Маскировать вирусы под антивирусы – история некогда весьма поп | Infosecurity

Маскировать вирусы под антивирусы – история некогда весьма популярная, однако сейчас встречающаяся все реже. Поэтому обнаружив сайт security-kaspersky.ru, настойчиво предлагающий скачать файл с названием file.iso, мы не могли пройти мимо. Все-таки фишинг под сайт антивирусной компании, да еще и с вредоносным содержимым – это интересно.

Скачиваемый образ не детектится антивирусами. Чист он и по данным Virustotal.

Внутри он содержит 4 файла:
Документ Word «Приказ.doc» со статусом невидимого файла.
Ярлык с таким же именем, что и документ Word.
PowerShell скрипт
Популярный SSH-клиент PuTTY.

Ярлык представляет собой следующую строку:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -exec bypass -w h -file z.ps1

То есть по факту запускается powershell-скрипт из образа.
Сам скрипт предельно прост:

$a=[char]1055+[char]1088+[char]1080+[char]1082+[char]1072+[char]1079+[char]46+[char]100+[char]111+[char]99+[char]120
Start-Process $a
Start-Process putty.exe

Если расшифровать первую строку, оказывается, что там написано: «Приказ.doc». То есть скрипт сперва открывает документ, а потом запускает PuTTY. Возникает логичное предположение, что либо файл DOC, либо PuTTY на самом деле являются вредоносными файлами. Но нет, их анализ показывает, что никакого вредоносного пейлоада они в себе не несут.

Документ из архива содержит всего одну строку: You are hacked. GG.

Вывод: похоже, что наши надежды найти закамуфлированный под антивирус троян не оправдались и мы имеем дело с банальной шуткой какого-нибудь script-kiddie, не поленившегося создать под это дело целый фейковый сайт. Впрочем, сама схема вполне работоспособна, если бы в PowerShell скрипте были бы другие строки, с его помощью можно было бы натворить дел.