腾讯企业邮箱、qq企业邮箱、企业邮箱——感染windows最常见的恶意电子邮件附件
为了确保网络安全，每个人都需要识别钓鱼邮件中的恶意附件，钓鱼邮件通常用来传播恶意软件。
当恶意软件传播时，攻击者创建垃圾邮件活动，伪装成发票、邀请函、付款信息、运输信息、电子邮件、语音邮件等。这些电子邮件含有恶意的word和excel附件或链接，当打开并启用宏时，可能会在你的电脑上安装恶意软件。
但必须点击“宏”或“excel”按钮，才能开启“office”或“excel”的内容。但是，绝对不允许启用“宏”或“excel文档”。
不要在收到的附件上点击“启用内容”
为了诱骗用户点击这些按钮，恶意软件通信器会创建包含文本和图像的word和EXCEL文档，指出显示这些文档时存在的问题，然后提示收件人单击“启用内容”或“启用编辑”以正确查看内容。
这些恶意附件中的文字和图片的组合被称为“文档模板”。以下是垃圾邮件活动中针对一些更广泛的恶意软件感染所使用的不同文档模板。需要注意的是，这些文档模板也可以用于不同的恶意软件。此外，这是一个更常见的模板示例，但还有许多其他模板。
BazarLoader
Bazarloader是一种针对企业的恶意软件，由同一组织开发背后的“骗术机器人”木马。当安装后，攻击者使用bazarloader / bazarbackdoor来远程访问您的计算机，然后使用它来攻击您的网络的其余部分。
当网络被bazarloader感染时，攻击者最终会部署Ryuk勒索软件对网络上的所有设备进行加密。
Bazar backdoor的钓鱼邮件通常含有谷歌文件和谷歌表格上的word或EXCEL文件的链接。
但是，这些谷歌文档伪装成问题并提示您下载它们。下载的文件实际上是安装bazarloader的可执行文件，如下所示。
假的谷歌文件托管附件
Dridex
Dridex是一种先进的、模块化的银行木马，于2014年首次被发现，并不断更新。
感染病毒后，drivex会下载不同的模块，这些模块可以用来窃取密码，提供远程访问计算机或进行其他恶意活动。
当drivex进入网络时，通常会导致部署bitpaymer或drivex勒索软件攻击。
另一款名为wastedlocker的勒索软件也与drivex相连，但一家网络安全公司不同意这种评估。与其他恶意软件传播活动不同，drivex Gang倾向于使用更格式化的文档模板来显示小的或模糊的内容，并提示你点击以使内容更可见。
例如，下面的模板声明文档是在Microsoft office word的早期版本中创建的，并在下面显示难以阅读的文档。
Drivex:在word的早期版本中创建
Drivex还使用了更程式化的文档模板，伪装成DHL和UPS的运输信息。
Drivex:伪造的DHL发货信息
最后，drivex会显示一些难以阅读的付款发票，提示你点击“启用编辑”来正确查看。
Drivex: intuit的假发票
正如你从上面的例子中看到的，drivex喜欢使用带有公司标志和标题的嵌入文档的图像来吸引用户启用宏。
Emotet
Emotet是垃圾邮件中分布最广的恶意软件，包含恶意的word或EXCEL文档。一旦感染，emotet会窃取受害者的电子邮件，并通过感染的电脑向全球的收件人发送更多垃圾邮件。
感染了emotet的用户最终会感染木马，比如trickbot和qakbot。这两个木马都被用来窃取密码，cookie，文件，并造成破坏的组织通过网络。
最后，如果你感染了trickbot，网络很可能受到Ryuk或conti勒索软件攻击的影响。受qakbot影响的用户可能会受到prolock勒索软件的攻击。
与drivex不同，emotet在它的文档模板中不使用实际文档的图像。相反，它们使用各种模板来显示不能正确查看文档的警告框，以及用户需要单击“enable content”才能读取文档的警告框。
例如，下面显示的“red down”模板声明“此文档受保护”，然后提示您启用内容读取它。
这个文件是受保护的模板
下一个模板假装没有正确打开，因为它是在“IOS设备”上创建的。
Emotet:在IOS设备上创建
另一个参数是文件是创建的
腾讯企业邮箱、qq企业邮箱与微信完美结合的企业QQ邮箱，腾讯QQ企业邮箱上安全、稳定、高效、便捷，企业qq邮箱每账号每年100元起，企业邮箱用户越多越优惠,腾讯企业邮箱首页:www.tjwlt.com.如有疑问，请致电400-889-0304。