Excel惡意信件 中華數位可防禦
近期中華數位垃圾訊息研究中心ASRC蜜罐收到一系列主旨爲“Unpaid invoice[ID:隨機數字]的信件,其中都夾帶了副檔名爲IQY的檔案。
ASRC進一步分析發現,惡意信件所夾帶的IQY附檔本體不含惡意行爲,因此可輕鬆規避防毒軟體的檢查,不過危險性相當高,若不慎執行,則電腦可能會被植入Flawed Ammy RAT後門。目前中華數位SPAM SQR已可防禦這類攻擊。
IQY爲Microsoft Excel所使用的Web查詢設定檔,Excel讀取該檔後會連向指定的網址取得資料。由於IQY爲純文字格式,預設的檔案開啓程式又是Excel,攻擊者便利用這個特性,將惡意的網址寫入IQY檔,欺騙使用者開啓檔案後連外取得惡意程式回來執行,IQY的純文字內容並不含有惡意行爲,因此也能有效規避防毒軟體的檢查。若是Excel有較安全的連線設定則可以不必太擔心,若使用者不慎執行了IQY檔,Excel也會出現提示,向使用者確認是否真的要執行程式,此時應立即停用拒絕執行!
中華數位表示,目前中華數位SPAM SQR已可防禦這類攻擊。提醒使用SPAM SQR的用戶保持系統與特徵定期更新,以達到最佳防禦效果。