宏恶意软件

宏是一种在 Microsoft Office 中自动执行常见任务的强大方法，可提高工作效率。 但是，宏恶意软件使用此功能来感染设备。

宏恶意软件的工作原理

宏恶意软件隐藏在 Microsoft Office 文件中，并作为电子邮件附件或 ZIP 文件中传递。 这些文件使用旨在引诱或恐吓用户打开它们的名称。 它们通常看起来像发票、收据、法律文档等。

宏恶意软件在几年前相当普遍，因为每当打开文档时，宏都会自动运行。 在最新版本的 Microsoft Office 中，宏默认处于禁用状态。 现在，恶意软件作者需要说服用户打开宏，以便其恶意软件可以运行。 他们试图通过在打开恶意文档时显示虚假警告来吓唬用户。

我们已看到宏恶意软件从以下系列下载威胁：

• Ransom：MSIL/Swappa
• Ransom：Win32/Teerac
• TrojanDownloader：Win32/Chanitor
• TrojanSpy：Win32/Ursnif
• Win32/Fynloski
• Worm：Win32/Gamarue

如何防范宏恶意软件

• 确保在 Microsoft Office 应用程序中禁用宏。 在企业中，IT 管理员为宏设置默认设置：

  • 在 Office 文档中启用或禁用宏

• 不要打开可疑电子邮件或可疑附件。

• 删除来自未知人员或包含可疑内容的任何电子邮件。 垃圾邮件是宏恶意软件传播main方式。

• 企业可以使用 ASR 规则阻止宏恶意软件运行可执行内容

有关保护自己免受可疑电子邮件攻击的更多提示，请参阅 钓鱼。

有关更多常规提示，请参阅 防止恶意软件感染。