一種新產生的惡意軟體利用Microsoft微軟PowerPoint中的弱點為手段正開始肆虐中。以特別為此目的打造的PowerPoint檔案做為推銷方式，利用垃圾郵件中的附檔來散發，讓駭客藉此進入受感染之使用者的系統。微軟稍早表示（詳見：微軟舊版PowerPoint漏洞出現攻擊），駭客可能誘導使用者開啟透過網站或是電子郵件傳送的惡意檔案，藉以取得使用者系統權限，進而掌控使用者電腦，包括執行任意程式、刪除或編輯使用者檔案，以及建立新的使用者帳號等

趨勢科技目前已經收到一些垃圾郵件樣本，其中包含美女泡溫泉的養眼圖片、影視名人化妝前後對照圖。一旦感染，系統會被植入後門，將感染系統的基本資料如電腦名稱，IP位址和操作軟體版本等傳送給遠端控制者，並會透過遠端下載自動更新病毒版本。

以下為此類垃圾郵件遭利用的PowerPoint檔案內容:

圖以垃圾郵件散發的惡意PPT檔案

Normal 0 0 2 false false false MicrosoftInternetExplorer4

前面所提及的使用了新手法的檔案，已被Trend Micro 趨勢科技偵測出是TROJ_PPDROP.AB.。根據Trend Micro趨勢科技的研究人員Michael Cortes表示，新手法在成功地開發感染對象後，TROJ_PPDROP.AB.會將以下檔案置入受感染使用者的暫存檔案夾（temporary folder）中：

temp.exe – 偵測辨識為 TROJ_KUPS.F

suhost.exe – 偵測辨識為 BKDR_KUPS.F

當在被感染的系統中找到通常與Adobe Reader相關的程序時，TROJ_KUPS.F會將該程序終止。在執行的同時，它也會將特定的登錄檔刪除，而不是以一般的檔案將原來的PowerPoint檔覆寫掉。這個動作會讓使用者相信所執行的檔案為非惡意檔案。在執行完程式後，這個檔案便會自行刪除。

另一方面，BKDR_KUPS.F則透過嘗試聯結www.download.windowsupdate.com來檢查受感染系統的網路聯結。當確認聯結後，此程式會去連結一個特定的IP位址並等候進一步的指令。據報告指出，以下為執行的指令：

1. 傳送如電腦名稱，IP位址和操作軟體版本等資料。
2. 進行目錄搜尋。
3.   表列出受侵入系統之內容。
4. 下載本身的更新版本或另一個惡意軟體。

Microsoft微軟業已針對該弱點發佈安全通告（security advisory），並希望修補方式能儘快完成。

目前趨勢科技 首創雲端運算的主動式雲端截毒技術Smart Protection Metwork 已經能夠攔截 TROJ_DELF.PSZ，並且也提供了清除的方法。

＠原文來源：（New Exploit Takes on MS PowerPoint新手法挑釁微軟MS PowerPoint）

@資料外洩防護方案： 可防毒且可防個人資料外洩防護方案
-<瞭解更多與試用版下載>

擔心離職員工連機密資料一起打包，請看企業資料外洩防護方案

＠免費下載防毒軟體
iClean 解毒快手
搶先體驗免費的主動式雲端截毒技術WTP Add On 零干擾 免費拆除黑心連結

＠這裡可申請試用首創雲端運算+防毒的企業及個人防毒軟體