هشدار مهم : پیوست اکسل هرزنامه، بدافزار دانلود می‌کند

۲۹ آذر ۱۳۹۴ | ۰۹:۱۳ کد : ۲۷۶۴ اخبار اخبار علمی-فناوری
تعداد بازدید:۲۰۲۸
هشدار مهم : پیوست اکسل هرزنامه، بدافزار دانلود می‌کند

به‌تازگی هرزنامه‌ای که یک فایل در ظاهر بی خطر Excel به آن پیوست شده، کاربران را در کشورهای مختلف از جمله ایران هدف قرار داده است. فایل Excel پیوست این هرزنامه، Macro آلوده‌ای است که به محض اجرا شدن، اقدام به دریافت بدافزارهای خطرناک همچون Dridex، و Dyreza و CryptoLocker نموده و آنها را بر روی کامپیوتر قربانی نصب و اجرا می‌کند.

در نمونه‌های مشاهده شده، در این هرزنامه از یکی از عناوین زیر استفاده‌شده است:

  • IMPORTANT. FDIC. FED Wire and ACH Restrictions
  • IMPORTANT! Restrictions Applied!
  • FED Wire and ACH Restrictions Applied
  • FEDERAL RESERVE BANK. Attention!
  • IMPORTANT NOTIFICATION!

همچنین هرزنامه مذکور حاوی پیامی به شکل زیر است. البته این هرزنامه به حالت “فقط متن” هم مشاهده‌شده است.

 

هرچند که به نظر نمی‌رسد عناوین و پیام این هرزنامه برای کاربران جذابیتی داشته باشد اما این تصور که فایل‌های غیر اجرایی همچون فایل‌های Excel نمی‌توانند بدافزار باشند، سبب شده که برخی از هموطنان نیز اقدام به باز کردن پیوست این هرزنامه کنند.

بسیاری از محصولات شرکت مایکروسافت، از جمله نرم‌افزار Office، بخشی با عنوان (Visual Basic for Applications (VBA دارند. فایل‌های حاوی کدهای VBA به فایل‌های Macro معروف هستند. کدهای VBA سبب سرعت بخشیدن به اموری می‌شوند که روالی تکرارشونده دارند.

بدافزار نویسان حدود یک دهه قبل بطور گسترده‌ای از فایل‌های Macro برای انتشار بدافزارهای خود سوءاستفاده می‌کردند. همین موضوع سبب شد که شرکت مایکروسافت در نسخه‌های ۲۰۱۰ و ۲۰۱۵ نرم‌افزار Office امکان Macro را به صورت پیش فرض غیرفعال کند.

چند توصیه:

  • از ضدویروس قدرتمند و به روز استفاده کنید. به کاربران ضدویروس McAfee توصیه می‌شود از این فایل به روز رسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین گونه‌های فایل Excel مخرب است، استفاده کنند. این بروز رسانی در شبکه دانشگاه تهران به صورت اتوماتیک از سرور ضدویروس دریافت شده و نیازی به تنظیمات توسط کاربر نمی‌باشد.
  • در صورتی که بخش Macro را در نرم‌افزار Office خود غیرفعال کرده‌اید، در زمان باز کردن فایل‌های Macro با پیامی روبرو می‌شوید که از شما می‌خواهد برای استفاده از کدهای VBA بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهید. اگر فایل را کمی مشکوک دیدید از باز کردن آن صرف‌نظر کنید.
  • حتی‌الامکان در زمان باز کردن فایل‌های Office که از طریق ایمیل دریافت کرده‌اید، آنها را از حالت Protected View خارج نکنید.
 
این گزارش توسط شرکت مهندسی شبکه گستر در تاریخ ۴ آذرماه ۱۳۹۴ منتشرشده است.

مرکز فناوری اطلاعات و فضای مجازی دانشگاه تهران


نظر شما :