Word文档设置了密码保护时，也就成为了加密文件。恶意软件传播者希望通过发送这类加密Word文档以躲避安全软件检测。

垃圾电子邮件内容还提供了接收人需要用来打开附件的密码，如下图：

当打开附件时，用户会被要求输入密码，如下图：

一旦用户输入密码，就会出现一个Word文档，其中包含三个其它的嵌入式文件。

如果用户点击这些附件，但是并不是普通的打开方式，要求运行VBScript文件，如下图：

如果用户继续点击打开按钮，文件将会启动脚本，将一个DLL下载到%AppData%文件夹，并安装Ursnif键盘记录器。

一旦Ursnif安装就绪，就会自动创建%UserProfile%AppDataRoamingMicrosoftCryplAPIaeevtall.dll，并自动运行将DLL复制到该目录下，在登录时加载DLL。

自动运行如下：

一旦启动，Ursnif将会记录受害者的击键、打开的程序、创建的文件和复制到Windows剪贴板的数据，并将这些数据保存到%Temp%文件夹中的日志文件。这些日志文件将以.bin结尾的扩展名被随机命名。例如，日志文件可能被命名为ja71.bin。这些文件实际上是可以提取的档案文档，以查看将发送到TOR服务器(恶意软件开发人员控制的)的数据。

常规邮件中的病毒特点是以破坏为主1、感染速度快

在单机环境下，病毒只能通过U盘或光盘等介质，从一台计算机传染到另一台，而在网络中、则可以通过诸如电子邮件这样的网络通讯机制进行迅速扩散。根据测定，针对一台典型的PC网络在正常使用情况，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。

2、扩散面广

由于电子邮件不仅仅在单个企业内部传播，这直接致使“邮件病毒”的扩散不仅快，而且扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过将病毒在一瞬间传播到千里之外。

3、清除病毒困难

单机上的计算机病毒有时可通过删除带毒文件，格式化硬盘等措施将病毒彻底清除。而企业中的计算机一旦感染了病毒，清除病毒变得非常困难，刚刚完成清除工作的计算机就有可能被网络中另一台带毒工作站所感染，使得邮件病毒变得非常困难了。

4、破坏性大

网络中的计算机感染了邮件病毒之后，将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络及计算机崩溃，资料丢失。

5、隐蔽性

邮件病毒与其他病毒相比，更隐蔽。一般来说，邮件病毒通常是隐蔽在邮件的附件中，或者是邮件的信纸中，这一定程度上会加速病毒的泛滥，也增加了查杀病毒的难度。

常规的邮件中的病毒更偏向于破坏用户数据或者正常秩序，随着黑客技术的不断提升以及人们在互联网、物联网等关联性的不断复杂，个人数据越来越具有利用价值，电子邮件中的“病毒”形式也在不断变化，Ursnif键盘记录器更倾向是一个间谍，时刻监视着用户。

E安全小编在此提醒大家，虽然邮件“病毒”形式日新月异，谨慎使用电子邮件仍然可以帮您有效避免这类网络攻击。

常规电子邮件安全措施：

1、电子邮件密码要有基本的复杂度：至少设置8位以上，包括数字、特殊符号、大小写字母。

2、不打开陌生人(未知)发送的电子邮件：不要点击陌生人发送的邮件中的附件，不要相信天上掉馅饼的事情。

3、借助杀毒软件：在下载附件的时候自动进行病毒查杀。

4、如果发送者是认识的人，若被要求启动宏或执行一些奇怪的操作，最好与发送者确认邮件是否由本人发送。

本文转自d1net（转载）