警惕!你每天打开的文档,可能是“特洛伊木马”

每天上班，打开邮箱、查阅文档，是上班族再熟悉不过的日常。

但你有没有想过——一份看似普通的Word文件，或者一个标着“会议纪要”的PDF，可能正静静地躺在你的收件箱里，等待你双击的那一瞬，把机密数据悄悄“送”出去。

这不是危言耸听。最近，工业和信息化部与国家安全部接连通报的案例，给所有机关、单位的工作人员敲响了一记警钟。

先看第一起。今年1月22日，工业和信息化部网络安全威胁和漏洞信息共享平台发布风险提示：有攻击者把恶意代码藏进了DOC文档和PDF文件中，利用人们对这些常用文件格式的天然信任，向政府、军事、电信、能源等重点领域发起精准攻击。目标很明确——窃取系统凭证、机密文件等敏感数据。

再看第二起，发生在去年6月。国内某知名大学的一位前沿科技领域专家杨教授，收到了一封邮件。发件人伪装成“学生”，附件是一份加密的Word简历，密码就写在邮件正文里，理由听起来也很合理：“老师，请您帮忙看看我的简历。”

杨教授多了个心眼，没有贸然打开，而是按规定上报。经技术鉴定，那份所谓的“简历”里，藏着境外间谍情报机关专门研制的木马程序。所幸，杨教授日常工作中严格遵守保密要求，那台电脑里没有存储任何敏感信息，才避免了一场可能发生的失泄密事故。

很多人以为，木马程序是需要单独下载安装的“恶意软件”。但现实远比想象中隐蔽——攻击者根本不需要你主动去下载什么，只要你打开一份文档，它就自己“跑”起来了。

目前最常见的套路有两种。

第一种：藏着恶意宏的Word文档

攻击者把恶意宏代码嵌入Word文档，伪装成会议通知、合同文件、系统补丁说明之类的东西，邮件标题也模仿得像模像样，让人一看就觉得是正经公文。

你打开文档，屏幕上弹出一个提示：“此文档包含宏，请启用内容以正常显示。”大多数人想都没想就点了“启用”。

就在这一瞬间，宏代码开始悄悄执行：它解密释放恶意载荷，生成一个伪装成合法程序的可执行文件，然后在你的电脑里植入后门。整个过程没有任何弹窗、没有异常提示，你的电脑就这样被远程控制了。

第二种：披着PDF外衣的可执行文件

这个套路更狡猾，主要分两种形式。

一种是“双后缀伪装”。文件名看起来是“xxx.pdf”，但如果你把文件后缀显示出来，会发现它其实是“xxx.pdf.exe”。图标显示成PDF的样子，你一双击，看似打开了PDF，实际上运行的是一个可执行程序，后门顺势植入。

另一种是“恶意文件伪装”。攻击者把一个恶意.desktop文件伪装成PDF，你误点之后，隐藏的命令被触发，窃密程序悄悄下载到你的电脑里。

网络窃密这件事，过去很多人觉得“那是影视剧里的事”。但近年来，类似的真实案例不断浮出水面，反复验证了一个残酷的事实：一次疏忽的点击、一个侥幸的操作，就可能导致国家秘密、工作秘密全盘失守。

后果也是实打实的。轻则党纪政务处分，重则追究刑事责任。没有人希望自己成为那个“因为点了一下鼠标”而被通报的人。

技术层面的防护，自然有专业部门来做。但最关键的，其实是我们每个人日常操作中的那几个“小习惯”。

第一，对陌生邮件保持警惕。不熟悉的发件人、突如其来的附件、催促“尽快打开”的措辞，都是危险信号。

第二，管好Word的宏功能。最好的办法是直接禁用Office软件默认的宏执行功能，只允许受信任、已签名的宏运行。如果确实需要打开陌生文档，先核实发件人身份，确认安全后再关闭宏功能浏览，坚决不点“启用内容”。

第三，打开PDF之前多看一眼。拿到文件先看后缀，警惕“pdf.exe”这种双后缀文件。尽量用正规PDF阅读器打开，开启安全模式，禁止PDF自动运行嵌入式程序。对于来源不明、用途不清的PDF文件，特别是压缩包里的那种，能不收就不收。

第四，给电脑做个“体检”。如果怀疑中招，及时组织终端安全排查，清除可疑程序，监控注册表启动项是否有异常写入。日常工作中，有条件的可以部署动态沙箱这类安全防护工具，对可疑文件进行深度查杀。