALUE: 2017

SHORE.D: вредитель из отряда макро-вирусов

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике