Независимый IT-эксперт Пол Раскагнерес рассказал о выявлении им редкого образчика зловредного ПО, заражающего ПК и похищающего информацию без какой-либо установки вредоносных файлов. Этот уникальный зловред «поселяется» исключительно в реестре системы, поэтому его довольно трудно обнаружить.
Инфицирование происходит посредством открывания пользователем вредоносного файла MS- Word, присланного по email.
Первоначально зловред создает шифрованный скрытый ключ реестра, после чего выполняется шелл-код, а затем происходит полезная нагрузка. То есть, вся вредоносная активность не выходит за рамки реестра без создания отдельных файлов. Благодаря такому подходу хакеры спокойно обходят «обычные» антивирусы, а вредонос преспокойно может производить любые действия, несмотря даже на перезагрузку системы.
Как заявил Раскагнерес, для предотвращения подобных кибератак антивирусное ПО должно успеть блокировать зловредный документ Word еще на этапе его прихода по email, не допуская его открытия. Иначе пользователю придется обращаться в сервис сюда для удаления вируса и последствий его работы.
Такая атака стала возможной, потому что Windows Regedit сам не открывает и не прочитывает входы, производящиеся через ключ, зашифрованный не ASCII. Сам Microsoft предусмотрел такой порядок с целью предотвращения копирования исходников своего ПО. Однако данная функция ранее была взломана.
Чтобы обезопасить свой ПК пользователям рекомендуется периодически проверять реестр при любой непонятной или подозрительной его активности, а также использовать защитные решения, которые могут обнаружить эксплоит.
Отправить ответ