国家计算机病毒应急处理中心通过对互联网的监测发现FormBook信息窃取恶意软件。与大多数其他信息窃取类恶意软件一样，它在部署到受害者的计算机上时，会执行许多操作来逃避反病毒厂商产品的检测。

在过去的一年中，最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-2017-8570漏洞。具体而言，攻击者会使用包含恶意代码的.RTF格式文件来利用这一漏洞。

FormBook使用了反分析技术来阻止恶意软件研究人员调试和分析恶意软件。FormBook首先会遍历受害者主机上正在运行的进程。如果存在任何列入黑名单的进程，那么Payload将会停止感染计算机。

该恶意软件使用了大量的反分析技术，例如：黑名单中的进程列表、虚拟机检测机制、内存中字符串混淆等，这些都是为了避免配置中的memdump，从而防止被安全研究人员发现相关的字符串。该恶意软件可能会尝试向浏览器注入代码，然后尝试在相关函数上设置挂钩，以从浏览器中窃取数据。

针对该恶意程序所造成的危害，建议用户做好安全防护，在所使用的计算机中安装安全防护软件，并将病毒库版本升级至最新版，以免使电脑受到该恶意程序的危害。

（转自：国家计算机病毒应急处理中心 病毒预报  第七百九十一期）