科技日新月異,不肖人士在病毒開發的技術上也日新月異,曾經很多人以為 mac OS 中獎概率比 Windows 作業平台低得多,警戒心也鬆懈不少,沒料到的是現在竟然出現了可同時感染兩大作業平台的智慧型病毒,實在叫人防不勝防。
可同時感染 mac OS 和 Windows 的惡意 Macro 文件現身,可疑 Word 檔不要輕易下載與開啟

FortiGuard 實驗室日前發現一種新型態惡意軟體,它潛藏於 Word 的 Macro 文件中,並且可以同時感染 mac OS 和 Windows 使用者,此外這款惡意軟體非常智慧化,根據使用者操作方式的不同來修改攻擊方式。這個 Macro 文件中包含使用 VBA 程式碼(Visual Basic for Applications),可以在文件被開啟實自動運行,假如你禁用了 Word 的 Macro 功能,或僅是線上預覽,文件中將包含一張圖片,試圖誘使用戶下載並開啟 Macro 功能。
可同時感染 mac OS 和 Windows 的惡意 Macro 文件現身,可疑 Word 檔不要輕易下載與開啟
▲ 當你禁用了 Word 的 Macro 功能或僅是線上預覽,文件中將包含一張圖片,並誘使你下載並啟用 Macro 功能。

執行後, Macro 會讀取並解碼 Word 文件中註解屬性的 64 位元基礎數據,在解碼後可得到一段 Python 腳本,它會試圖檢測你開啟這份文件的作業系統,以便依據你的作業系統不同而選擇該運行的攻擊動作,研究人員表示這段 VBA 程式碼是基於 Metasploit 框架所創建的修改版本。
可同時感染 mac OS 和 Windows 的惡意 Macro 文件現身,可疑 Word 檔不要輕易下載與開啟
▲ Word 文件屬性的註解

倘若惡意軟體檢測到運行的是 mac OS,另外一個 Python 腳本會開始運行並解壓 64 位元編碼數據中的程式碼,並從特定的 URL 下載和運行文件,下載的 meterpreter 文件中又包含另外一個 基於 Metasploit 框架修改的 Python 腳本,這個腳本會動態執行伺服器端發出的命令;若檢測系統為 Windows,腳本則會進行另外一種攻擊。
可同時感染 mac OS 和 Windows 的惡意 Macro 文件現身,可疑 Word 檔不要輕易下載與開啟
▲依據運行作業系統,調用不同的伺服器與攻擊方式

雖然根據 FortiGuard 實驗室的測試,無論是 mac OS 或 Windows 平台上肆虐的攻擊都不會直接毀損和洩漏你的個人資訊與數據,不過一但被感染,你的電腦就會像被注射了變種病毒的喪屍一樣,隨時待命等候不肖人士從伺服器端所發出的各種指令,所以何時會爆發都是未知數。想要防範病毒的方法除了定期掃毒之外,個人的網路使用習慣也很重要,不要下載有任何疑慮的文件或信件中的附檔,好奇心常常是辦壞事的源頭啊!
【查看 FortiGuard 報告英文全文,點這裡】

閱讀全文