将宏文件做为载体的宏病毒以电子邮件用户作为攻击目标，通过精心制作的垃圾邮件来引起人们的好奇心，从而实施攻击。这些垃圾邮件以销售发票，联邦政府税单，快递通知，简历介绍和捐赠确认等信息作为邮件的主题然后将垃圾邮件发送出去，这种伎俩使得收到这些邮件的用户直接毫不犹豫地阅读邮件并且打开邮件中的附件。

当用户打开附件时，就启动了宏命令。你可以这样理解，邮件中的附件需要这个宏命令去进行文件的相关配置，从而使用户在无意识的情况下触发了宏病毒，并且使其运行了起来。

可能你认为宏病毒是很久以前的事情了，但是在过去的几个月内，我们发现宏文件的下载量正在不断增加，并且影响了全球将近501，240台独立的计算机。

图一显示的是从2014年4月到2015年3月正在不断增长的宏文件下载趋势。

我们已经见识过了美国和英国所发生过的大量宏病毒攻击事件了。

图二显示的是当前世界上宏病毒的感染分布情况

图三显示的是宏病毒的热点分布图

宏病毒的感染链

正如之前有关宏文件的博客中所提到的那样，宏文件下载器可以被看作是一个网关，它可以让其他那些令人讨厌的恶意软件进入系统。下面这张图表显示了一个典型的宏文件下载器是如何进入系统并且让系统提供其所需要的有效载荷的。

图四显示的是宏文件下载器的感染链

宏病毒会以垃圾邮件附件的形式进入你的计算机中。垃圾邮件的接收者会落入黑客所布的社会工程学的陷阱之中，然后打开附件，因此用户便无意识地启动了文档中的宏文件了。

我们已经确定了一些对计算机有威胁的宏文件下载器了，但肯定远远不止这些：

· Adnel

· Donoff

· Jeraps

· Ledod

当一个宏病毒的代码开始运行之后，它不光会下载其所需要的配置文件和有效载荷，而且还会用二进制下载器去下载其他重要的资源。

我们已经观察到了下列宏文件的最终有效载荷了，但肯定远远不止这些：

 TrojanSpy:MSIL/Golroted

我们也同样观察到了下列二进制下载器与一些宏文件之间的关系，但肯定远远不止这些：

· TrojanDownloader:Win32/Drixed

· TrojanDownloader:Win32/Chanitor

在宏病毒下载好了之后，任务已经完成了一大半了。剩下的工作就交给系统最终的有效载荷以及二进制下载器去完成了。

我们观察到了二进制下载器下载的以下几个会对系统产生威胁的文件了，当然现存的肯定也不止这些：

· Backdoor:Win32/Drixed

· Backdoor:Win32/Vawtrak

防御措施：怎样关上这扇大门？

如果你已经知道是社会工程学的小技巧通过垃圾邮件从而打开了宏病毒攻击的大门，那么怎样做才能关上这扇大门呢？

当你启用宏的时候请小心

宏文件作为系统有效负荷的载体，看起来更像是一个有效的传播病毒的传染媒介。但是它与那些攻击工具有所不同，这些宏文件可以对系统产生威胁，但宏文件的运行必须得经过用户的同意。为了避免陷入困境，你应该有，也可以有一些预防的措施，因为这些宏文件在启动之前是不会对系统产生威胁的。

你同样可以阅读更多有关宏文件配置选项的详细资料，去了解在什么样的情况下你能够启用或禁止它们。你也可以通过查看 微软公司的项目－怎样通过注册表的键值来控制宏文件的设置 来了解更多的详细信息。

除此之外，你还需要注意打开可疑电子邮件所带来的安全风险。你需要注意的东西包括不要打开来自不受信任的源所发送的电邮附件以及网页链接。

如果你是一名企业软件的安全管理员，那么你能做些什么呢？

在大多数情况下，如果Microsoft Office 2007和更老版本的.doc文件中没有全部感染宏病毒的话，你可以对其进行格式化（D0 CF）。

如果你负责的是你的企业软件安全设备的安全审计工作，你可以这样做：

· 更新你的Microsoft 安全套件。微软公司会对这类威胁进行检测，并且出于保护用户的目的，微软鼓励每一个用户尽量使用最新版本的软件。

· 确保你已经将计算机中的－信任中心－设置为禁止运行旧版本的Office套件：

2.在－信任中心－的选项框中，选择－文件阻止设置－。然后选择你需要禁止的Word版本。

这样做就可以禁止旧版本的Office运行了。

· 根据Exchange Online所提供的保护向导，来根据你的业务需求对Office进行相应配置。

· 学习一些相关的知识，了解Office 365是如何通过机器学习机制来帮助你阻止垃圾邮件的。你可以通过查看 预览先进的威胁防护：能够阻止未知恶意软件和网络钓鱼攻击的新型工具 来了解更多详细的信息。

· 将垃圾邮件和非垃圾邮件提交给微软公司进行分析。

· 启用微软实时保护服务（MAPS）。使用MAPS的用户可以利用微软云保护机制并且可以免受最新变种的安全威胁所带来的安全问题。Microsoft Security Essentials套件和Windows 8.1版本的Windows Defender都会默认开启MAPS服务。

你可以进入－设置界面－，然后选择－MAPS－来查看你的微软安全产品是否已经开启了MAPS功能。

阅读:321069 | 评论:0 | 标签:无