メールトラフィックでの全ロシア大統領選挙の前に、政治的な話題に関するスパムメールは事実上なかったという事実にもかかわらず、攻撃者は投票終了後になんとか活動化することができました。
2012年3月5日、Doctor Webスペシャリストは、モスクワのプーシキンスカヤ広場での反対集会に参加するための電話を含む大量のメーリングリストを記録しました。
件名が「公正選挙集会」または「集会のすべて」のメールメッセージには、短いテキストが含まれます。たとえば、「この集会で行われることに関する指示を注意深く読んでください」、「プーチンに対する集会」です。
指示を注意深く「または」読んでください。この集会では、全員がこのシナリオに従って行動します」と、Instructions_making.docという名前のMicrosoft Word文書である添付ファイルを読んでください。
このドキュメントには、テキストエディタでファイルを開いたときにディスクに保存され、感染したWindowsシステムを無効にするように設計されたTrojan.KillFiles.9055トロイの木馬を実行するために起動されるいくつかのマクロが含まれています。
spam-mailing instruction.docと呼ばれるMicrosoft Word文書のメッセージの例:
Trojan.KillFiles.9055トロイの木馬は、被害者のコンピューターで起動すると、自身を一時フォルダーにコピーし、レジストリブランチに入ります。レジストリブランチは、アプリケーションを自動的に起動します。 同時に、トロイの木馬は、Cドライブ(拡張子.msc、.exe、.doc、.xls、.rar、.zip、.7z)で見つかったすべてのファイルの内容を「デジタルジャンク」に変更し、システムの再起動後に削除するようマークします。非稼働状態になります(コンピューターを通常の方法で再起動しても役に立ちません)。 Trojan.KillFiles.9055は、システムにとって重要になるようにプロセスのプロパティを変更し、その完了によりBSOD(「死の青い窓」)の出現またはコンピューターの再起動を引き起こします。
次に、このトロイの木馬は、オペレーティングシステムが正常に「強制終了」されたことを示すメッセージをリモートの攻撃者サーバーに送信します。
潜在的な被害者のMicrosoft Wordテキストエディターの設定でマクロ処理が無効になっている場合、ユーザーは感染したファイルに含まれるテキストを読み取ることができません。 システム感染も発生しません。 この場合、ドキュメントの内容は次のようになります。
Dr.Webウイルスデータベースに署名が追加されたこの脅威の悪意のある可能性を過小評価することは困難です。
Doctor Webの専門家は、ユーザーが未知の送信者から受け取った手紙の添付ファイルを開かないこと、できればマクロの実行をブロックするWordの組み込みのセキュリティシステムを無効にしないこと、およびウイルス対策データベースを最新の状態に保つことを推奨します。