-
добавить в избранное
Оле-оле-оле!
22 августа 2016
Кто не знает знаменитой кричалки? Знакома она и вирусописателям, но вот применяют они ее вовсе не по назначению.
OLE (англ. Object Linking and Embedding) — технология внедрения объектов в документы и иные объекты, разработанная корпорацией Microsoft, позднее переименованная в ActiveX.
OLE позволяет передавать часть работы одной программы (например, преобразования данных) к другой и возвращать результаты назад. Например, установленная на персональном компьютере издательская система может послать некий текст на обработку в текстовый редактор, либо некоторое изображение в редактор изображений с помощью OLE-технологии.
OLE может быть использована при передаче данных между различными несвязанными между собой системами посредством интерфейса переноса, а также при выполнении операций с буфером обмена.
Интересная технология, позволяющая наладить совместную работу различных программ, опираясь на единый интерфейс взаимодействия. Но универсальность внедрения задач в некие широко используемые решения – это еще и подарок для злоумышленников. Технология является частью Microsoft Office и может использоваться для внедрения вредоносного VBScript- или JavaScript-кода в документы, которые в дальнейшем будут рассылаться потенциальным жертвам.
Вредоносное ПО (определяющееся Dr.Web как VBS.DownLoader.663/VBS.DownLoader.648) использует легитимный функционал ссылок на объекты Office и OLE-объекты, предназначенные для доставки вредоносного ПО в систему жертвы. Для внедрения вредоносного ПО используется рассылка документов, созданных с учетом приемов социальной инженерии – пользователь должен разрешить использование объекта внутри документа Office.
В документ вставлена огромная иконка, по которой нужно кликнуть для «верификации вручную», чтобы разблокировать контент. Нажатие на нее приведет к появлению всплывающего окна, запрашивающего разрешение на запуск JavaScript или VBScript.
https://xakep.ru/2016/06/16/microsoft-ole-for-malware
Опасность заключается в том, что хотя эта атака очень похожа атаку с применением вредоносных макросов, но макросы большинство пользователей уже умеет отключать, в то время как с технологией OLE, особенно в такой форме, мало кто знаком, что и приводит к успеху злоумышленников.
Вредоносное ПО использует шифрование, что по замыслу киберпреступников должно затруднить обнаружение вредоносных объектов.
Со стороны злоумышленников это уже не первый «подход к снаряду» с использованием встроенных возможностей атакуемых программ. Так, для MS Office ранее активно использовались возможности встроенного языка Visual Basic for Applications. В чем опасность данной атаки?
Апологеты Linux считают, что переход на эту ОС позволит решить все проблемы с вредоносным ПО. Загвоздка в том, что при этом для полноценной работы проходится запускать в эмуляторе Windows-программы – тот же MS Office. И при определенных условиях вредоносное ПО, созданное для работы внутри программы и использующее ее возможности, может стать кроссплатформенным. Подобные случае уже известны – вспомнить хотя бы Java.Adwind.3, написанный на Java, что и сделало его кроссплатформенным. Этот бэкдор работал на Windows, OS Х, Linux, Android, и все, что ему требовалось – установленный JRE (Java runtime environment). Для кроссплатформенного ПО возможности были впечатляющими – скачивание, обновление и исполнение вредоносного ПО, показ уведомлений, работа с сетевыми адресами (URL). При этом функционал мог быть расширен – архитектура бэкдора позволяла добавлять новые возможности с помощью плагинов. #безопасность #технологии
Антивирусная правДА! рекомендует
Злоумышленники постоянно ищут возможности обхода антивирусов. Поэтому:
Microsoft намерена включить подсистему Linux для Windows - Windows Subsystem for Linux -(WSL) в Windows 10. Это не эмулятор и не виртуальная машина, а полноценный терминал Linux.
