一、綜述

       近期，火絨安全實驗室發(fā)出警報，著名的美國數(shù)字文檔簽署平臺 DocuSign的用戶正在遭受病毒郵件的攻擊，該平臺

在全球擁有2億用戶，其中包括很多中國企業(yè)用戶。請DocuSign的用戶提高警惕，在收到相關郵件時仔細查驗真?zhèn)危�不�?/p>

輕易打開郵件正文中的word文檔查看鏈接。

       火絨安全團隊根據(jù)截獲的病毒郵件分析和溯源，發(fā)現(xiàn)知名的數(shù)字文檔簽署平臺DocuSign遭到黑客入侵，導致用戶資料被泄露。

病毒團伙得到用戶信息后，偽造了一個假域名“DocuSgn”（比DocuSign少一個字母i），從這里向用戶發(fā)出病毒郵件，病毒郵件偽

裝成會計發(fā)票，由于郵件標題及正文均使用 DocuSign 品牌標識，充滿迷惑性，誘騙用戶下載含有惡意代碼的word文檔，當用戶打

開文檔時，系統(tǒng)會詢問用戶是否打開被禁用的惡意宏代碼，如果用戶啟用被禁宏，便會開啟病毒的多次接力下載，最終下載并運行Zbot。

（如下圖所示）

       本次病毒郵件攻擊的受害人群僅限于DocuSign用戶，火絨安全通過虛擬行為沙盒可以檢測出惡意行為，

所以無需升級即可徹底查殺病毒，并且通過“惡意網址攔截”功能，攔截假冒域名docusgn.com。 

二、事件分析

       近期，火絨工作人員收到了一封來自"docusign"的郵件，經火絨工程師確認，這是一封偽裝DocuSign的釣魚郵件。

圖中發(fā)件人的郵箱地址為dse@docusgn.com，和官方docusign.com有一字之差，如下圖所示：

      下載的文檔內容也是相似，只有一副圖片�；鸾q初步懷疑該惡意文檔是使用MetaSpolit工具生成。打開文檔后，

Word會詢問用戶是否打開被禁用的惡意宏代碼，如下所圖：

       如果按照釣魚文檔的說明，關閉安全警告啟用宏，就會觸發(fā)文檔中的惡意腳本，腳本執(zhí)行過程中會進行多次解密，解密數(shù)

據(jù)來自于宏腳本窗口中的控件對象�？丶�對象數(shù)據(jù)如下：

       注入到explorer的惡意代碼是一個混淆后的動態(tài)庫，其導入表是經過加密進行存放的，在動態(tài)庫被注入后會先對其導

入表進行修復，修復后進

會保留函數(shù)地址，并對函數(shù)名部分進行擦除：

       Zbot是一個歷史悠久且功能復雜的木馬程序，因為源碼的泄露。使得任何人都可對其修改，我們可以從之前泄露的Zbot源碼看到病毒有以下主要行為：

1.獲取瀏覽器cookies，flash player cookies, FTP密碼和email密碼。




       Zbot會針對不同的FTP和email客戶端，讀取其保存賬戶信息的注冊表或文件，

之后將收集到的信息打包發(fā)送到病毒作者的C&C服務器。從下面兩張圖中，我們可以看到

Zbot能夠盜取市面上主流FTP和email軟件的賬戶信息。

3.HOOK GetClipboardData 函數(shù)獲取剪切板信息：




4.HOOK TranslateMessage函數(shù)，攔截程序消息，當為按鈕按下消息時，截屏保存圖片。當為鍵

盤按鍵消息時，則記錄按鍵信息。如下圖所示：