Богданов Игорь Олегович (bogdan_63) wrote,
Богданов Игорь Олегович
bogdan_63

Categories:

Не оставляйте документы без присмотра

Неизвестная APT-группировка начала использовать документы LibreOffice для доставки вредоносного ПО. Причем речь идет не о каких-то экзотических вредоносах, а о вполне общеизвестных программах, с которыми обычно легко расправляются антивирусы. Однако документы формата .odt, как ни странно, обеспечивают рассылаемым троянцам эффективное прикрытие.

Источник

Напомним, что ODT – это формат файлов для работы с документами, аналог всем известного DOC/DOCX. По умолчанию он используется в клонах OpenOffice/LibreOffice, а также может открываться в Microsoft Word. В свое время ODT был выбран в России как формат, в котором должны создаваться документы в госорганах.

В России вступил в действие национальный стандарт открытых офисных приложений OpenDocument (ODF). Теперь при общении с государственными органами гражданин может использовать документы, подготовленные с применением свободного программного обеспечения.

Стартом для стандартизации ODF стало распоряжение правительства РФ №2299-р вместе с «Планом перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на использование СПО на 2011-2015 гг.».

Источник

Почему же злоумышленников заинтересовал именно этот формат?

Некоторые антивирусные решения рассматривают odf/odt-файлы как стандартные архивы и не проверяют их содержимое. Тем самым у злоумышленников появляется возможность «провозить контрабандой» вредоносы на целевую систему.

Источник

Некоторые – это какие же? Во избежание кривотолков «расчехляем» Dr.Web Security Space.

Скачаем из Интернета первый попавшийся ODT-файл и добавим в него вирус. Сделать это просто. Как и DOCX, ODT – это обычный ZIP-архив, поэтому файл можно открыть с помощью, например, WinRAR и добавить в нужную директорию тестовый вирус.

#drweb

Добавляем архив, содержащий EICAR, оставшийся от предыдущих экспериментов. Заодно проверим, может ли антивирус найти заразу не просто в документе, а в документе внутри архива.

Запускаем сканер:

#drweb

Как и полагается, ODT распознался как архив, обнаружен и тестовый вирус.

Увы, пока что единственным надежным способом защититься от подобных атак будет регулярное обучение персонала распознавать сомнительные сообщения и не открывать вложения из них.

Источник

Может, кто и не знает о существовании ODT, но Dr.Web к таким атакам готов.

https://www.drweb.ru/pravda/issue/?number=879

Tags: безопасность
Subscribe
promo bogdan_63 december 1, 2021 13:42 964
Buy for 200 tokens
Очень рад, что вы заглянули в мой блог! Надеюсь, вам будут интересны мои записи. Предлагаю для начала посмотреть разделы: Мой сайт СССР Россия Медицина Медицинские байки Юмор Образование История Культура Буду рад всем новым друзьям. Присоединяйтесь, пообщаемся!…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments