IQY 是 Microsoft Excel 所使用的一種檔案,這種檔案內含有一些網址和其他向網際網路查詢所需的內容。根據
Last Line 研究人員表示,IQY 或許不像 Microsoft Office 其他檔案格式那麼廣為人知,但同樣也可能變成歹徒的武器。此次的攻擊並非利用
Microsoft Excel 的任何漏洞,因此就算是平常都按部就班修補的系統還是有受害的風險。
接著會下載一個自解壓縮檔 – Defender.exe,它會植入惡意檔案taskhost.exe以及舊版的ESET AV Remover安裝程式(被重新命名為Defender_nt32_enu.exe)。趨勢科技將taskhost.exe識別為Dharma勒索病毒相關檔案(偵測為RANSOM.WIN32.DHARMA.THDAAAI)
圖2. Dharma勒索病毒的垃圾郵件
圖3. 執行自解壓縮檔(Defender.exe)
勒索病毒利用這個舊ESET AV Remover安裝程式來轉移使用者的注意力。當自解壓縮檔執行時,Dharma會在背景加密檔案,同時開始安裝ESET AV Remover。使用者會在螢幕上看到ESET畫面來掩飾Dharma的惡意活動。