今年年初以來，微軟觀察到使用宏的惡意軟件數(shù)量迅速增加。宏病毒在多年前曾經(jīng)非常流行，之后便銷聲匿跡。如今這種“古老”的攻擊方式結(jié)合釣魚郵件、社會工程學進行傳播，大有卷土重來之勢。

數(shù)量大幅回升

在2006年左右，大量的惡意軟件都通過Word/Excel宏的方式傳播到受害者電腦上，惡意軟件的執(zhí)行都依賴于“自動執(zhí)行宏”選項，當時通過這種方式傳播還比較有效。雖然之后“宏病毒”消失于人們的視野，但在今年，包含惡意軟件的宏數(shù)量再次上升，并且新的惡意軟件更加高級，有些還使用社會工程學手段來誘導用戶啟用宏。

在今年年初，微軟惡意軟件防護中心(MMPC)發(fā)出警報，提示使用基于宏的木馬來傳播惡意代碼惡意感染活動的激增。微軟的研究人員發(fā)現(xiàn)基于開啟宏的惡意軟件迅速增加，其中最活躍的惡意代碼包括Adnel和Tarbir。此外，去年TrendLabs實驗室的專家們發(fā)現(xiàn)，網(wǎng)絡攻擊者使用Windows PowerShell命令并通過惡意宏下載器傳播ROVNIX。今年年初，專家們注意到網(wǎng)絡罪犯在Microsoft Word中使用惡意宏傳播網(wǎng)銀木馬VAWTRAK。

勒索軟件常用

一個實際的例子就是Dridex銀行木馬和勒索軟件TorrentLocker，兩者都是通過宏來傳播。通常來說，都是以包含感染宏的惡意郵件開始，這些宏會包括一個XML文件，攻擊者會利用該XML文件來誘導用戶啟用宏。

Trustwave Karl Sigler的研究員解釋道：

“XML文件是辦公文檔doc舊的二進制格式，一旦你雙擊打開它，與Microsoft Word關(guān)聯(lián)的文件也會打開。”

微軟惡意軟件防護中心對攻擊者所采用的手段做了如下評論：

“瞄向郵件用戶并包含惡意代碼的宏文檔會故意激起受害者的好奇心，通常其主題會包括銷售發(fā)票、聯(lián)邦稅收單、快遞通知、簡歷及捐款確認等，這通常能夠輕易誘導受害者閱讀郵件并打開附件，而打開附件時通常會要求啟用宏，如果用戶在不知情的情況下啟用了宏，那么基于宏的惡意軟件也會運行。”

當用戶上鉤之后，惡意軟件就開始運行并執(zhí)行操作：下載有效載荷、安裝其他軟件、遠程連接到服務器并安裝更多令人厭煩的軟件。

安全建議

為了防范基于宏的惡意軟件，用戶需要確保默認情況下宏被禁用，并時刻注意你點擊和授權(quán)的文件。