小心投影片有毒! PPT成病毒传播新媒介

实习记者黄肇祥综合报导

经验电脑使用者会借由档案后面的附档名,判断是否为可疑的病毒档案,不过趋势科技发现,近期有恶意人士使用微软著名的文书软体 PowerPoint(PPT)作为病毒入侵的媒介,让人防不慎防。

▲病毒会伪装成 PPT 档案,降低使用者戒心。(图/翻摄 Trendmicro)

「CVE-2017-0199」是微软一项零时差弱点,过去并非第一次遭到攻击,不过在趋势科技的报告中提到,透过 PPT 作为攻击媒介这也是他们第一次看到。恶意人士借由修改的 RTF 文件,让使用者的电脑遭到病毒入侵。传递的手法几乎大同小异,谎称网路业者,并在电子邮件中附加 PPT 可开启的 PPSM 格式档案,借此降低使用者戒心。

当使用者下载并开启含有病毒的 PPSM 文件,画面会显示「CVE-2017-8570」的文字,不过这串文字代表微软的另外一个漏洞,趋势科技发现实际上病毒真正入侵的路径仍是「CVE-2017-0199」。恶意程式透过 PPT 幻灯片的播放开始自行下载「logo.doc」病毒档案,该文件实际上是由 JavaScript 程式码撰写的 XML 文件,接着程式码会运行 PowerShell 的命令,下载恶意程式本体「RATMAN.exe」。

▲钻漏洞成功的病毒,会偷偷植入恶意程式。(图/翻摄 Trendmicro)

过往针对「CVE-2017-0199」漏洞的预防几乎专注于 RTF 文件,但透过 PPT 文件作为掩护,病毒成功绕过防护网进入电脑。病毒本身是由远端连线工具「Remcos」改版而来的木马程式,伤杀力与一般病毒相同,会擅自操控荧幕截图、监控摄影机麦克风,并且进一步下载更多恶意软体,以完整控制整台电脑。

微软已经在四月释出漏洞的安全补丁,若有更新的用户将免于这次病毒的攻击,不过要避免病毒入侵,根本的解决方式还是避免下载来源不明的档案,网路钓鱼的手法越来越高明,光从副档名已经无法分辨病毒,使用者必须注意未知的电子邮件,别忘了好奇心杀死一只猫,要毁掉一台电脑也不是难事啊!