恶意软件已经针对 Word和 Excel档案有好一段日子了，但趋势科技最近看到一个新的恶意软件家族 – CRIGENT（也被称为「Power Worm」）带来了一些新的技术。（趋势科技将这些档案侦测为W97M_CRIGENT.JER和X97M_CRIGENT.A。）

最引人注意的并不是建立或包含可执行程序代码，而是 CRIGENT 利用Windows PowerShell来执行其程序。PowerShell是一个功能强大的交互式 shell/脚本工具，可用在Windows的所有现行版本上（而且从Windows 7开始内建）；该恶意软件会通过PowerShell脚本来进行所有行为。IT管理员通常会找的是恶意二进制文件而可能会忽略掉它，因为使用这种技术的恶意软件并不常见。

到达及其他组件

这种威胁会通过一个受感染的Word或Excel文件到达，可能是由其他恶意软件所植入，或是经由使用者下载/存取。一旦打开，它会马上从两个知名的网络匿名项目下载另外两个组件：Tor 网络以及Polipo，一个个人网页快取/代理服务器。

攻击者会去掩饰这两个档案（经由变更它们的档名），并且隐藏DNS记录来掩盖这些档案的来源。

命令与控制

利用已安装的Tor和Polipo软件，它会存取其命令和控制服务器。它所用的网址包含两个GUID，如下所示：

{C&C server}/get.php?s=setup&mom={GUID #1}&uid={GUID #2}

奇怪的是，如果用缺少或不正确的GUID连上上述网站，C＆C服务器会出现下面这用德文所写的轻微脏话：

不过，如果字符串正确，就会下载一个PowerShell脚本（侦测为VBS_CRIGENT.LK或VBS_CRIGENT.SM），其中包含所有进行CRIGENT恶意行为的必要程序代码。一开始，会送回用户系统的IP地址、国家代码、使用者账号权限等相关数据给C＆C服务器：

除了上述行为，此脚本也会在每次系统启动时联络服务器以取得命令。有关Polipo和Tor的端口也都会打开。

感染Word和Excel档案

下载的PowerShell脚本还包含必要程序代码来用恶意CRIGENT程序代码感染其他Word和Excel文件。要做到这一点，它会用PowerShell脚本来修改注册表，从而降低微软Office的安全设定。

然后在所有可用磁盘搜寻Microsoft Word或Microsoft Excel文件档案 – *.DOC，*.DOCX，*.XLS和*.XLSX。它也会关闭被感染档案的「警告」和「宏」以避免通知用户。

所有现存的DOCX和XLSX档案都会被转换成之前的DOC和XLS格式，原本的文件则会被删除。一个Visual Basic模块（包含了恶意宏）会被建立，并且和所有的DOC和XLS档案一起被储存。打开任何一个其中档案都会重新启动这感染链。

       除了会危害受感染系统的安全性，CRIGENT也会感染文件（其中可能包含重要的数据），并且可能会让它们变成无用，因为其新的「格式」。企业和个人使用者可能会因此失去重要的数据。

侦测CRIGENT

有几种方法来侦测网络内的CRIGENT存在。首先，Polipo和Tor出现在内部网络就应该是可疑的，这是网络管理者可以考虑用来寻找和阻止CRIGENT及其他使用Tor威胁的方式。

此外，值得一提的是，CRIGENT会将感染的档案以扩展名 – DOC和XLS储存，而不是预设的文件类型。Office从版本2007开始就用DOCX和XLSX作为预设的扩展名，同时支持早期的文件格式以做到向下兼容。所以如果出现大量使用旧格式的新档案就可能是出现CRIGENT的讯号。

我们在2014年的安全预测中指出，网络犯罪份子会使用Tor来更深地隐藏自己的活动，这里就是一个好例子。他们还利用了PowerShell，一个从Windows 7开始的主要功能来进行其行为。再加上了使用正常的云端储存网站，更强调出网络犯罪分子是如何地利用正常服务和功能在他们的攻击上。

趋势科技会封锁所有相关网址和侦测相关恶意软来体来保护用户免于此恶意软件。

了解趋势科技云安全软件，请点链接：

http://www.trendmicro.com.cn/pccillin/index.html