Какие вредоносные программы могут заражать документы word

При открытии либо закрытии пользователем зараженного документа вредонос извлекает из своего тела макромодуль «ThisDocument» и сохраняет его в корневом каталоге логического диска С: под следующим именем:

C:temp.tmp

Далее вирус считывает содержимое из файла-шаблона MS Word — «Normal.dot» и добавляет полученные данные в файл

C:temp.tmp
Затем считывает из файла «temp.tmp» весь код, который находится после строки:
‘RELAX

и переписывает содержимое файла «Normal.dot», добавляя в него свой вредоносный макрос. После этого переписывает свой активный документ. Затем вредонос проверяет атрибуты открытого документа, и если документ не «Скрытый» и «Системный» – устанавливает в «1» значение 862-го байта и удаляет файл:

C:temp.tmp
В зараженный документ также добавляет следующую информацию:
‘ Logfile —> ‘ * DSR Normal.dot». Добавляет в системный реестр следующую информацию:

[HKCUSoftwareMicrosoftMS Setup (ACME)User Info] «LogFile»=»True»
Затем вредонос проверяет по строке:
‘ DSR DSR (KZ, Kostanai town, KGU) This is a simple example read C: bootlog.sys

Рекомендации по удалению

1. Завершить работу MS Word.
2. Удалить ключ реестра:

[HKCUSoftwareMicrosoftMS Setup (ACME)User Info]
C:netlog.sys С:bootlog.sys

MD5: 4913a3d7faea301aa83595813ecfe7fb

Прячем вирус в Word. Как заражают документы Microsoft Office?

SDA1: d55b8bc059cbe1e0184d2dd14b7be52db9417c8a

Социальные сети ШПИОНЯТ за вами?

Присоединяйтесь к нашему ТГ каналу и узнайте, как обезопасить свой профиль.

Источник: www.securitylab.ru

Какие вредоносные программы могут заражать документы word

Zip File, мамкины хацкеры. Сегодня я расскажу вам, как злоумышленники прячут ссылки на вредоносное программное обеспечение и фишинговые сайты прямо в word’овских документах. Данный метод маскировки настолько хорош, что может поставить в тупик, даже прожжённого офисного планктона. Его очень часто используют при распространении палёных курсов и тренингов.

Да-да, те самые книги и руководства про успешный успех от нелюбимых вами инфоцыган, в лёгкую могут таить под капотом реальную угрозу для вашей безопасности. Особенно если качаете вы это добро с какого-нибудь сливапа или только что созданного паблика в телеграме. Тут вероятность нарваться на дерьмецо возрастает в разы.

Что ж, друзья, думаю суть понятна. Давайте нынче не будем долго запрягать и сразу перейдём к практике. А то мне ещё утром на участок надо бежать, поправки путинские принимать. Вбрасывать там, фальсифицировать. Ну вы знаете, всё как обычно. Мы там это, с колен вроде как встаём, так что низя опаздывать.

Уж не обессудьте за столь лаконичное вступление. Погнали.

Шаг 1. Создаём на рабочем столе новый вордовский документ. Так и назову его – гавнокурс, чтобы все инфоцыгане, включая вашего покорного слугу, обладающего самоиронией, были довольны.

Шаг 2. Открыв док переходим на вкладку «Вставка» и ищем пункт интеграции «Видео из интернета». В открывшемся окне вводим для примера название youtube-канала и кликаем по иконке поиска.

Шаг 3. Вставлю для демонстрации рандомное видео со своего проекта.

Шаг 4. Отлично. Видос в файле. Примерно так их вставляют в качестве доп. материалов к основной статье различные интернет-гуру. Теперь можно закрывать документ, не забывая при этом сохранить изменения.

Шаг 5. Далее запускаем WinRAR и вызвав контекстное меню вордовского файла, переходим к его внутреннему содержимому.

Шаг 6. Нас интересует файлик «document.xml». Он содержит в себе дополнительные настройки для текста и, собственно, сам текст нашего документа. Вытаскиваем его на рабочий стол

Шаг 7. И открыв в нотпаде или блокноте ищем строчку со ссылкой на youtube-видео. Вот она.

Шаг 8. Ну а дальше, мы вольны творить что душе угодно. Давайте, забавы ради встроим код логгера для выяснения местоположения и IP-адреса потенциальной жертвы. Для этого заходим на iplogger.org и вставляем любую ссылку в первое окно. Жмём «получить код».

Шаг 9. Копируем получившуюся ссылку для сбора IP в буфер обмена.

Шаг 10. И вставляем её вместо ссылки на видео в нашем XML-файле.

Шаг 11. После внесения изменений закрываем редактор файла с последующим сохранением.

Шаг 12. И возвращаем его на место закинув в окно WinRAR’a. Окей.

Шаг 13. Давайте проверим, что же мы намудрили. Открываем гавнокурс и подводим ползунок к видосу. Программа показывает, что при нажатии, будет запущен видеоролик с ютуба. Ничего подозрительного.

