跳至主內容

「文件檔案惡意程式」的防禦指引

發佈日期: 2012年02月28日 6124 觀看次數

 

甚麼是「文件檔案惡意程式」?

 

一般市民都應聽過惡意程式這名字,但是大部份市民都未能理解惡意程式是如何運作的。其實惡意程式只是一個統稱,基於運作的方式會被分為多個不同的種類,比較多人熟識的如木馬程式、蠕蟲及殭屍網絡等。感染惡意程式的途徑大致可分為:

  1. 用戶執行惡意程式檔案
    • 用戶直接執行惡意程式檔
    • 經使用外置USB儲存裝置時自動執行惡意程式
    • 瀏覽器或系統的漏洞被攻擊,使惡意程式檔案被自動執行
  2. 用戶開啟含惡意程式的文件檔案 (即是「文件檔案惡意程式」)

本文即討論第二個途徑,用戶開啟的祇是不可執行的文件檔案。「文件檔案惡意程式」是透過攻擊開啟該檔案的應用程式上的漏洞進行,攻擊者事前在文件檔內加入一些特殊的程式碼,當你使用未修補的應用程式開啟這些文件檔時,應用程式會產生錯誤並執行了文件當中的特殊程式碼,這些程式碼可能在用戶不察覺的情況下為電腦安裝惡意程式,企圖控制電腦。

 

 

那些檔案會受到「文件檔案惡意程式」影響

 

任何檔案格式也會有機會被利用來製作「文件檔案惡意程式」,關鍵是用作開啟文件檔的應用程式存在漏洞。微軟Office Word、Excel、PowerPoint及 Acrobat PDF Reader等程式的文件檔格式最常被利用,而多媒體檔案格式wmv、 mp3、mp4及 wav 也會被利用。

 

 

「文件檔案惡意程式」所帶來的風險

 

很多用戶都不知道在日常工作、學習及娛樂時使用的文件檔會感染惡意程式,沒有小心檢查就直接開啟。朋友使用電郵或即時通訊所傳送的附件,有可能是他感染了惡意程式後自動發出的,如果你直接開啟了這個文件檔,可能使電腦受到感染,讓惡意程式在你的辦公室工的內聯網散播開來。「文件檔案惡意程式」的攻擊者會選擇比較流行的應用程式來攻擊,他們會密切留意應用程式有甚麼漏洞被發現,如果漏洞未有修補程式,他們看準機會出擊,成功率會較高。

 

 

預防「文件檔案惡意程式」的措施

  1. 留意不要開啟不明來歷的文件檔

    當收到含有附件的電子郵件時,請先確認寄件者是否相識的,和電子郵件的內容是否正常。一些內容十分簡短[如:有趣的文件]及只附上的文件檔但沒有內容的電子郵件,有可能是由感染了惡意程式的電腦發給你,想誘使你開啟當中的附件,感染你的電腦。就算郵件看來沒有不正常,也不要直接經電郵開啟,請先將附件儲存及使用保安軟件個別地掃瞄,然後以相關的應用程式來開啟這個檔案,才是最安全的方法。

     

  2. 使用外置的USB儲存裝置時須小心

    插入外置的USB儲存裝置到電腦時,須先使用保安軟件掃瞄在記錄體中的所有檔案後,才開啟使用。

     

  3. 保持你的系統、保安程式及應用程式都在最新的狀態

    不要停止任何自動更新的功能,及多留意本中心的網頁,了解那些應用程式發現零日漏洞,在未有修補程式前可轉用代替品開啟文件檔。

     

  4. 使用相關應用程式的代替品,避過針對該應用程式漏洞的攻擊

    如選擇使用 OpenOffice代替微軟Office;使用 Foxit Reader 來代替Adobe Reader開啟 PDF 檔案。但要明白這樣多安裝一個應用程式,又要關注多一個軟件的安全更新。

     

