小心! 宏病毒取代电脑桌面捷径以植入后门程式

趋势科技研究人员发现一只宏病毒会感染、并绑架受害电脑的特定桌面捷径，用以下载后门程式。

趋势科技研究人员是在一封包含图片档的俄文文件发现这只宏恶意程式。它先要求使用者执行宏以开启整份文件，等用户照做后，就会寻找知名app的桌面捷径档或快速启动功能，包括Skype、Google Chrome、Mozilla Firefox、Opera及微软IE等加以感染并取代指向的连结。

攻击手法：（来源：趋势科技）

当下次用户点击这些捷径时就会执行恶意程式，悄悄下载后门程式到电脑上。有趣的是，研究人员Loseway Lu发现恶意程式执行后，恶意档案就会自动移除，使那些遭感染的捷径恢复正常，降低使用者警觉性。

同时间，这只后门程式开始启动多阶段下载过程，先利用Windows 工具如WinRAR从Google Drive或GitHub载入恶意档案、启动资料窃取，最后利用远端桌面程式Ammyy Admin及SMTP（Simple Mail Transfer Protocol）协定将从用户电脑资讯如路由器IP地址传送出去。

这个“攻击”行为目前还只是资料窃取而已，样本数也不多，研究人员相信攻击者还在发展阶段，因而判断之后还会有新版本释出。