175期报告汇总
安天发布《新型 sLoad Downloader 宏病毒样本分析报告》
 
     近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 种新型的 Office 宏病毒。它不需要用户手 动打开文档,只需要用户在预览窗口模式 下,或者在 Outlook 的预览模式中选中该 文档,即可触发恶意行为。

      这种恶意文档被嵌入到电子邮件的附 件中,通过钓鱼邮件进行传播。如果用户 的计算机中启用了 Windows 的预览窗格功 能,只要在资源管理器中选中一个文档, 便可以在右边生成一个对该文档的预览窗 格,显示文档的大致内容。为了生成预览, 系统会提前解析文档,并且在解析过程中 把宏设置为禁用状态,所以原本 Office 文 档中的宏代码是不能被触发的。但是,当预览这个样本时却可以触发恶意宏。通过 分析发现,这个样本本身并不含有宏代码, 但是它利用了 RTF 文档允许内嵌 Excel, 使用“\objupdate”强制更新的特性,来触 发恶意宏。该 Word 样本的页脚部分内嵌 了五个 Excel 工作簿,每个工作簿都含有 宏代码,并且在它们的 G135 单元格中有 一串 Base64 编码的文本,当宏代码执行时, 会读取此单元格的内容,将文本转化为一 段 PowerShell 可执行的脚本,通过运行脚 本而触发恶意行为。

      安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。

      目前,安天追影产品已经实现了对该 类恶意代码的检出。