Корпорация Symantec сообщает об атаках на основе «тибетских писем» с использованием вирусов семействаBackdoor.Trojan. Рассылка писем от имени связанных с Тибетом организаций ведётся с серверов, расположенных на территории России. Заражение компьютера происходит при открытии инфицированного Word-документа, прикреплённого к письму. В ходе реализации атаки злоумышленники используют механизм, скрывающий от пользователей сам факт заражения компьютера. В результате злоумышленники смогут получать ценную информацию с заражённого компьютера и даже осуществлять удалённое управление им.
Используемые при атаке письма написаны по-английски и адресованы американской компании по производству одежды.
Недавно был обнаружен файл, отличающийся от других вирусных программ тем, что в качестве вектора проведения атаки используется программа известного производителя видеокарт,обладающая цифровой подписью.
Для заражения достаточно открыть вложенный в сообщение инфицированный файл, обеспечивающий эксплуатацию уязвимости CVE-2012-0158, и в случае успеха на компьютер попадают три файла:“NvSmart.exe”, “NvSmartMax.dll” и “boot.ldr”, первый из которых обладает цифровой подписью. Приступая к анализу, специалисты Symantec предположили, что этот файл представляет собой вирус, подписанный украденной цифровой подписью. Однако в ходе дальнейшего анализа выяснилось, что этот файл подлинный.