今年年初以来,微软观察到使用宏的恶意软件数量迅速增加。宏病毒在多年前曾经非常流行,之后便销声匿迹。如今这种“古老”的攻击方式结合钓鱼邮件、社会工程学进行传播,大有卷土重来之势。

数量大幅回升

在2006年左右,大量的恶意软件都通过Word/Excel宏的方式传播到受害者电脑上,恶意软件的执行都依赖于“自动执行宏”选项,当时通过这种方式传播还比较有效。虽然之后“宏病毒”消失于人们的视野,但在今年,包含恶意软件的宏数量再次上升,并且新的恶意软件更加高级,有些还使用社会工程学手段来诱导用户启用宏。

在今年年初,微软恶意软件防护中心(MMPC)发出警报,提示使用基于宏的木马来传播恶意代码恶意感染活动的激增。微软的研究人员发现基于开启宏的恶意软件迅速增加,其中最活跃的恶意代码包括Adnel和Tarbir。此外,去年TrendLabs实验室的专家们发现,网络攻击者使用Windows PowerShell命令并通过恶意宏下载器传播ROVNIX。今年年初,专家们注意到网络罪犯在Microsoft Word中使用恶意宏传播网银木马VAWTRAK。

勒索软件常用

一个实际的例子就是Dridex银行木马和勒索软件TorrentLocker,两者都是通过宏来传播。通常来说,都是以包含感染宏的恶意邮件开始,这些宏会包括一个XML文件,攻击者会利用该XML文件来诱导用户启用宏。

Trustwave Karl Sigler的研究员解释道:

“XML文件是办公文档doc旧的二进制格式,一旦你双击打开它,与Microsoft Word关联的文件也会打开。”

微软恶意软件防护中心对攻击者所采用的手段做了如下评论:

“瞄向邮件用户并包含恶意代码的宏文档会故意激起受害者的好奇心,通常其主题会包括销售发票、联邦税收单、快递通知、简历及捐款确认等,这通常能够轻易诱导受害者阅读邮件并打开附件,而打开附件时通常会要求启用宏,如果用户在不知情的情况下启用了宏,那么基于宏的恶意软件也会运行。”

当用户上钩之后,恶意软件就开始运行并执行操作:下载有效载荷、安装其他软件、远程连接到服务器并安装更多令人厌烦的软件。

安全建议

为了防范基于宏的恶意软件,用户需要确保默认情况下宏被禁用,并时刻注意你点击和授权的文件。

作者:JackFree

来源:51CTO

2015年基于宏的恶意软件数量再次飙升相关推荐

  1. 卡巴斯基:今年以来物联网恶意软件数量已超过去年的2倍

    锁定物联网设备的恶意软件数量快速增加,去年捕获3219种,今年已成长至7242种.被骇的物联网设备以监视器.IP摄影机为主,占殭尸设备6成左右,2成为各式网络设备.路由器,其他则是VoIP电话.打印机 ...

  2. Nature:基于宏基因组测序构建人类肠道微生物组参考基因集

    文章目录 基于宏基因组测序构建人类肠道微生物组参考基因集 文章影响 作者简介 热心肠日报 摘要 正文 宏基因组测序肠道微生物组 图1. 人类肠道微生物组的覆盖度 人类肠道微生物组的基因集 图2. 预测 ...

  3. Go 语言“助力”恶意软件?仅 4 年基于 Go 的恶意软件数就激增 2000%!

    整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) Go(又称 Golang),是谷歌于 2009 年正式发布的一种静态强类型.编译型.并发型,并具有垃圾回收功能的编程语言.因其语法简单, ...

  4. Gut Microbes | 基于宏基因组发现猕猴肠道中的大量微生物新基因组

    猕猴肠道宏基因组中新微生物基因组的组装 Assembly of novel microbial genomes from gut metagenomes of rhesus macaque (Maca ...

  5. 基于机器学习的恶意软件检测(二)

    1.恶意软件的基本检测方法 一个有效的,强大的和可扩展的恶意软件识别模块是每个网络安全产品的关键组成部分.基于预执行和执行后两阶段收集的数据,恶意软件识别模块来决定一个对象是否是一个威胁. 预执行阶段 ...

  6. 【论文翻译】Gotcha - Sly Malware! Scorpion: 基于Metagraph2vec的恶意软件检测系统

    Gotcha - Sly Malware! Scorpion: 基于Metagraph2vec的恶意软件检测系统 摘要: 恶意软件检测由于其对互联网和计算设备安全的严重破坏和威胁,几十年来一直受到反恶 ...

  7. solidworks批量图号分离_SolidWorks2014基于宏实现快速图号名称分离.docx

    SolidWorks2014基于宏实现快速图号名称分离 SolidWorks2014基于宏实现快速"图号名称"分离 当我们创建好一个Solidworks 零件以后,为了更快速把零件 ...

  8. Mac 此账户尚未用于app store_App Store调整频繁!游戏App下架数量再次增加! | 8月推广报告...

    8 月 App Store 新闻回顾 1.8 月 1 日 App Store 下架 App 近 3 万款,游戏 App 占比近 90% 8 月 1 日 App Store 中国区发生大规模下架事件,当 ...

  9. 基于深度学习lstm_深度学习和基于LSTM的恶意软件分类

    基于深度学习lstm Malware development has seen diversity in terms of architecture and features. This advanc ...

最新文章

  1. 谷歌大脑联手Hinton提出SimCLR新框架,疯狂提升自监督学习性能 | 北邮毕业生一作...
  2. php ckey=6,ThinkPHP6 核心分析(十):事件
  3. UVa1339 Ancient Cipher(贪心算法)
  4. Oracle KFED 和 KFOD 工具说明
  5. Maven-EclipseEE使用Maven构建Java web项目从0到1
  6. HTTP协议状态码详解(HTTP Status Code)
  7. 【Flink】Flink 写入 MySQL主键冲突 默认Upsert策略
  8. Atitit.Gui控件and面板----db数据库区----- .数据库比较同步工具 vOa
  9. GAMP|Visual Studio 2019环境下配置GAMP
  10. 光耦重要参数与常用设计注意事项
  11. springboot毕业设计题目课题参考
  12. win10怎么更新到1809正式版 升级windows10方法
  13. java filter 跳过_如何在java中的过滤器链中跳过一个过滤器
  14. 120行代码爬取电子书网站
  15. zabbix_server表面启动成功,但是没有进程
  16. Linux root密码破解
  17. U盘引导盘制作工具 Rufus 3.13.1730 正式版
  18. 安装ps显示检测到计算机,修复:win10下Photoshop遇到显示驱动程序问题
  19. 口袋网咖已有服务器在使用怎么注销,口袋网咖_口袋网咖常见问题_口袋网咖专区...
  20. Latex学术论文排版讲解

热门文章

  1. 泛C++开发: 如何用C++写跨平台应用
  2. Unity光照系统,GI,光线追踪,LightMap,Enlighten,HDR等
  3. CocoaPods福利时间
  4. MathJax基础教程与快速参考
  5. 关于Mac应用连接sql server的问题
  6. Java常用的List、Map、Set集合整理
  7. [搞笑] 天下第一剑
  8. MATLAB 仿真实现任意(n,k,m)卷积码译码
  9. offsetTop,offsetLeft
  10. 思必驰刚折戟上交所,出门问问冲刺港交所能成功么?