Уверяю, 88% юзверей даже не почуют подвоха.

Шаг 14. Однако при открытии, вместо долгожданного видео, на экране выскакивает ошибка. Тут человек, как правило думает, что мол, ну и ладно. Подумаешь видос не работает, главное книжку скачал на халяву.

Шаг 15. Мы же, тем временем, можем вернуться на сайт iplogger и в разделе «Статистика посещений», посмотреть IP-адрес с которого была зафиксирована попытка просмотра.

Шаг 16. Также тут можно прочекать геолокацию, вплоть до дома.

И это, ещё самое безобидное, что можно было внедрить. Вы ведь помните, я тут не армию злоумышленников выращиваю, а объясняю основы инфосека в обучающих целях для понимающей аудитории. Но настоящий блэк хэт будет вставлять далеко не безобидный логгер для выяснения вашего адреса. Он встроит ратник, вирусную программу или какого-нибудь хитро вые***ый java-script.

Данная фиха работает в пакетах MSOffice, начиная с версии 2013 года. И в данный момент, её до сих пор не пофиксили. Я специально скачал для записи самый последний апдейт, дабы убедиться в проверке функционала. И да, я дико извиняюсь за кликбейт, но вы порой правда просите сделать очень узкие темы, которые в интернете никому на*уй не сдались. Поэтому приходится как-то выкручиваться и перефразировать.

Однако, уверяю вас, это сделано умышленно и даже банальное знание IP-адреса может сыграть на руку грамотному пентестеру. Так, в следующем видео, я покажу, как зная внешний IP-адрес роутера, можно провести по нему полноценную DDoS-атаку. Но эт только если соберёте 500 лайков под этим роликом. Денчику нужны ваши лойсы. А ещё я коллекционирую души в виде подписок. Так что если ты, друг мой впервые забрёл на канал, то не тупи а.

Кликай на грёбаный колокол и в твоей ленте регулярно будут появляться годнейшие гайды на тему этичных взломов, пентестинга и самой что ни на есть информационной безопасности. С олдов по традиции, жду комментарии, касательно того, что бы вы встроили в такой документ, перейди вы, чисто теоретически на тёмную сторону. Мне будет весьма интересно узнать, чего же вы жаждите на самом деле.

Ну а у меня на сегодня всё. В заключении, хочу пожелать вам удачи, успеха и самое главное безопасного обучения. Берегите себя и свои тачки, скачивайте материалы только на официальных сайтах инфоцыган и никогда не попадайтесь на такие уловки. Помните, что халявный сыр – бывает только в мышеловке.

А за всё, действительно годное и крутое – приходится платить либо временем, либо рублём, либо дважды. С вами, как обычно, был Денчик. До новых встреч, камрады. Всем пока.

Источник: kurets.ru

Что такое макровирусы

Макровирусы — это потенциально нежелательные программы, написанные на макроязыке и встроенные в графические и текстовые системы. Это определение дано информатикой.

Какие файлы заражают макровирусы

Ответ: Они встроены в текстовые редакторы, создающие макросы и работающие с ними (Microsoft Excel, Word, Office 97 (Visual Basic), Notepad++ и другие). Эти вирусы довольно распространены, поскольку их легко создать.

Способы проникновения

Выяснив, что такое макровирусы, давайте выясним, как они проникают в систему.

1. При скачивании чего-либо из интернета или почты. Кстати, в 50% случаев заражение компьютера происходит через электронные письма (в основном Мелисса). Поэтому очень важно иметь полноценный антивирус с функцией проверки почты и не открывать подозрительные письма, тем более не переходить по содержащимся в них ссылкам.
2. Когда к ПК подключается накопитель, например, флешка или внешний жесткий диск с вредоносными объектами.

При скачивании документов из Интернета необходимо быть предельно внимательным и точным. Большинство пользователей недооценивают их, тем самым совершая серьезную ошибку.

Одной из особенностей является простой способ размножения, позволяющий заразить максимальное количество объектов за короткое время. Благодаря возможностям макроязыков при открытии или закрытии зараженного документа они проникают в программы, к которым обращаются.

То есть при использовании графического редактора макровирусы заражают все, что с ним связано. Кроме того, некоторые из них активны все время, пока работает текстовый или графический редактор, или даже до полного выключения ПК.

В чем заключается принцип работы

Его действие происходит по следующему принципу: при работе с документами Microsoft Word выполняет различные команды, которые заданы на языке макросов. В первую очередь программа врывается в основной шаблон, через который открываются все файлы данного формата. В этом случае вирус копирует свой код в макросы, дающие доступ к основным параметрам. При выходе из приложения оно автоматически сохраняется в «.dot». Затем он вводит стандартные макросы, перехватывая команды, отправляемые в другие файлы, заражая и их.

