近期，全球各地又在扩散着Emotet方式的病毒垃圾邮件，其主要特征是带有一个.xlsm或经zip加密的.xlsm的恶意文件。当收件者不慎执行恶意xlsm宏，病毒就会被激活，并在终端后台盗取各类信息。

通过对实际案例的分析，研究人员发现攻击者依然利用早期获取的内部用户资讯，并通过全球各地弱账户平台，伪装为相关业务往来回复类邮件，诱导用户点击运行附件。

这种攻击会从.xlsm内纪录的URL列表尝试下载扩展名为.ocx文件（实为DLL的文件），并复制到用户目录（「AppData\Local\随机目录名称」）下，随机取名 xxxxxxx.yyy (x长度不定)，通过执行 C:\Windows\system32\regsvr32.exe /s “C:\Users\用户名称\AppData\Local\随机目录名称下的恶意文件，并通过 registry 设定开机执行。

为了成功入侵，黑客攻击手法不断演化，发展出各种能够躲避侦测的攻击。值得留意的是第二波恶意文件攻击，直接以加密的手段躲避防毒机制的检查，而加密压缩文件内的.xlsm又以混淆手段，增加防毒系统的拦截难度。基础或只有防病毒功能的邮件防御，已无法对抗黑客日益精进的进阶攻击。

守内安建议企业用户尽快使用新一代防御技术，包括：拥有多层过滤机制对抗入侵，同时具有ADM (Advanced Defense Module) 高级防御机制；能自动解压文件并进行扫描；可发掘潜在危险代码、隐藏的逻辑路径及反编译代码，进一步对恶意软件进行比对；可深度防御鱼叉式攻击、汇款诈骗、APT攻击邮件、勒索病毒以及新型态攻击等邮件。