12.00.28 Вірус рахує кількість документів Word, щоб уникнути виявлення | |
Файл Intelligent Software Solutions Inc.doc, що розповсюджується через спам, використовує VBA макрос для доступу до списку недавно створених чи відкритих документів. Якщо цей список порожній, програма передбачає, що вона знаходиться в Sandbox середовищі або віртуальній машині і перестає працювати далі, щоб її шкідливі можливості не були виявлені. Це ускладнює, або уповільнює, виявлення програми творцями антивірусів, а отже і її додавання в антивірусні бази. Якщо програма виявляє як мінімум два Word документа в списку RecentFiles, то припускає, що вона запущена на звичайному робочому ПК, а не в ізольованому дослідницькому середовищі, і виконує PowerShell скрипт, що викачує і запускає на ПК основну частину вірусу. | |
|
Всього коментарів: 0 | |