0

Uważaj! Ten malware rozsiewa się za pomocą PowerPointa

Pomysłowość twórców złośliwego oprogramowania nie ma końca. Wcześniej pisaliśmy dla Was o zagrożeniu, które rozsiewa się za pomocą... plików napisów do filmów, a teraz mamy do czynienia z wirusem komputerowym, który rozprzestrzenia się za pomocą plików programu PowerPoint. Niezwykle ciekawy jest jego mechanizm infekowania komputerów.

Zusy (Gootkit lub OTLARD) swoją drogę do komputera rozpoczyna za pomocą złośliwego pliku programu PowerPoint. Co ciekawe, nie znajduję się w nim wspomniany wirus, lecz procedura pozwalająca na ściągnięcie niebezpiecznego programu na komputer. Użytkownik, który otworzy plik PowerPointa na komputerze ujrzy tylko jeden slajd, na którym znajdzie informację: „Loading…Please Wait”, w dodatku z hiperłączem. Tego wcale nie trzeba otwierać, aby mechanizm zadziałał tak, jak trzeba. Okazuje się, że na owe łącze należy tylko najechać kursorem myszy – wtedy uruchamia się Windows PowerShell wraz z skryptem, który pobiera niebezpieczny plik z internetu.

Ale użytkownik musi potwierdzić wykonanie tej operacji

Twórca zagrożenia opiera zasadę działania niebezpiecznego programu na najzwyklejszej bezmyślności użytkowników. Po próbie uruchomienia skryptu, system Windows powiadomi nas o dziwnym zachowaniu programu. Roztropny użytkownik postanowi sobie odpuścić i weźmie pod uwagę możliwość zainfekowania komputera. Jednak niektórzy mogą zupełnie zignorować zagrożenie, przez co nie unikną oni zarażenia (właściwie na własne życzenie). Okazuje się, że Zusy nie pobierze się za pomocą tego skryptu, gdy skorzystamy z PowerPointa w wersji Online. Dodatkowo, w trybie chronionym niemożliwe będzie uruchomienie skryptu. Viewer również nie pozwoli na uruchomienie zewnętrznego programu.

zusy, powerpoint

Według ekspertów, malware pozwala na zastosowanie exploita dającego możliwość atakującemu ustanowienia połączenia z ofiarą za pomocą protokołu RDP (Remote Desktop Protocol). To z kolei otwiera drogę cyberprzestępcom do nagrywania aktualnej sesji, dokonywania zmian na komputerze, przejmowania newralgicznych danych, a także na doinstalowywanie kolejnych niebezpiecznych programów. Niemniej, w trakcie testów Dodge This Security okazało się, że po ośmiu godzinach od zarażenia nikt nie próbował łączyć się z „wystawionym” komputerem. Nie wiadomo zatem, jakie są prawdziwe zamiary cyberprzestępców. Być może czekają oni na odpowiedni moment na zaatakowanie zarażonych komputerów.

Eksperci wskazują, by wystrzegać się podejrzanych wiadomości np. z banków, firm kurierskich i innych, które zawierają w sobie pliki PowerPointa. Przed otwarciem jakiegokolwiek pliku, który jest przysyłany do nas za pomocą wiadomości e-mail powinniśmy się zastanowić przynajmniej kilka razy – wielu użytkowników niestety tego nie robi, przez co tego typu zagrożenia z łatwością przenoszą się w internecie. Pikanterii całej sprawie dodaje fakt, iż niebezpieczne działanie prezentacji PowerPointa musi zostać dodatkowo autoryzowane przez użytkownika – to z kolei dowód na to, że nie czytamy komunikatów, albo zwyczajnie mamy je w poważaniu.