Rovnix задействует макросы для инфицирования компьютеров

Специалисты компании Trend Micro  сообщают об атаках, осуществляемых с применением вредоносного ПО Rovnix. Троян содержался в защищенных паролем макросах документа Microsoft Office с подложной рекомендацией активировать макросы. В случае активации происходило выполнение вредоносного кода и на инфицированную систему внедрялись скрытые сценарии трех типов.

Для маскировки Rovnix загружает драйвер руткита в неразмеченное пространство диска в формате NTFS. Троян изменяет программу начальной загрузки таким образом, что драйвер руткита загружается перед ОС. Это позволяет вредоносному ПО оставаться незамеченным и устанавливать неподписанный драйвер в Windows 7 и более новые версии этой операционной системы.

Большинство устройств (95%), пострадавших от вредоноса, приходится на Германию, отдельные случаи инфицирования имели место в Великобритании, Голландии, Соединенных Штатах и Бельгии. Троян представляет опасность не только для индивидуальных, но и для корпоративных пользователей, так как обладает способностью похищать пароли и фиксировать нажатия клавиш.

Отдельного внимания заслуживает свойственный трояну алгоритм генерации доменных имен (DGA): имена основаны на комбинации слов из Декларации независимости США, Стандартной общественной лицензии ограниченного применения GNU, документов RFC и др.