利用Excel触发恶意行为的邮件散布中

近期ASRC蜜罐收到一系列主旨为「Unpaid invoice[ID:随机数字]」的信件，其中都夹带了副档名为IQY的档案。ASRC进一步分析发现，恶意信件所夹带的IQY附档本体不含恶意行为，因此可轻松规避防毒软件的检查。不过危险性相当高，若不慎执行，则电脑可能会被植入Flawed Ammy RAT后门。目前中华数码SPAM SQR已可防御这类攻击。

IQY为Microsoft Excel所使用的Web查询设定档，Excel读取该档后会连向指定的网址取得数据。由于IQY为纯文字格式，缺省的档案开启程序又是Excel，攻击者便利用这个特性，将恶意的网址写入IQY档，欺骗使用者开启档案后连外取得恶意程序回来执行。更有甚者，IQY的纯文字内容并不含有恶意行为，因此也能有效规避防毒软件的检查。

若是Excel有较安全的连线设定则可以不必太担心。若使用者不慎执行了IQY档，Excel也会出现提示，向使用者确认是否真的要执行程序，此时应立即停用拒绝执行。

目前中华数码SPAM SQR已可防御这类攻击。提醒已使用SPAM SQR的用户保持系统与特徵定期更新，以达到最佳防御效果。如有任何问题请洽中华数码科技客服中心。

SPAM SQR 与ADM进阶防御机制

SPAM SQR内建多种引擎(恶意档案分析引擎、威胁感知引擎、智能诈骗引擎)、恶意网址数据库，并可整合防毒与动态沙箱等机制，以多层式的运行过滤方式，对抗恶意威胁邮件的入侵。

SPAM SQR ADM(Advanced Defense Module)进阶防御机制，可防御鱼叉式攻击、APT等新型进阶攻击手法邮件。研究团队经长时间的追踪黑客攻击行为，模拟产出静态特徵。程序自动解封装档案进行扫描，可发掘潜在代码、隐藏的逻辑路径及反组译程序码，以利进行进阶恶意程序分析比对。可提高拦截夹带零时差(Zero-day)恶意程序、APT攻击工具及含有文件漏洞的攻击附件等攻击手法邮件的能力。

ASRC垃圾信息研究中心

ASRC垃圾信息研究中心(Asia Spam-message Research Center)，长期与中华数码科技合作，致力于全球垃圾邮件发展特徵之研究事宜，并运用相关数据统计、调查、趋势分析、学术研究、跨业交流、研讨活动..等方式，促成产官学界共同致力于净化网际网络之电子邮件使用环境。更多信息请参考官网。