به تازگی هرزنامه ای که یک فایل در ظاهر بی خطر Excel به آن پیوست شده، کاربران را در کشورهای مختلف از جمله ایران هدف قرار داده است.
فایل Excel پیوست این هرزنامه، Macro آلوده ای است که به محض اجرا شدن، اقدام به دریافت بدافزارهای خطرناک همچون:
Dridex،وDyreza و CryptoLocker نموده و آنها را بر روی کامپیوتر قربانی نصب و اجرا می کند.
در نمونه های مشاهده شده، در این هرزنامه از یکی از عناوین زیر استفاده شده است:
-
IMPORTANT. FDIC. FED Wire and ACH Restrictions
-
IMPORTANT! Restrictions Applied!
-
FED Wire and ACH Restrictions Applied
-
FEDERAL RESERVE BANK. Attention!
-
IMPORTANT NOTIFICATION!
همچنین هرزنامه مذکور حاوی پیامی به شکل زیر است. البته این هرزنامه به حالت “فقط متن” هم مشاهده شده است.
هر چند که به نظر نمی رسد عناوین و پیام این هرزنامه برای کاربران ایرانی جذابیتی داشته باشد اما این تصور که فایل های غیر اجرایی همچون فایل های Excel نمی توانند بدافزار باشند، سبب شده که برخی از هموطنان نیز اقدام به باز کردن پیوست این هرزنامه کنند.
گردانندگان هرزنامه مزبور، مرتباً، در حال تغییر امضای فایل Excel مخرب هستند. Macro منتشر شده توسط این هرزنامه برای دریافت بدافزارها به دامنه هایی با پسوند ru (متعلق به کشور روسیه) متصل می شود.
بسیاری از محصولات شرکت مایکرسافت، از جمله نرم افزار Office، بخشی با عنوان Visual Basic for Applicationsب(VBA) دارند. فایل های حاوی کدهای VBA به فایل های Macro معروف هستند. کدهای VBA سبب سرعت بخشیدن به اموری می شوند که روالی تکرار شونده دارند.
بدافزارنویسان حدود یک دهه قبل بطور گسترده ای از فایل های Macro برای انتشار بدافزارهای خود سوء استفاده می کردند. همین موضوع سبب شد که شرکت مایکروسافت در نسخه های ۲۰۱۰ و ۲۰۱۵ نرم افزار Office امکان Macro را به صورت پیش فرض غیرفعال کند.
چند توصیه:
-
از ضدویروس قدرتمند و به روز استفاده کنید. ضدویروس Bitdefender، پیوست این هرزنامه های مخرب را با نام W97M.Downloader.AGX شناسایی می کند. همچنین به کاربران محصولات سازمانی McAfee توصیه می شود از این فایل به روز رسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین گونه های فایل Excel مخرب است، استفاده کنند. راهنمای قرار دادن Extra DAT در ابزار مدیریتی McAfee ePolicy Orchestrator را در "راهنمای قرار دادن Extra DAT در ابزار مدیریتی McAfee ePO" مشاهده کنید.
-
در صورتی که بخش Macro را در نرم افزار Office خود غیرفعال کرده اید، در زمان باز کردن فایل های Macro با پیامی روبرو می شوید که از شما می خواهد برای استفاده از کدهای VBA بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهید. اگر فایل را کمی مشکوک دیدید از باز کردن آن صرف نظر کنید.
-
حتی الامکان در زمان باز کردن فایل های Office که از طریق ایمیل دریافت کرده اید، آنها را از حالت Protected View خارج نکنید.
-
ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزاتی همچون Sophos UTM بهره بگیرید. همچنین برای این مورد خاص، می توانید از طریق بخش Email Protection این تجهیزات امنیت شبکه، ایمیل های حاوی متن مورد استفاده این هرزنامه را، قبل از رسیدن به دست کاربر مسدود کنید.
فسا-پسا
