惡意軟體已經針對 word和 excel檔案有好一段日子了,但趨勢科技最近看到乙個新的惡意軟體家族 – crigent(也被稱為「power worm」)帶來了一些新的技術。(趨勢科技將這些檔案偵測為w97m_crigent.jer和x97m_crigent.a。)
最引人注意的並不是建立或包含可執行程式**,而是 crigent 利用windows powershell來執行其程式。powershell是乙個功能強大的互動式 shell/指令碼工具,可用在windows的所有現行版本上(而且從windows 7開始內建);該惡意軟體會通過powershell指令碼來進行所有行為。it管理員通常會找的是惡意二進位制檔案而可能會忽略掉它,因為使用這種技術的惡意軟體並不常見。
到達及其他元件
攻擊者會去掩飾這兩個檔案(經由變更它們的檔名),並且隱藏dns記錄來掩蓋這些檔案的**。
命令與控制
除了上述行為,此指令碼也會在每次系統啟動時聯絡伺服器以取得命令。有關polipo和tor的埠也都會開啟。
感染word和excel檔案
然後在所有可用磁碟搜尋microsoft word或microsoft excel檔案檔案 – *.doc,*.docx,*.xls和*.xlsx。它也會關閉被感染檔案的「警告」和「巨集」以避免通知使用者。
所有現存的docx和xlsx檔案都會被轉換成之前的doc和xls格式,原本的檔案則會被刪除。乙個visual basic模組(包含了惡意巨集)會被建立,並且和所有的doc和xls檔案一起被儲存。開啟任何乙個其中檔案都會重新啟動這感染鏈。
除了會危害受感染系統的安全性,crigent也會感染檔案(其中可能包含重要的資料),並且可能會讓它們變成無用,因為其新的「格式」。企業和個人使用者可能會因此失去重要的資料。
偵測crigent
有幾種方法來偵測網路內的crigent存在。首先,polipo和tor出現在內部網路就應該是可疑的,這是網路管理者可以考慮用來尋找和阻止crigent及其他使用tor威脅的方式。
此外,值得一提的是,crigent會將感染的檔案以副檔名 – doc和xls儲存,而不是預設的檔案型別。office從版本2007開始就用docx和xlsx作為預設的副檔名,同時支援早期的檔案格式以做到向下相容。所以如果出現大量使用舊格式的新檔案就可能是出現crigent的訊號。
我們在2023年的安全**中指出,網路犯罪份子會使用tor來更深地隱藏自己的活動,這裡就是乙個好例子。他們還利用了powershell,乙個從windows 7開始的主要功能來進行其行為。再加上了使用正常的雲儲存**,更強調出網路犯罪分子是如何地利用正常服務和功能在他們的攻擊上。
趨勢科技會封鎖所有相關**和偵測相關惡意軟來體來保護使用者免於此惡意軟體。
jsp實現針對excel及word文件的列印方法
因為ms word和excel的文件都支援html文字格式,因此可以先用word或excel做好模版,另存為web頁,然後將該html改成jsp,將資料部分動態填入即可,不用很辛苦的調整格式 word頁面只要在jsp頭設定如下指令 複製 如下 程式設計客棧e application msword c...
excel和word的讀寫
word匯出 基於freamwork 100000 行級別資料的 excel 匯入優化之路 匯出excel資料 param list 寫出的 內容 param head 表頭 param out 輸出流 throws exception public static void writeexcel l...
在WORD和EXCEL中輸入面積和體積
我們在輸入面積和體積時,經常要輸入平方 上標2 和立方 上標3 先把資料都輸入單元格內,然後選中要成為上標的數字,單擊右鍵選設定單元格格式 word中為字型設定 在左下方可以看到上標和下標選項!ok 例子 先在單元格中輸入 x2 然後光選數字2,右擊,設定單元格格式,選上標!小寫的m立方的話有點不太...