О вирусах в документах Microsoft Office

Эксперты в сфере кибербезопасности обнаружили новый тип вирусов, которые заражают персональные компьютеры без наличия макросов. Вредоносные программы проникают в устройства посетителей при помощи документов Microsoft Office.

По мнению специалистов портала ARStechnica, злоумышленники применяют технологию Dynamic Data Exchange. С её помощью текстовые документы используются для выполнения кода, который скрывается в иных файлах.

Как вирусы прячутся в документах Microsoft Office

Базовую схему можно описать следующим образом: документ открывается посетителем, файл подключается к удаленным серверам, а после этого загружает и устанавливает на ПК первую часть вредоносного программного обеспечения. Антивирусные утилиты не видят какой-либо опасности на этом этапе.

После того, как подобная функция взлома была обнаружена, корпорация Microsoft опубликовала данные о том, как посетители могут защищаться от атак, осуществляемых при помощи пакета Microsoft Office. Наиболее эффективный метод обеспечить безопасность – быть предельно осторожным с неизвестными уведомлениями, отображающимися во время открытия документов Microsoft Office.

Если существует потенциальная опасность, перед посетителями откроется диалоговое окно следующего вида.

О вирусах в документах Microsoft Office

После того, как посетители кликнут по кнопке «Yes», отобразится следующая подсказка.

О вирусах в документах Microsoft Office

Надо четко понимать, что вирус начнёт загружаться только после того, как человек два раза кликнет по кнопке «Yes».

Помимо всего прочего инструкция от специалистов корпорации Microsoft включает в себе информацию о том, как продвинутые посетители могут самостоятельно модифицировать настройки реестра операционной системы Windows, а также деактивировать возможность автоматического обновления данных из одного файла в другой.

Принцип функционирования макровирусов для Microsoft Office

Большая часть макровирусов для Microsoft Word сразу же после запуска переносит программный код внутрь глобальных макросов конкретного файла. После закрытия программы каждый глобальный макрос записывается в отдельный DOT-файл. В результате этого получается так, что вредоносное программное обеспечение активируется тогда, когда Microsoft Word начинает загрузку глобальных макросов.

Далее вирус переопределяет один или сразу же пару классических макросов, а также перехватывает команды, необходимые для взаимодействия с документами. Во время вызова таких команд документы, к которым идёт обращение, заражаются. Одновременно с данным все файлы конвертируются в формат «Template», что запрещает дальнейшую модификацию формата документа.

Ещё один способ внедрения вредоносного программного обеспечения основывается на так именуемых файлах «Add-in» – это служебные дополнения к пакету Microsoft Office. Так «NORMAL.DOT» не модифицируется, а при запуске программы загружаются вирусные макросы. Данный способ буквально целиком копирует заражение глобальных макросов.

Важно! Вирус также может быть внедрён в те документы, которые располагаются в корне каталога «STARTUP». В такой ситуации Microsoft Word в автоматическом режиме подгружает шаблонные файлы из данного каталога.

Как отыскать объект подмены

Для выявления «дырявости» «Офиса», надо выполнить несложный этап подмены и самостоятельно прощупать уязвимость. Необходимо запустить Microsoft Word, не ниже версии 2013, потому как потребуется абсолютная поддержка ISO/IEC, а далее открыть вкладку «Вставка».

В открывшемся окне в строке рядом с пунктом YouTube можно просто вписать слово «Видео», а далее выбрать любое понравившееся изображение. Вставка видео будет отображена с помощью традиционной «превьюшки». Файл надо сохранить и закрыть.

Обратите внимание! Размер созданного документа редко меняется и составляет всего лишь пару десятков килобайт. Это может значить лишь одно – ролик не сохраняется локально, а лишь запрашивается из сети по имеющейся ссылке.

Следующий шаг – открытие «внутренностей» файла. Посетителям необходимо настроить расширение на ZIP, а далее открыть получившийся документ при помощи любого архиватора.

После открытия содержимого в папке word необходимо отыскать файл под названием document.xml. Его надо разархивировать и открыть для последующего редактирования. Для этого можно использовать стандартную программу «Блокнот».

Данный файл будет содержать в себе данные о том, что в его теле класс называется wp15:webVideoPr. Надо найти данную секцию и внимательно просмотреть её содержимое.

О вирусах в документах Microsoft Office

В атрибуте embeddedHtml присутствует iframe YouTube, который выполняется при смене расширения на HTML. А это и есть та самая уязвимость!

Выводы

Главный источник вредоносного программного обеспечения, как и – это всемирная паутина. Наибольшая численность заражения происходит во время обмена документами Microsoft Word. Посетитель этого популярного редактора с наличием макровируса, сам того не подозревая, пересылает заражённые файлы вашим адресатам, а они распространяют их дальше.

Во второй половине июля 2019 года компания Microsoft выпустила очередное обновление для пакета Microsoft Office. По словам разработчиков, проблема вирусной уязвимости Word-документов была в полном объеме исправлена.

Следует отметить интересный факт, свидетельствующий о том, что для более чем 80% выявленных уязвимостей «заплатки» разрабатываются и становятся доступны в день их обнаружению. Именно по данной причине надо регулярно обновлять используемую операционную систему и программное обеспечение.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *