一种新的office病毒出现了！ [出自:jiwo.org]

一旦打开含有病毒的office文件

并且点了允许攻击引用

恶意代码就会立即执行！

你的电脑就这样不知不觉中毒了……

（图片在文中）

 一、病毒介绍

近日研究人员发现了一种通过OFFICE 使用DDE进行攻击的方法。通过DDE在OFFICE中执行任意文件，这种攻击方式不依赖于OFFICE漏洞或者宏。攻击者可以通过社工方式发送钓鱼邮件诱使受害者打开office文档，一旦受害者打开文档，并且点击了允许更新引用，恶意代码就会执行。

在Windows系统中，各个应用程序之间常常需要交换、传递数据，动态数据交换（DDE）技术就是为了进程之间更方便传递数据提出的，最早是随着Windows 3.1由微软公司实现的进程间的数据通信的协议。动态数据交换（DDE）已经成为Windows的一部分，并且很多Windows应用程序都使用了DDE技术来实现进程之间的数据交换，而office也支持这个协议。

瑞星杀毒软件在第一时间增加了对此种攻击方式的拦截。

二、病毒攻击过程

攻击者首先构造office文档 通过添加域的方式 插入恶意代码。

当受害者打开word之后 就会弹出如下窗口，会提示是否允许，此时如果点击 “是” ，恶意代码就会运行起来。

图：运行后弹出是否允许

执行成功，弹出计算器

图：攻击成功

上面我们为了演示弹出了一个计算器，在实际的攻击行动中，攻击者可以写入powershell 、vbs等脚本，执行更多恶意功能，还可以下载并运行更多恶意程序。

图：powershell代码

三、防御措施

防御这种攻击，需要做到以下几点：

1、避免打开未知来源的文档

2、慎重决定是否点允许

3、安装瑞星杀毒软件拦截查杀