江民公司反病毒中心近日截获一个利用PowerPoint 0day漏洞传播的恶意PPT文档(Exploit.PPTDownloader)。该文档是作为邮件附件的形式发送的,一旦打开此文档内嵌其中的恶意代码会下载并运行后门程序,进而完全控制用户计算机。
目前,微软还没有发布关于此漏洞的补丁程序。
“老外看上海”照片看不得
江民反病毒专家介绍,该恶意PPT文档伪装成一组“老外拍摄的上海照片”通过邮件传播,邮件主题为“老外看上海”,内容为“一组老外拍摄的上海照片”,附件为8704字节的“照片.ppt”文件,该文件即是利用最新PowerPoint 0day漏洞的恶意文档。用户一旦使用PowerPoint打开此文档,即会发生错误提示,同时导致该恶意文档中的代码运行,下载并执行http: //218.75.***.130/teacher.exe后门程序。
Teacher.exe运行后,将在系统目录下创建大小为43520字节的explorer.exe文件,并在注册表中添加相关启动项,从而使病毒与操作系统同步运行。专家介绍,感染Teacher.exe后,用户计算机将被黑客远程控制。
微软漏洞近期被集中攻击
江民反病毒专家介绍,自从今年5月下旬,Word的一个0day严重漏洞被发现以来,Office就成为黑客寻找漏洞的乐园。在不到2个月的时间内,微软Office用户最多的三大产品———Word、Excel和 PowerPoint都先后出现了严重安全漏洞,而且PowerPoint的漏洞目前还没有补丁。微软在6月13日发布6月份安全更新时提供了Word 0day漏洞的补丁;但就在14日,Ex-cel的严重漏洞又被曝光。7月11日,微软发布了若干关于Excel和Office的补丁,可是仅仅过了2 天,PowerPoint的0day漏洞就又出现了。黑客故意在微软每月安全更新后不久释放利用新漏洞的恶意Of-fice文档,这样,如果微软不发布紧急补丁,这些新漏洞将有1个月左右的“无补丁期”。
恶意文件可能就是“国产”
江民科技反病毒专家进一步介绍,从已经截获的样本看,该恶意文件很可能是中国黑客制作的,并且很有可能进一步流行起来。专家分析,我国网民的安全意识薄弱和网络使用习惯可能会助长该恶意文件的进一步传播。一般人们认为Office文档比 EXE程序安全得多,所以常常随意点击打开,此外,目前网络用户喜欢把一些笑话、图片、祝福做成Office文档,然后互相转发,病毒很容易伪装成这类用于休闲的文档,考虑到目前给Office打补丁的用户比给Windows打补丁的用户还要少得多,而此类Office文档木马生成器制作技术难度不大,因此,对于此类恶意Office文档的流行情况专家表示不容乐观。
针对该恶意文件,江民杀毒软件KV系列产品已紧急升级,用户只需升级到最新病毒库即可有效防杀该恶意程序。江民公司再次提醒广大用户,不要轻易打开来源不明的Office文档,特别是Word、Ex-cel和PowerPoint文档。并且要及时升级杀毒软件,安装微软提供的Office补丁,以免遭到病毒侵害。