За последние несколько месяцев я получал около 10 писем в день, содержащих поддельные счета, например

Доброе утро

Заказ ниже был отправлен в течение 28/05/15 (пожалуйста, не дублируйте). Я все еще жду доставки по линии 002 за 18 штук

Посоветуйте, пожалуйста, когда будет доставка, так как товар срочно нужен

Спасибо

Очевидно, что это нежелательная / вредоносная программа, но, как ни странно, ни один из моих антивирусных и вредоносных продуктов ни на одной машине (Trend и Bitdefender) не признает их угрозой.

Я сообщил об этом в Bitdefender и даже не получил ответа.

Похоже, у других тоже есть проблемы. Я проверил файл в Блокноте и смог увидеть некоторый код VBA, поэтому я предполагаю, что это макрос, который я ожидал в документе Word. TechHelpList.com утверждает, что файл пытается загрузить.EXE, но информация расплывчата.

Учитывая их количество, я предполагаю, что все они имеют одинаковую природу, но может ли кто-нибудь предложить какое-то объяснение относительно того, что именно файл пытается выполнить? Встроен ли EXE-файл или он пытается загрузить? В последнем случае Word действительно предупреждает вас или предлагает опцию не запускать макрос?

У меня Office 2013, поэтому я предполагаю, что макросы в файле .doc не запускаются автоматически, но я пытаюсь убедить своих друзей и семью в IT-фобе не приближаться к ним.

1 ответ1

3

Я видел подобные поддельные счета-фактуры - опять же, при проверке в изолированной виртуальной машине - макросы пытаются выполнить удаленный файл .exe или .bat. Они могут или не могут автоматически запускаться - это зависит от ваших настроек безопасности макросов в Word / Excel / и т.д ...

Вы обнаружите, что ваш антивирус будет блокировать .exe (с надеждой), когда он вызывается или загружается, но сам счет-фактура не является вредоносным по определению AVs, потому что все, что он делает, это открывает другой файл.

Он ничем не отличается от файла с макросом, который открывает внешнее приложение, такое как рисование, калькулятор, блокнот и т.д. - это не файл, который наносит ущерб, а исполняемый файл, который он открывает.

AV умный, но, как правило, недостаточно умный, чтобы читать / анализировать код, а затем переходить по ссылкам за пределы удаленного exe-файла и сканировать его.

Что касается того, что они делают - это может быть что угодно - предел - это только то, что может придумать программист. Распространенный вирус, переносимый этими типами исполняемых файлов, включает в себя:

  • Ransomwear (см. Эту статью для примера)
  • Изменения службы (замените жизненно важную службу Windows измененной копией, которая отслеживает вашу активность и сообщает где-то создателю)
  • Установка вредоносного ПО (установите приложение удаленного управления, чтобы пользователь мог работать с вашим ПК)
  • Регистрация ключей (отправляет список каждого нажатия клавиши обратно создателю .. включая ваши пароли!) .. список может быть практически безграничным

Что вы можете сделать, чтобы предотвратить себя?

  • Держите окна / приложения в актуальном состоянии и полностью исправлены
  • Регулярно сканируйте с помощью полностью обновленного антивируса / антишпионского / вредоносного ПО
  • Никогда не открывайте вложения, если не работаете в изолированной виртуальной машине
  • Держите хорошие резервные копии, чтобы вы могли просто пойти на полное стирание, если заражены
  • Не открывайте вложения вообще, если вы не ожидаете их. Удалите их немедленно. Если позже выясняется, что это была настоящая привязанность, их всегда можно отправить снова.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .