За последние несколько месяцев я получал около 10 писем в день, содержащих поддельные счета, например

Доброе утро

Заказ ниже был отправлен в течение 28/05/15 (пожалуйста, не дублируйте). Я все еще жду доставки по линии 002 за 18 штук

Посоветуйте, пожалуйста, когда будет доставка, так как товар срочно нужен

Спасибо

Очевидно, что это нежелательная / вредоносная программа, но, как ни странно, ни один из моих антивирусных и вредоносных продуктов ни на одной машине (Trend и Bitdefender) не признает их угрозой.

Я сообщил об этом в Bitdefender и даже не получил ответа.

Похоже, у других тоже есть проблемы. Я проверил файл в Блокноте и смог увидеть некоторый код VBA, поэтому я предполагаю, что это макрос, который я ожидал в документе Word. TechHelpList.com утверждает, что файл пытается загрузить.EXE, но информация расплывчата.

Учитывая их количество, я предполагаю, что все они имеют одинаковую природу, но может ли кто-нибудь предложить какое-то объяснение относительно того, что именно файл пытается выполнить? Встроен ли EXE-файл или он пытается загрузить? В последнем случае Word действительно предупреждает вас или предлагает опцию не запускать макрос?

У меня Office 2013, поэтому я предполагаю, что макросы в файле .doc не запускаются автоматически, но я пытаюсь убедить своих друзей и семью в IT-фобе не приближаться к ним.

|источник

1 ответ1

3

Я видел подобные поддельные счета-фактуры - опять же, при проверке в изолированной виртуальной машине - макросы пытаются выполнить удаленный файл .exe или .bat. Они могут или не могут автоматически запускаться - это зависит от ваших настроек безопасности макросов в Word / Excel / и т.д ...

Вы обнаружите, что ваш антивирус будет блокировать .exe (с надеждой), когда он вызывается или загружается, но сам счет-фактура не является вредоносным по определению AVs, потому что все, что он делает, это открывает другой файл.

Он ничем не отличается от файла с макросом, который открывает внешнее приложение, такое как рисование, калькулятор, блокнот и т.д. - это не файл, который наносит ущерб, а исполняемый файл, который он открывает.

AV умный, но, как правило, недостаточно умный, чтобы читать / анализировать код, а затем переходить по ссылкам за пределы удаленного exe-файла и сканировать его.

Что касается того, что они делают - это может быть что угодно - предел - это только то, что может придумать программист. Распространенный вирус, переносимый этими типами исполняемых файлов, включает в себя:

  • Ransomwear (см. Эту статью для примера)
  • Изменения службы (замените жизненно важную службу Windows измененной копией, которая отслеживает вашу активность и сообщает где-то создателю)
  • Установка вредоносного ПО (установите приложение удаленного управления, чтобы пользователь мог работать с вашим ПК)
  • Регистрация ключей (отправляет список каждого нажатия клавиши обратно создателю .. включая ваши пароли!) .. список может быть практически безграничным

Что вы можете сделать, чтобы предотвратить себя?

  • Держите окна / приложения в актуальном состоянии и полностью исправлены
  • Регулярно сканируйте с помощью полностью обновленного антивируса / антишпионского / вредоносного ПО
  • Никогда не открывайте вложения, если не работаете в изолированной виртуальной машине
  • Держите хорошие резервные копии, чтобы вы могли просто пойти на полное стирание, если заражены
  • Не открывайте вложения вообще, если вы не ожидаете их. Удалите их немедленно. Если позже выясняется, что это была настоящая привязанность, их всегда можно отправить снова.
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .