近期,有用户因文檔染毒向火絨求助,火絨工程師分析後,發現為帶有後門功能的感染型病毒“Spreadoc”。通過溯源發現,該病毒早於2013年就出現,可感染移動設備和共享目錄映射盤符中的EXE、PDF、DOC、DOCX文件,並釋放惡意模塊,接收竊取電腦文件等遠程指令。通過對多款國內外安全軟件測試發現,目前只有火絨可以在不破壞原文件的情況下,徹底清除該病毒。
根據分析,上述幾類文件被感染後均會釋放感染源惡意模塊:被感染的EXE文件會直接在本地執行時釋放惡意模塊;被感染的PDF、DOC、DOCX文檔會先觸發CVE-2010-2883(PDF)和CVE-2012-0158(DOC和DOCX)兩個漏洞利用代碼,通過漏洞釋放執行惡意模塊。受CVE-2010-2883漏洞影響的Adobe Acrobat Reader軟件為8.x到8.2.5版本和9.x到9.4版本,受CVE-2012-0158漏洞影響的Microsoft Office軟件為2003 SP3到2010 SP1版本。
感染源惡意模塊被執行後,除了會繼續感染其它PDF、DOC、DOCX和EXE文件以外,還會執行遠控下發的各種指令,包括獲取用户電腦文件、屏幕截圖、操作註冊表以及進程等,甚至還會下發其它惡意模塊到本地執行。
火絨工程師表示,感染型病毒是用户常遇的病毒類型之一,其特點就是可以不斷的感染文檔、文件,導致安全軟件會頻繁報毒,因此,清除該病毒需要全盤掃描查殺。更重要的是,由於此類病毒會將惡意代碼植入到其它執行文件或文檔中,暴力的清除整個受感染文檔文件並不可取,而火絨對於此類病毒都會只查殺,不損壞文件,請廣大火絨用户放心清除。