http://game.ettoday.net/article/990349.htm
有经验的电脑使用者会借由档案后面的附档名,判断是否为可疑的病毒档案,不过趋势科
技发现,近期有恶意人士使用微软著名的文书软件 PowerPoint(PPT)作为病毒入侵的媒
介,让人防不慎防。
http://cdn2.ettoday.net/images/2731/d2731810.jpg
▲病毒会伪装成 PPT 档案,降低使用者戒心。(图/翻摄 Trendmicro)
“CVE-2017-0199”是微软一项零时差弱点,过去并非第一次遭到攻击,不过在趋势科技
的报告中提到,透过 PPT 作为攻击媒介这也是他们第一次看到。恶意人士借由修改的
RTF 文件,让使用者的电脑遭到病毒入侵。传递的手法几乎大同小异,谎称是网络业者
,并在电子邮件中附加 PPT 可开启的 PPSM 格式档案,借此降低使用者戒心。
当使用者下载并开启含有病毒的 PPSM 文件,画面会显示“CVE-2017-8570”的文字,不
过这串文字代表微软的另外一个漏洞,趋势科技发现实际上病毒真正入侵的路径仍是“
CVE-2017-0199”。恶意程式透过 PPT 幻灯片的播放开始自行下载“logo.doc”病毒档案
,该文件实际上是由 JavaScript 程式码撰写的 XML 文件,接着程式码会运行
PowerShell 的命令,下载恶意程式本体“RATMAN.exe”。
http://cdn2.ettoday.net/images/2731/d2731809.jpg
▲钻漏洞成功的病毒,会偷偷植入恶意程式。(图/翻摄 Trendmicro)
过往针对“CVE-2017-0199”漏洞的预防几乎专注于 RTF 文件,但透过 PPT 文件作为掩
护,病毒成功绕过防护网进入电脑。病毒本身是由远端连线工具“Remcos”改版而来的木
马程式,伤杀力与一般病毒相同,会擅自操控萤幕截图、监控摄影机、麦克风,并且进一
步下载更多恶意软件,以完整控制整台电脑。
微软已经在四月释出漏洞的安全补丁,若有更新的用户将免于这次病毒的攻击,不过要避
免病毒入侵,根本的解决方式还是避免下载来源不明的档案,网络钓鱼的手法越来越高明
,光从副档名已经无法分辨病毒,使用者必须注意未知的电子邮件,别忘了好奇心杀死一
只猫,要毁掉一台电脑也不是难事啊!