在日常工作和生活里，Word、PDF文件是我們經(jīng)常使用的工具。但你有沒有想過，一份看起來(lái)普通的DOC或PDF文檔，或許正藏著能竊取機(jī)密的惡意代碼呢？

今天，就帶大家了解相關(guān)案例和防范辦法。

典型案例

Word、PDF是如何變成“竊密工具”的？

攻擊者會(huì)精心制作兩種具有迷惑性的文件。

手段一：帶有惡意宏的Word文檔，“啟用內(nèi)容”等于“引賊進(jìn)門”

攻擊者把惡意宏代碼嵌入Word文檔，將其偽裝成會(huì)議通知、合同、補(bǔ)丁說(shuō)明等常用文件，郵件標(biāo)題模仿官方語(yǔ)氣，非常容易讓人相信。用戶打開文檔后，會(huì)彈出“需要啟用宏才能正常顯示內(nèi)容”的提示，一旦點(diǎn)擊“啟用內(nèi)容”，宏代碼就會(huì)自動(dòng)運(yùn)行：解密并釋放惡意程序，生成看起來(lái)像合法程序的可執(zhí)行文件，植入后門程序，實(shí)現(xiàn)開機(jī)自動(dòng)啟動(dòng)、遠(yuǎn)程控制電腦等操作，整個(gè)過程都在后臺(tái)悄悄進(jìn)行，沒有任何提示。

手段二：偽裝成PDF的可執(zhí)行文件，“雙擊打開”就會(huì)“放狼入室”

這種方法更具欺騙性，主要有兩種形式：一是“雙后綴偽裝”，文件名表面是“xxx.pdf”，實(shí)際是“xxx.pdf.exe”，圖標(biāo)顯示為PDF樣式，用戶雙擊后，看似在打開PDF，實(shí)際上是運(yùn)行了可執(zhí)行程序，釋放后門；二是“惡意文件偽裝”，把惡意的.desktop文件偽裝成PDF，用戶誤點(diǎn)后，會(huì)觸發(fā)隱藏的命令，下載竊密程序。

安全提醒

一、增強(qiáng)風(fēng)險(xiǎn)意識(shí)，警惕陌生郵件。馬上關(guān)閉Office軟件默認(rèn)的宏執(zhí)行功能，只允許受信任、有數(shù)字簽名的宏運(yùn)行；不要打開陌生郵件附件里的Word文檔，如果確實(shí)需要打開，先核實(shí)發(fā)件人身份，確認(rèn)沒有風(fēng)險(xiǎn)后，關(guān)閉宏功能再查看內(nèi)容，堅(jiān)決不點(diǎn)擊“啟用內(nèi)容”。

二、留意PDF陷阱，規(guī)范打開步驟。接收PDF文件時(shí)，先查看文件名后綴，對(duì)“pdf.exe”這類雙后綴文件要特別警惕，避免直接雙擊打開；通過正規(guī)的PDF閱讀器打開文件，開啟安全模式，禁止PDF自動(dòng)運(yùn)行嵌入的程序；不接收陌生來(lái)源、沒有明確用途的PDF文件，尤其是壓縮包里的PDF附件。

三、加強(qiáng)終端防護(hù)，全面排查安全隱患。組織對(duì)終端進(jìn)行安全檢查，刪除SystemProc.exe等惡意程序；實(shí)時(shí)監(jiān)控注冊(cè)表啟動(dòng)項(xiàng)的異常寫入情況，清除后門的自啟配置；安裝動(dòng)態(tài)沙箱等安全防護(hù)工具，深度檢測(cè)并清除偽裝的文檔。

開盤就大漲44.24%，又一家廈門企業(yè)成功在港交所上市！

新診區(qū)投入使用！800張床位全部開放！湖里區(qū)這家醫(yī)院再次升級(jí)

全國(guó)首個(gè)啟動(dòng)！湖里區(qū)打造“ESG+文明”示范樣板

2026年“央媒話廈門”采訪活動(dòng)今日啟動(dòng)

原標(biāo)題：《警惕！Word、PDF可能泄密》

閱讀原文