电脑中毒了怎么办多半是因为你的这两个习惯

　　2019年8月，网络安全公司Proofpoint的研究人员监测到一波恶意电子邮件分发活动，旨在传播包含内嵌恶意宏代码的MicrosoftWord和MicrosoftExcel附件。
　　进一步的分析显示，内嵌在恶意文档中的宏代码组成了一种全新的下载器（被Proofpoint研究人员命名为WhiteShadow），能够连接到由攻击者控制的MicrosoftSQLServer数据库，进而以执行SQL查询的方式下载下一阶段有效载荷。
　　图1。恶意电子邮件示例
　　感染链分析
　　WhiteShadow的启动需要收件人执行两个动作：一是打开恶意文档，二是启用宏。
　　值得一提的是，如果你的电脑总是莫名其妙中毒，多半也是因为你没头没脑地执行了这两个动作。
　　WhiteShadow启动后，便会连接到由攻击者控制的MicrosoftSQLServer数据库，然后执行SQL查询来检索在数据库中存储为ASCII编码长字符串的下一阶段有效载荷。
　　一旦检索到，它就会将对字符串进行解码，并将数据分成数组（分隔符有！和，两种）写入一个PKZIP压缩文件，然后写入硬盘。
　　图2。用分隔符！将数据分成数组
　　图3。用分隔符，将数据分成数组
　　PKZIP压缩文件包含一个可执行文件（即下一阶段有效载荷），一旦被提取，便会开始在系统上运行。
　　图4。完整感染链
　　下载器分析
　　WhiteShadow使用SQLOLEDB连接器连接到远程MicrosoftSQLServer数据库，执行查询，并将结果以保存为Zip压缩文件。
　　SQLOLEDB连接器默认包含在许多MicrosoftOffice安装程序中，一旦安装，Windows子系统的各个部分以及MicrosoftOffice文档中的宏都可以使用它。
　　到目前为止，被提取的有效载荷包括Crimson、Nanocore、njRAT、AgentTesla、Formbook以及AZORrult等，具体如下：
　　图5。2019年8月至9月的WhiteShadow活动情况统计
　　在的子域中，托管有多个不同的数据库：
　　antinio。mssql。somee〔。〕com
　　bytesdata。mssql。somee〔。〕com
　　fabancho。mssql。somee〔。〕com
　　在每个数据库中，WhiteShadow访问的数据都是保存在一个名为Data的表中，该表仅含三列：
　　IdNo：有效载荷的主键int标识符；
　　Bytedata：有效载荷数据的ASCII编码；
　　Netver：有效载荷的customer标识符或版本字符串
　　有效载荷分析
　　在分析有效载荷时，Proofpoint公司的研究人员发现Crimson出现了多次更新。更新的命令如下：
　　cownar：
　　将可执行文件添加到monApplicationDatainstallfolderupdates中，并通过Process。Start（exepath）执行。
　　cscreen：
　　获取受感染计算机的JPEG格式屏幕截图，并使用CC响应命令capScreen上传到CC服务器。
　　getavs：
　　创建一个拼接的进程字符串，格式如下：
　　
　　针对系统中正在运行的每一个进程，通过以下方式枚举：
　　Process〔〕processesProcess。GetProcesses（）；
　　putsrt：
　　该函数的输入是一个字符串，它会将该字符串与当前正在运行的进程可执行文件路径进行比较。如果路径不同，则会通过以下命令移动可执行文件：
　　File。WriteAllBytes（text，File。ReadAllBytes（executablePath））；
　　然后，它会将修改后的路径安装到CurrentVersionAutoRun注册表项中：
　　SOFTWAREMicrosoftWindowsCurrentVersionRun
　　结论
　　尽管使用MicrosoftSQL查询来检索下一阶段有效载荷并不是一项新技术，但却很少被使用，而WhiteShadow恰好就是这样一种全新的下载器。
　　通过将下载器和MicrosoftSQLServer数据库相结合，攻击者成功传播了包括远控木马、下载型病毒、键盘记录程序在内的多种恶意软件。
　　如此看来，想要避免电脑莫名其妙感染病毒，切记打开来路不明的电子邮件是不能少了，至少不应该随意在office文档中启用宏。