恶意软件经常出现在看起来无害的软件包中。一旦受害者点击它，恶意软件就像一堆开放的蠕虫一样开始传播，并控制受害者的PC。通常，在此类攻击中，当用户启用宏时，恶意软件会被执行。然而，似乎新的恶意软件甚至不需要宏包装来传播它。最新的威胁之一是Zusy PowerPoint恶意软件。顾名思义，此恶意软件通过PowerPoint附件传播。

　　Office宏基本上是用Visual Basic(VBA)编写的一小部分代码，允许您执行选择的重复性任务。它们本身很有用，但很多时候恶意软件编写者滥用此功能将恶意软件引入您的计算机系统。

　　一个宏病毒是一个病毒，利用在Microsoft Office应用程序，如微软的Word，PowerPoint或Excel中运行宏的优势。网络犯罪分子向您发送宏观出现的有效负载或文件，稍后将通过电子邮件下载恶意脚本，并使用感兴趣或激发您打开文档的主题行。当您打开文档时，宏会运行以执行犯罪分子所需的任务。

　　Zusy PowerPoint恶意软件

　　据SentinelOne Labs报道，Zusy PowerPoint恶意软件正在作为附加到垃圾邮件的PowerPoint文件传播，其标题为“ Purchase Order#130527 ”和“ Confirmation ”。如前所述，此恶意软件不要求用户启用宏来执行。大多数Office恶意软件都需要用户激活宏来下载一些可执行的有效负载，这些负载可以处理大多数恶意内容。但是，Zusy PowerPoint恶意软件使用外部程序功能来传播其恶意活动。

　　SentinelOne Labs提供了Zusy恶意软件的示例详细信息。这些如下：

　　示例SHA256es：

　　PowerPoint dropper：796a386b43f12b99568f55166e339fcf43a4792d292bdd05dafa97ee32518921。

　　第一阶段JSE有效载荷：55821b2be825629d6674884d93006440d131f77bed216d36ea20e4930a280302

　　第二阶段EXE有效载荷55c69d2b82addd7a0cd3bebe910cd42b7343bd3faa7593356bcdca13dd73a0ef

　　他们的报告还提到了Zusy恶意软件的工作原理：

　　当用户打开恶意PowerPoint文件时，它会显示一个屏幕，其中显示单个链接“正在加载...请稍候”：

　　当用户将鼠标悬停在URL上时，恶意软件就会生效。只有悬停会导致PowerPoint执行外部程序。SentinelOne Labs提到，它是powershell加上一个下载额外负载的小脚本。

　　但是，恶意软件不会开始传播，甚至在文件打开后代码也不会自动执行。默认情况下，用户会从Office 2013和Office 2010收到严重警告。只有当用户启用外部程序时，恶意软件才会生效; 因为他们很慵懒，匆忙，或者他们只是习惯于阻止宏。此外，某些配置在执行外部程序时可能比使用宏时更宽松。

　　有趣的是PowerPoint查看器似乎根本不容易受到攻击，因为它拒绝执行程序。Zusy PowerPoint恶意软件通过shell命令执行。

　　SentinelOne Labs仍在调查此恶意软件的详细信息。建议用户不要打开任何未知或可疑的Office附件，以避免任何此类恶意软件的攻击。有关Zusy PowerPoint恶意软件的更多信息，请阅读SentinelOne Labs的报告。