兄弟们都注意了,听说最近有境外组织挺猖狂的,直接通过Word和PDF文档来窃取咱们的机密文件。咱们机关单位每天都是收邮件、看文档的,谁能想到一份看着普普通通的DOC或者PDF,居然可能藏着木马病毒呢?“保密观”这个号上就详细说了一下这事儿。 他们搞了两个主要套路。第一是搞那种带恶意宏的Word文档。他们把病毒代码藏在文档里,伪装成会议通知或者补丁说明什么的,邮件标题还写得像官方发的似的,特别容易骗人。你要是点开文档,肯定会弹出个“要启用宏才能看”的提示。一旦你信了点了“启用内容”,那宏代码立马就跑了。它会把后门程序给释放出来,做成个看起来很正常的软件偷偷装上,这样就能控制你的电脑开机自启、远程操控,全程悄无声息。 还有一种更损的招数就是把PDF伪装成可执行文件。主要有两种情况:一种是文件名里玩花招,明明是“xxx.pdf”,其实后缀多了个“exe”,图标看着还是PDF,你双击以为打开了文档,其实是把恶意程序给运行了。另一种是拿个恶意.desktop文件当诱饵,冒充PDF发给你。你要是误点了它,马上就会触发隐藏命令,开始下载窃密软件。 大家可得长点心眼儿,“保密观”也特意强调了:网络窃密这事根本无孔不入。现在的Word、PDF早就成了境外组织的头号武器了。以前发生过的那些案例都说明了一点:机关单位的工作人员只要一个不留意、图省事点了个陌生附件或者忘了关宏功能,国家秘密马上就保不住了。到时候不但要挨处分,严重的还得坐牢。 各单位得提高警惕了,平时在电脑上可不能太随意。 建议大家直接把Office里默认的宏执行功能给关了。实在要开也只允许那些有签名、受信任的宏跑;千万不能乱点陌生邮件里的附件。就算非要打开Word文档也得先看看是谁发的,确认没啥风险后再把宏关了浏览。最关键的是千万别点那个“启用内容”。 还有就是打开PDF的时候要格外小心。先看看文件名后面有没有藏着“exe”这种双后缀的玩意儿;尽量用正规的PDF阅读器来看文件,最好开个安全模式禁止自动运行里面的东西;那些来历不明或者不知道是干嘛的PDF文件坚决不收。 系统方面也得好好排查一遍。 把那些叫SystemProc.exe的恶意程序全给删掉;盯着注册表看看有没有后门程序偷偷写进启动项里;赶紧弄个动态沙箱什么的工具来深度查杀一下那些伪装成文档的病毒。 这事儿的来源是“保密观”,编辑是万秋悦,责任编辑是谭燕。