「文件檔案惡意程式」的防禦指引

甚麼是「文件檔案惡意程式」？

一般市民都應聽過惡意程式這名字，但是大部份市民都未能理解惡意程式是如何運作的。其實惡意程式只是一個統稱，基於運作的方式會被分為多個不同的種類，比較多人熟識的如木馬程式、蠕蟲及殭屍網絡等。感染惡意程式的途徑大致可分為:

1. 用戶執行惡意程式檔案
   • 用戶直接執行惡意程式檔
   • 經使用外置USB儲存裝置時自動執行惡意程式
   • 瀏覽器或系統的漏洞被攻擊，使惡意程式檔案被自動執行
2. 用戶開啟含惡意程式的文件檔案 (即是「文件檔案惡意程式」)

本文即討論第二個途徑，用戶開啟的祇是不可執行的文件檔案。「文件檔案惡意程式」是透過攻擊開啟該檔案的應用程式上的漏洞進行，攻擊者事前在文件檔內加入一些特殊的程式碼，當你使用未修補的應用程式開啟這些文件檔時，應用程式會產生錯誤並執行了文件當中的特殊程式碼，這些程式碼可能在用戶不察覺的情況下為電腦安裝惡意程式，企圖控制電腦。

那些檔案會受到「文件檔案惡意程式」影響

任何檔案格式也會有機會被利用來製作「文件檔案惡意程式」，關鍵是用作開啟文件檔的應用程式存在漏洞。微軟Office Word、Excel、PowerPoint及 Acrobat PDF Reader等程式的文件檔格式最常被利用，而多媒體檔案格式wmv、 mp3、mp4及 wav 也會被利用。

「文件檔案惡意程式」所帶來的風險

很多用戶都不知道在日常工作、學習及娛樂時使用的文件檔會感染惡意程式，沒有小心檢查就直接開啟。朋友使用電郵或即時通訊所傳送的附件，有可能是他感染了惡意程式後自動發出的，如果你直接開啟了這個文件檔，可能使電腦受到感染，讓惡意程式在你的辦公室工的內聯網散播開來。「文件檔案惡意程式」的攻擊者會選擇比較流行的應用程式來攻擊，他們會密切留意應用程式有甚麼漏洞被發現，如果漏洞未有修補程式，他們看準機會出擊，成功率會較高。

預防「文件檔案惡意程式」的措施

1. 留意不要開啟不明來歷的文件檔

   當收到含有附件的電子郵件時，請先確認寄件者是否相識的，和電子郵件的內容是否正常。一些內容十分簡短［如：有趣的文件］及只附上的文件檔但沒有內容的電子郵件，有可能是由感染了惡意程式的電腦發給你，想誘使你開啟當中的附件，感染你的電腦。就算郵件看來沒有不正常，也不要直接經電郵開啟，請先將附件儲存及使用保安軟件個別地掃瞄，然後以相關的應用程式來開啟這個檔案，才是最安全的方法。

    

2. 使用外置的USB儲存裝置時須小心

   插入外置的USB儲存裝置到電腦時，須先使用保安軟件掃瞄在記錄體中的所有檔案後，才開啟使用。

    

3. 保持你的系統、保安程式及應用程式都在最新的狀態

   不要停止任何自動更新的功能，及多留意本中心的網頁，了解那些應用程式發現零日漏洞，在未有修補程式前可轉用代替品開啟文件檔。

    

4. 使用相關應用程式的代替品，避過針對該應用程式漏洞的攻擊

   如選擇使用 OpenOffice代替微軟Office；使用 Foxit Reader 來代替Adobe Reader開啟 PDF 檔案。但要明白這樣多安裝一個應用程式，又要關注多一個軟件的安全更新。

    

5. 在文件檔應用程式上啟動安全設定

   很多應用程式為了增強功能會容許在文件檔中加入程式碼，使工作更加方便，但漏洞很多時就發生在處理這些程式碼上。如果不需要使用文件檔內含程式碼功能，應盡早關閉這些功能的設定。以下介紹如何在較常用的文件檔應用程式微軟Office及 Adobe Reader上，加強防禦及關閉程式碼的支援。

微軟 Office 文件檔攻擊的一般防禦

1. 首先，你必須經常修補微軟 Office 套裝軟件堵塞漏洞。

    

2. 其次，你可以加強微軟 Office 應用程式的安全設定。

   1. 在微軟 Office Word 2003，可在這裡更改巨集保安設定：
   • 點擊「工具功能表」，點選「巨集」，然後點擊「安全性」
   • 選擇「高」安全性層級

    

   2. 在微軟 Office Word 2007/2010，巨集保安設定位於信任中心：
   • 點擊「微軟 Office」／「檔案」按鈕，然後點擊「選項」。
   • 點擊「信任中心」，點擊「信任中心設定」，然後點擊「巨集設定」。

   • 在巨集設定點擊「停用所有巨集（事先通知）」選項。

     

    

微軟 Office 2010 新增的保安功能

微軟 Office 2010 新增了多個保安功能，請參閱以下連結：
http://www.microsoft.com/security/pc-security/office2010.aspx

以下是微軟 Office 2010 的保安功能簡介：

• 當你開啟包含主動式內容（ActiveX控制、增益集、數據連線、巨集及活頁簿連結）的文件，Office 2010 會發出警告，讓你判斷文件來源是否可信。
• 當讀取文件檔時，Office 2010 提供「保護檢視」模式，大部份功能在此模式下均不能使用，以減低風險。
• 當程式嘗試在儲存數據的記憶體範圍內執行時，Office 2010提供的資料執行防止（DEP）會阻止該程式被執行。
• Office 2010提供了方便介面管理保安及私隱設定。

針對 Adobe Reader 文件檔的一般防禦

1. 首先，你必須保持更新 Adobe Reader 到最新版本。

    

2. 其次，你可以加強 Adobe Reader 應用程式的安全設定。

   1. 關閉使用「JavaScript」及「允許使用外部應用程式開啟非 PDF 檔案附件」的功能

   • 點擊「編輯」，然後點擊「編好設定」
   • 在類別中，點擊「JavaScript」

   • 在「JavaScript」中，取消確認「啟用Acrobat JavaScript」選項

     

    

    

   • 在類別中，點擊「信任管理程式」

   • 在「PDF檔案附件」中，取消確認「允許使用外部應用程式開啟非PDF檔案附件」選項

     

    

    

   2. 確認「文件開啟時確認簽名」及「啟用增強保全」選項是否已開啟

   • 點擊「編輯」，然後點擊「編好設定」
   • 在類別中，點擊「保全」

   • 在「數位簽名」中，確認「文件開啟時確認簽名」選項是否已開啟

     

      

      

   • 在類別中，點擊「保全（增強）」

   • 在「增強保全」中，確認「啟用增強保全」選項是否已開啟

     

微軟 Windows Media Player中的安全性設定

要停止程式執行任何指令碼, 和在播放增強內容時向用戶提出警告, 可以做以下設定：

• 點擊「工具」，點選「選項」，然後點擊「安全性」

  

   

• 停用下列設定 (在預設的情況下是停用的) :

  • 允許在播放程式執行中啟動指令碼命令
  • 播放程式在網頁中播放時，執行指令碼命令和 Rich Media 的位元流內容
  • 播放使用網頁的增強內容時不須提示

以下文章介紹有那些設定會影響 Windows Media Player 中的安全性, 可供參考:

http://windows.microsoft.com/zh-TW/windows-vista/Which-settings-affect-security-in-Windows-Media-Player