心若磐石|老病毒借助文档传播活跃七年，目前仅火绒可彻底清除近期

近期，有用户因文档染毒向火绒求助，火绒工程师分析后，发现为带有后门功能的感染型病毒“Spreadoc” 。通过溯源发现，该病毒早于2013年就出现，可感染移动设备和共享目录映射盘符中的EXE、PDF、DOC、DOCX文件，并释放恶意模块，接收窃取电脑文件等远程指令。通过对多款国内外安全软件测试发现，目前只有火绒可以在不破坏原文件的情况下，彻底清除该病毒。

根据分析，上述几类文件被感染后均会释放感染源恶意模块：被感染的EXE文件会直接在本地执行时释放恶意模块；被感染的PDF、DOC、DOCX文档会先触发CVE-2010-2883（PDF）和CVE-2012-0158（DOC和DOCX）两个漏洞利用代码，通过漏洞释放执行恶意模块。受CVE-2010-2883漏洞影响的Adobe Acrobat Reader软件为8.x到8.2.5版本和9.x到9.4版本，受CVE-2012-0158漏洞影响的Microsoft Office软件为2003 SP3到2010 SP1版本。
感染源恶意模块被执行后，除了会继续感染其它PDF、DOC、DOCX和EXE文件以外，还会执行远控下发的各种指令，包括获取用户电脑文件、屏幕截图、操作注册表以及进程等，甚至还会下发其它恶意模块到本地执行。
【心若磐石|老病毒借助文档传播活跃七年，目前仅火绒可彻底清除】火绒工程师表示，感染型病毒是用户常遇的病毒类型之一，其特点就是可以不断的感染文档、文件，导致安全软件会频繁报毒，因此，清除该病毒需要全盘扫描查杀。更重要的是，由于此类病毒会将恶意代码植入到其它执行文件或文档中，暴力的清除整个受感染文档文件并不可取，而火绒对于此类病毒都会只查杀，不损坏文件，请广大火绒用户放心清除。