【文章摘要】近期腾讯反病毒实验室发现了一批通过邮件附件传播的带有宏病毒代码的office文档,该文档会诱导用户开启office宏功能,进而执行恶意宏代码。
宏病毒是一种使用应 用程序自身的宏编程语言编写的一段代码序列,寄存在文档或模板的宏中。word、excel等office办公软件提供了Visual Basic语言编 写宏代码,一旦其系统中的模板包含了宏病毒,那么由于word、excel等文件的拷贝、传播速度快,会导致所包含的宏病毒大面积、快速的传播。
样本分析
近期腾讯反病毒实验室发现了一批通过邮件附件传播的带有宏病毒代码的office文档,该文档会诱导用户开启office宏功能,进而执行恶意宏代码。
由于office中 的宏在默认情况下是设置为“禁用”的,用户在打开包含此类宏病毒的doc、xls文件时,则会提示 “Macros must be enabled to display the contents of the document”,要求用户必须将 宏设置打开,否则将无法看到所打开文档的真正内容。而用户一旦打开宏设置,则该文档所包含的宏病毒代码即可执行,进而危害用户电脑。
此类宏病毒主要是从恶意网站上下载软件到被感染机器上,它将下载网址做了一定的混淆处理,以躲避杀软的查杀。在下载完成之后则直接通过命令行运行所下载的文件,并在运行结束之后关闭命令行程序,使用户不知情的情况下执行了恶意程序,对用户电脑造成损害。
腾讯反病毒实验室建议:
不要轻易打开不明来源、邮件附件中不明内容的office文档;
禁用office中的宏设置,这样可以避免恶意宏代码在打开文档时自动执行;
腾讯电脑管家已可以对此类风险全面处理,确保用户电脑安全。
