Архив

TRISTATE: макро-вирус для приложений Microsoft Office 97 появился в «диком виде»

O97M_TRISTATE (aka Macro.Office97.Triplicate) — макро-вирус для офисных приложений Microsoft Word 97, Microsoft Excel 97 и Microsoft PowerPoint 97.
Соответственно, вирус заражает документы Word, электронные таблицы Excel и презентации PowerPoint, действуя при этом по одному и тому же принципу.

При активации из таблицы Excel вирус ищет файл BOOK1.XLS в Startup-директории Excel. Если не находит, то создает инфицированный Workbook в той же директории и отключает макро-вирусную защиту в Excel. Вирус содержится в макросе «ThisWorkbook» инфицированных таблиц и рабочих книг (Workbook).

При активации из документа Word вирус проверяет содержатся ли его коды в «ThisDocument» в глобальном шаблоне (NORMAL.DOT). Если не находит, то инфицирует глобальный шаблон и отключает макро-вирусную защиту в Word.

При активации из PowerPoint вирус начинает искать модуль под названием «Triplicate» в «BLANK PRESENTATION.POT» таблицы PowerPoint. И если не находит, то отключает макро-вирусную защиту в PowerPoint. Затем вирус добавляет свой модуль «Triplicate» в «BLANK PRESENTATION.POT» и в основной объект AutoShape, который входит в презентацию. Таким образом вирусный модуль оказывается связанным с объектом AutoShape.

TRISTATE: макро-вирус для приложений Microsoft Office 97 появился в «диком виде»

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике