Қазақстан бойынша жетілдірілген вирус тарап жүр

«KZ-CERT» Компьютерлік инциденттерге әрекет ету қызметі «құмсалғыш» типіндегі қорғау шараларын елемей Word құжаты ретінде тараған вирустың табылғандығын хабарлайды.

945kaz атты Word құжаты қосымша ретінде тіркелген сілтеменің  күнделікті келіп түсетіні жайлы өтініш «KZ-CERT» қызметіне келіп түсті.

«KZ-CERT» сарапшылары жүргізген анализ нәтижесі бойынша,  сілтеме құрамы АҚ инциденттерінің бірі «зиянды белсенділік» түрінде сараланды.

Зиянды вирустардың Word құжаты ретінде таралуы таң қаларлық нәрсе емес және осы сияқты АҚ инциденттері жиі кездеседі. Алайда осы құжаттың өз ерекшелігі болды, құжаттағы вирус компьютерді үшінші рет қайта жүктегенде ғана таралатын. Бұл өз кезегінде вирусқа қарсы бағдарламалардың, инцидентті зерттеу  жұмыстарын қиындатады. Қысқаша айтқанда, вирус қосылғаннан кейін, компьтерде негізгі зиянды бағдарламалық қамсыздандыруды орналастыруға кіріскен. Оның үстіне, осы үрдіс өзін-өзі анықтау барынша қиындатылған.

Компьтердің үш рет қайта жүктелгеніне дейін (макростардың құжатта жанданған сәттен бастап), зиянды бағдарламаның қызметі басталмайды.
Зиянкестердің қайта жаңдаудың бірнеше рет қайталануын пайдаланудағы өз себебі бар – автоматтандырылған талдау аялары (құмсалғыш) қайта жанданғаннан кейін жүргізілетін шараларды қадағалай алмайды. Саралауды қиындату үшін кандай да бір кезеңде (бірінші қайта жүктеуден кейін), зиянкестер  жаңдану сәтті аяқталудың дәлелі ретінде белгілі бір тізбені шығарған.  Зиянкестердің басты қулығы, осындай алғашқы әрекеттерді зиянды деп саралау мүмкіндігінің өте төмен болуы. 

Зиянды объектінің басты қызметі, зиянкестердің серверынан еркін кодты жүктеп, орындау. Сонымен қатар, анықтауға қарсы әрекеттердің арқасында, зиянкестер серверды автоматты саралауда анықталатын шынайы кодттарды жасыра алады.

Осындай әрекеттерге куә болып отырғаннан кейін, инцидентті өте зияндылар қатарына қосуға болады. Себебі, осы үлгі кез келген кодттарды орындап, операциялық өзгерістер жасауға  мүмкіндік береді.

Қауіпсіздіктігіңізді қамтамасыз ету үшін «KZ-CERT» қызметі жаңартылған антивирустық бағдарламаны орнатуға және құжаттарды зиянды қауіп-қатерге тексеруді автоматтандыруға кеңес береді.

Зақымдану көзі:
116.193.153.20 – жадыдағы код жүктелетін сервердың IP-мекен жайы;   
brands.newst.dnsabr.com – негізгі зақымдану жүктелетін сервер

Осындай күдікті сілтемелерді, қауіпті интернет-ресурстарды анықтаған жағдайда қазақстандықтарды 1400 (тәулік бойы) тегін нөмірі бойынша біздің мамандарға хабарлауға немесе мына http://www.kz-cert.kz/ru/form, https://t.me/kzcert сілтеме бойынша өтінімдер жіберуге шақырамыз. Сондай-ақ, Сіз incident@kz-cert.kz электрондық мекенжайына хат жібере аласыз.

«KZ-CERT» компьютерлік
инциденттерге әрекет ету қызметі
Тел: 8-717-255-99-97
1400(моб.)
E-mail: info@kz-cert.kz
incident@kz-cert.kz

 

28.02.2020