近期,有用户因文档染毒向火绒求助,火绒工程师分析后,发现为带有后门功能的感染型病毒“Spreadoc”。通过溯源发现,该病毒早于2013年就出现,可感染移动设备和共享目录映射盘符中的EXE、PDF、DOC、DOCX文件,并释放恶意模块,接收窃取电脑文件等远程指令。通过对多款国内外安全软件测试发现,目前只有火绒可以在不破坏原文件的情况下,彻底清除该病毒。
根据分析,上述几类文件被感染后均会释放感染源恶意模块:被感染的EXE文件会直接在本地执行时释放恶意模块;被感染的PDF、DOC、DOCX文档会先触发CVE-2010-2883(PDF)和CVE-2012-0158(DOC和DOCX)两个漏洞利用代码,通过漏洞释放执行恶意模块。受CVE-2010-2883漏洞影响的Adobe Acrobat Reader软件为8.x到8.2.5版本和9.x到9.4版本,受CVE-2012-0158漏洞影响的Microsoft Office软件为2003 SP3到2010 SP1版本。
感染源恶意模块被执行后,除了会继续感染其它PDF、DOC、DOCX和EXE文件以外,还会执行远控下发的各种指令,包括获取用户电脑文件、屏幕截图、操作注册表以及进程等,甚至还会下发其它恶意模块到本地执行。
火绒工程师表示,感染型病毒是用户常遇的病毒类型之一,其特点就是可以不断的感染文档、文件,导致安全软件会频繁报毒,因此,清除该病毒需要全盘扫描查杀。更重要的是,由于此类病毒会将恶意代码植入到其它执行文件或文档中,暴力的清除整个受感染文档文件并不可取,而火绒对于此类病毒都会只查杀,不损坏文件,请广大火绒用户放心清除。