微软警告Office宏威胁急剧增涨
作者: 日期:2015年01月07日 阅:3,811

01

宏被用于在Office软件中自动执行某些常用任务。微软恶意软件保护中心称,上个月,经由垃圾邮件和社会工程学利用宏传播恶意软件的威胁显著增长。

12月中旬宏相关感染迎来了急剧增长,12月17号甚至达到几近8千例感染侦测数。用户一开始会收到一封财经相关主题的垃圾邮件,邮件里绑了个伪装成微软Office文档的附件。此附件的真实图谋就是让用户的系统默认开启宏功能。一旦用户启用了宏,它就会去下载两个独立木马下载器的其中之一并执行。

默认情况下,微软Office软件的宏被设置为“禁用所有宏,并发出通知”。除非宏被手动启用,否则恶意代码不能执行。

目前为止,这波宏威胁中,微软已经发现两款通过这种方式进行传播的木马:TrojanDownloader:W97/Adnel和TrojanDownloader:O97M/Tarbir。这两种木马都是下载器,都可以在被感染机器上安装软件,包括恶意软件。

其中Adnel木马下载器变种据说就是能被植入微软Office文件的恶意宏。植入Adnel的Office文档被打开时,微软应该发出一个“启用宏”的警告。如果用户选择启用或是本来就已经启用了宏,恶意代码便会执行。攻击者使用.doc和.xls文件来传播Adnel。

微软恶意软件保护中心说:“用户会在打开这份Office文件(此例中为Word文档)时看到一个询问是否启用宏的弹出对话框。默认情况下,Office中的宏是被设置为‘禁用所有宏,并发出通知’的。若非手动启用,恶意软件是不能执行的。”

出于免受侵害的目的,用户应该小心以下邮件主题:ACH Transaction Report、Doc-file for report is ready、Invoice as required、Invoice – P97291、 Order – Y24383、Payment Details、Remittance Advice from Engineering Solutions Ltd和Your Automated Clearing House Transaction Has Been Put Out.

攻击中使用的恶意附件的文件名包括:20140918_122519.doc, 813536MY.xls、ACH Transfer 0084.doc、Automated Clearing House transfer 4995.doc、BAC474047MZ.xls、BILLING DETAILS 4905.doc、CAR014 151239.doc、ID_2542Z.xls、Fuel bill.doc、ORDER DETAILS 9650.doc、 Payment Advice 593016.doc、SHIPPING DETAILS 1181.doc、SHIP INVOICE 1677.doc和SHIPPING NO.doc。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章