圖片來源: 

維基共享資源;作者:GrahamColm

還記得1990年代後期專門感染微軟Office文件的巨集病毒(Macro virus)嗎?雖然該類型的病毒過去5年來幾乎已消聲匿跡,不過資安業者Sophos的威脅研究人員Gabor Szappanos於新發表的文章中表示,巨集病毒已在這幾個月又開始復活了。

巨集病毒是以巨集語言所撰寫的病毒,該語言可包裝指令以執行特定的操作,且經常被嵌入像是Word等Office文件中。由於微軟的Visual Basic for Applications(VBS)語言可撰寫巨集功能,也成為巨集病毒的主要撰寫語言之一。

Szappanos說明,VBA巨集病毒在1990年代後期非常活躍,但自2001年後逐漸沒落,最近這5年,由於微軟強化了Office產品的安全保護,而讓外界以為巨集病毒已經絕種,然而,他最近發現VBA巨集病毒回來了,而且不再只是個會自我複製的病毒,而是會利用Office的產品漏洞來植入後門或下載木馬程式。

先前微軟為了防止VBA病毒的攻擊,從Office 2007就關閉了VBA巨集的自動執行功能。不過,駭客透過社交工程手法以特定的內容來引誘使用者啟用巨集,進而開啟感染大門。從今年1月迄今,市場上至少出現了75款變種的VBA巨集病毒。

根據Szappanos的觀察,駭客是在今年的1月3日建立此一VBA木馬程式家族,並藉由開發各種不同的內容與變更巨集程式碼很快創造大量的惡意檔案,在感染使用者後即安裝各種惡意程式,例如鎖定網路銀行的AutoIt、鎖定.NET平台的DotNET病毒,以及允許駭客遠端存取的Simda等。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容