Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/09/2018
WMIC - El nou mètode per a descarregar malware
Symantec ha identificat la utilització d'eines legítimes de Microsoft com a nova tècnica per a distribuir programari maliciós.
Els atacants utilitzen un fitxer d'accés directe amb extensió ".lnk", normalment distribuït a través d'una URL o com a adjunt d'un correu electrònic. Dins d'aquest es troba una ordre del tipus WMIC, que realitza la connexió amb un servidor remot i descarrega el fitxer maliciós amb extensió XSL. Aquest, al seu torn, conté codi Javascript que és executat utilitzant mshta.exe, una altra eina legítima de Microsoft. El programari maliciós connecta amb un altre servidor fent ús d'una llista de 52 dominis, que es troba en el mateix codi Javascript, i una funció que genera un número aleatori de port dins del rang 25010-25099. En aquest punt es descarrega un fitxer HTA que segueix el mateix procés que el Javascript esmentat anteriorment, i descarrega fitxers maliciosos.