زماني كه اين اسناد مخرب باز شوند، دو سند از آسيب پذيري هاي اجراي كد از راه دور در مولفه كنترلي ويندوز سوء استفاده مي كند. اين آسيب پذيري ها با عنوان CVE-2012-0158 و CVE-2012-1856 شناخته مي شوند و مايكروسافت آفيس نسخه هاي 2003، 2007 و 2010 را تحت تاثير قرار مي دهند. در سال 2012 شركت مايكروسافت اين آسيب پذيري ها را به عنوان بخشي از بولتن هاي امنيتي MS12-027 و MS12-060 اصلاح نمود.
اسناد مخرب يك برنامه راه نفوذ مخفي را نصب مي كند كه محققان Rapid7 آن را KeyBoy ناميدند.اين بدافزار يك سرويس جديد ويندوزي را ثبت مي كند كه MdAdum ناميده مي شود و مي تواند يك فايل DLL مخرب را با نام CREDRIVER.dll بارگذاري نمايد.
بدافزار KeyBoy اعتبارنامه هاي ذخيره شده در اينترنت اكسپلورر و موزيلا فايرفاكس را به سرقت مي برد و يك مولفه keylogger را نصب مي كند كه مي تواند اعتبارنامه هاي ذخيره شده در گوگل كروم را نير به سرقت ببرد. هم چنين اين راه نفوذ مخفي به مهاجمان اجازه مي دهد تا اطلاعات كامپيوترهاي هدف حمله، فهرست دايركتوري ها را بدست آورند و فايل هاي دلخواه را دانلود يا آپلود نمايد.
علاوه براين، اين بدافزار مي تواند يك پوسته فرمان (command shell) ويندوز را بر روي سيستم آلوده باز كند و بدين ترتيب دستورات ويندوز را از راه دور بر روي آن سيستم اجرا نمايد.
منبع:مركز ماهر
اسناد مخرب يك برنامه راه نفوذ مخفي را نصب مي كند كه محققان Rapid7 آن را KeyBoy ناميدند.اين بدافزار يك سرويس جديد ويندوزي را ثبت مي كند كه MdAdum ناميده مي شود و مي تواند يك فايل DLL مخرب را با نام CREDRIVER.dll بارگذاري نمايد.
بدافزار KeyBoy اعتبارنامه هاي ذخيره شده در اينترنت اكسپلورر و موزيلا فايرفاكس را به سرقت مي برد و يك مولفه keylogger را نصب مي كند كه مي تواند اعتبارنامه هاي ذخيره شده در گوگل كروم را نير به سرقت ببرد. هم چنين اين راه نفوذ مخفي به مهاجمان اجازه مي دهد تا اطلاعات كامپيوترهاي هدف حمله، فهرست دايركتوري ها را بدست آورند و فايل هاي دلخواه را دانلود يا آپلود نمايد.
علاوه براين، اين بدافزار مي تواند يك پوسته فرمان (command shell) ويندوز را بر روي سيستم آلوده باز كند و بدين ترتيب دستورات ويندوز را از راه دور بر روي آن سيستم اجرا نمايد.
منبع:مركز ماهر