在过去的几个月里,我每天都会收到大约 10 封包含假发票的电子邮件,例如
早上好
以下订单于 2015 年 5 月 28 日发送(请勿重复)。我仍在等待 002 号线上的 18 件商品发货
我们急需这批货物,请告知何时发货
谢谢
显然这是垃圾/恶意软件,但奇怪的是,我任何机器上的防病毒/恶意软件产品(Trend 和 Bitdefender)都没有将它们视为威胁。
我向 Bitdefender 报告了该文件,但从未收到任何回复。
它出现其他的也有顾虑。我在记事本中检查了文件,可以看到一些 VBA 代码,所以我假设它是一个宏,这是我在 Word 文档中期望的。 TechHelpList.com指出该文件尝试下载 .EXE 但信息不明确。
鉴于这些文件的数量,我认为它们都是类似的,但有人能解释一下该文件到底试图完成什么吗?EXE 是嵌入的,还是试图下载?对于后者,Word 是否会警告您,或者提供不运行宏的选项?
我有 Office 2013,因此假设 .doc 文件中的宏不会自动运行,但我试图说服我那些害怕 IT 的朋友和家人不要靠近它们。
答案1
我自己也见过类似的假发票 - 同样,在隔离的虚拟机中进行检查时 - 宏会尝试执行远程 .exe 或 .bat 文件。它们可能会或可能不会自动运行 - 这取决于您在 word/excel/等中的宏安全设置...
您会发现,当调用或加载 .exe 时,防病毒软件会阻止它(假设),但根据 AV 的定义,发票本身并不是恶意的,因为它所做的只是打开另一个文件。
这与具有打开外部应用程序(如画图、计算器、记事本等)的宏的文件没有什么不同 - 造成损害的不是文件,而是它打开的 exe。
AV 很智能,但通常还不够智能,无法读取/分析代码,然后跟随外部的链接到达远程 exe 并对其进行扫描。
至于它们能做什么 - 可以是任何事情 - 限制只是程序员能想象到的。这些类型的可执行文件携带的常见病毒包括:
- Ransomwear(见本文例如)
- 服务编辑(用修改后的副本替换重要的 Windows 服务,该副本会监视你的活动并向某处的创建者报告)
- 恶意软件安装(安装静默远程控制应用程序,以便用户可以入侵您的电脑)
- 键盘记录(将每次按键的列表发回给创建者,包括你的密码!)这个列表几乎是无限的
您能做什么来预防呢?
- 保持 Windows/应用程序为最新版本并完全修补
- 定期使用完全更新的防病毒软件/反间谍软件/反恶意软件进行扫描
- 除非在沙盒虚拟机中工作,否则不要打开附件
- 保留好备份,这样如果感染了病毒,就可以彻底清除
- 除非你期待收到附件,否则不要打开它们。立即删除它们。如果后来发现这是真正的附件,它们随时可以再次发送