Как сообщает IT-портал Softpedia, в процессе анализа последних примеров вредоносного кода эксперты из калифорнийской компании Zscaler наткнулись на инфицированные документы Microsoft Office, в которых применялись макросы с противостоящими обнаружению механизмами. Использовалось "запутывание" кода для усложнения анализа и идентификации вредоносного приложения.

Специалисты по компьютерной безопасности выяснили, что макросы ищут в системах не только антивирусные программы, но и "виртуалки": сканировалось наличие виртуальных машин и "песочниц" через Windows Management Instrumentation (инструментарий управления Windows).

Также было выявлено два новых хакерских трюка. Во-первых, просматривается список недавно открытых файлов Office. Если у инфицированной цели было меньше трех файлов, выполнение "вредоноса" прекращалось. Другая уловка - подключение к американскому сервису Maxmind GeoIP. Проверялся IP-адрес пользователя и сравнивался со списком адресов известных фирм сетевой безопасности, дата-центров и других сервисов антивирусного анализа.

В случае прохождения всех проверок вредоносный скрип запускает закачку на ПК вирусов типа приложения-вымогателя Nymaim, троянов Matsnu и Nitol.

Дмитрий Евдокимов