Κακόβουλο λογισμικό κρύβεται μέσα σε αρχεία βοήθειας της Microsoft

Προσοχή, είναι απαραίτητο να ελέγχουμε ακόμη και τα αρχεία με την επέκταση .CHM που κρύβεται σε αρχεία βοήθειας της Microsoft στις περισσότερες εφαρμογές και υπηρεσίες των Windows.

Οι ειδικοί ασφαλείας της Trustwave κρούουν τον κώδωνα του κινδύνου: ένα νέο κύμα διανομής του Vidar, ενός γνωστού και ιδιαίτερα καταστροφικού κακόβουλου λογισμικού, βρίσκεται σε εξέλιξη. Ωστόσο, αντί να κρύβεται σε ένα εκτελέσιμο αρχείο, το κακόβουλο λογισμικό κρύβεται αυτή τη φορά σε ένα αρχείο βοήθειας της Microsoft και εξαπλώνεται μέσω κλασικών ανεπιθύμητων μηνυμάτων που λαμβάνετε στο γραμματοκιβώτιό σας. Το μήνυμα περιέχει ένα συνημμένο αρχείο, το οποίο ο αποστολέας σας ενθαρρύνει να ανοίξετε με τα εξής λόγια: “Αυτές οι σημαντικές πληροφορίες είναι για εσάς. Δείτε το συνημμένο σε αυτό το email”.

Για να κρυφτεί ακόμα καλύτερα από τα μάτια των θυμάτων του, το κακόβουλο λογισμικό κρύβεται σε ένα αρχείο .DOC με το όνομα “REQUEST.DOC”. Αλλά μην σας ξεγελάσει η επέκτασή του, είναι στην πραγματικότητα ένα αρχείο .ISO. Στο εσωτερικό, υπάρχει ένα αρχείο HTML μεταγλωττισμένο σε μορφή CHM, που γενικά ονομάζεται “PSS10R.CHM” και ακόμα μέσα στο ISO υπάρχει ένα εκτελέσιμο αρχείο με το όνομα “APP.EXE”.

Μόλις ανοίξει το αρχείο CHM ή το εκτελέσιμο αρχείο, εκκινείται ένας μικρός κώδικας JavaScript. Το κακόβουλο λογισμικό Vidar μπορεί στη συνέχεια να διαπράξει τα παραπτώματα του. Δημιουργεί το δικό του φάκελο στο C:\ProgramData και στέλνει τα δεδομένα που συλλέγονται σε έναν διακομιστή. Εάν είναι απαραίτητο, μπορεί επίσης να κατεβάσει ένα άλλο εκτελέσιμο, επίσης κακόβουλο λογισμικό. Μόλις ολοκληρωθεί, το κακόβουλο λογισμικό διαγράφει τα δικά του ίχνη στο φάκελο ProgramData και διαγράφει τα DLL που δημιουργήθηκαν για την περίσταση.

Το Vidar είναι σε θέση να ανακτήσει δεδομένα λειτουργικού συστήματος, αλλά και κυρίως δεδομένα χρήστη. Μπορεί επίσης να κλέψει όλα τα δεδομένα πληρωμής (πιστωτική κάρτα, ηλεκτρονική υπηρεσία πληρωμών κ.λπ.).

[via]