垃圾郵件攻擊：加密Word文檔安裝Ursnif鍵盤記錄器

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全4月8日訊 近日，國外又一波垃圾郵件攻擊活動來襲。受害者收到一封冒充按要求提供發票的電子郵件，其中包含一個設置密碼保護的加密Word文檔附件。這些密碼保護Word文檔包含嵌入式VBScript文件，而這份文件將下載並安裝Ursnif鍵盤記錄器。

Word文檔設置了密碼保護時，也就成為了加密文件。惡意軟體傳播者希望通過發送這類加密Word文檔以躲避安全軟體檢測。

垃圾電子郵件內容還提供了接收人需要用來打開附件的密碼，如下圖：

當打開附件時，用戶會被要求輸入密碼，如下圖：

一旦用戶輸入密碼，就會出現一個Word文檔，其中包含三個其它的嵌入式文件。

如果用戶點擊這些附件，但是並不是普通的打開方式，要求運行VBScript文件，如下圖：

如果用戶繼續點擊打開按鈕，文件將會啟動腳本，將一個DLL下載到%AppData%文件夾，並安裝Ursnif鍵盤記錄器。

一旦Ursnif安裝就緒，就會自動創建%UserProfile%AppDataRoamingMicrosoftCryplAPIaeevtall.dll，並自動運行將DLL複製到該目錄下，在登錄時載入DLL。

自動運行如下：

一旦啟動，Ursnif將會記錄受害者的擊鍵、打開的程序、創建的文件和複製到Windows剪貼板的數據，並將這些數據保存到%Temp%文件夾中的日誌文件。這些日誌文件將以.bin結尾的擴展名被隨機命名。例如，日誌文件可能被命名為ja71.bin。這些文件實際上是可以提取的檔案文檔，以查看將發送到TOR伺服器（惡意軟體開發人員控制的）的數據。

常規郵件中的病毒特點是以破壞為主

1、感染速度快

在單機環境下，病毒只能通過U盤或光碟等介質，從一台計算機傳染到另一台，而在網路中、則可以通過諸如電子郵件這樣的網路通訊機制進行迅速擴散。根據測定，針對一台典型的PC網路在正常使用情況，只要有一台工作站有病毒，就可在幾十分鐘內將網上的數百台計算機全部感染。

2、擴散面廣

由於電子郵件不僅僅在單個企業內部傳播，這直接致使「郵件病毒」的擴散不僅快，而且擴散範圍很大，不但能迅速傳染區域網內所有計算機，還能通過將病毒在一瞬間傳播到千里之外。

3、清除病毒困難

單機上的計算機病毒有時可通過刪除帶毒文件，格式化硬碟等措施將病毒徹底清除。而企業中的計算機一旦感染了病毒，清除病毒變得非常困難，剛剛完成清除工作的計算機就有可能被網路中另一台帶毒工作站所感染，使得郵件病毒變得非常困難了。

4、破壞性大

網路中的計算機感染了郵件病毒之後，將直接影響網路的工作，輕則降低速度，影響工作效率，重則使網路及計算機崩潰，資料丟失。

5、隱蔽性

郵件病毒與其他病毒相比，更隱蔽。一般來說，郵件病毒通常是隱蔽在郵件的附件中，或者是郵件的信紙中，這一定程度上會加速病毒的泛濫，也增加了查殺病毒的難度。

常規的郵件中的病毒更偏向於破壞用戶數據或者正常秩序，隨著黑客技術的不斷提升以及人們在互聯網、物聯網等關聯性的不斷複雜，個人數據越來越具有利用價值，電子郵件中的「病毒」形式也在不斷變化，Ursnif鍵盤記錄器更傾向是一個間諜，時刻監視著用戶。

E安全小編在此提醒大家，雖然郵件「病毒」形式日新月異，謹慎使用電子郵件仍然可以幫您有效避免這類網路攻擊。

常規電子郵件安全措施：

1、電子郵件密碼要有基本的複雜度：至少設置8位以上，包括數字、特殊符號、大小寫字母。

2、不打開陌生人（未知）發送的電子郵件：不要點擊陌生人發送的郵件中的附件，不要相信天上掉餡餅的事情。

3、藉助殺毒軟體：在下載附件的時候自動進行病毒查殺。

4、如果發送者是認識的人，若被要求啟動宏或執行一些奇怪的操作，最好與發送者確認郵件是否由本人發送。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com