近期,，全球各地又在擴散著Emotet方式的病毒垃圾郵件，其主要特征是帶有一個,。xlsm或經(jīng)zip加密的,。xlsm的惡意文件。當收件者不慎執(zhí)行惡意xlsm宏,，病毒就會被激活,，并在終端后臺盜取各類信息。

　　通過對實際案例的分析,，研究人員發(fā)現(xiàn)攻擊者依然利用早期獲取的內(nèi)部用戶資訊,，并通過全球各地弱賬戶平臺，偽裝為相關業(yè)務往來回復類郵件,，誘導用戶點擊運行附件,。

　　這種攻擊會從。xlsm內(nèi)紀錄的URL列表嘗試下載擴展名為,。ocx文件（實為DLL的文件）,，并復制到用戶目錄（「AppData\Local\隨機目錄名稱」）下，隨機取名 xxxxxxx.yyy （x長度不定）,，通過執(zhí)行 C:\Windows\system32\regsvr32.exe /s “C:\Users\用戶名稱\AppData\Local\隨機目錄名稱下的惡意文件,，并通過 registry 設定開機執(zhí)行。

　　為了成功入侵，黑客攻擊手法不斷演化,，發(fā)展出各種能夠躲避偵測的攻擊。值得留意的是第二波惡意文件攻擊,，直接以加密的手段躲避防毒機制的檢查,，而加密壓縮文件內(nèi)的。xlsm又以混淆手段,，增加防毒系統(tǒng)的攔截難度,。基礎或只有防病毒功能的郵件防御,，已無法對抗黑客日益精進的進階攻擊,。

　　守內(nèi)安建議企業(yè)用戶盡快使用新一代防御技術，包括：擁有多層過濾機制對抗入侵,，同時具有ADM （Advanced Defense Module） 高級防御機制,；能自動解壓文件并進行掃描；可發(fā)掘潛在危險代碼,、隱藏的邏輯路徑及反編譯代碼,，進一步對惡意軟件進行比對；可深度防御魚叉式攻擊,、匯款詐騙,、APT攻擊郵件、勒索病毒以及新型態(tài)攻擊等郵件,。