几个礼拜前，安全厂商趋势科技发现有一个特制的韩国文书处理软件文件(HWP)会攻击HancomOffice文书处理系统内的应用程序漏洞。这个名为HWP是在韩国很普及的文书处理软件文件格式，使用针对韩国潜在受害者所使用的格式，或许就是他们的目的。

　　这个被侦测为TROJ_MDROP.ZD的特制文件档是以电子邮件附档的方式到达受害者的手上，它用韩国最近发生的谋杀案做为社交工程陷阱(SocialEngineering)诱饵。这封电子邮件送给一间有名韩国企业的众多员工。

　　打开恶意附件文件后，TROJ_MDROP.ZD会攻击一个目前仍不明的漏洞来植入并在背景执行后门程序BKDR_VISEL.FO。这个后门程序可以让潜在攻击者来做远端存取，能在受感染机器做出其他恶意行为。根据我们的分析，BKDR_VISEL.FO也能够停掉特定的防毒程序，让它更难被侦测和清除。这个后门程序也会下载并执行其他恶意文件，让受感染系统被进一步的感染和或窃取资料。

　　执行之后，TROJ_MDROP.ZD会用另一个非恶意HWP文件档取代自己以防使用者怀疑。这个被当做诱饵的文件包含以下的韩文内容：

　　替将来的攻击进行侦察

　　从这目标公司的状况来看，一次成功的感染可能会导致大量客户个人资料被窃取。加上HWP是韩国政府文书处理时的标准格式，所以现在的攻击很可能只是侦察阶段，为了以后更大更广泛攻击做准备。

　　从这起事件中，我们可以看到攻击者会使用区域性应用程序的弱点。HancomOffice也不是第一个被攻击者攻击漏洞的区域性应用程序。我们之前报导过另一起事件，恶意攻击者攻击日文文书处理软件Ichitaro。攻击成功之后会导致安装后门程序。这两起事件证明了使用区域性应用程序并不能保证没有恶意攻击发生。所以，文书处理软件厂商如果使用了可能有漏洞的特定第三方模组，就需要注意业界的漏洞资讯，并准备加以更新。

　　这凸显出了安全性的重要，特别是那些服务包括储存客户资料的公司。一旦公司被入侵成功，不仅让他们的客户处在危险中，也会很快就毁了他们的声誉。这起事件里幸运的是，很快的就执行了适当的消除步骤。然而，我们也必须保持警觉，因为这不会是我们最后一次看到这类威胁。

　　补充资料来自ThomasPark

　　据分析，TROJ_MDROP.ZD会造成一个外挂程序-HNCTextArt.hplg的缓冲区溢位，这是HWP.EXE用来处理HWP文件的程序。HNCTextArt.hplg有一个程序码会将宽字元字串(包含空白结尾字元)从来源复制到目的地。来源的字串必须要包含空白结尾字元。而这起事件里的恶意HWP文件中，这个被复制的宽字元字串并没有包含上述的空白结尾字元，导致了无限回圈。

　　也因为如此，HNCTestArt.hplg会不停的复制资料直到发生异常。这会触发恶意HWP文件档内的恶意程序码。这个程序代码会解开、植入和执行PE文件和用来做为诱饵的非恶意HWP文件。

(责任编辑：)