Symantec ostrzega przez wykryciem nowego u�ycia z�o�liwego oprogramowania Backdoor.Korplug.

Sam Backdoor.Korplug zosta� wykryty ju� w marcu obecnego roku jednak teraz u�ywany jest pod przykryciem zaufanych aplikacji przesy�anych w mailach.

Najcz�stszy scenariusz dotyczy przesy�ania plik�w ZIP z has�em lub dokument�w Microsoft Office z formatk� ActiveX. Wykorzystywana jest luka CVE-2012-0158. Dodatkowo pojawiaj� si� przypadki u�ycia wykradzionych z legalnych firm ich certyfikat�w. Wszystko, aby nada� wi�kszej wiarygodno�ci. W momencie uruchomienia wykorzystuje si� luk� MSCOMCTL.OCX RCE i je�li wszystko si� powiedzie, rozpoczyna si� wykonywanie szkodnika.

Aby w pe�ni oszuka� u�ytkownika otwierany jest zabezpieczony dokument ostrzegaj�c, �e jest to niemo�liwe rzekomo z powodu przestarza�ej wersji. W celu unikni�cia zaka�enia, konieczne jest posiadanie najnowszej wersji pakietu.

Szkodnik sk�ada si� z trzech cz�ci: rc.exe, rc.dll oraz rc.hlp. Najpierw uruchamiany jest rc.exe kt�ry do prawid�owego funkcjonowania potrzebuje rc.dll. Dopiero ta biblioteka uruchamia w�a�ciwy plik rc.hlp.

Ca�y mechanizm jest tak stworzony, aby na pocz�tku uruchomi� ca�kowicie niewinny, zaufany program, kt�ry sam w sobie nie jest w og�le szkodliwy, a kt�ry po�rednio uruchomi to co jest faktycznym zagro�eniem.

�r�d�o: cybersecurity.ru