近期，全球各地又在擴(kuò)散著Emotet方式的病毒垃圾郵件，其主要特征是帶有一個。xlsm或經(jīng)zip加密的。xlsm的惡意文件。當(dāng)收件者不慎執(zhí)行惡意xlsm宏，病毒就會被激活，并在終端后臺盜取各類信息。

　　通過對實(shí)際案例的分析，研究人員發(fā)現(xiàn)攻擊者依然利用早期獲取的內(nèi)部用戶資訊，并通過全球各地弱賬戶平臺，偽裝為相關(guān)業(yè)務(wù)往來回復(fù)類郵件，誘導(dǎo)用戶點(diǎn)擊運(yùn)行附件。

　　這種攻擊會從。xlsm內(nèi)紀(jì)錄的URL列表嘗試下載擴(kuò)展名為。ocx文件（實(shí)為DLL的文件），并復(fù)制到用戶目錄（「AppData\Local\隨機(jī)目錄名稱」）下，隨機(jī)取名 xxxxxxx.yyy （x長度不定），通過執(zhí)行 C:\Windows\system32\regsvr32.exe /s “C:\Users\用戶名稱\AppData\Local\隨機(jī)目錄名稱下的惡意文件，并通過 registry 設(shè)定開機(jī)執(zhí)行。

　　為了成功入侵，黑客攻擊手法不斷演化，發(fā)展出各種能夠躲避偵測的攻擊。值得留意的是第二波惡意文件攻擊，直接以加密的手段躲避防毒機(jī)制的檢查，而加密壓縮文件內(nèi)的。xlsm又以混淆手段，增加防毒系統(tǒng)的攔截難度?；A(chǔ)或只有防病毒功能的郵件防御，已無法對抗黑客日益精進(jìn)的進(jìn)階攻擊。

　　守內(nèi)安建議企業(yè)用戶盡快使用新一代防御技術(shù)，包括：擁有多層過濾機(jī)制對抗入侵，同時具有ADM （Advanced Defense Module） 高級防御機(jī)制；能自動解壓文件并進(jìn)行掃描；可發(fā)掘潛在危險代碼、隱藏的邏輯路徑及反編譯代碼，進(jìn)一步對惡意軟件進(jìn)行比對；可深度防御魚叉式攻擊、匯款詐騙、APT攻擊郵件、勒索病毒以及新型態(tài)攻擊等郵件。