木马利用“云服务”存放盗窃而来的Word、Excel文档

趋势科技最近发现有恶意软件会从中毒用户的电脑中收集微软Word和Excel文档，然后上传到网络硬盘sendspace.com。Sendspace是一个网络硬盘服务，提供了文件存储功能，可以让用户“发送、接收、追踪和分享大体积文件。”

Sendspace最近曾被用于存放偷窃来的数据，但并不是通过恶意软件自动进行的。根据去年底的报告，黑客会利用Sendspace来处理并上传偷来的数据。但这是第一次，趋势科技发现有恶意软件会将窃取的数据直接上传到文件存储与共享网站。

这次的恶意软件攻击是从一个被命名为TROJ_DOFOIL.GE的文件：Fedex_Invoice.exe开始的。为了感染用户，该恶意软件会利用社会工程学陷阱伪造成联邦快递货运通知电子邮件，并将这样的邮件群发给大量目标用户。

一旦运行邮件附件中的文件，就会执行TROJ_DOFOIL.GE并下载TSPY_SPCESEND.A。这个下载器同时还会在被感染的电脑上安装其他恶意程序，包括来自BestAV网络联盟的假防毒软件变种，以及来自Yamba网络的FakeHDD变种。

另外，这个木马下载器还会与TSPY_SPCESEND.A共用同一套控制服务器。这也强烈地证明开发文件窃取用Sendspace木马的犯罪份子，同时也涉足了按成交量计费的地下经济领域。

TSPY_SPCESEND.A是一个“拿了就走”的木马程序，它会在中毒电脑的本地硬盘中寻找微软Word和Excel文档。收集到的文件会被压缩并保存到用户的临时文件夹中，此外在压缩时还会使用随机生成的密码进行加密。下图就是一个收集了文件并将其加密压缩后的范例：

创建好压缩文件后，TSPY_SPCESEND.A会将其发送到Sendspace.com：

一旦完成上传，这个恶意软体会取得Sendspace的下载链接，然后将该链接与压缩时使用的密码一起发送到控制服务器。