宏是自动执行 office Microsoft 常见任务的强大方法,可提高工作效率。 但是,宏恶意软件使用此功能来感染设备。
宏恶意软件的工作原理
宏恶意软件隐藏Microsoft Office 文件中,以电子邮件附件或 ZIP 文件的形式传递。 这些文件使用旨在引诱或恐吓用户打开它们的名称。 它们通常看起来像发票、收据、法律文档等。
宏恶意软件在几年前相当普遍,因为每当打开文档时,宏都会自动运行。 在最新版本的 Microsoft Office 中,宏默认处于禁用状态。 现在,恶意软件作者需要说服用户打开宏,以便其恶意软件可以运行。 他们试图通过在打开恶意文档时显示虚假警告来吓唬用户。
我们已看到宏恶意软件从以下系列下载威胁:
Ransom:MSIL/Swappa
Ransom:Win32/Teerac
TrojanDownloader:Win32/Chanitor
TrojanSpy:Win32/Ursnif
Win32/Fynloski
Worm:Win32/Gamarue
如何防范宏恶意软件
确保在 Microsoft Office 应用程序中禁用宏。 在企业中,IT 管理员为宏设置默认设置:
在 Office 文档中启用或禁用宏
不要打开可疑电子邮件或可疑附件。
删除来自未知人员或包含可疑内容的任何电子邮件。 垃圾邮件是宏恶意软件传播main方式。
企业可以使用 ASR 规则阻止宏恶意软件运行可执行内容
有关保护自己免受可疑电子邮件攻击的更多提示,请参阅 钓鱼。
有关更多常规提示,请参阅 防止恶意软件感染。