WPS Office 现在有一些暗箱操作。当客户向我们的一名员工发送文件时,如果他们的手机上安装了 WPS Office(华为和小米手机默认安装,没有人会更改默认设置),他们实际上不会发送文件,而是发送一个链接。
该链接会在网页预览中打开文件,并且有两个显眼的“下载”按钮。这两个按钮都是假按钮,实际上并不下载文件,而是一个 exe 文件,它会在后台安装 WPS Office,无需任何用户交互。
员工可以区分网络钓鱼或恶意软件电子邮件,但我仍然发现太多计算机上安装了 WPS Office:这是不可接受的。
安装不需要提升权限,可以使用最低用户级别安装,但卸载当然需要管理员权限...
有办法禁止安装此恶意软件吗?也许像组策略一样,强制 Microsoft Defender 始终将任何由“珠海金士顿”签名的文件视为恶意软件
答案1
我在公司是如何解决这个问题的:
一开始,如果存在默认的“wps 链接”,我会阻止电子邮件并退回,但客户不够聪明,无法读懂错误消息(有害链接被阻止),他们认为地址是错误的,并且在电话支持故障排除上浪费了太多时间。
然后我制定了一个组策略来阻止 wps_office_inst.exe 的执行,但是现在他们添加了一个随机后缀,所以它不起作用。
因此,现在我将 amino 编辑器作为插件添加到所有浏览器(这是一个向指定网站添加自定义 css 的插件),并将其作为自定义 csseu.docs.wps.com
.open-wps {
visibility: hidden;
}
.preview-footer {
visibility: hidden;
}
.pdf-convert-footer {
visibility: hidden;
}
.common-header {
visibility: hidden;
}
.pdf-cmd-bar-container {
visibility: hidden;
}
.kma-pdf-convert-header {
visibility: hidden;
}
.k-jxm {
visibility: hidden;
}
.login-guid-bar {
visibility: hidden;
}
所有的暗黑模式现在都被隐藏了(下载实际上并没有下载,为了下载你需要点击“打印”按钮,但是有两个按钮,其中一个是假的),所以我的用户不会被诱骗下载并默默安装恶意软件。
此外,我wdl1.pcfg.cache.wpscdn.com在路由器中屏蔽了恶意 exe 所在的位置。无法全部屏蔽,wpscdn.com因为加载真实下载按钮的 javascript 存储在那里,页面只会显示虚假的下载按钮。