Антивирусная компания Symantec сообщает об обнаружение в Интернет целенаправленной атаки на одну из американских фирм, занимающейся производством одежды. Сотрудники этой организации стали жертвами рассылки спам-сообщений на тему Тибета, содержащих вложения формата DOC. Вложение представляет собой специально сформированный вредоносный код, эксплуатирующий уязвимость CVE-2012-0158, обнаруженную в функциях работы с ActiveX-элементами библиотеки "MSCOMCTL.OCX". Уязвимость была устранена компанией Microsoft в апреле 2012 года, на тот момент уязвимость уже активно использовалась в наборах эксплойтов. В результате выполнения этого вредоносного кода, на скомпрометированный компьютер происходит загрузка и установка трех файлов - "NvSmart.exe", "NvSmartMax.dll" и "boot.ldr". Примечательно, что файл "NvSmart.exe" переставляет собой оригинальный компонент из набора драйверов видеоадаптера компании nVidia, подписанный действующим сертификатом. А вот, файл "NvSmartMax.dll" является вредоносной модификацией одноименного компонента драйвера. Применение такого трюка, позволило злоумышленникам произвести автозапуск вируса с использование ранее установленных легитимных компонентов. Так, после установки драйверов, файл "NvSmart.exe" добавляется в автозапуск Windows. Во время загрузки, он вызывает определенные функции библиотеки "NvSmartMax.dll", именно эти функции и были модифицированы злоумышленниками с целью запуска бэкдора, содержащегося в "boot.ldr". Запущенный таким образом бэкдор, предоставляет злоумышленникам полный контроль над скомпрометированной системой. Анализ заголовка писем показал, что источником вредоносного спама являются сервера, расположенные в России. Специалисты Symantec рекомендуют своевременно производить обновление ОС, осмотрительней относится к получаемым по электронной почте документам и использовать актуальное антивирусное программное обеспечение.
Источник