Антивирусная компания «Доктор Веб» предупредила пользователей о том, что по электронной почте распространяется троян, замаскированный под документ Word.

Злоумышленники распространяют по электронной почте вредоносную программу W97M.DownLoader.507, замаскированную под документ в формате Word.

Трояна-загрузчик рассылается в письмах с вложением. Так, в одном из случаев злоумышленники маскировали программу под факсимильное сообщение, однако в процессе формирования письма киберпреступники ошиблись с указанной в параметрах датой его создания.

Сам документ якобы зашифрован с использованием алгоритма RSA, и для ознакомления с его содержимым пользователям предлагается включить в редакторе Word использование макросов. Любопытно, что документ содержит якобы пустую страницу, на которой, тем не менее, находится полная версия письма, набранная шрифтом белого цвета.

 

После включения макросов жертве демонстрируется полный текст документа, а в это время троян загружает с удалённого сервера несколько фрагментов кода, формирует из них файлы сценариев в форматах .bat, .vbs или .ps1 в зависимости от установленной на компьютере версии Windows, сохраняет их на диск компьютера и запускает на исполнение.

Сценарии, в свою очередь, скачивают с принадлежащего злоумышленникам сервера и запускают исполняемый файл — в качестве такового с помощью зловреда на атакуемый компьютер проникает опасный банковский троян Trojan.Dyre.553. В результате пользователи рискуют потерять деньги со своих счетов.