Заражение происходит в следующих случаях:

1. Если есть автомакро (выполняется в автоматическом режиме при выключении или запуске программы).
2. Имеет основной системный макрос (часто связанный с пунктами меню).
3. Он автоматически активируется при нажатии определенных клавиш или комбинаций.
4. Играет только при запуске.

Такие вредоносные программы обычно заражают все объекты, созданные и присоединенные к приложениям на макроязыке.

Какой вред наносят

Не стоит недооценивать макровирусы, поскольку они представляют собой полномасштабные вирусы и наносят значительный ущерб компьютерам. Умеет легко удалять, копировать или редактировать объекты, содержащие в том числе личную информацию. Кроме того, у них также есть возможность передавать информацию другим людям по электронной почте. По сути, они чем-то напоминают обычных червей, троянов и рекламное ПО.

Самые мощные утилиты могут отформатировать жесткий диск или взять под контроль ПК. Поэтому ошибочно мнение, что компьютерные вирусы этого типа опасны только для графических и текстовых редакторов. Ведь такие утилиты, как Word и Excel, работают совместно с другими приложениями, которые в этом случае также подвергаются риску.

Как распознать зараженный файл

Как правило, объект, зараженный так называемым макровирусом, достаточно легко обнаружить. Содержит вредоносное ПО, которое блокирует доступ к некоторым известным функциям. Признан за следующие характеристики:

1. Документ Word не хочет сохраняться в другом формате с помощью опции «Сохранить как…».
2. Документ не перемещается на другой диск или в другую папку.
3. Изменения в документе не сохраняются с помощью опции «Сохранить».
4. Вкладка «Уровень безопасности» недоступна (Верхнее меню — Инструменты — Макрос — Безопасность).
5. Чрезмерно частое появление системных сообщений об ошибке в работе приложений с соответствующим кодом.
6. Некорректное и нехарактерное поведение документов.

Кроме того, угрозу часто легко обнаружить визуально. Разработчики часто включают такую ​​информацию, как имя утилиты, категория, тема, комментарии и имя автора, на вкладке «Сводка». Это позволяет намного быстрее и проще избавиться от макровируса. Вызвать его можно с помощью контекстного меню.

Способы удаления

Обнаружив подозрительный файл или документ, первое, что нужно сделать, это проверить его антивирусом. При обнаружении угрозы антивирусы попытаются ее вылечить, а в случае неудачи полностью заблокируют к ней доступ.

Если был заражен весь компьютер, следует использовать аварийный загрузочный диск, содержащий антивирус с последней базой данных. Он просканирует ваш жесткий диск и нейтрализует все обнаруженные угрозы.

Если вы не можете защитить себя таким образом и нет аварийного диска, вам следует попробовать метод лечения «вручную:

Таким образом, он удалит макровирус из зараженного документа, но это никоим образом не означает, что он не остался в системе. Поэтому я рекомендую как можно быстрее просканировать компьютер антивирусом или специальными бесплатными сканерами (они не требуют установки и не конфликтуют с другими антивирусными продуктами).

Основные отличия от других типов угроз

Теперь давайте немного поговорим о том, чем они отличаются от других типов угроз.

1. Макровирус активируется только при открытии вредоносного объекта. Чаще всего это Word или Excel. Для разбора нужно получить текст макроса.
2. Загрузочные вирусы начинают свою вредоносную деятельность при запуске системы. Переносится через флешки, жесткие диски.
3. Сетевые черви любят распространяться на все компьютеры в одной сети. Используйте дыры и ошибки в сетевом программном обеспечении.
4. Файловые вирусы заражают исполняемые файлы форматов (apk, msi, exe, bat, cmd и др).
5. Трояны не размножаются сами по себе. Они проникают в систему, загружая полезные и популярные приложения или игры. В большинстве случаев пользователь не понимает, что скачал вредоносное ПО.
6. Шифровщики шифруют (скрывают) исходные копии файлов, делая их нечитаемыми. После этого разработчик программы-вымогателя связывается с вами через .txt или уведомление на рабочем столе и требует выкуп.

Рекомендации по защите

Процедура лечения и очистки ПК достаточно сложна, поэтому на начальных этапах лучше не допускать проникновения вредоносного ПО. Вот список рекомендаций по защите вашего устройства.

• Вам нужно иметь хороший антивирус и регулярно обновлять его.
• Если у вас старый компьютер или ноутбук и вы не хотите еще больше нагружать и без того медленную систему, присмотритесь к легким протекторам. Работают быстро даже на слабых машинах.
• Перед копированием с носителя или загрузкой программ из Интернета внимательно проверьте их, чтобы убедиться, что они не заражены вредоносным ПО.
• Если у вас установлен плохой защитник или вообще его нет, сохраните его в формате «.rtf».
• Храните важные данные сразу в нескольких местах (ПК, флешка, любое облако или файлообменник).

Подробное видео

Источник: faq-word.ru