Un troyano descargador se oculta en los documentos Word
Amenazas corrientes | Últimas noticias | Todas las noticias | Sobre los virus
14 de agosto de 2015
W97M.DownLoader.507 es un documento de Microsoft Word que se difunde como un adjunto de mensajes de correo electrónico. Así, una muestra recibida por los expertos de la empresa Doctor Web, se camuflaba por un mensaje de fax enviado por correo, pero al generar el mensaje, los malintencionados se equivocaron al indicar la fecha de creación del mismo en las opciones.
El documento mismo supuestamente fue cifrado usando el algoritmo RSA, y para consultar su contenido, los malintencionados ofrecen a la víctima potencial habilitar en el editor Word el uso de macros.
El documento también contiene una página supuestamente vacía, en la cual, sin embargo, hay la versión completa del mensaje creada usando la fuente blanca, — este texto se visualiza una vez activados los macros por el usuario en la configuración del editor.
Una vez activados los macros, se visualiza el texto completo para el usuario, y al mismo tiempo el troyano descarga desde el servidor remoto varios fragmentos del código, usando los mismos, genera los archivos de scripts en formatos.bat, .vbs o .ps1, según la versión de Windows instalada en el equipo, los guarda en la unidad del equipo y los ejecuta. Los scripts, a su vez, descargan desde el servidor perteneciente a los malintencionados e inician el archivo ejecutable— como tal, usando esta muestra de W97M.DownLoader.507, en el equipo atacado penetra el troyano bancario peligroso Trojan.Dyre.553.
Los especialistas de la empresa Doctor Web vuelven a recordar a los usuarios que tengan cuidado y prudencia: no hay que abrir los documentos adjuntos de Microsoft Office de remitentes desconocidos, sin comprobar la seguridad de los mismos usando el programa antivirus, y, sobre todo, no hay que habilitar en la configuración de Word el inicio de los macros al abrir los documentos similares.