Исполняемые файлы подсистемы появились в ОС начиная с Windows 10 Insider Preview Build 14251, для использования она стала доступна в Insider Preview Build 14316, а для всех пользователей Windows 10 она станет доступна с обещанным Microsoft большим июньским обновлением, т. е. уже в этом месяце
- Установить и постоянно обновлять антивирус – недостаточно. Для защиты нужно использовать наиболее функциональное антивирусное решение класса «комплексная защита». В его состав должны обязательно входить: проверка трафика до его получения клиентским ПО, внедрение драйверов перехвата обращений к объектам защищаемой системы. В случае решений Dr.Web это Dr.Web Security Space.
- Опытные пользователи должны внести изменения в настройки приложений, подверженных атаке.
Для защиты от таких атак специалисты рекомендуют внести следующие изменения в реестр:
HKCUSoftwareMicrosoftOffice< Office Version >< Office application >SecurityPackagerPrompt
Значение < Office Version > может быть равно 16.0 (Office 2016) ; 15.0 (Office 2013) ; 14.0 (Office 2010) ; или 12.0 (Office 2007). Значение < Office application > — это имя конкретного приложения Office, то есть Word, Excel и так далее.
Значение данного раздела реестра должно равняться «2», что будет означать «No prompt, Object does not execute», то есть фактический запрет на выполнение объектов. Значение «1» разрешит пользователю «Prompt from Office when user clicks, object executes», то есть объекты срабатывают по клику, и Office отображает соответственное сообщение. Значение «0», в свою очередь, означает «No prompt from Office when user clicks, object executes», то есть объекты выполняются, но никаких сообщений от Office пользователь не получает.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
13:36:28 2018-12-14
Денисенко Павел Андреевич
22:19:08 2018-08-05
vasvet
00:03:34 2018-04-11
alex-diesel
16:27:50 2018-03-17
Natalya_2017
14:05:34 2017-04-12
Любитель пляжного футбола
12:56:15 2017-02-16
eaglebuk
23:40:39 2017-02-11
Helen
15:28:40 2016-10-06
tigra
07:27:58 2016-08-29
Bigvit
21:50:49 2016-08-27
bob123456
16:13:28 2016-08-23
Дмитpий
02:46:36 2016-08-23
Andromeda
23:11:49 2016-08-22
НинаК
22:44:35 2016-08-22
ek
22:43:24 2016-08-22
vla_va
21:25:06 2016-08-22
В...а
21:10:20 2016-08-22
Dvakota
21:06:32 2016-08-22
kva-kva
20:46:46 2016-08-22
mk.insta
20:29:12 2016-08-22
Mehatronik
20:06:52 2016-08-22
a13x
17:38:23 2016-08-22
kama35
16:57:51 2016-08-22
Viktoria
16:35:28 2016-08-22
Hazal
15:20:47 2016-08-22
Zulfat
15:19:00 2016-08-22
Вячeслaв
15:09:22 2016-08-22
Кросплатформенные вирусы под Linux/Windows были, вирусы на скриптах для Linux были. Так что ждемс.
Deniskaponchik
15:02:45 2016-08-22
Неуёмный Обыватель
14:41:31 2016-08-22
Было бы интересно узнать, стала ли доступна подсистема уже в том месяце, ну, или хотя бы в этом месяце раз уж нам тут анонсируется
maghan
14:27:29 2016-08-22
lev
14:18:24 2016-08-22
Геральт
13:56:28 2016-08-22
арес
12:36:35 2016-08-22
PITONMAN
12:07:58 2016-08-22
dyadya_Sasha
11:55:33 2016-08-22
2018
11:38:08 2016-08-22
Grav
11:26:30 2016-08-22
marisha-san
10:47:07 2016-08-22
razgen
10:38:30 2016-08-22
kozinka.ru
09:42:50 2016-08-22
Vlad X
07:58:55 2016-08-22
будут проблемы.Надеюсь на Dr.Web.
solec
07:54:31 2016-08-22
Б...а
07:50:59 2016-08-22
Luger
07:44:29 2016-08-22
djabax
07:36:10 2016-08-22
GREII
07:13:05 2016-08-22
A1037
06:52:29 2016-08-22
Nikolas
05:58:20 2016-08-22
Coolander
05:31:26 2016-08-22
Morpheus
05:11:35 2016-08-22