Kto z Was pamięta taką aplikację jak PowerPoint?

Teraz może nie używa się tego w takim natężeniu, jak jeszcze kilka lat temu, ale dalej zdarzają się prezentacje tworzone tym zacnym narzędziem. Jest to aplikacja z rodziny Microsoft Office.

Tym bardziej rozbawił mnie fakt, że za pomocą tego narzędzia można rozsyłać złośliwe oprogramowanie.

Świadczy to o tym, że rzesza fanów PowerPoint wcale nie jest taka mała i nieznacząca. Kiedy wirusy można było znaleźć choćby w plikach z napisami do filmów. Teraz na celowniku są pliki aplikacji PowerPoint.

To, co jest najciekawsze w tym wszystkim, to mechanizm działania wyżej wzmiankowanego wirusa.

Złośliwe oprogramowanie dorobiło się nazwy Zusy lub jak kto woli Gootkit albo OTLARD to tak naprawdę malware, który przenosi się poprzez PowerPoint — i to już wiemy. Nie jest to jednak jeszcze sam kod wirusa. Jest to procedura pozwalająca na ściągnięcie niebezpiecznego programu na komputer. Osoba, która uruchomi zainfekowany plik na swoim komputerze, ujrzy tylko jeden slajd, na którym znajdzie informację: „LoadingPlease Wait”. Będzie on zawierał także hiperłącze. Co jest mało intuicyjne, okazuje się, że wcale nie trzeba tego hiperłącza uruchamiać. Na link wystarczy najechać kursorem myszy. Powoduje to uruchomienie PowerShella wraz ze skryptem, który pobiera niebezpieczny plik z internetu. Pomysłowe, ale i infantylne. Zastanawia mnie, jak możliwe jest, że użytkownicy dają się na taki mechanizm nabrać. Prawda jest jednak smutna i może was bardzo zdenerwować, zwłaszcza jeżeli ktoś z was już padł ofiarą tego malware. Niestety, malware ten opiera zasadę działania niebezpiecznego programu na najzwyklejszej bezmyślności użytkowników — smutne, ale prawdziwe. Każdy, kto chociaż trochę myśli, zamknie taką aplikację od razu. Ci, które taką informację zignorują, lub będą uważać za nieszkodliwą z jakiegoś bliżej nieokreślonego powodu, mogą mieć później niemały problem. Pamiętajcie też, że Zusy nie pobierze się za pomocą tego skryptu, gdy skorzystamy z PowerPointa w wersji Online.

Ot, taka ciekawostka! Co więcej, w trybie chronionym niemożliwe będzie uruchomienie skryptu.

Ważne jest także to, że malware pozwala na zastosowanie exploita dającego możliwość atakującemu ustanowienia połączenia z ofiarą za pomocą protokołu RDP, który może być bardzo niebezpieczny. Za jego pomocą, można przejąć kontrolę nad komputerem, nagrywania aktualnej sesji, dokonywania zmian na komputerze, przejmowania newralgicznych danych, a także na doinstalowywanie kolejnych niebezpiecznych programów. Nie wygląda to już tak różowo, jak się na początku wydawało. Pamiętajcie zatem, że eksperci wskazują, by wystrzegać się podejrzanych wiadomości dla przykładu, z banków, firm kurierskich i innych, które zawierają w sobie pliki PowerPointa.

PJ
Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.