新巨集病毒利用五種常用桌面捷徑,散布後門程式

新巨集病毒會竄改受害電腦的特定桌面捷徑,用以下載後門程式。趨勢科技在一封包含圖片檔的文件中發現這隻巨集病毒,當使用者依照要求執行巨集以開啟整份文件後,該病毒就會尋找 Skype、Google Chrome、Mozilla Firefox、Opera 以及 Internet Explorer 等五種桌面捷徑,加以感染並取代指向的連結。

當惡意程式執行完畢之後,它會將捷徑還原成原本的狀態,並開啟原本對應的應用程式,使其看起來神不知鬼不覺,藉以降低用戶警覺性。接下來,惡意程式會開始運用其下載的檔案。駭客並未自行開發工具,而是下載網路上常見的工具,例如各式各樣的 Windows 工具、WinRAR 及 Ammyy Admin 等等來蒐集系統上的資訊並經由 SMTP 傳回給歹徒。

趨勢科技在分析過程當中也發現,某些下載的檔案目前已有變更或更新,這表示惡意程式作者仍在開發該程式,呼籲電腦用戶當心威力進化的新變種。

 

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位 ➔ 即刻免費下載試用

 

 

儘管巨集病毒存在已有數十年歷史,但網路犯罪集團仍不斷持續利用惡意巨集來散布惡意程式,只不過今日的方法更有創意,也更有效率。最近一起歹徒利用惡意巨集的案例採用了一種較為迂迴的作法,該巨集會先搜尋使用者系統上是否有特定的桌面捷徑,然後將捷徑指向其下載的惡意程式。當使用者點選被篡改的桌面捷徑時,就會執行下載的惡意程式。

儘管駭客使用的巨集和所下載的惡意程式並不複雜,但這套運用方法卻相當值得注意,因為看來似乎還會有後續發展。


圖 1:惡意程式感染過程。

惡意文件

歹徒攻擊一開始是使用一個惡意文件,該文件的內容為俄羅斯文,並含有一張房屋的照片。內容會指示使用者啟用巨集功能來檢視完整文件。 繼續閱讀