.docx我收到了一封来自不太可靠的来源的电子邮件,它可能是合法的,但我不太确定。它包含有关Microsoft Word 文件和.xlsxMicrosoft Excel 文件的信息等。
我已经扫描了http://virustotal.com并且没有发现病毒,但我还读到宏可能存在于文件本身的 xml 或压缩部分中。
我正在寻找关于查明潜在恶意意图的想法,例如查找宏。
答案1
宏不能保存在.xlsx文件中。Excel 会拒绝,并提示您将其保存为.xlsm文件。如果您另存为.xlsm然后重命名为,.xlsxExcel 将无法打开该文件。
假设有人绕过了这个限制,那么 Excel 将禁用文件中找到的任何宏.xlsx。
答案2
我为一家制造厂提供现场 IT 支持,我可以告诉你,向另一家公司是不是很常见,尤其是分享技巧。我经常收到这类电子邮件,这些技巧总是包含在电子邮件中,包含在 PDF 中,或包含在他们公司网站上的页面链接中。
在组织内部,情况就不同了。组织内的用户经常通过电子邮件共享 Word 和 Excel 文件。
另一方面,发送压缩文件在组织内部和外部都很常见。它是否是垃圾邮件的概率也是 50%。我支持的用户会将他们收到的电子邮件转发给我,以确定它们是否是垃圾邮件,而压缩文件通常伴随着垃圾邮件。另一方面,当他们收到包含压缩文件的合法电子邮件或需要发送带有压缩文件的电子邮件时,他们经常联系我寻求帮助。组织通常对他们可以发送或接收的电子邮件大小有限制,当用户超过这些限制时,他们会选择压缩文件。但同样,当公司发送电子邮件分享技巧时,我从未见过这种情况。
附注:这只是我的经验,但任何时候,如果一家公司(任何公司,不仅仅是 IT 公司)必须先联系您,那么他们就不是擅长做他们所做的事情的人,您应该避开他们。当一家公司擅长做他们所做的事情时,客户就会来找他们。
答案3
第一条规则是永远不要打开未经请求的电子邮件附件。这简直是极其糟糕的安全做法。如果你给我发送这样的可疑内容,而我又不认识你,我就会倾向于自动将你列入黑名单。
至于格式,我通常看到大多数公司使用 Adobe PDF 来制作白皮书。我不记得上次看到原始 Office 格式的白皮书是什么时候了。过去,由于宏问题,您只能打开来自受信任来源的此类文件,甚至在打开之前还要先禁用宏。如今您看不到这种情况的另一个原因是文件中的元数据可能会导致令人尴尬的泄露。(PDF 也无法幸免!这一点要牢记。)
答案4
如果这不是一个值得信赖的来源,或者你有点怀疑,最好的办法就是删除电子邮件。特别是如果这是你没有请求的信息,或者不是以前的信息的一部分,或者不是必不可少的为您提供信息。
如果您可以联系发件人以确认文件的真实性,请这样做。如果可能,请要求他们将信息以文本文件的形式重新发送(即使 PDF 也可能有恶意软件)。
如果你真的需要访问信息,但无法以新格式获取信息,我会这样做:
- 检查恶意软件http://virustotal.com,它将使用 40 种不同的防病毒软件检查文件。您已经完成了这一步,太棒了。
- (1) 从以下位置启动Linux 实时 CD(即 Ubuntu),在 LibreOffice 上打开文件,删除宏并导出到新文件(可能采用不同的、更安全的格式)
- 或 (2) 打开文件谷歌文档并导出到新文件(可能采用不同的、更安全的格式)