垃圾郵件攻擊：加密Word文檔安裝Ursnif鍵盤記錄器

word文檔設定了密碼保護時，也就成為了加密檔案。惡意軟體傳播者希望通過發送這類加密word文檔以躲避安全軟體檢測。

垃圾電子郵件内容還提供了接收人需要用來打開附件的密碼，如下圖：

當打開附件時，使用者會被要求輸入密碼，如下圖：

一旦使用者輸入密碼，就會出現一個word文檔，其中包含三個其它的嵌入式檔案。

如果使用者點選這些附件，但是并不是普通的打開方式，要求運作vbscript檔案，如下圖：

如果使用者繼續點選打開按鈕，檔案将會啟動腳本，将一個dll下載下傳到%appdata%檔案夾，并安裝ursnif鍵盤記錄器。

一旦ursnif安裝就緒，就會自動建立%userprofile%appdataroamingmicrosoftcryplapiaeevtall.dll，并自動運作将dll複制到該目錄下，在登入時加載dll。

自動運作如下：

一旦啟動，ursnif将會記錄受害者的擊鍵、打開的程式、建立的檔案和複制到windows剪貼闆的資料，并将這些資料儲存到%temp%檔案夾中的日志檔案。這些日志檔案将以.bin結尾的擴充名被随機命名。例如，日志檔案可能被命名為ja71.bin。這些檔案實際上是可以提取的檔案文檔，以檢視将發送到tor伺服器(惡意軟體開發人員控制的)的資料。

正常郵件中的病毒特點是以破壞為主1、感染速度快

在單機環境下，病毒隻能通過u盤或CD光牒等媒體，從一台計算機傳染到另一台，而在網絡中、則可以通過諸如電子郵件這樣的網絡通訊機制進行迅速擴散。根據測定，針對一台典型的pc網絡在正常使用情況，隻要有一台工作站有病毒，就可在幾十分鐘内将網上的數百台計算機全部感染。

2、擴散面廣

由于電子郵件不僅僅在單個企業内部傳播，這直接緻使“郵件病毒”的擴散不僅快，而且擴散範圍很大，不但能迅速傳染區域網路内所有計算機，還能通過将病毒在一瞬間傳播到千裡之外。

3、清除病毒困難

單機上的計算機病毒有時可通過删除帶毒檔案，格式化硬碟等措施将病毒徹底清除。而企業中的計算機一旦感染了病毒，清除病毒變得非常困難，剛剛完成清除工作的計算機就有可能被網絡中另一台帶毒工作站所感染，使得郵件病毒變得非常困難了。

4、破壞性大

網絡中的計算機感染了郵件病毒之後，将直接影響網絡的工作，輕則降低速度，影響工作效率，重則使網絡及計算機崩潰，資料丢失。

5、隐蔽性

郵件病毒與其他病毒相比，更隐蔽。一般來說，郵件病毒通常是隐蔽在郵件的附件中，或者是郵件的信紙中，這一定程度上會加速病毒的泛濫，也增加了清除病毒的難度。

正常的郵件中的病毒更偏向于破壞使用者資料或者正常秩序，随着黑客技術的不斷提升以及人們在網際網路、物聯網等關聯性的不斷複雜，個人資料越來越具有利用價值，電子郵件中的“病毒”形式也在不斷變化，ursnif鍵盤記錄器更傾向是一個間諜，時刻監視着使用者。

e安全小編在此提醒大家，雖然郵件“病毒”形式日新月異，謹慎使用電子郵件仍然可以幫您有效避免這類網絡攻擊。

正常電子郵件安全措施：

1、電子郵件密碼要有基本的複雜度：至少設定8位以上，包括數字、特殊符号、大小寫字母。

2、不打開陌生人(未知)發送的電子郵件：不要點選陌生人發送的郵件中的附件，不要相信天上掉餡餅的事情。

3、借助防毒軟體：在下載下傳附件的時候自動進行病毒清除。

4、如果發送者是認識的人，若被要求啟動宏或執行一些奇怪的操作，最好與發送者确認郵件是否由本人發送。

本文轉自d1net（轉載）