14 de agosto de 2015

Los datos estadísticos sobre los programas nocivos detectados en el tráfico de correo por el software antivirus Dr.Web confirman que los malintencionados envían regularmente a los usuarios los mensajes con adjuntos peligrosos detectados como representantes de la familia W97M.DownLoader. Solo a partir de agosto, el número de los envíos similares fue de 1% del número total de los virus y troyanos difundidos por correo electrónico. Vamos a analizar uno de estos adjuntos peligrosos, conocido para los analistas de virus como W97M.DownLoader.507, en este artículo.

W97M.DownLoader.507 es un documento de Microsoft Word que se difunde como un adjunto de mensajes de correo electrónico. Así, una muestra recibida por los expertos de la empresa Doctor Web, se camuflaba por un mensaje de fax enviado por correo, pero al generar el mensaje, los malintencionados se equivocaron al indicar la fecha de creación del mismo en las opciones.

El documento mismo supuestamente fue cifrado usando el algoritmo RSA, y para consultar su contenido, los malintencionados ofrecen a la víctima potencial habilitar en el editor Word el uso de macros.

El documento también contiene una página supuestamente vacía, en la cual, sin embargo, hay la versión completa del mensaje creada usando la fuente blanca, — este texto se visualiza una vez activados los macros por el usuario en la configuración del editor.

Una vez activados los macros, se visualiza el texto completo para el usuario, y al mismo tiempo el troyano descarga desde el servidor remoto varios fragmentos del código, usando los mismos, genera los archivos de scripts en formatos.bat, .vbs o .ps1, según la versión de Windows instalada en el equipo, los guarda en la unidad del equipo y los ejecuta. Los scripts, a su vez, descargan desde el servidor perteneciente a los malintencionados e inician el archivo ejecutable— como tal, usando esta muestra de W97M.DownLoader.507, en el equipo atacado penetra el troyano bancario peligroso Trojan.Dyre.553.

Los especialistas de la empresa Doctor Web vuelven a recordar a los usuarios que tengan cuidado y prudencia: no hay que abrir los documentos adjuntos de Microsoft Office de remitentes desconocidos, sin comprobar la seguridad de los mismos usando el programa antivirus, y, sobre todo, no hay que habilitar en la configuración de Word el inicio de los macros al abrir los documentos similares.