  5. 在文件檔應用程式上啟動安全設定

    很多應用程式為了增強功能會容許在文件檔中加入程式碼,使工作更加方便,但漏洞很多時就發生在處理這些程式碼上。如果不需要使用文件檔內含程式碼功能,應盡早關閉這些功能的設定。以下介紹如何在較常用的文件檔應用程式微軟Office及 Adobe Reader上,加強防禦及關閉程式碼的支援。

 

 

微軟 Office 文件檔攻擊的一般防禦

  1. 首先,你必須經常修補微軟 Office 套裝軟件堵塞漏洞。

     

  2. 其次,你可以加強微軟 Office 應用程式的安全設定。

    1. 在微軟 Office Word 2003,可在這裡更改巨集保安設定:
    • 點擊「工具功能表」,點選「巨集」,然後點擊「安全性」
    • 選擇「高」安全性層級

     

    1. 在微軟 Office Word 2007/2010,巨集保安設定位於信任中心:
    • 點擊「微軟 Office」/「檔案」按鈕,然後點擊「選項」。
    • 點擊「信任中心」,點擊「信任中心設定」,然後點擊「巨集設定」。
    • 在巨集設定點擊「停用所有巨集(事先通知)」選項。

     

 

微軟 Office 2010 新增的保安功能

微軟 Office 2010 新增了多個保安功能,請參閱以下連結:
http://www.microsoft.com/security/pc-security/office2010.aspx

 

以下是微軟 Office 2010 的保安功能簡介:

  • 當你開啟包含主動式內容(ActiveX控制、增益集、數據連線、巨集及活頁簿連結)的文件,Office 2010 會發出警告,讓你判斷文件來源是否可信。
  • 當讀取文件檔時,Office 2010 提供「保護檢視」模式,大部份功能在此模式下均不能使用,以減低風險。
  • 當程式嘗試在儲存數據的記憶體範圍內執行時,Office 2010提供的資料執行防止(DEP)會阻止該程式被執行。
  • Office 2010提供了方便介面管理保安及私隱設定。

 

 

針對 Adobe Reader 文件檔的一般防禦

  1. 首先,你必須保持更新 Adobe Reader 到最新版本。

     

  2. 其次,你可以加強 Adobe Reader 應用程式的安全設定。

    1. 關閉使用「JavaScript」及「允許使用外部應用程式開啟非 PDF 檔案附件」的功能

    • 點擊「編輯」,然後點擊「編好設定」
    • 在類別中,點擊「JavaScript」
    • 在「JavaScript」中,取消確認「啟用Acrobat JavaScript」選項

     

     

    • 在類別中,點擊「信任管理程式」
    • 在「PDF檔案附件」中,取消確認「允許使用外部應用程式開啟非PDF檔案附件」選項

     

     

    1. 確認「文件開啟時確認簽名」及「啟用增強保全」選項是否已開啟

    • 點擊「編輯」,然後點擊「編好設定」
    • 在類別中,點擊「保全」
    • 在「數位簽名」中,確認「文件開啟時確認簽名」選項是否已開啟

       

       

    • 在類別中,點擊「保全(增強)」
    • 在「增強保全」中,確認「啟用增強保全」選項是否已開啟

 

 

微軟 Windows Media Player中的安全性設定

要停止程式執行任何指令碼, 和在播放增強內容時向用戶提出警告, 可以做以下設定:

  • 點擊「工具」,點選「選項」,然後點擊「安全性」

     

  • 停用下列設定 (在預設的情況下是停用的) :

    • 允許在播放程式執行中啟動指令碼命令
    • 播放程式在網頁中播放時,執行指令碼命令和 Rich Media 的位元流內容
    • 播放使用網頁的增強內容時不須提示

 

 

以下文章介紹有那些設定會影響 Windows Media Player 中的安全性, 可供參考:

http://windows.microsoft.com/zh-TW/windows-vista/Which-settings-affect-security-in-Windows-Media-Player