Исследователи из антивирусной компании SantinelOne выявили интересную технику распространения вредоноса Zusy при помощи PowerPoint-презентации. В отличие от стандартного выполнения кода посредством макросов, вредонос использует для этого PowerShell-сценарий.
PowerPoint-презентация с вредоносом распространяется при помощи спам-рассылки с темой писем “Purchase Order #130527” или “Confirmation”. После того, как пользователь откроет файл, на экране он увидит “Loading…Please wait”.
PowerShell-сценарий запускается при наведении мыши на надпись. Встроенные механизмы защиты Microsoft Office не дают ему возможности запуститься автоматически. В большинстве случаев пользователю будет выведено сообщение с запросом на разрешение запуска внешнего приложения:
Вредонос обращается к C&C-серверу, используя доменное имя cccn.nl (IP: 46.21.169.110).
Источник http://www.securitylab.ru/
