Le 14 août 2015

Parmi les logiciels malveillants détectés par Dr.Web dans le trafic email, les spécialistes trouvent régulièrement des messages contenant une pièce jointe dangereuse, appartenant à la famille de malwares W97M.DownLoader. Dans cet article, nous allons parler du W97M.DownLoader.507.

W97M.DownLoader.507 représente un document Microsoft Word, distribué en pièce jointe. L'échantillon obtenu par les spécialistes de Doctor Web est distribué sous couvert d'un message FAX, mais les malfaiteurs ont fait une erreur en indiquant une mauvaise date de création du document.

Le document est prétendument crypté par RSA. Pour pouvoir en lire le contenu, la victime potentielle est invitée à activer les macros.

Le document contient également une page vide qui en réalité contient du texte tapé en blanc. Le texte devient visible après l’activation des macros.

Une fois le texte visible, le Trojan télécharge des fragments de code depuis un serveur distant. En utilisant ces fragments et en fonction de la version de Windows, il génère des scripts aux formats .bat, .vbs, ou .ps1, les sauvegarde sur le disque de l'ordinateur et les lance. Les scripts téléchargent à leur tour un fichier exécutable et le lancent. Dans le cas présent, il s’agit du malware W97M.DownLoader.507, utilisé pour diffuser le Trojan bancaire Trojan.Dyre.553.

Les spécialistes de Doctor Web recommandent aux utilisateurs d'être vigilants et attentifs. Il est conseillé de ne pas ouvrir les pièces jointes contenant un document Microsoft Office des messages provenant d’expéditeurs inconnus sans les avoir scannées avec un logiciel antivirus. Il est également fortement déconseillé d’activer les macros d’un document Word reçu en pièce jointe.