更精心设计和传播的Formbook恶意代码

Frombook恶意代码时一种数据泄漏型恶意代码，它以截获用户收到的正常电子邮件并替换为含有恶意代码的附件的形式在韩国进行传播。 

AhnLab通过其ASEC博客发表，已经确认了Formbook恶意代码正在通过电子邮件传播的情况，其附件内容比以前更精致，致使用户毫无疑问地打开电子邮件附件。 

据ASEC透露，目前正在传播的Formbook利用的电子邮件内容和关键词没有偏离以前利用的报价、采购、订购等电子邮件内容和关键词，并且仅限于特定的内容。因此，对于警惕网络钓鱼电子邮件的用户来说，稍微注意即可发现可疑之处。但是，此次确认的电子邮件变得更加精致，其形式是使用用户平时接收的电子邮件的内容并更改附件文件。 

现有的Formbook如[图1]所示，不仅内容不够精致，而且遗漏了详细说明，只要是平时对网络钓鱼邮件保持警惕的用户都可能会非常怀疑，以至于在运行附件时会加倍小心。

[图1]现有的Formbook传播网络钓鱼邮件

但是，最近传播的Formbook使用了通过用户在平时接收的内容中添加恶意代码的形式，诱使用户运行文件而没有任何怀疑。 

[图2]利用巧妙的内容传播Formbook的钓鱼邮件

因此，用户在点击现有的客户发来的与报价、订购、交易相关的电子邮件的附件时也要加倍注意。另外，要注意把V3更新到最新版本，提前预防感染恶意代码，防患于未然。

目前，AhnLab不仅针对该恶意代码进行文件诊断，而且还对内存进行诊断，以防运行时恶意代码启动。因此，即使用户已经运行，也可以在恶意行为发生之前进行拦截。

目前，本公司产品群用以下诊断名检测相关恶意代码。

• Trojan/Win32.VBKrypt.R346110

• Trojan/Win32.Formbook.XM52