Аналитический центр AhnLab Security (ASEC) сообщил о обнаружении вредоносного документа HWP, проходящего под вид приложения для поддержки образовательных курсов по воссоединению.
Описание
В сообщении, распространяемом с целью набора студентов на данный курс, была включена ссылка для загрузки HWP-файла. При детальном анализе выяснилось, что данный HWP-файл содержит обычный HWP-документ, а также вредоносный BAT-файл, создаваемый при его открытии. Названия и пути к файлам вредоносного ПО были изменены, чтобы затруднить обнаружение их вредоносности.
Документ представлен как обычный HWP-файл, но на самом деле содержит повторяющуюся гиперссылку, которая запускает вредоносный BAT-файл, обеспечивающий дальнейшую работу вредоносного ПО, такую как изменение имени файлов и регистрация планировщика задач. Как результат, запускаются обычные документы и создается планировщик задач. Зарегистрированные в планировщике задач файлы 0304.exe и 0304_1.exe читают и выполняют файлы 0304.exe.manifest и 0304_1.exe.manifest, находящиеся в той же папке. Таким образом, вредоносное ПО устанавливает обратное подключение к внешнему URL-адресу для загрузки и выполнения дополнительных файлов, позволяя выполнить различные команды в соответствии с целями злоумышленника.
Indicators of Compromise
URLs
- http://103.149.98.231/pprb/0304_pprb/d.php?newpa=comline
MD5
- 34d8c6e9426dc6c01bb47a53ebfc4efb
- 49c91f24b6e11773acd7323612470ffb
- 4edae618f59180577a196fa5bab89bb4
- 7b6b6471072b8f359435f998a96176e7
- ce7fa1dc1e5a776dacb27fe2c4385ac2
