Всем привет, в какой-то из статей я рассказывал вам об уязвимости, которая существовала в популярном архиваторе WinRAR на протяжении практически 20 лет. Конечно, разработчики данного софта уже отказались от уязвимой библиотеки, но все же, этого мало, чтобы обеспечить защиту более чем пол миллиарду человек, использующих данный архиватор. Мы не можем знать наверняка, может быть хакеры уже давно знали о данной уязвимости и использовали ее. Как предполагается, использовалась уязвимость WinRAR ACE чтобы устанавливать бэдкор.

Уязвимость используется для MALSPAM

360 Threat Intelligence увидели огромную активность в использовании данной уязвимости, произошло это после того, как о ней стало известно всему миру. Они в своем твиттере сделали свои выводы

Когда был опубликован твит, то Bleeping Computer сразу же углубились в исследования 360 CIT.

Данные источники говорят о том, что метод эксплуатации был таким как вирус Chech Point. Зараженный архив, после того как попадает в систему, сразу же разархивирует файлы в папку автозагрузки, при том, если UAC будет отключен. Если же он все-таки будет включен, то во время разархивирования появится ошибка в программе.

После того как вирус CMSTray будет разархивирован, то вредоносная программа сразу же будет настроена на дальнейший запуск во время старты системы.

Также Bleeping Computers рассказали об этапах проведения атаки. Как говорится из исследований, вирус сначала будет запускать wbssrc.exe, которая будет выполнять запросы на выполнение удаленных команд.

После открытия файла он скопирует CMSTray.exe прямиком в %Temp%\wbssrv.exe и после чего выполнит сам wbssrv.exe.

После того как вирус запущен, он начинает загружать в системы различные другие вредоносные программы, тем самым получая доступ к вашему компьютеру. Получив этот доступ, он сможет управлять любыми аспектами вашей системы, тем самым получив огромное количество информации о вас.

Что делать?

Чтобы избежать проблем вы должны немедленно обновить свой архиватор. Чтобы это сделать достаточно удалить WinRAR и скачать новейшую версию. Если вы не хотите этого делать, то можете установить микропатч от opatch который избавит данные софт от уязвимости.