老病毒藉助文件傳播活躍七年,目前僅火絨可徹底清除
近期,有使用者因文件染毒向火絨求助,火絨工程師分析後,發現為帶有後門功能的感染型病毒“Spreadoc”。透過溯源發現,該病毒早於2013年就出現,可感染移動裝置和共享目錄對映磁碟機代號中的EXE、PDF、DOC、DOCX檔案,並釋放惡意模組,接收竊取電腦檔案等遠端指令。透過對多款國內外安全軟體測試發現,目前只有火絨可以在不破壞原檔案的情況下,徹底清除該病毒。
根據分析,上述幾類檔案被感染後均會釋放感染源惡意模組:被感染的EXE檔案會直接在本地執行時釋放惡意模組;被感染的PDF、DOC、DOCX文件會先觸發CVE-2010-2883(PDF)和CVE-2012-0158(DOC和DOCX)兩個漏洞利用程式碼,透過漏洞釋放執行惡意模組。受CVE-2010-2883漏洞影響的Adobe Acrobat Reader軟體為8.x到8.2.5版本和9.x到9.4版本,受CVE-2012-0158漏洞影響的Microsoft Office軟體為2003 SP3到2010 SP1版本。
感染源惡意模組被執行後,除了會繼續感染其它PDF、DOC、DOCX和EXE檔案以外,還會執行遠控下發的各種指令,包括獲取使用者電腦檔案、螢幕截圖、操作登錄檔以及程序等,甚至還會下發其它惡意模組到本地執行。
火絨工程師表示,感染型病毒是使用者常遇的病毒型別之一,其特點就是可以不斷的感染文件、檔案,導致安全軟體會頻繁報毒,因此,清除該病毒需要全盤掃描查殺。更重要的是,由於此類病毒會將惡意程式碼植入到其它執行檔案或文件中,暴力的清除整個受感染文件檔案並不可取,而火絨對於此類病毒都會只查殺,不損壞檔案,請廣大火絨使用者放心清除。