作者:乔山办公网日期:
返回目录:office365
一种新的office病毒出现了!一旦打开含有病毒的office文件,并且点了允许攻击引用,恶意代码就会立即执行!
你的电脑就这样不知不觉中毒了……
一、病毒介绍
近日研究人员发现了一种通过OFFICE 使用DDE进行攻击的方法。通过DDE在OFFICE中执行任意文件,这种攻击方式不依赖于OFFICE漏洞或者宏。攻击者可以通过社工方式发送钓鱼邮件诱使受害者打开office文档,一旦受害者打开文档,并且点击了允许更新引用,恶意代码就会执行。
在Windows系统中,各个应用程序之间常常需要交换、传递数据,动态数据交换(DDE)技术就是为了进程之间更方便传递数据提出的,最早是随着Windows 3.1由微软公司实现的进程间的数据通信的协议。动态数据交换(DDE)已经成为Windows的一部分,并且很多Windows应用程序都使用了DDE技术来实现进程之间的数据交换,而office也支持这个协议。
瑞星杀毒软件在第一时间增加了对此种攻击方式的拦截。
二、病毒攻击过程
攻击者首先构造office文档 通过添加域的方式 插入恶意代码。
当受害者打开word之后 就会弹出如下窗口,会提示是否允许,此时如果点击 “是” ,恶意代码就会运行起来。
图:运行后弹出是否允许
执行成功,弹出计算器
图:攻击成功
上面我们为了演示弹出了一个计算器,在实际的攻击行动中,攻击者可以写入powershell 、vbs等脚本,执行更多恶意功能,还可以下载并运行更多恶意程序。
图:powershell代码
三、防御措施
防御这种攻击,需要做到以下几点:
1、避免打开未知来源的文档
2、慎重决定是否点允许
3、安装瑞星杀毒软件拦截查杀