Dridex是一种银行恶意软件,它使用宏在Windows系统上传播。垃圾邮件附件被用来传播这种感染。银行恶意软件通常是主要的记录程序。他们欺骗用户打开附件。然后,它将击键记录在用户的计算机上,并将其用于自己的利益。最近发现的Dridex订婚包含PDF文件作为载体。附件包含发票或付款收据。
主题行是“您的123-reg发票副本(123-458452066)”
邮件正文中包含有关所下订单的详细信息,并且已附加了付款收据。邮件末尾提供了支持详细信息,以使其看起来真实并说服用户打开附件。
它如何在系统上传播:
- 电子邮件中包含PDF文件和嵌入式Doc文件
PDF名称–123-149715480-reg-invoice.pdf
通过垃圾邮件传播并诱骗用户打开,说明付款收据或发票。
- PDF内嵌的Docm文件
- 打开PDF文件后,Adobe Reader显示警告,指出您正在打开的Docm文件可能包含恶意宏或病毒
在这里我们可以看到docm文件99848负责感染。
- 将Docm文件放在%temp%位置,例如“99848.docm”。观察到它始终会丢弃数字docm文件。单击时文件被丢弃 “打开文件” 打开PDF时在警告期间显示的选项。
- 放置的文档文件以只读模式打开,并出现一个黄色条,以使编辑可以访问并执行。
Dridex更改了其传播方法,但动作保持不变。通过Docm文件传播的类似方式,PDF只是充当载体。必须使用更强大的技术来识别垃圾邮件并配置更强大的防火墙策略。
快速治愈检测
- 快速修复电子邮件保护功能可以在执行之前成功阻止此类恶意附件(在这种情况下为脚本文件)。
- Quick Heal已检测到PDF和嵌入式Doc文件。
预防措施
- 包含双扩展名的电子邮件附件(例如pdf.bin或doc.js)如果来自未知或不受信任的来源,则永远不要打开。
- 始终访问已知的网站,不要点击任何显示诱人交易的链接或广告。
- 定期更新您的防病毒软件,以使您的数据和系统免受不断发展的恶意软件趋势的影响。
- 保持软件和操作系统的更新,以确保安全的数字环境。
致谢
主题专家
•Nayan Vairagi
–威胁研究与响应小组
没意见