香港独立IP空间
香港php空间
美国php空间
域名注册

 一、病毒介绍

近日有研究人员发现了一种通过OFFICE 使用DDE进行攻击的方法。通过DDE在OFFICE中执行任意文件,这种攻击方式不依赖于OFFICE漏洞或者宏。攻击者可以通过社工方式发送钓鱼邮件诱使受害者打开office文档,一旦受害者打开文档,并且点击了允许更新引用,恶意代码就会执行。

在Windows系统中,各个应用程序之间常常需要交换、传递数据,动态数据交换(DDE)技术就是为了进程之间更方便传递数据提出的,最早是随着Windows 3.1由微软公司实现的进程间的数据通信的协议。动态数据交换(DDE)已经成为Windows的一部分,并且很多Windows应用程序都使用了DDE技术来实现进程之间的数据交换,而office也支持这个协议。

二、病毒攻击过程

攻击者首先构造office文档 通过添加域的方式 插入恶意代码。

当受害者打开word之后 就会弹出如下窗口,会提示是否允许,此时如果点击 “是” ,恶意代码就会运行起来。

图1 见到这个提示,说明你已经中了最新的office病毒!

可以看到恶意代码成功执行,弹出了windows计算器

图2 见到这个提示,说明你已经中了最新的office病毒!

上面我们为了演示弹出了一个计算器,在实际的攻击行动中,攻击者可以写入powershell 、vbs等脚本,执行更多恶意功能,还可以下载并运行更多恶意程序,可谓是非常危险的漏洞。

图3 见到这个提示,说明你已经中了最新的office病毒!

三、防御措施

防御这种攻击,需要做到以下几点:

1、避免打开未知来源的文档

2、慎重决定是否点允许

3、安装杀毒软件拦截查杀

本文地址:http://www.51php.com/safety/25630.html

喜欢本文或觉得本文对您有帮助,请分享给您的朋友 ^_^

阅读本文的人还阅读: