病毒预报  第六百七十八期（2016.3.14-2016.3.20）

国家计算机病毒应急处理中心通过对互联网的监测发现，一种通过宏病毒传播的恶意程序出现。

我们分析发现，该恶意程序具有盗取FTP密码和安全证书；通过进程注入的方式盗取会话密钥和其他信息；将恶意程序注入网页；执行远程命令等功能。如果计算机用户打开含有宏病毒的office文档，正文内容就会被加密，提示文档需要解密需要启用宏功能。一旦计算机用户启用宏功能打开文档，恶意宏脚本就会执行，并释放恶意可执行文件。

另外，恶意宏脚本会在受感染系统临时目录下释放恶意程序并释放VB程序，然后会将恶意代码注入到进程中。该VB程序的主要功能是盗取FTP软件的密码、登陆凭证以及下载运行其他恶意代码。

专家提醒：

针对这种情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

（一）如果收到的陌生发件人的电子邮件要谨慎打开，特别是不要轻易打开其中的附件。

（二）操作系统默认的office文档中的宏是禁止的，当打开一个文档时，一定要确认文档中的宏是安全之后，才可以开启宏功能，切莫盲目打开宏功能。

（三）建议打开操作系统中防病毒软件的“实时监控”功能，对操作操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心