国内首例“PPS木马”病毒现身网络。上月中旬被暴光的微软PowerPoint 0day漏洞出现新攻击代码,该恶意代码伪装成幻灯片格式的PPS文件,用户点击运行后会释放出一个木马后门,黑客通过该后门可以远程控制染毒电脑。
该恶意攻击代码伪装成msnus.pps文件,通过邮件附件进行传播,当用户点击打开该文件时,PowerPoint将会执行内嵌其中的shellcode,在Windows下的Temp文件夹释放并执行病毒文件csrse.exe。csrse.exe是个木马释放器,运行后会在Windows\Temp中释放出一个正常的pps文件msnsu.pps,并调用PowerPoint打开它,以此掩人耳目。在用户观看msnsu.pps文件的同时,csrse.exe释放出一个木马后门Backdoor/FireFly.e,病毒通过该后门和某台3322.org域名的机器进行通信。
7月中旬,PowerPoint 0day漏洞被首次发现后,该漏洞就成了黑客争相攻击的目标,由于距微软每月例行安全更新还有一个月的时间,黑客抓住这段“真空期”发布恶意攻击代码,给电脑用户带来了巨大安全隐患。7月19日,江民反病毒中心就已经监测到攻击该漏洞的PPT文件,该恶意PPT文档伪装成一组“老外拍摄的上海照片”通过邮件传播,一旦打开此文档,内嵌其中的恶意代码会下载并运行后门程序,进而完全控制用户计算机,而此次截获的伪装成PPS格式的恶意文件则是首次发现。
今日(8月8日)晚些时候微软可能会在例行更新中发布针对上述漏洞的补丁程序,他希望国内用户及时下载更新,以免遭病毒和黑客攻击。此外,针对“PPS木马”和“PPT恶意文件”,江民杀毒软件KV系列已及时更新,用户则需升级到最新病毒库即可有效防杀“PPS木马”和“PPT恶意文件”等病毒,确保用户电脑使用安全。
小提示:“PPS”和“PPT”都是微软OFFICE办公软件PowerPoint幻灯片的一种格式
