通过RTF漏洞网络攻击再现 腾讯电脑管家RTF漏洞免疫工具一键防御

2017-07-19 来源:原创 作者:腾讯电脑管家
【文章摘要】近日,腾讯安全反病毒实验室发现有邮件附件利用CVE-2017-0199漏洞进行APT攻击。一旦有人打开邮件附件的文档,就会触发漏洞,下载并执行恶意后门,窃取用户隐私。腾讯电脑管家早已针对该漏洞推出了RTF漏洞免疫工具,帮助大家修复,请大家提高警惕。

继7月13日腾讯电脑管家监测发现“谍者”病毒通过RTF漏洞(CVE-2017-0199)发起攻击之后,近日腾讯安全反病毒实验室再次发现一起利用该漏洞发起的网络攻击。此次不法分子通过邮件附件的形式,利用该漏洞发起APT(高级持续性威胁)攻击,收件方的邮箱地址指向一些欧美大型制造业公司,通过多层加密和混淆后下载执行恶意后门程序,对企业商业机密安全造成威胁。目前全球多国均出现受害用户,同时广东、河北、江苏等国内部分地区也发现有用户中招。

目前, 腾讯电脑管家已针对CVE-2017-0199漏洞,开发了RTF漏洞免疫工具(下载地址:https://t.cn/RK2zgqT),帮助用户修复漏洞。并且腾讯电脑管家和哈勃分析系统针对此次攻击的各环节样本,以及能够查杀。如果用户接收到来历不明的文件,可以使用腾讯电脑管家进行扫描,或者上传哈勃分析系统(下载地址:https://habo.qq.com/)进行分析,广大用户不必惊慌。

据腾讯安全反病毒实验室安全专家指出,CVE-2017-0199漏洞是今年发现的一个较新的Office漏洞。当中招员工打开邮箱附件的文档后,就会自动触发该漏洞,该漏洞会下载一个hta文件解密运行,进而下载攻击载荷窃取用户隐私,而攻击载荷可接受66多种指令,包括录音、录像、键盘记录、远程执行等高危行为,对企业用户的商业机密信息造成严重威胁。

(此次APT事件的攻击过程)

事实上,在本月中上旬,腾讯电脑管家就检测到了利用CVE-2017-0199漏洞的攻击行为,不法分子将病毒伪装成合同文件,通过邮件传播。用户一旦运行该文件,就会触发该漏洞并自动下载后门程序,使电脑沦为“肉鸡”,被黑客操控。腾讯电脑管家将该病毒命名为“谍者”,并第一时间拦截查杀。

腾讯电脑管家安全专家分析指出,“谍者”病毒和本次APT攻击都采用了“鱼叉式钓鱼”攻击法,往往通过一系列社会高度关注的热点或目标人群比较关心的主题,将木马程序作为电子邮件的附件,并编造一个极具诱惑力的名称,如“本月工资明细”、“本月异常出勤通知”、“xx明星演唱会内部票抢购”等等,发送给用户,诱使受害者打开附件,从而感染木马,令人防不胜防。

目前微软官网已发布office2013 sp1、office2007 sp3、office2010 sp2、office2016等版本的补丁更新,用户可使用腾讯电脑管家修复漏洞。此外,针对部分因Office版本过低而无法更新补丁的用户,腾讯电脑管家已紧急开发RTF漏洞免疫工具,用户可使用该专项工具,及时给系统打上热补丁。

除此之外,腾讯安全反病毒实验室安全专家还建议广大用户,切勿点击来历不明的文件,可以使用腾讯电脑管家对其进行扫描,或者上传哈勃分析系统进行分析,保障电脑安全。


电脑管家 V16

全新上线 更轻更快