作者:乔山办公网日期:
返回目录:excel表格制作
趋势科技研究人员发现一只宏病毒会感染、并绑架受害电脑的特定桌面快捷方式,用以下载后门程序。
趋势科技研究人员是在一封包含图片档的俄文文件发现这只巨集恶意程式。它先要求使用者执行巨集以开启整份文件,等用户照做后,就会寻找知名app的桌面快捷方式档或快速启动功能,包括Skype、Google Chrome、Mozilla Firefox、Opera及微软IE等加以感染并取代指向的连结。
攻击手法:
当下次用户点击这些快捷方式时就会执行恶意程式,悄悄下载后门程序到电脑上。有趣的是,研究人员Loseway Lu发现恶意程式执行后,恶意档案就会自动移除,使那些遭感染的快捷方式恢复正常,降低使用者警觉性。
同时间,这只后门程序开始启动多阶段下载过程,先利用Windows工具如WinRAR从Google Drive或GitHub载入恶意档案、启动资料窃取,最后利用远端桌面程序Ammyy Admin及SMTP(Simple Mail Transfer Protocol)协定将从用户电脑资讯如路由器IP位址传送出去。
这个"攻击"行为目前还只是资料窃取而已,样本数也不多,研究人员相信攻击者还在发展阶段,因而判断之后还会有新版本推出。