اخبار و رویدادها اخبار و رویدادها

هشدار مهم : پیوست اکسل هرزنامه، بدافزار دانلود می‌کند

 به تازگی هرزنامه ای که یک فایل در ظاهر بی خطر Excel به آن پیوست شده، کاربران را در کشورهای مختلف از جمله ایران هدف قرار داده است. فایل Excel پیوست این هرزنامه، Macro آلوده ای است که به محض اجرا شدن، اقدام به دریافت بدافزارهای خطرناک همچونDridex،وDyreza و CryptoLocker نموده و آنها را بر روی کامپیوتر قربانی نصب و اجرا می کند.

در نمونه های مشاهده شده، در این هرزنامه از یکی از عناوین زیر استفاده شده است:

IMPORTANT. FDIC. FED Wire and ACH Restrictions

IMPORTANT! Restrictions Applied!

FED Wire and ACH Restrictions Applied

FEDERAL RESERVE BANK. Attention!

IMPORTANT NOTIFICATION!

همچنین هرزنامه مذکور حاوی پیامی به شکل زیر است. البته این هرزنامه به حالت "فقط متن" هم مشاهده شده است.

هر چند که به نظر نمی رسد عناوین و پیام این هرزنامه برای کاربران جذابیتی داشته باشد اما این تصور که فایل های غیر اجرایی همچون فایل های Excel نمی توانند بدافزار باشند، سبب شده که برخی از هموطنان نیز اقدام به باز کردن پیوست این هرزنامه کنند.

بسیاری از محصولات شرکت مایکرسافت، از جمله نرم افزار Office، بخشی با عنوان Visual Basic for Applicationsب(VBA) دارند. فایل های حاوی کدهای VBA به فایل های Macro معروف هستند. کدهای VBA سبب سرعت بخشیدن به اموری می شوند که روالی تکرار شونده دارند.

بدافزارنویسان حدود یک دهه قبل بطور گسترده ای از فایل های Macro برای انتشار بدافزارهای خود سوء استفاده می کردند. همین موضوع سبب شد که شرکت مایکروسافت در نسخه های ۲۰۱۰ و ۲۰۱۵ نرم افزار Office امکان Macro را به صورت پیش فرض غیرفعال کند.

چند توصیه:

  • از ضدویروس قدرتمند و به روز استفاده کنید به کاربران ضد ویروس  McAfee توصیه می شود از این فایل به روز رسانی موقت (EXTRA DAT) که حاوی فرمول شناسایی آخرین گونه های فایل Excel مخرب است، استفاده کنند. این بروز رسانی در شبکه دانشگاه تهران به صورت اتوماتیک از سرور ضدویروس دریافت شده و نیازی به تنظیمات توسط کاربر نمیباشد.
  • در صورتی که بخش Macro را در نرم افزار Office خود غیرفعال کرده اید، در زمان باز کردن فایل های Macro با پیامی روبرو می شوید که از شما می خواهد برای استفاده از کدهای VBA بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهید. اگر فایل را کمی مشکوک دیدید از باز کردن آن صرف نظر کنید.
  • حتی الامکان در زمان باز کردن فایل های Office که از طریق ایمیل دریافت کرده اید، آنها را از حالت Protected View خارج نکنید.

این گزارش توسط شرکت مهندسی شبکه گستر در تاریخ 4 آذر ماه 1394 منتشر شده است.

مرکز فناوری اطلاعات و فضای مجازی دانشگاه تهران

آدرس کوتاه :