當惡意程式執行完畢之後,它會將捷徑還原成原本的狀態,並開啟原本對應的應用程式,使其看起來神不知鬼不覺,藉以降低用戶警覺性。接下來,惡意程式會開始運用其下載的檔案。駭客並未自行開發工具,而是下載網路上常見的工具,例如各式各樣的 Windows 工具、WinRAR 及 Ammyy Admin 等等來蒐集系統上的資訊並經由 SMTP 傳回給歹徒。
趨勢科技在分析過程當中也發現,某些下載的檔案目前已有變更或更新,這表示惡意程式作者仍在開發該程式,呼籲電腦用戶當心威力進化的新變種。
PC-cillin 雲端版防範勒索
保護個資 ✓手機✓電腦✓平板,跨平台防護3到位 ➔ 即刻免費下載試用
儘管巨集病毒存在已有數十年歷史,但網路犯罪集團仍不斷持續利用惡意巨集來散布惡意程式,只不過今日的方法更有創意,也更有效率。最近一起歹徒利用惡意巨集的案例採用了一種較為迂迴的作法,該巨集會先搜尋使用者系統上是否有特定的桌面捷徑,然後將捷徑指向其下載的惡意程式。當使用者點選被篡改的桌面捷徑時,就會執行下載的惡意程式。
儘管駭客使用的巨集和所下載的惡意程式並不複雜,但這套運用方法卻相當值得注意,因為看來似乎還會有後續發展。
圖 1:惡意程式感染過程。
惡意文件
歹徒攻擊一開始是使用一個惡意文件,該文件的內容為俄羅斯文,並含有一張房屋的照片。內容會指示使用者啟用巨集功能來檢視完整文件。 繼續閱讀