钓鱼邮件都有一个共同特征,就是通过各种各样的诱惑或恐吓内容,来引诱你打开邮件里面的链接、扫描邮件里面的二维码,或者打开里面的附件。如果自己的警惕性不够,或者社会经验不足,很容易就会上当受骗,甚至可能会遭到经济损失。
在此,笔者先给大家提个醒,遇到不明来历的邮件,不要轻易地打开里面的链接、不要扫描里面的二维码,不要轻易地打开里面的附件!如果一个不小心点开了里面链接,或者扫描出来打开了一个新的页面,千万不要输入任何密码!
但是笔者作为IT的从业人员,对于一些涉及信息安全方面的事务,还是需要使用一些手段来验证邮件的安全性,并且以此来编写相对应的规则,使用技术手段来进行防范的。最近笔者就收到了一封钓鱼邮件,该邮件自称是“内部通知”,谎称是“AI自动化办公表格制作生成工具安装通知”,里面附上了一个疑似病毒的附件,具体截图如下:
这种邮件,不用多说,很大概率是附件带病毒的邮件。为了进一步确认该附件的安全性,我先是在本地计算机中下载了附件并进行了解压缩,然后使用火绒来进行病毒扫描。但很可惜,火绒并没有提示发现病毒,随后更新了一下病毒库,再进行手工扫描,依旧没有发现病毒。由于该附件的安全性存疑,为了进一步确认该文件的特征,我把文件放到虚拟机里面的系统进行测试,该虚拟机内操作系统以及里面的火绒版本和宿主机的基本一致,只是病毒库比宿主机还要旧一天的时间。在启动虚拟机系统之前,笔者先给虚拟机建立了一个快照,以便后续如果真的感染了病毒之后,可以快速还原到感染之前的状态。系统启动之后,笔者先是看了一下其中一个文件的数字签名属性,发现里面啥都没有,空白一片,觉得是病毒的概率就更大了:
随后,笔者双击执行了里面的exe文件,随后虚拟机里面的火绒就通过其内存防护功能,提示发现了病毒:
随后又对解压后的附件进行了一次扫描,这下火绒居然提示发现病毒了!(见上图最新的记录)
这种情况有点意思,在同样的操作系统同样的火绒版本,在宿主机下直接扫描文件,杀毒软件没有发现任何病毒,但在虚拟机下,先执行病毒文件,随后杀毒软件就发现病毒了,难道每次检查病毒,都需要先运行病毒一次?这种情况应该不太合理,为此,我把情况通过电子邮件的方式告知火绒公司,很快就得到了火绒的回应:已经进行了处理,后续更新到最新的病毒库,即可直接进行查杀。
最后,如果大家接收到带附件的邮件,可以先用杀毒软件进行扫描,如果杀毒软件提示没有发现病毒的,也不能掉以轻心,可以在虚拟机内,在已建立快照的情况下,运行病毒,观察其行为,出现异常情况的,可以直接向杀毒软件公司提交相关的可疑文件。但还是那句话,尽量不要打开可疑的附件。
