Компания "Доктор Веб" - российский разработчик средств информационной безопасности - предупреждает пользователей о распространении массовой почтовой рассылки, с использованием которой злоумышленники инфицируют компьютеры пользователей Trojan.KillFiles.9055. Документ Microsoft Word, вложенный в письмо, призывающее принять участие в протестном митинге оппозиции на Пушкинской площади в Москве, содержит макрос, который сохраняет на диск и запускает троянскую программу Trojan.KillFiles.9055, способную привести в нерабочее состояние или просто "убить" операционную систему Windows.
Несмотря на то что перед общероссийскими президентскими выборами в почтовом трафике практически не встречалось спам-рассылок на политические темы, злоумышленникам удалось активизироваться после окончания голосования. 5 марта 2012 года специалистами "Доктор Веб" была зафиксирована массовая почтовая рассылка, содержащая призывы принять участие в протестном митинге оппозиции на Пушкинской площади в Москве. Почтовые сообщения, имеющие тему " Митинг Честные выборы " или " Все на митинг ", содержат короткий текст, например: " Внимательно изучи инструкцию что необходимо будет делать на этом митинге ", " Митинг против Путина. Внимательно прочитай инструкцию " или " Очень важно чтобы ты изучил инструкции, на этом митинге все будут действовать по этому сценарию ", и вложенный файл, представляющий собой документ Microsoft Word с именем Инструкция_митинг.doc.
Данный документ включает в себя несколько макросов, которые в момент открытия файла в текстовом редакторе сохраняют на диск и запускают на исполнение троянскую программу Trojan.KillFiles.9055, предназначенную для выведения из строя инфицированной системы Windows.
Пример сообщения в документе Microsoft Word с именем Инструкция_митинг.doc, рассылающегося в спам-рассылке:
Запустившись на компьютере жертвы, троянец Trojan.KillFiles.9055 копирует себя во временную папку, прописывает себя в ветвь системного реестра, отвечающую за автоматический запуск приложений. Одновременно троянец меняет содержимое всех обнаруженных на диске С файлов (с расширением .msc, .exe .doc, .xls, .rar, .zip, .7z) на "цифровой мусор" и помечает их на удаление после перезагрузки системы, вследствие чего Windows приходит в нерабочее состояние (обычная перезагрузка компьютера уже ничем не поможет). Trojan.KillFiles.9055 изменяет свойства своего процесса таким образом, что он становится критичным для системы, и его завершение вызывает появление BSOD ("синего окна смерти") или перезагрузку компьютера.
Затем троянец отправляет на удаленный сервер злоумышленников сообщение о том, что операционная система успешно "убита".
В случае если в настройках текстового редактора Microsoft Word потенциальной жертвы отключена обработка макросов, пользователь не сможет прочитать содержащийся в инфицированном файле текст. Заражения системы также не произойдет. В этом случае содержимое документа будет выглядеть следующим образом:
Трудно недооценивать вредоносный потенциал данной угрозы, сигнатура которой добавлена в вирусные базы Dr.Web. Специалисты компании "Доктор Веб" рекомендуют пользователям не открывать вложения в письма, полученные от неизвестных отправителей, по возможности не отключать в Word встроенную систему безопасности, блокирующую выполнение макросов, а также поддерживать базы антивирусного ПО в актуальном состоянии.