Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA виявлено файл «довідка.zip», який містить файл контекстної довідки «dovidka.chm». Про це повідомляє «CERT-UA». 

Даний CHM-файл містить зображення-приманку «image.jpg» (довідка про порядок дій під час артилерійських обстрілів) та файл «file.htm» зі шкідливим програмним кодом. Його запуск призводить до установлення і запуску на комп’ютері шкідливої програми «MicroBackdoor».

У разі виявлення такого файлу чи інших ознак компрометації за наданими індикаторами — ізолювати комп’ютери та повідомити «CERT-UA» з метою координації подальших заходів.

Індикатори компрометації 

Файли: 

e34d6387d3ab063b0d926ac1fca8c4c4  довідка.zip
2556a9e1d5e9874171f51620e5c5e09a  dovidka.chm
bc6932a0479045b2e60896567a37a36c  file.htm
bd65d0d59f6127b28f0af8a7f2619588  ignit.vbs
fb418bb5bd3e592651d0a4f9ae668962  Windows Prefetch.lNk
a9dcaf1c709f96bc125c8d1262bac4b6  desktop.ini
d2a795af12e937eb8a89d470a96f15a5  core.dll (.NET-лоадер)
65237e705e842da0a891c222e57fe095  microbackdoor.dll (MicroBackdoor)     

Мережеві: 

xbeta[.]online:8443
185[.]175.158.27

Хостові: 

%PUBLIC%\ignit.vbs
%PUBLIC%\Favorites\desktop.ini
%PUBLIC%\Libraries\core.dll
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Windows Prefetch.lNk
wscript.exe //B //E:vbs C:\Users\Public\Favorites\desktop.ini
C:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exe /U C:\Users\Public\Libraries\core.dll